Post on 10-Jan-2016
description
CDIGO 2213200-GS-004 VERSIN 01
GUA PARA EL INVENTARIO Y LA CLASIFICACIN DE ACTIVOS DE INFORMACIN DE LA SECRETARA GENERAL
DE LA ALCALDA MAYOR DE BOGOT D.C. PGINA: 1 de 44
2213200-GS-004 Versin 01
DIRECCIN DISTRITAL DE DESARROLLO INSTITUCIONAL
SUBDIRECCIN DE INFORMTICA Y SISTEMAS
SECRETARA GENERAL ALCALDA MAYOR DE BOGOT.
NOMBRE CARGO FECHA FIRMA
ELABORO Juan Carlos Cely Profesional Especializado 28/09/2007
REVISO Juan Carlos Cely Profesional Especializado 28/09/2007
APROB Oscar Alberto Cardona Subdirector de Informtica
y Sistemas (E) 28/09/2007
ALCALDA MAYOR DE BOGOT D.C.
Secretara GENERAL
CDIGO 2213200-GS-004 VERSIN 01
GUA PARA EL INVENTARIO Y LA CLASIFICACIN DE ACTIVOS DE INFORMACIN DE LA SECRETARA GENERAL
DE LA ALCALDA MAYOR DE BOGOT D.C. PGINA: 2 de 44
2213200-GS-004 Versin 01
NOMBRE DEL DOCUMENTO: Inventario_y_Clasificacin-_Alcalda_MayorV1_0.doc VERSIN DEL DOCUMENTO: 1.0 FECHA: Septiembre de 2007 LECTORES: Usuarios internos de la SECRETARA GENERAL DE
LA ALCALDA MAYOR DE BOGOT D.C.
RESUMEN Este documento establece los criterios y mecanismos que debern ser utilizados por los usuarios internos de la SECRETARA GENERAL DE LA ALCALDA MAYOR DE BOGOT D.C. para clasificar y manejar la informacin que generen, posean o utilicen, llevando a cabo las actividades que bajo su responsabilidad tendrn como usuarios, propietarios o custodios tcnicos de los activos de informacin del alcance aqu consignado.
Historia del documento Versin Fecha Comentarios Por Acta 1.0 NewNet S.A. 2.0 Septiembre 2007 Personalizacin del
documento Subdireccin de Informtica y Sistemas
N/A
Documentos asociados (Este documento debe ser ledo en conjunto con) Nombre del Documento Versin Fecha Aprobacin Nombre Empresa
Autor NewNet S.A. Propietario Subdireccin Informtica y Sistemas Secretaria General
Alcaldia Mayor de Bogot
CDIGO 2213200-GS-004 VERSIN 01
GUA PARA EL INVENTARIO Y LA CLASIFICACIN DE ACTIVOS DE INFORMACIN DE LA SECRETARA GENERAL
DE LA ALCALDA MAYOR DE BOGOT D.C. PGINA: 3 de 44
2213200-GS-004 Versin 01
TABLA DE CONTENIDO
1 RESUMEN EJECUTIVO....................................................................................... 4 2 OBJETIVO del documento.................................................................................... 6 3 DEFINICIONES .................................................................................................... 7 4 INVENTARIO DE ACTIVOS DE INFORMACIN................................................. 9 4.1 Procedimiento de Inventario .....................................................................................9 4.1.1 Definicin .........................................................................................................................10 4.1.2 Informacin mnima .........................................................................................................12 4.1.3 Revisin ...........................................................................................................................17 4.1.4 Actualizacin....................................................................................................................18 4.1.5 Publicacin ......................................................................................................................19 5 CLASIFICACIN DE ACTIVOS DE INFORMACIN ......................................... 20 5.1 Definicin ................................................................................................................20 5.2 Niveles de Clasificacin y de Confidencialidad ......................................................22 5.2.1 Niveles de Clasificacin...................................................................................................22 5.2.2 Niveles de confidencialidad .............................................................................................23 5.3 Atributos de Clasificacin .......................................................................................40 5.4 Procedimiento de clasificacin ...............................................................................41 6 Recomendaciones .............................................................................................. 42
CDIGO 2213200-GS-004 VERSIN 01
GUA PARA EL INVENTARIO Y LA CLASIFICACIN DE ACTIVOS DE INFORMACIN DE LA SECRETARA GENERAL
DE LA ALCALDA MAYOR DE BOGOT D.C. PGINA: 4 de 44
2213200-GS-004 Versin 01
RESUMEN EJECUTIVO
Este documento presenta el inventario y clasificacin de los activos de informacin que
son manejados por los empleados a travs de los procesos de la SECRETARA
GENERAL DE LA ALCALDA MAYOR DE BOGOT D.C., con el fin principal de
determinar que activos posee la institucin, reconocer el valor de cada activo, los
niveles de acceso permitidos, y determinar su clasificacin para que sea utilizada
adecuadamente.
La realizacin de un inventario y clasificacin de activos de informacin hace parte de la
debida diligencia que a nivel estratgico ha considerado la SECRETARA GENERAL
DE LA ALCALDA MAYOR DE BOGOT D.C. dentro de sus elementos a tratar con
respecto a la seguridad para los activos de informacin de la institucin.
Las mejores prcticas de seguridad de la informacin a nivel nacional e internacional
recomiendan de manera imperativa la realizacin de un inventario y clasificacin de los
activos de informacin de las organizaciones, para determinar cmo deben ser
utilizados en los procesos del negocio, los roles y las responsabilidades que tiene el
personal sobre la misma, reconociendo adicionalmente los niveles de confidencialidad
que a cada activo debe drsele.
De esta forma y con base en las normas tcnicas colombianas NTC ISO/IEC 17799 y
NTC ISO/IEC 27001 en el tem Gestin de Activos se persigue dar cumplimiento a tres
puntos principales que son explcitos en las mismas as:
CDIGO 2213200-GS-004 VERSIN 01
GUA PARA EL INVENTARIO Y LA CLASIFICACIN DE ACTIVOS DE INFORMACIN DE LA SECRETARA GENERAL
DE LA ALCALDA MAYOR DE BOGOT D.C. PGINA: 5 de 44
2213200-GS-004 Versin 01
Inventario de Activos: Todos los activos deben estar claramente identificados y se debe
elaborar y mantener un inventario de todos los activos importantes de la organizacin.
Propiedad de los Activos: Toda la informacin y los activos asociados con los servicios
de procesamiento de informacin deben ser propiedad1 de una parte designada de la
organizacin.
Directrices de Clasificacin: La informacin debe clasificarse en trminos de su valor, de
los requisitos legales, de la sensibilidad y la importancia para la organizacin.
Dado que todos los procesos de la SECRETARA GENERAL DE LA ALCALDA
MAYOR DE BOGOT D.C. deben conocer y aplicar los criterios, procedimientos y
recomendaciones para el manejo y clasificacin de la informacin que se encuentran en
este documento, se ha buscado que el impacto de la aplicacin de los mismos sea el
mnimo en las actividades de los diferentes procesos de la SECRETARA GENERAL
DE LA ALCALDA MAYOR DE BOGOT D.C.
Esta gua busca dar cumplimiento y tener como marco de aplicacin el manual de
seguridad de la informacin de la SECRETARA GENERAL DE LA ALCALDA MAYOR
DE BOGOT D.C., en el cual se estructura y se compilan las polticas y principios ticos
que orientan la actuacin de la institucin respecto de su conducta con respecto a la
seguridad su INFORMACIN.
1 El trmino Propietario identifica a un individuo o a una entidad que tiene responsabilidad aprobada de la direccin por el control de la produccin, el desarrollo, el mantenimiento, el uso y la seguridad de los activos. El trmino Propietario no implica que la persona tenga realmente los derechos de propiedad de los activos.
CDIGO 2213200-GS-004 VERSIN 01
GUA PARA EL INVENTARIO Y LA CLASIFICACIN DE ACTIVOS DE INFORMACIN DE LA SECRETARA GENERAL
DE LA ALCALDA MAYOR DE BOGOT D.C. PGINA: 6 de 44
2213200-GS-004 Versin 01
Este documento cuenta con una seccin de definiciones las cuales aplican al contenido
total del documento, por lo tanto los conceptos deben aplicarse y entenderse con base
en las definiciones dadas en este contexto.
Si se tiene alguna duda sobre informacin que no ha sido clasificada o si se piensa que
no se ha realizado adecuadamente su clasificacin, debe dirigir la inquietud al jefe
inmediato en su rea.
OBJETIVO del documento
Presentar los criterios, procedimientos y recomendaciones que deben ser utilizados por
los responsables de los procesos de la SECRETARA GENERAL DE LA ALCALDA
MAYOR DE BOGOT D.C. para realizar y mantener el inventario y la clasificacin de
los activos de informacin que posee la entidad, para llevar a cabo las actividades que
bajo su responsabilidad todos los empleados tendrn como usuarios, propietarios o
custodios tcnicos de los activos de informacin del alcance consignado en este
documento.
CDIGO 2213200-GS-004 VERSIN 01
GUA PARA EL INVENTARIO Y LA CLASIFICACIN DE ACTIVOS DE INFORMACIN DE LA SECRETARA GENERAL
DE LA ALCALDA MAYOR DE BOGOT D.C. PGINA: 7 de 44
2213200-GS-004 Versin 01
DEFINICIONES
Informacin: La informacin es un activo que, como otros activos importantes del negocio, es esencial para las actividades de la organizacin y, en consecuencia,
necesita una proteccin adecuada2.
Seguridad de la Informacin: La seguridad de la informacin es la proteccin de la
informacin contra una gran variedad de amenazas con el fin de asegurar la continuidad
del negocio, minimizar el riesgo y maximizar el retorno de inversiones y oportunidades
de negocio3. Adicionalmente, se define como la preservacin de la confidencialidad,
integridad y disponibilidad de la informacin, adems, otras propiedades tales como
autenticidad, responsabilidad, no-repudio y confiabilidad pueden estar involucradas.
Clasificacin de la Informacin: Es el ejercicio por medio del cual se determina que la informacin pertenece a uno de los niveles de clasificacin estipulados a nivel
corporativo. Tiene como objetivo asegurar que la informacin recibe el nivel de
proteccin adecuado. La informacin debe clasificarse en trminos de la sensibilidad y
la importancia para la organizacin.
Propietario de la Informacin: Es una parte designada de la organizacin, un cargo,
proceso, o grupo de trabajo que tiene la responsabilidad de definir quienes tienen
acceso y que pueden hacer con la informacin y de determinar cuales son los requisitos
para que la misma se salvaguarde ante accesos no autorizados, modificacin, prdida
2 Tomado de NTC ISO/IEC 17799:2005 3 Tomado de NTC ISO/IEC 17799:2005
CDIGO 2213200-GS-004 VERSIN 01
GUA PARA EL INVENTARIO Y LA CLASIFICACIN DE ACTIVOS DE INFORMACIN DE LA SECRETARA GENERAL
DE LA ALCALDA MAYOR DE BOGOT D.C. PGINA: 8 de 44
2213200-GS-004 Versin 01
de la confidencialidad o destruccin deliberada, y al mismo tiempo de definir que se
hace con la informacin una vez ya no sea requerida.
Custodio Tcnico: Es una parte designada de la organizacin, un cargo, proceso, o
grupo de trabajo encargado de administrar y hacer efectivos los controles de seguridad
(Toma de copias de seguridad, asignar privilegios de: Acceso, Modificaciones, Borrado)
que el propietario de la informacin haya definido, con base en los controles de
seguridad disponibles en la organizacin.
Usuario: Cualquier persona que genere, obtenga, transforme, conserve o utilice
informacin de la organizacin en papel o en medio digital, fsicamente o a travs de las
redes de datos y los sistemas de informacin de la compaa. Son las personas que
utilizan la informacin para propsitos propios de su labor, adecuados y que tendrn el
derecho manifiesto de uso dentro del inventario de informacin.4
4 Las personas que se relacionan con la Alcalda Mayor de Bogot D.C. estn obligadas a utilizar la informacin a la cual tengan acceso en virtud de sus funciones o relacin contractual, exclusivamente para el ejercicio de las mismas
CDIGO 2213200-GS-004 VERSIN 01
GUA PARA EL INVENTARIO Y LA CLASIFICACIN DE ACTIVOS DE INFORMACIN DE LA SECRETARA GENERAL
DE LA ALCALDA MAYOR DE BOGOT D.C. PGINA: 9 de 44
2213200-GS-004 Versin 01
INVENTARIO DE ACTIVOS DE INFORMACIN
Mediante la definicin de un inventario la SECRETARA GENERAL DE LA ALCALDA
MAYOR DE BOGOT D.C. especifica y reconoce cuales son los activos de informacin
ms importantes del negocio y define clasificar mnimo los activos de informacin que
se encuentran consignados en este inventario.
El inventario permite identificar los activos de informacin a los que se les debe brindar
mayor proteccin y que se puede requerir para servir a otros propsitos del negocio
como por ejemplo: controles de seguridad fsica, estudios financieros o de clculo de
primas de seguros (gestin de activos), entre otros.
Las actividades realizadas para obtener un inventario de activos son un prerrequisito de
la gestin de riesgos de seguridad de la informacin.
Procedimiento de Inventario
El procedimiento de inventario debe realizarse mediante la ejecucin de las siguientes
actividades:
CDIGO 2213200-GS-004 VERSIN 01
GUA PARA EL INVENTARIO Y LA CLASIFICACIN DE ACTIVOS DE INFORMACIN DE LA SECRETARA GENERAL
DE LA ALCALDA MAYOR DE BOGOT D.C. PGINA: 10 de 44
2213200-GS-004 Versin 01
Definicin
En el procedimiento de inventario la actividad de definicin consiste en reconocer y
determinar que activos de informacin van a hacer parte de la Matriz de Inventario y
Clasificacin de activos de informacin y para estos activos definir las propiedades y la
informacin que permite identificar el mismo en la organizacin, para obtener su valor
para el negocio.
La definicin es un ejercicio que debe ser realizado por cada proceso del negocio para
identificar e incluir nuevos activos de informacin a la Matriz de Inventario y
Clasificacin de activos de informacin de la SECRETARA GENERAL DE LA
ALCALDA MAYOR DE BOGOT D.C.
CDIGO 2213200-GS-004 VERSIN 01
GUA PARA EL INVENTARIO Y LA CLASIFICACIN DE ACTIVOS DE INFORMACIN DE LA SECRETARA GENERAL
DE LA ALCALDA MAYOR DE BOGOT D.C. PGINA: 11 de 44
2213200-GS-004 Versin 01
La definicin se lleva a cabo de la siguiente manera:
Cada proceso del negocio deber hacer uso del instructivo de Levantamiento de Informacin para Inventario y Clasificacin de Activos de Informacin y reportar
los nuevos activos de informacin del proceso y asignar los valores
correspondientes requeridos para cada campo del formato Definicin de Activos
por Proceso.
Cada lder de proceso ser responsable por esta actividad y por garantizar que los activos ms importantes de su proceso han sido identificados y valorados.
El equipo de gestin de activos de la SECRETARA GENERAL DE LA ALCALDA MAYOR DE BOGOT D.C. ser el encargado de solicitar a los lderes de proceso
la realizacin de la actividad de definicin y monitorear el desarrollo de esta
actividad por cada proceso.
En esta etapa, los lderes de proceso, debern en segunda instancia solicitar la revisin de la definicin de activos realizada por el Propietario del Activo de
Informacin designado y del custodio tcnico designado, para que estos validen
que efectivamente ellos son las personas o parte de la organizacin adecuados
para tener esta designacin que se les ha dado en los campos de propiedad del
activo.
El lder de proceso deber finalmente entregar la definicin de sus activos de informacin en el formato Definicin de Activos por Proceso al equipo de gestin
de activos de la SECRETARA GENERAL DE LA ALCALDA MAYOR DE
CDIGO 2213200-GS-004 VERSIN 01
GUA PARA EL INVENTARIO Y LA CLASIFICACIN DE ACTIVOS DE INFORMACIN DE LA SECRETARA GENERAL
DE LA ALCALDA MAYOR DE BOGOT D.C. PGINA: 12 de 44
2213200-GS-004 Versin 01
BOGOT D.C. para que estos integren la informacin en la Matriz de Inventario y
Clasificacin de Activos de Informacin de la SECRETARA GENERAL DE LA
ALCALDA MAYOR DE BOGOT D.C.
La definicin del inventario se debe llevar a cabo cada 6 meses. Para el inventario de
activos de informacin de la SECRETARA GENERAL DE LA ALCALDA MAYOR DE
BOGOT D.C. se define que la siguiente informacin debe ser la mnima que debe
consignarse en la tabla de inventario de activos de informacin (Ver Matriz de Inventario
y Clasificacin de activos de informacin de la SECRETARA GENERAL DE LA
ALCALDA MAYOR DE BOGOT D.C. en el Anexo 1 de este documento).
Informacin mnima
Propiedad
Es un grupo de informacin que permite determinar la propiedad de los activos y para el
cual la tabla de inventario define los siguientes campos:
Nombre del Activo: Es un campo que define la manera como se va a reconocer el activo de informacin en la compaa, con un nombre particular y diferenciable.
Propietario5. Custodio Tcnico6.
5 Ver 3. Definiciones 6 Ver 3. Definiciones
CDIGO 2213200-GS-004 VERSIN 01
GUA PARA EL INVENTARIO Y LA CLASIFICACIN DE ACTIVOS DE INFORMACIN DE LA SECRETARA GENERAL
DE LA ALCALDA MAYOR DE BOGOT D.C. PGINA: 13 de 44
2213200-GS-004 Versin 01
Tipo Se define el tipo al cual pertenece el activo. Para este campo se utilizan los
siguientes valores:
INF (Informacin): Corresponden a este tipo las bases de datos y archivos de datos, contratos y acuerdos, documentacin del sistema, informacin sobre
investigacin, manuales de usuario, procedimientos operativos o de soporte,
planes para la continuidad del negocio, acuerdos sobre retiro, pruebas de auditoria
e informacin archivada fsica o electrnicamente.
SOF (Software): software de aplicacin, software del sistema, herramientas de desarrollo y utilidades.
FIS (Fsico): Equipos de computacin, equipos de comunicaciones, medios removibles y otros equipos fsicos.
SER (Servicio): servicios de computacin y comunicaciones. (Pe: Acceso a Internet, Paginas de consulta, Acceso a la red, etc.)
Valor
Este es un grupo de informacin para el cual se define y deben ser ingresados valores
en el rango desde Muy Bajo hasta Muy Alto para cada uno de los campos. Esta
informacin nos indica el valor que tiene el activo para el distrito, para el negocio o
especficamente para el proceso, ya que uno de los criterios importantes de su
clasificacin es en trminos de su valor. A continuacin se define el significado de cada
campo presente en la tabla de inventario:
CDIGO 2213200-GS-004 VERSIN 01
GUA PARA EL INVENTARIO Y LA CLASIFICACIN DE ACTIVOS DE INFORMACIN DE LA SECRETARA GENERAL
DE LA ALCALDA MAYOR DE BOGOT D.C. PGINA: 14 de 44
2213200-GS-004 Versin 01
C (Confidencialidad): Proteccin para que el activo de informacin sea accesible solamente por aquellas personas autorizadas para ello. En este campo en el inventario
se presenta uno de los siguientes valores:
Criterio Descripcin Explicacin MA Muy Alto El conocimiento o divulgacin no autorizada de este activo de
informacin impacta negativamente al Distrito. A Alto El conocimiento o divulgacin no autorizada de este activo de
informacin impacta negativamente a la Institucin o sus negocios.
M Medio El conocimiento o divulgacin no autorizada de este activo de informacin impacta negativamente de manera importante al proceso.
B Bajo El conocimiento o divulgacin no autorizada de este activo de informacin impacta negativamente de manera leve al proceso.
MB Muy Bajo El conocimiento o divulgacin no autorizada de este activo de informacin no tiene ningn impacto negativo en el proceso.
I (Integridad): proteccin de la exactitud y estado completo de la informacin y sus mtodos de procesamiento.
Criterio Descripcin Explicacin MA Muy Alto La prdida de exactitud y estado completo de la informacin y
mtodos de procesamientos impacta negativamente al Distrito.
A Alto La prdida de exactitud y estado completo de la informacin y mtodos de procesamientos impacta negativamente a la Institucin o sus negocios.
M Medio La prdida de exactitud y estado completo de la informacin y mtodos de procesamientos impacta negativamente de manera importante al proceso.
B Bajo La prdida de exactitud y estado completo de la informacin y
CDIGO 2213200-GS-004 VERSIN 01
GUA PARA EL INVENTARIO Y LA CLASIFICACIN DE ACTIVOS DE INFORMACIN DE LA SECRETARA GENERAL
DE LA ALCALDA MAYOR DE BOGOT D.C. PGINA: 15 de 44
2213200-GS-004 Versin 01
Criterio Descripcin Explicacin mtodos de procesamientos impacta negativamente de manera leve al proceso.
MB Muy Bajo La prdida de exactitud y estado completo de la informacin y mtodos de procesamientos no tiene ningn impacto negativo en el proceso.
D (Disponibilidad): Garantizar que los usuarios autorizados tengan acceso a los activos de informacin cada vez que los requieren.
Criterio Descripcin Explicacin MA Muy Alto La falta del activo de informacin impacta negativamente al
Distrito. A Alto La falta del activo de informacin impacta negativamente a la
Institucin o sus negocios M Medio La falta del activo de informacin impacta negativamente de
manera importante al proceso. B Bajo La falta del activo de informacin impacta negativamente de
manera leve al proceso. MB Muy Bajo La falta del activo de informacin no tiene ningn impacto
negativo en el proceso.
V (Valor): En este campo se encuentra definido el valor que tiene el activo de informacin para el distrito, para la institucin o especficamente para el proceso:
Criterio Descripcin Explicacin MA Muy Alto Apoya el cumplimiento de Objetivos Misionales de la institucin A Alto Apoya el cumplimiento de los objetivos de la Institucin y/o
negocio M Medio Apoya ampliamente el cumplimiento de objetivos del Proceso B Bajo Apoya levemente el cumplimiento de objetivos del Proceso MB Muy Bajo No apoya el cumplimiento de los objetivos del proceso
CDIGO 2213200-GS-004 VERSIN 01
GUA PARA EL INVENTARIO Y LA CLASIFICACIN DE ACTIVOS DE INFORMACIN DE LA SECRETARA GENERAL
DE LA ALCALDA MAYOR DE BOGOT D.C. PGINA: 16 de 44
2213200-GS-004 Versin 01
Acceso
El grupo de informacin denominado Acceso permite identificar que usuarios han sido
formalmente declarados y autorizados a hacer uso de la informacin y adicionalmente
identificar que tipos de acceso se manejan del activo para cada usuario o grupo de
usuarios. Los siguientes son los campos de informacin que se encuentran en la tabla
de inventario:
Usuarios. Derechos de Acceso: Se definen los tipos de acceso identificados para cada
activo por cada usuario definido:
o (L) lectura, consulta. o (E) Escritura. o (M) Modificacin. o (B) Borrado, eliminacin.
Ubicacin
Es la informacin acerca de donde se encuentra especficamente ubicado el activo de
informacin, puede ser un archivo fsico de oficina, archivo digital, sistema de
informacin, computador, base de datos, o aplicacin.
Para este grupo de informacin se indica si el activo se encuentra disponible en medio
fsico o en medio electrnico.
CDIGO 2213200-GS-004 VERSIN 01
GUA PARA EL INVENTARIO Y LA CLASIFICACIN DE ACTIVOS DE INFORMACIN DE LA SECRETARA GENERAL
DE LA ALCALDA MAYOR DE BOGOT D.C. PGINA: 17 de 44
2213200-GS-004 Versin 01
Fsico: Se indica la informacin del sitio fsico en donde se encuentra el activo, esto puede ser el nombre de una oficina, el nombre de un archivo, caja fuerte,
escritorio, A-Z, etc.
Electrnico: Se indica la informacin sobre el lugar en el que se encuentra el activo disponible, esto puede ser el nombre de un servidor de archivos, base de
datos, sistema de gestin de documentos, medio, cinta, etc.
Fechas Fecha de Ingreso a inventario: Es la fecha en la cual el activo de informacin se
incluy formalmente en el inventario en la actividad de definicin.
Fecha de Salida de Inventario: Es la fecha en la cual el activo de informacin se excluy del inventario.
Revisin
La actividad de revisin se refiere a la verificacin que se puede llevar a cabo para
determinar si un activo de informacin continua o no siendo parte del inventario, o si los
valores asignados a los activos de informacin en los campos de la Matriz de Inventario
y Clasificacin deben ser actualizados.
El inventario de activos puede ser revisado en cualquier momento en que un lder de
proceso de la SECRETARA GENERAL DE LA ALCALDA MAYOR DE BOGOT D.C.
as lo solicite, o si el equipo de gestin de activos lo solicita a algn lder de proceso.
Esta revisin del inventario ser aprobada por el equipo de gestin de activos cuando lo
considere pertinente debido a eventos que hacen que los valores asignados a los
CDIGO 2213200-GS-004 VERSIN 01
GUA PARA EL INVENTARIO Y LA CLASIFICACIN DE ACTIVOS DE INFORMACIN DE LA SECRETARA GENERAL
DE LA ALCALDA MAYOR DE BOGOT D.C. PGINA: 18 de 44
2213200-GS-004 Versin 01
activos no estn actualizados y no correspondan con la realidad, las razones por las
cuales puede gestarse una revisin son:
Actualizacin del proceso. Inclusin de nuevas actividades en el proceso. Inclusin de: nuevos registros de calidad, nuevos registros de referencia
procesos y procedimientos.
Inclusin de un nuevo activo importante. Desaparicin de un rea, proceso o cargo en la compaa que tena asignado el
rol de propietario o custodio tcnico.
Cambios o migraciones de sistemas de informacin en donde se almacenan o reposan activos de informacin ya inventariados.
Cambio fsico de la ubicacin de activos de informacin.
Para esta revisin se utiliza el formato Definicin de Activos por Proceso en el cual el
lder de proceso indica si los elementos que fueron revisados se someten a
actualizacin o si son para Definicin.
Actualizacin
Una vez el equipo de gestin de activos recibe el formato Definicin de Activos por
Proceso diligenciado con los resultados de la revisin procede a actualizar la Matriz de
Inventario y Clasificacin de Activos de Informacin con los valores sugeridos para ello
CDIGO 2213200-GS-004 VERSIN 01
GUA PARA EL INVENTARIO Y LA CLASIFICACIN DE ACTIVOS DE INFORMACIN DE LA SECRETARA GENERAL
DE LA ALCALDA MAYOR DE BOGOT D.C. PGINA: 19 de 44
2213200-GS-004 Versin 01
por el lder de proceso o el equipo de gestin de activos, en el formato Definicin de
Activos por Proceso.
Publicacin
El inventario de activos de informacin es un documento de uso interno de la
SECRETARA GENERAL DE LA ALCALDA MAYOR DE BOGOT D.C., y de acceso
de solo lectura para todos los usuarios internos autorizados. Slo debe tener acceso de
modificacin a este documento la persona que haya sido designada expresamente por
el equipo de gestin de activos para ello.
Este documento debe ser publicado en la Intranet de la SECRETARA GENERAL DE
LA ALCALDA MAYOR DE BOGOT D.C. y debe ser mantenido en el sistema de
gestin de la seguridad de la informacin con su respectivo control de versiones. Este
mismo documento hace parte del inventario y clasificacin de activos de informacin de
la SECRETARA GENERAL DE LA ALCALDA MAYOR DE BOGOT D.C. por lo tanto
los requerimientos derivados de su clasificacin deben tenerse en cuenta.
Debe llevarse a cabo una presentacin formal del documento de inventario y
clasificacin de activos de informacin como mnimo a las personas que aparezcan
como propietarios o custodios tcnicos del algn activo.
Adicionalmente se debe informar a todos los empleados de la SECRETARA GENERAL
DE LA ALCALDA MAYOR DE BOGOT D.C., a travs de una circular interna, acerca
de la disposicin y publicacin de este documento y a partir de que fecha inicia su
vigencia informando que el mismo indica responsabilidades asociadas para todos los
CDIGO 2213200-GS-004 VERSIN 01
GUA PARA EL INVENTARIO Y LA CLASIFICACIN DE ACTIVOS DE INFORMACIN DE LA SECRETARA GENERAL
DE LA ALCALDA MAYOR DE BOGOT D.C. PGINA: 20 de 44
2213200-GS-004 Versin 01
empleados de la SECRETARA GENERAL DE LA ALCALDA MAYOR DE BOGOT
D.C.
CLASIFICACIN DE ACTIVOS DE INFORMACIN
La clasificacin de activos de informacin tiene como objetivo asegurar que la
informacin recibe los niveles de proteccin adecuados. La informacin con base en su
valor y de acuerdo a los requisitos de confidencialidad tiene diferentes grados de
proteccin o manejo especial que se definen en la clasificacin de activos de
informacin.
En este documento se define el esquema de clasificacin para estipular los niveles de
proteccin para cada activo de informacin y sealar las consideraciones especiales de
manejo, restricciones, distribucin, almacenamiento y destruccin de la informacin.
Los lderes de proceso que definieron el activo de informacin en el inventario deben
revisar y confirmar el nivel de clasificacin asignado al activo, y confirmar si el activo
est clasificado adecuadamente.
Definicin
La clasificacin de los activos de informacin de la SECRETARA GENERAL DE LA
ALCALDA MAYOR DE BOGOT D.C. se basa en la informacin del inventario
consignado en este documento. Se define un esquema de clasificacin que se basa en
los siguientes componentes:
1) Niveles de Clasificacin y de Confidencialidad.
CDIGO 2213200-GS-004 VERSIN 01
GUA PARA EL INVENTARIO Y LA CLASIFICACIN DE ACTIVOS DE INFORMACIN DE LA SECRETARA GENERAL
DE LA ALCALDA MAYOR DE BOGOT D.C. PGINA: 21 de 44
2213200-GS-004 Versin 01
o Niveles de Acceso. o Mtodos de Distribucin. o Restricciones en la Distribucin Electrnica. o Almacenamiento y Archivado. o Destruccin. o Penalizaciones por revelacin deliberada de la informacin.
Cada activo de informacin tendr asociado un nico nivel de clasificacin y un nico
nivel de confidencialidad. Cada nivel de confidencialidad posee caractersticas propias
de proteccin, manejo y tratamiento del activo de informacin en cuanto a: Niveles de
Acceso, Mtodos de Distribucin, Restricciones en la Distribucin Electrnica,
Almacenamiento, Archivado, Disposicin y Destruccin. Una vez que a un activo de
informacin le es asignado un nivel de confidencialidad este adquiere las caractersticas
especficas anteriormente mencionadas para el nivel especfico de confidencialidad
asignado.
Adicionalmente para cada activo de informacin se definen unos atributos de
clasificacin, estos indican propiedades adicionales y especficas que cada activo de
informacin posee y las cuales permiten identificar el nivel de riesgo base inherente a
cada activo de informacin con respecto a la preservacin del nivel de confidencialidad
asignado.
Como resultado de esta clasificacin se genera una tabla de clasificacin de los activos
de informacin de la SECRETARA GENERAL DE LA ALCALDA MAYOR DE BOGOT
D.C.
CDIGO 2213200-GS-004 VERSIN 01
GUA PARA EL INVENTARIO Y LA CLASIFICACIN DE ACTIVOS DE INFORMACIN DE LA SECRETARA GENERAL
DE LA ALCALDA MAYOR DE BOGOT D.C. PGINA: 22 de 44
2213200-GS-004 Versin 01
Niveles de Clasificacin y de Confidencialidad
Los Niveles de Clasificacin y Confidencialidad de los activos de informacin de la
ALCALDA MAYOR DE BOGOT D.C. son los siguientes:
Niveles de Clasificacin
Pblica: La informacin pblica de la SECRETARA GENERAL DE LA ALCALDA
MAYOR DE BOGOT D.C. es la informacin que ha sido declarada de conocimiento
pblico de acuerdo a alguna norma jurdica o por parte de la persona o grupo de
personas de la SECRETARA GENERAL DE LA ALCALDA MAYOR DE BOGOT D.C.
con autoridad para hacerlo. Esta informacin puede ser entregada o publicada sin
restricciones a los empleados o a cualquier persona sin que esto implique daos a
terceros ni a las actividades y procesos de la SECRETARA GENERAL DE LA
ALCALDA MAYOR DE BOGOT D.C.
Confidencial: La informacin confidencial de la SECRETARA GENERAL DE LA
ALCALDA MAYOR DE BOGOT D.C. es toda aquella informacin que no es Pblica y
que adems no ha sido an clasificada en este documento. A la informacin
confidencial slo pueden tener acceso las personas que expresamente han sido
declaradas usuarios legtimos de esta informacin, y con los privilegios asignados, tal
como aparece consignado en el inventario de activos de informacin.
A esta categora se asocia la informacin propiedad de terceros que la SECRETARA
GENERAL DE LA ALCALDA MAYOR DE BOGOT D.C. utiliza bajo acuerdos de
confidencialidad o por licencias de uso. Los directores definirn cual informacin es
Reservada o Confidencial.
CDIGO 2213200-GS-004 VERSIN 01
GUA PARA EL INVENTARIO Y LA CLASIFICACIN DE ACTIVOS DE INFORMACIN DE LA SECRETARA GENERAL
DE LA ALCALDA MAYOR DE BOGOT D.C. PGINA: 23 de 44
2213200-GS-004 Versin 01
Niveles de confidencialidad
La informacin confidencial debe ser entendida como: La existencia de informacin ms
crtica a nivel de prdida de su confidencialidad que otra y que por ende debe tener una
mayor proteccin.
La informacin que es confidencial hoy puede llegar a ser pblica en un momento
posterior, de conocimiento pblico para un conjunto de personas y parte de ella es
pblica para la comunidad en general en algunos casos.
Para saber cuando puede permitrsele el acceso y uso de la informacin a personas
distintas a las responsables de la misma y para poder establecer el grado de proteccin
que se le debe aplicar a la informacin de la institucin es necesario clasificarla
totalmente en trminos de su confidencialidad.
Para realizar una clasificacin ms precisa y fcil de manejar se definen tres grados de
confidencialidad de la informacin para la SECRETARA GENERAL DE LA ALCALDA
MAYOR DE BOGOT D.C.: de uso interno, restringida y altamente restringida. A
continuacin encontramos su definicin especfica:
Uso Interno
Es toda informacin consignada en el inventario de activos de informacin que es
utilizada por el personal de la SECRETARA GENERAL DE LA ALCALDA MAYOR DE
BOGOT D.C. para realizar sus labores en los procesos y que no puede ser conocida
por terceros sin autorizacin del propietario del activo. En caso de ser conocida,
utilizada o modificada por personas sin la debida autorizacin, impactara de forma leve
CDIGO 2213200-GS-004 VERSIN 01
GUA PARA EL INVENTARIO Y LA CLASIFICACIN DE ACTIVOS DE INFORMACIN DE LA SECRETARA GENERAL
DE LA ALCALDA MAYOR DE BOGOT D.C. PGINA: 24 de 44
2213200-GS-004 Versin 01
a terceros o a los sistemas y/o procesos de la SECRETARA GENERAL DE LA
ALCALDA MAYOR DE BOGOT D.C.
Restringida
Informacin que es utilizada por solo un grupo de empleados para realizar sus labores y
que no puede ser conocida por otros empleados o terceros sin autorizacin del
propietario de la informacin. En caso de ser conocida, utilizada o modificada por
personas sin la debida autorizacin, impactara de forma importante a terceros o a los
sistemas y/o procesos de la institucin.
Altamente Restringida
Informacin que es utilizada por solo un grupo de empleados para realizar sus labores y
que no puede ser conocida por otros empleados o terceros sin autorizacin especial de
la Gerencia. En caso de ser conocida, utilizada o modificada por personas sin la debida
autorizacin, impactara de forma grave a terceros o a los sistemas, a la institucin o al
distrito.
Para el esquema de clasificacin de la SECRETARA GENERAL DE LA ALCALDA
MAYOR DE BOGOT D.C., la relacin que se establece entre los niveles de
Clasificacin y los niveles de confidencialidad es como se muestra en la figura 1.
CDIGO 2213200-GS-004 VERSIN 01
GUA PARA EL INVENTARIO Y LA CLASIFICACIN DE ACTIVOS DE INFORMACIN DE LA SECRETARA GENERAL
DE LA ALCALDA MAYOR DE BOGOT D.C. PGINA: 25 de 44
2213200-GS-004 Versin 01
Figura 1. Niveles de Confidencialidad y Clasificacin la ALCALDA MAYOR DE BOGOT D.C.
Los diferentes niveles de clasificacin tienen las siguientes caractersticas y
recomendaciones de manejo:
Pgina 26 de 44 2213200-GS-004 Versin 01
Nivel de Clasificacin
Pblica Uso Interno Restringida Altamente Restringida
1. Definicin
La informacin pblica de la ALCALDA MAYOR DE BOGOT D.C. es la informacin que ha sido declarada de conocimiento pblico de acuerdo a alguna norma jurdica o por parte de la persona o grupo de personas de la ALCALDA MAYOR DE BOGOT D.C. con autoridad para hacerlo. Esta informacin puede ser entregada o publicada sin restricciones a los empleados o a cualquier persona sin que esto implique daos a terceros ni a las actividades y procesos de la ALCALDA MAYOR DE BOGOT D.C.
Es toda informacin consignada en el inventario de activos de informacin que es utilizada por el personal de la ALCALDA MAYOR DE BOGOT D.C. para realizar sus labores en los procesos y que no puede ser conocida por terceros sin autorizacin del propietario del activo. En caso de ser conocida, utilizada o modificada por personas sin la debida autorizacin, impactara de forma leve a terceros o a los sistemas y/o procesos de la ALCALDA MAYOR DE BOGOT D.C.
Informacin que es utilizada por solo un grupo de empleados para realizar sus labores y que no puede ser conocida por otros empleados o terceros sin autorizacin del propietario de la informacin. En caso de ser conocida, utilizada o modificada por personas sin la debida autorizacin, impactara de forma importante a terceros o a los sistemas y/o procesos de la institucin.
Informacin que es utilizada por solo un grupo de empleados para realizar sus labores y que no puede ser conocida por otros empleados o terceros sin autorizacin especial de la Gerencia. En caso de ser conocida, utilizada o modificada por personas sin la debida autorizacin, impactara de forma grave a terceros o a los sistemas, a la institucin o al distrito.
Pgina 27 de 44 2213200-GS-004 Versin 01
Nivel de Clasificacin
Pblica Uso Interno Restringida Altamente Restringida
2. Criterio de Definicin de Confidencialidad
Calificacin de Confidencialidad: Muy baja (MB):"El conocimiento o divulgacin no autorizada de este activo de informacin no tiene ningn impacto negativo en el proceso." Atributos: A2: "No esta restringida a un numero limitado de empleados". A3: "No restringida a personas externas". A7: "Declarado de conocimiento publico".
Calificacin de Confidencialidad: Baja (B): "El conocimiento o divulgacin no autorizada de este activo de informacin impacta negativamente de manera leve al proceso." Media (M): "El conocimiento o divulgacin no autorizada de este activo de informacin impacta negativamente de manera importante al proceso." Atributos: A3: "Restringida a personas externas"
Calificacin de Confidencialidad: Alta (A): " El conocimiento o divulgacin no autorizada de este activo de informacin impacta negativamente a la Institucin o sus negocios". Atributos: A2: "Restringido a un numero determinado de empleados".
Calificacin de Confidencialidad: Muy Alta (MA): " El conocimiento o divulgacin no autorizada de este activo de informacin impacta negativamente al Distrito. Atributos A8 (G): El impacto para la organizacin es Grave en caso de ser conocida, modificada o no tener disponibilidad.
3. Acceso permitido
Todos (Cualquier persona Interna o Externa) Todos los Empleados de La Alcalda Mayor de Bogot D.C. y contratistas con un compromiso firmado de confidencialidad y con autorizacin del propietario para su uso.
Solo los Usuarios expresamente autorizados en el Inventario de activos y subcontratistas con un compromiso firmado confidencialidad y con autorizacin del propietario para su uso.
Empleados de La Alcalda Mayor de Bogot D.C. con un compromiso firmado de confidencialidad de informacin y con autorizacin formal de la gerencia para acceder a esta informacin.
5. Etiquetado
Pgina 28 de 44 2213200-GS-004 Versin 01
Nivel de Clasificacin
Pblica Uso Interno Restringida Altamente Restringida
a. Documentos en Papel
a. No es requerido a. No es requerido, queda a discrecin del propietario de la informacin. En caso de etiquetarse, si un documento que se haya impreso no posee el campo "Nivel de Confidencialidad", prediligenciado por medio de formato electrnico, entonces se deber etiquetar con un sello de tinta correspondiente a su clasificacin en su primera pgina como mnimo.
SI, es obligatorio por parte del Propietario de la informacin. Si un documento que se haya impreso no posee el campo "Nivel de Confidencialidad", prediligenciado por medio de formato electrnico, entonces se deber etiquetar con un sello de tinta correspondiente a su clasificacin en su primera pgina como mnimo.
SI, es obligatorio por parte del Propietario de la informacin. Si un documento que se haya impreso no posee el campo "Nivel de Confidencialidad", prediligenciado por medio de formato electrnico, entonces se deber etiquetar con un sello de tinta correspondiente a su clasificacin en su primera pgina como mnimo.
b. Archivos Electrnicos (Texto, Word, Excel, dibujos, planos, etc.)
b. No es requerido. b. No es requerido, queda a discrecin del propietario de la informacin. En caso de etiquetarse los documentos o informacin que estn en archivos electrnicos se les debe agregar un campo de informacin que indique el nivel de clasificacin del mismo y que hagan parte de los formatos manejados.
SI, es obligatorio por parte del Propietario de la informacin. Los documentos o informacin que estn en archivos electrnicos se les debe agregar un campo de informacin que indique el nivel de clasificacin del mismo y que hagan parte de los formatos manejados.
SI, es obligatorio por parte del Propietario de la informacin. Los documentos o informacin que estn en archivos electrnicos se les debe agregar un campo de informacin que indique el nivel de clasificacin del mismo y que hagan parte de los formatos manejados.
Pgina 29 de 44 2213200-GS-004 Versin 01
Nivel de Clasificacin
Pblica Uso Interno Restringida Altamente Restringida
c. Aplicaciones
c. No es requerido. c. No es requerido, queda a discrecin del propietario de la informacin. En caso de etiquetarse, las aplicaciones que procesen o almacenen temporal o indefinidamente informacin, y si lo permiten, se les debe agregar un cuadro de dilogo en donde se informe su nivel de clasificacin.
SI, es obligatorio por parte del Propietario de la informacin. Las aplicaciones que procesen o almacenen temporal o indefinidamente informacin, y si lo permiten, se les debe agregar un cuadro de dilogo en donde se informe su nivel de clasificacin.
SI, es obligatorio por parte del Propietario de la informacin. Las aplicaciones que procesen o almacenen temporal o indefinidamente informacin, y si lo permiten, se les debe agregar un cuadro de dilogo en donde se informe su nivel de clasificacin.
d. Carpetas en Sistemas
d. No es requerido
d. No es requerido, queda a discrecin del propietario de la informacin. En caso de etiquetarse, las carpetas en servidores de archivos o en PCS se les debe colocar un nombre o identificador distintivo (icono en algunos sistemas) con el nivel de clasificacin a cada carpeta que almacena la informacin clasificada.
SI, es obligatorio por parte del Propietario de la informacin. Las carpetas en servidores de archivos o en PCS se les debe colocar un nombre o identificador distintivo (cono en algunos sistemas) con el nivel de clasificacin a cada carpeta que almacena la informacin clasificada.
SI, es obligatorio por parte del Propietario de la informacin. Las carpetas en servidores de archivos o en PCS se les debe colocar un nombre o identificador distintivo (cono en algunos sistemas) con el nivel de clasificacin a cada carpeta que almacena la informacin clasificada.
6. Mtodo de distribucin recomendado
Pgina 30 de 44 2213200-GS-004 Versin 01
Nivel de Clasificacin
Pblica Uso Interno Restringida Altamente Restringida
a. Internamente a. Ninguno. Esta informacin puede distribuirse en cualquier medio al pblico en general, incluso a cualquier ente o persona por fuera de la organizacin.
Electrnica: Mediante el sistema de correo electrnico de La Alcalda Mayor de Bogot D.C. y a travs de las redes de datos y sistemas de La Alcalda Mayor de Bogot D.C. nicamente. Se debe evitar en lo posible manejar esta informacin en dispositivos de almacenamiento externo (Diskets, CDS, DVD's, memorias USB, SD, etc.) que no sean autorizados por La Alcalda Mayor de Bogot D.C. Fsica: Proceso de manejo de correspondencia interno.
Electrnica: Mediante el sistema de correo electrnico de La Alcalda Mayor de Bogot D.C. y a travs de las redes de datos y sistemas de la nicamente. Se debe evitar en lo posible manejar esta informacin en dispositivos de almacenamiento externo (Diskets, CDS, DVD's, memorias USB, SD, etc.) que no sean autorizados por La Alcalda Mayor de Bogot D.C. Fsica: Proceso de manejo de correspondencia interno, verificando que el destinatario si es un usuario autorizado en el inventario de activos de informacin, de otra forma se requiere de autorizacin por parte del propietario de la informacin.
Electrnico: Solo en la red de la Alcalda Mayor de Bogot D.C. y los archivos debern estar cifrados, la entrega se hace solo a un destinatario legtimo del inventario de activos de informacin. (Se recomienda el uso de certificado digital en el correo electrnico) Fsica: Entrega directa, firma de recepcin personal requerida no transferible, entregada por el propietario de la informacin directamente.
Pgina 31 de 44 2213200-GS-004 Versin 01
Nivel de Clasificacin
Pblica Uso Interno Restringida Altamente Restringida
b. Hacia Terceros b. Ninguno. Esta informacin puede distribuirse en cualquier medio al pblico en general, incluso a cualquier ente o persona por fuera de la organizacin.
Debe ser entregada a un tercero solo si es una obligacin contractual o de negocio bien conocida o si hay una autorizacin formal del propietario de la informacin para su entrega. Electrnica: Si se entrega en medio electrnico en lo posible se debe tener los archivos y/o datos de acceso de solo lectura. Se puede entregar la informacin va e-mail a destinatarios con cuentas por fuera de La Alcalda Mayor de Bogot D.C. Se debe evitar utilizar listas de distribucin al momento de enviar este tipo de informacin. Fsica: Si es posible se debera entregar solo en medio fsico (Papel), el menor nmero de copias posible, y solo al receptor autorizado, firmando una carta de recibido.
Debe ser entregada a un tercero solo si es una obligacin contractual o de negocio bien conocida o si hay una autorizacin formal del propietario de la informacin para su entrega. Electrnica: Si se entrega en medio electrnico en lo posible se debe tener los archivos y/o datos de acceso de solo lectura. No se puede entregar la informacin va e-mail a destinatarios con cuentas por fuera de los sistemas de correo de La Alcalda Mayor de Bogot D.C. si la informacin no posee clave. Se debe evitar utilizar listas de distribucin al momento de enviar este tipo de informacin. Fsica: Si es posible se debera entregar solo en medio fsico (Papel), el menor nmero de copias posible, y solo al receptor autorizado, firmando una carta de recibido, mediante la empresa de mensajera de La Alcalda Mayor de Bogot D.C. o directamente por parte del propietario de la informacin.
Debe ser entregada a un tercero solo si es una obligacin contractual o de negocio bien conocida o si hay una autorizacin formal del propietario de la informacin para su entrega. Electrnico: Siempre se debe entregar esta informacin de manera cifrada al destinatario legtimo directamente. (Se debe utilizar certificado digital si se requiere obligatoriamente transmitir por correo electrnico) Fsico: En este caso debe utilizarse una empresa de transporte de valores con un proceso formal de verificacin del destinatario y entrega directa.
Pgina 32 de 44 2213200-GS-004 Versin 01
Nivel de Clasificacin
Pblica Uso Interno Restringida Altamente Restringida
7. Almacenamiento y archivado
a. Informacin Impresa.
a. No requiere precauciones especiales. a. Se debe establecer una poltica de escritorio limpio, asegurar el acompaamiento y seguimiento de las acciones de personas externas en las instalaciones.
a. Se debe archivar en reas seguras bajo llave (Cajones, Cuarto de archivo, estantes, etc.)
a. Se debe archivar en reas seguras bajo llave (Cajones, Cuarto de archivo, estantes, etc.). Se recomienda guardar este tipo de informacin en caja fuerte si es posible. Cada vez que se archive asegrese de que sea por fuera de la vista de otras personas.
Pgina 33 de 44 2213200-GS-004 Versin 01
Nivel de Clasificacin
Pblica Uso Interno Restringida Altamente Restringida
b. Informacin Electrnica
b. No requiere precauciones especiales. b. Se puede almacenar en cualquier sistema o repositorio siempre y cuando se asegure que no es accesible a personas por fuera de las redes y sistemas de informacin de La Alcalda Mayor de Bogot D.C. (i.e. desde Internet, servicios FTP, Web, etc.). Debe existir copia de la informacin solamente en los medios, sistemas de informacin o recursos indicados en el campo ubicacin del inventario de activos de informacin.
b. Se debe almacenar en sistemas o repositorios centralizados, bien administrados desde donde se comparta la informacin, est prohibido dejar sin proteccin de autenticacin de usuario/password esta informacin y con los privilegios indicados en el inventario de activos de informacin y los asignados por el propietario a los usuarios autorizados. Debe evitarse almacenar este tipo de informacin en PCS que no tengan administracin formal de seguridad. Debe existir copia de la informacin solamente en los medios, sistemas de informacin o recursos indicados en el campo ubicacin del inventario de activos de informacin.
b. Los controles individuales mnimos sugeridos para la informacin digital son: la autenticacin con usuario y contrasea al sistema donde reposa la informacin y adicionalmente usuario y contrasea para el archivo (si es posible se debe cifrar la informacin). Si esta informacin se encuentra en un PC o porttil, al equipo deben tener acceso solo las personas autorizadas, preferiblemente utilizando autenticacin fuerte de mnimo dos factores. Debe existir copia de la informacin solamente en los medios, sistemas de informacin o recursos indicados en el campo ubicacin del inventario de activos de informacin.
c. e-mail c. No requiere precauciones especiales. c. Se debe asegurar que esta informacin no se enve a terceros no autorizados para recibirla por este medio.
c. asegrese de que la informacin no queda en los elementos enviados y adicionalmente asegrese de que el backup del correo electrnico se realiza de manera segura (protegido con usuario y contrasea).
c. Se debe evitar en lo posible el uso de este medio, en caso de que sea necesario debe manejarse a travs de certificados digitales.
Pgina 34 de 44 2213200-GS-004 Versin 01
Nivel de Clasificacin
Pblica Uso Interno Restringida Altamente Restringida
8. Destruccin
a. Informacin Impresa.
a. No requiere precauciones especiales. a. No requiere precauciones especiales.
a. Se deben utilizar mquinas destructoras de papel.
a. Debe utilizarse una destructora de papel pero preferiblemente debe incinerarse y esta accin debe ser llevada a cabo por el propietario del activo.
c. Reciclaje de Papel c. Es permitido sin restricciones. c. Es permitido solo para uso interno. c. No es permitido. c. No es permitido.
d. Medios de almacenamiento
d. No requiere precauciones especiales. d. Borrado seguro de informacin, destruccin fsica de medios que vayan a desecharse.
d. Borrado seguro de informacin, destruccin fsica de medios que vayan a desecharse.
d. Borrado seguro de informacin, destruccin fsica de medios que vayan a desecharse.
9. Transmisin Oral
Pgina 35 de 44 2213200-GS-004 Versin 01
Nivel de Clasificacin
Pblica Uso Interno Restringida Altamente Restringida
a. Conversaciones y reuniones
a. No requiere precauciones especiales. a. Se debe evitar referenciar esta informacin por fuera de las instalaciones de La Alcalda Mayor de Bogot D.C., cuando se lleven a cabo deben ser en conversaciones privadas y en voz baja, evitando en lo posible zonas pblicas, tales como elevadores, pasillos, cafeteras, etc.
a. Se debe evitar referenciar esta informacin por fuera de las instalaciones de La Alcalda Mayor de Bogot D.C. al menos que sea una reunin formal por fuera de las mismas. Evite reunirse en salas que no sean cerradas y que no permitan aislar el ruido. Si la informacin fue anotada en papelgrafos o tableros, o documentos no formales (trozos de papel, libretas o agendas personales, etc.), esta debe ser borrada o destruida inmediatamente se abandone el sitio o se transfiera a un medio formal dispuesto por La Alcalda Mayor de Bogot D.C. (Archivo de Acta, archivo formal de notas, etc.).
a. Se debe evitar referenciar esta informacin por fuera de las instalaciones de La Alcalda Mayor de Bogot D.C. al menos que sea una reunin formal por fuera de las mismas. Evite reunirse en salas que no sean cerradas y que no permitan aislar el ruido. En lo posible asegrese que esta informacin solo es transmitida solo a las mnimas personas necesarias. Si la informacin fue anotada en papelgrafos o tableros, o documentos no formales (trozos de papel, libretas o agendas personales, etc.), esta debe ser borrada o destruida inmediatamente se abandone el sitio o se transfiera a un medio formal dispuesto por La Alcalda Mayor de Bogot D.C. (Archivo de Acta, archivo formal de notas, etc.).
Pgina 36 de 44 2213200-GS-004 Versin 01
Nivel de Clasificacin
Pblica Uso Interno Restringida Altamente Restringida
b. Telefnica
b. No requiere precauciones especiales. b. No se debera entregar informacin de uso interno a personas no autorizadas por este medio.
b. Evite en lo posible establecer conversaciones telefnicas en donde se maneje este tipo de informacin, ms aun si hay posibles escuchas no autorizados cerca del sitio en donde se encuentra. Si se requiere haga uso de un telfono en una zona segura o aislada (Sala de reuniones, tele conferencia)
b. Evite establecer conversaciones telefnicas en donde se maneje este tipo de informacin, ms aun si hay posibles escuchas no autorizados cerca del sitio en donde se encuentra. Si se requiere haga uso de un telfono en una zona segura o aislada (Sala de reuniones, tele conferencia)
c. Voice Mail o maquina de grabacin automtica de mensajes
c. No requiere precauciones especiales. c. No se debera entregar informacin de uso interno a personas no autorizadas por este medio.
c. No se deberan dejar mensajes con este tipo de informacin
c. No se deberan dejar mensajes con este tipo de informacin
10. Transmisin por FAX
a. Localizacin de la Mquina de FAX
a. No debe estar disponible al pblico en general (externo)
a. No debe estar disponible al pblico en general (externo)
a. No debe estar disponible a personas no autorizadas y se debe tener bajo supervisin especfica (i.e. Asistente, secretaria, etc.).
a. No debe estar disponible a personas no autorizadas y se debe tener bajo supervisin especfica (i.e. Asistente, secretaria, etc.) y en oficina cerrada.
b. Uso de Cubierta de FAX
b. Si se requiere cubierta. Debe identificar a la compaa
b. Si se requiere cubierta. Debe identificar a la compaa
b. Si se requiere cubierta. Debe identificar a la compaa y debe estar etiquetado como confidencial.
b. Se debe evitar la transmisin por FAX, solo con autorizacin de la gerencia se debe llevar a cabo. En tal caso se debe etiquetar como altamente confidencial.
Pgina 37 de 44 2213200-GS-004 Versin 01
Nivel de Clasificacin
Pblica Uso Interno Restringida Altamente Restringida
c. Cuidados en la transmisin
c. No requiere precauciones especiales. b. No se debera entregar informacin de uso interno a personas no autorizadas por este medio.
c. Es permitido sin restricciones. c. No se deberan dejar mensajes con este tipo de informacin
11. Seguridad Fsica
a. Estaciones de Trabajo
a. Se debe bloquear el equipo con proteccin de contrasea apenas se abandone y adicionalmente tener un protector de pantalla que bloquee el equipo en un tiempo corto automticamente en caso de olvido. En un tiempo ms largo se puede configurar la estacin para que se apague automticamente y no quede disponible en la red. Se debe tener un estricto control de vigilancia para el retiro de estaciones de trabajo por fuera de las instalaciones.
a. Se debe bloquear el equipo con proteccin de contrasea apenas se abandone y adicionalmente tener un protector de pantalla que bloquee el equipo en un tiempo corto automticamente en caso de olvido. En un tiempo ms largo se puede configurar la estacin para que se apague automticamente y no quede disponible en la red. Se debe tener un estricto control de vigilancia para el retiro de estaciones de trabajo por fuera de las instalaciones.
a. Se debe bloquear el equipo con proteccin de contrasea apenas se abandone y adicionalmente tener un protector de pantalla que bloquee el equipo en un tiempo corto automticamente en caso de olvido. En un tiempo ms largo se puede configurar la estacin para que se apague automticamente y no quede disponible en la red. Se debe tener un estricto control de vigilancia para el retiro de estaciones de trabajo por fuera de las instalaciones.
a. Se debe bloquear el equipo con proteccin de contrasea apenas se abandone y adicionalmente tener un protector de pantalla que bloquee el equipo en un tiempo corto automticamente en caso de olvido. En un tiempo ms largo se puede configurar la estacin para que se apague automticamente y no quede disponible en la red. Se debe tener un estricto control de vigilancia para el retiro de estaciones de trabajo por fuera de las instalaciones. Conecte lo menos posible la estacin a la red de la institucin o a Internet.
b. Informacin Impresa en zona de impresin
b. No requiere precauciones especiales. b. Se debe tener las impresoras por fuera del alcance del pblico en general y se debe buscar la impresin inmediatamente.
b. Se debe tener las impresoras por fuera del alcance del pblico en general y se debe buscar la impresin inmediatamente.
b. Se debe tener una persona atendiendo todo el proceso de impresin en la zona de impresoras desde el inicio, esta debe estar autorizada a ver la informacin.
Pgina 38 de 44 2213200-GS-004 Versin 01
Nivel de Clasificacin
Pblica Uso Interno Restringida Altamente Restringida
c. Lap Tops, PDA's c. No requiere precauciones especiales. c. No descuide el equipo en zonas que no posean vigilancia o control de salida de equipos.
c. Nunca debe dejarlo solo el equipo y siempre debe utilizar cable de aseguramiento (lockdown cable), y si no es posible se debe dejar bajo vigilancia y cuando se salga de la oficina se debe dejar este bajo llave.
c. Nunca debe dejarlo solo el equipo y siempre debe utilizar cable de aseguramiento (lockdown cable) y si no es posible se debe dejar bajo vigilancia y cuando se salga de la oficina se debe dejar este bajo llave. Se debe procurar tener la informacin cifrada.
d. Acceso a Oficina d. No requiere precauciones especiales. d. No requiere precauciones especiales.
d. el acceso a las reas que poseen informacin confidencial debe tener algn tipo de restriccin fsica de acceso (Puerta con llave, tarjeta, vigilancia), este control debe ser aplicado cuando la oficina este desatendida.
d. el acceso a las reas que poseen informacin confidencial debe tener algn tipo de restriccin fsica de acceso (Puerta con llave, tarjeta, vigilancia), este control debe ser aplicado cuando la oficina este desatendida.
12. Fotocopiado de Informacin
a. Tipo de copias permitidas.
a. No requiere precauciones especiales. a. No requiere precauciones especiales.
a. Solo cuando sea necesario. a. Debe ser autorizado por el propietario de la informacin.
Pgina 39 de 44 2213200-GS-004 Versin 01
CDIGO 2213200-GS-004 VERSIN 01
GUA PARA EL INVENTARIO Y LA CLASIFICACIN DE ACTIVOS DE INFORMACIN DE LA SECRETARA GENERAL
DE LA ALCALDA MAYOR DE BOGOT D.C. PGINA: 40 de 44
Pgina 40 de 44 2213200-GS-004 Versin 01
Atributos de Clasificacin
A cada activo de informacin se le relacion uno o ms atributos, los cuales
permiten identificar su sensibilidad y justificar el valor asignado al activo y
adicionalmente permitirn obtener elementos que permitan darle un tratamiento
adecuado. Los atributos asociados al activo de informacin y que se tiene como
informacin de referencia en la matriz de inventario y clasificacin de activos de
informacin es la siguiente:
A1: Activo de informacin de clientes o terceros que debe protegerse. A2: Activo de informacin que debe ser restringido a un nmero limitado de
empleados.
A3: Activo de informacin que debe ser restringido a personas externas. A4: Activo de informacin que puede ser alterado o comprometido para
fraudes corrupcin.
A5: Activo de informacin que es muy crtico para las operaciones internas. A6: Activo de informacin que es muy crtico para el servicio hacia terceros. A7: Activo de informacin que ha sido declarado de conocimiento pblico por
parte de la persona con autoridad para hacerlo o por alguna norma jurdica.
A8: Activo de informacin que en caso de ser conocido, utilizado o modificado por alguna persona o sistema sin la debida autorizacin, impactara de forma
leve a terceros, a los sistemas y/o procesos de la institucin.
CDIGO 2213200-GS-004 VERSIN 01
GUA PARA EL INVENTARIO Y LA CLASIFICACIN DE ACTIVOS DE INFORMACIN DE LA SECRETARA GENERAL
DE LA ALCALDA MAYOR DE BOGOT D.C. PGINA: 41 de 44
Pgina 41 de 44 2213200-GS-004 Versin 01
A9: Activo de informacin que en caso de ser conocido, utilizado o modificado por alguna persona o sistema sin la debida autorizacin impactara de forma
importante a terceros, a los sistemas y/o procesos de la institucin.
A10: Activo de informacin que en caso de ser conocido, utilizado o modificado por alguna persona o sistema sin la debida autorizacin
impactara de forma grave a terceros, a los sistemas y/o procesos de la
institucin.
Procedimiento de clasificacin
La clasificacin de la informacin se lleva a cabo bajo el mismo procedimiento del
inventario de activos de informacin (Definicin, Revisin, Actualizacin y
Publicacin). La diferencia que se suscita es que en la definicin despus de que el
lder de proceso lleva a cabo el levantamiento de informacin, el equipo de gestin
de activos es quien asigna los niveles de clasificacin de acuerdo a la informacin
consignada en la matriz de Inventario y clasificacin.
En este sentido lo que se realiza es el llenado de la columna clasificacin con
alguno de los siguientes valores:
Publica Uso Interno Restringida Altamente Restringida
CDIGO 2213200-GS-004 VERSIN 01
GUA PARA EL INVENTARIO Y LA CLASIFICACIN DE ACTIVOS DE INFORMACIN DE LA SECRETARA GENERAL
DE LA ALCALDA MAYOR DE BOGOT D.C. PGINA: 42 de 44
Pgina 42 de 44 2213200-GS-004 Versin 01
Estos valores se consiguen a partir del valor consignado en el campo
confidencialidad y los atributos sobre la informacin:
Pblica Uso Interno Restringida Altamente restringida Calificacin de Confidencialidad: Muy baja (MB):"El conocimiento o divulgacin no autorizada de este activo de informacin no tiene ningn impacto negativo en el proceso." Atributos: A2: "No esta restringida a un numero limitado de empleados". A3: "No restringida a personas externas". A7: "Declarado de conocimiento publico".
Calificacin de Confidencialidad: Baja (B): "El conocimiento o divulgacin no autorizada de este activo de informacin impacta negativamente de manera leve al proceso." Media (M): "El conocimiento o divulgacin no autorizada de este activo de informacin impacta negativamente de manera importante al proceso." Atributos: A3: "Restringida a personas externas"
Calificacin de Confidencialidad: Alta (A): " El conocimiento o divulgacin no autorizada de este activo de informacin impacta negativamente a la Institucin o sus negocios". Atributos: A2: "Restringido a un numero determinado de empleados".
Calificacin de Confidencialidad: Muy Alta (MA): " El conocimiento o divulgacin no autorizada de este activo de informacin impacta negativamente al Distrito. Atributos A8 (G): El impacto para la organizacin es Grave en caso de ser conocida, modificada o no tener disponibilidad.
El equipo de gestin de activos lleva a cabo esta revisin y actualizacin con los
valores correspondientes.
Recomendaciones
Las siguientes son las recomendaciones asociadas al manejo del esquema de
clasificacin de activos de informacin de la GENERAL DE LA ALCALDA MAYOR
DE BOGOT D.C., tendientes a que la elaboracin, actualizacin y manejo del
mismo se mantenga de manera adecuada en el tiempo.
CDIGO 2213200-GS-004 VERSIN 01
GUA PARA EL INVENTARIO Y LA CLASIFICACIN DE ACTIVOS DE INFORMACIN DE LA SECRETARA GENERAL
DE LA ALCALDA MAYOR DE BOGOT D.C. PGINA: 43 de 44
Pgina 43 de 44 2213200-GS-004 Versin 01
Este documento debe hacer parte del Sistema de Gestin de la Seguridad de la Informacin, as como todos los anexos: tablas, formatos e instructivos que
lo conforman. Se recomienda que la NO aplicacin del procedimiento aqu
consignado debe considerarse una no conformidad dentro del SGSI.
A los propietarios de la informacin y los custodios tcnicos se les debe informar y adjudicar formalmente las responsabilidades que cada uno tiene
sobre los activos de informacin y que se derivan del inventario y clasificacin
consignado en ste documento.
Se recomienda que el custodio tcnico haya sido designado formalmente por el propietario del activo o por el rea con autoridad para hacerlo, de acuerdo a
las responsabilidades asociadas en la recomendacin anterior. Las labores de
salvaguardar las propiedades de seguridad del activo se pueden delegar al
custodio, pero la responsabilidad sigue siendo del propietario de la
informacin, por lo tanto se recomienda que el propietario establezca
mecanismos de monitoreo y revisin a travs de los cuales asegure que estos
requisitos de seguridad estn siendo administrados y gestionados por el
custodio tcnico del activo.
Los lderes de proceso son los encargados de definir el valor de los campos de informacin del inventario, debe revisarlo peridicamente y asegurarse del
proceso de actualizacin de la informacin con los valores adecuados. El
propietario del activo debe dar el visto bueno a dicha valoracin.
Se recomienda que dentro de los procesos de desvinculacin de personal o de eliminacin de un cargo se haga una revisin de si la persona se encontraba
CDIGO 2213200-GS-004 VERSIN 01
GUA PARA EL INVENTARIO Y LA CLASIFICACIN DE ACTIVOS DE INFORMACIN DE LA SECRETARA GENERAL
DE LA ALCALDA MAYOR DE BOGOT D.C. PGINA: 44 de 44
Pgina 44 de 44 2213200-GS-004 Versin 01
como propietario o custodio tcnico de algn activo para de esta forma llevar a
cabo una revisin y actualizacin al inventario.
Se recomienda que dentro de los procesos de vinculacin de personal o de creacin de un nuevo cargo se haga una revisin de si la persona debe ser
propietario o custodio tcnico de algn activo para de esta forma llevar a cabo
una revisin y actualizacin al inventario y la clasificacin.
Cada vez que se cambie o migre un sistema de informacin, servicio, aplicacin o cualquier utilidad que almacene algn activo de informacin se
debe generar una actualizacin al inventario en su campo Ubicacin.
A nivel documental para todos los procesos es importante tener una diferenciacin clara en el nombre de los documentos que sean de trabajo
preliminar o que an no sean oficiales, de tal forma que se nombren
formalmente como borrador, preliminar o proyecto de... Esto debe aplicar
para todos los documentos que tengan un nivel de clasificacin diferente antes
y despus de ser oficiales.
Se recomienda declarar la vigencia del inventario de activos de informacin una vez todas las recomendaciones aqu sugeridas hayan sido implementadas
y se hayan definidos todos los procedimientos asociados a la gua de
inventario y clasificacin.
DIRECCIN DISTRITAL DE DESARROLLO INSTITUCIONAL SUBDIRECCIN DE INFORMTICA Y SISTEMAS NOMBRECARGOFECHAFIRMAELABOROREVISOAPROB RESUMEN EJECUTIVO OBJETIVO del documento DEFINICIONES INVENTARIO DE ACTIVOS DE INFORMACIN Procedimiento de Inventario Definicin Informacin mnima Propiedad Tipo Valor Acceso Ubicacin Fechas
Revisin Actualizacin Publicacin
CLASIFICACIN DE ACTIVOS DE INFORMACIN Definicin Niveles de Clasificacin y de Confidencialidad Niveles de Clasificacin Niveles de confidencialidad Uso Interno Restringida Informacin que es utilizada por solo un grupo de empleados para realizar sus labores y que no puede ser conocida por otros empleados o terceros sin autorizacin del propietario de la informacin. En caso de ser conocida, utilizada o modificada por personas sin la debida autorizacin, impactara de forma importante a terceros o a los sistemas y/o procesos de la institucin. Altamente Restringida
Atributos de Clasificacin Procedimiento de clasificacin
Recomendaciones
GUA PARA EL INVENTARIO Y LA CLASIFICACIN DE ACTIVOS DE INFORMACIN DE LA SECRETARA GENERAL DE LA ALCALDA MAYOR DE BOGOT D.C.
CDIGO
2213200-GS-004
VERSIN
01
PGINA:
1 de 44
DIRECCIN DISTRITAL DE DESARROLLO INSTITUCIONAL
SUBDIRECCIN DE INFORMTICA Y SISTEMAS
SECRETARA GENERAL
ALCALDA MAYOR DE BOGOT.
NOMBRE
CARGO
FECHA
FIRMA
ELABORO
Juan Carlos Cely
Profesional Especializado
28/09/2007
REVISO
Juan Carlos Cely
Profesional Especializado
28/09/2007
APROB
Oscar Alberto Cardona
Subdirector de Informtica y Sistemas (E)
28/09/2007
NOMBRE DEL DOCUMENTO:
Inventario_y_Clasificacin-_Alcalda_MayorV1_0.doc
VERSIN DEL DOCUMENTO:
1.0
FECHA:
Septiembre de 2007
LECTORES:
Usuarios internos de la SECRETARA GENERAL DE LA ALCALDA MAYOR DE BOGOT D.C.
RESUMEN
Este documento establece los criterios y mecanismos que debern ser utilizados por los usuarios internos de la SECRETARA GENERAL DE LA ALCALDA MAYOR DE BOGOT D.C. para clasificar y manejar la informacin que generen, posean o utilicen, llevando a cabo las actividades que bajo su responsabilidad tendrn como usuarios, propietarios o custodios tcnicos de los activos de informacin del alcance aqu consignado.
Historia del documento
Versin
Fecha
Comentarios
Por
Acta
1.0
NewNet S.A.
2.0
Septiembre 2007
Personalizacin del documento
Subdireccin de Informtica y Sistemas
N/A
Documentos asociados (Este documento debe ser ledo en conjunto con)
Nombre del Documento
Versin
Fecha
Aprobacin
Nombre
Empresa
Autor
NewNet S.A.
Propietario
Subdireccin Informtica y Sistemas
Secretaria General Alcaldia Mayor de Bogot
TABLA DE CONTENIDO
41RESUMEN EJECUTIVO
62OBJETIVO del documento
73DEFINICIONES
94INVENTARIO DE ACTIVOS DE INFORMACIN
94.1Procedimiento de Inventario
104.1.1Definicin
124.1.2Informacin mnima
174.1.3Revisin
184.1.4Actualizacin
194.1.5Publicacin
205CLASIFICACIN DE ACTIVOS DE INFORMACIN
205.1Definicin
225.2Niveles de Clasificacin y de Confidencialidad
225.2.1Niveles de Clasificacin
235.2.2Niveles de confidencialidad
405.3Atributos de Clasificacin
415.4Procedimiento de clasificacin
426Recomendaciones
RESUMEN EJECUTIVO
Este documento presenta el inventario y clasificacin de los activos de informacin que son manejados por los empleados a travs de los procesos de la SECRETARA GENERAL DE LA ALCALDA MAYOR DE BOGOT D.C., con el fin principal de determinar que activos posee la institucin, reconocer el valor de cada activo, los niveles de acceso permitidos, y determinar su clasificacin para que sea utilizada adecuadamente.
La realizacin de un inventario y clasificacin de activos de informacin hace parte de la debida diligencia que a nivel estratgico ha considerado la SECRETARA GENERAL DE LA ALCALDA MAYOR DE BOGOT D.C. dentro de sus elementos a tratar con respecto a la seguridad para los activos de informacin de la institucin.
Las mejores prcticas de seguridad de la informacin a nivel nacional e internacional recomiendan de manera imperativa la realizacin de un inventario y clasificacin de los activos de informacin de las organizaciones, para determinar cmo deben ser utilizados en los procesos del negocio, los roles y las responsabilidades que tiene el personal sobre la misma, reconociendo adicionalmente los niveles de confidencialidad que a cada activo debe drsele.
De esta forma y con base en las normas tcnicas colombianas NTC ISO/IEC 17799 y NTC ISO/IEC 27001 en el tem Gestin de Activos se persigue dar cumplimiento a tres puntos principales que son explcitos en las mismas as:
Inventario de Activos: Todos los activos deben estar claramente identificados y se debe elaborar y mantener un inventario de todos los activos importantes de la organizacin.
Propiedad de los Activos: Toda la informacin y los activos asociados con los servicios de procesamiento de informacin deben ser propiedad de una parte designada de la organizacin.
Directrices de Clasificacin: La informacin debe clasificarse en trminos de su valor, de los requisitos legales, de la sensibilidad y la importancia para la organizacin.
Dado que todos los procesos de la SECRETARA GENERAL DE LA ALCALDA MAYOR DE BOGOT D.C. deben conocer y aplicar los criterios, procedimientos y recomendaciones para el manejo y clasificacin de la informacin que se encuentran en este documento, se ha buscado que el impacto de la aplicacin de los mismos sea el mnimo en las actividades de los diferentes procesos de la SECRETARA GENERAL DE LA ALCALDA MAYOR DE BOGOT D.C.
Esta gua busca dar cumplimiento y tener como marco de aplicacin el manual de seguridad de la informacin de la SECRETARA GENERAL DE LA ALCALDA MAYOR DE BOGOT D.C., en el cual se estructura y se compilan las polticas y principios ticos que orientan la actuacin de la institucin respecto de su conducta con respecto a la seguridad su INFORMACIN.
Este documento cuenta con una seccin de definiciones las cuales aplican al contenido total del documento, por lo tanto los conceptos deben aplicarse y entenderse con base en las definiciones dadas en este contexto.
Si se tiene alguna duda sobre informacin que no ha sido clasificada o si se piensa que no se ha realizado adecuadamente su clasificacin, debe dirigir la inquietud al jefe inmediato en su rea.
OBJETIVO del documento
Presentar los criterios, procedimientos y recomendaciones que deben ser utilizados por los responsables de los procesos de la SECRETARA GENERAL DE LA ALCALDA MAYOR DE BOGOT D.C. para realizar y mantener el inventario y la clasificacin de los activos de informacin que posee la entidad, para llevar a cabo las actividades que bajo su responsabilidad todos los empleados tendrn como usuarios, propietarios o custodios tcnicos de los activos de informacin del alcance consignado en este documento.
DEFINICIONES
Informacin: La informacin es un activo que, como otros activos importantes del negocio, es esencial para las actividades de la organizacin y, en consecuencia, necesita una proteccin adecuada.
Seguridad de la Informacin: La seguridad de la informacin es la proteccin de la informacin contra una gran variedad de amenazas con el fin de asegurar la continuidad del negocio, minimizar el riesgo y maximizar el retorno de inversiones y oportunidades de negocio. Adicionalmente, se define como la preservacin de la confidencialidad, integridad y disponibilidad de la informacin, adems, otras propiedades tales como autenticidad, responsabilidad, no-repudio y confiabilidad pueden estar involucradas.
Clasificacin de la Informacin: Es el ejercicio por medio del cual se determina que la informacin pertenece a uno de los niveles de clasificacin estipulados a nivel corporativo. Tiene como objetivo asegurar que la informacin recibe el nivel de proteccin adecuado. La informacin debe clasificarse en trminos de la sensibilidad y la importancia para la organizacin.
Propietario de la Informacin: Es una parte designada de la organizacin, un cargo, proceso, o grupo de trabajo que tiene la responsabilidad de definir quienes tienen acceso y que pueden hacer con la informacin y de determinar cuales son los requisitos para que la misma se salvaguarde ante accesos no autorizados, modificacin, prdida de la confidencialidad o destruccin deliberada, y al mismo tiempo de definir que se hace con la informacin una vez ya no sea requerida.
Custodio Tcnico: Es una parte designada de la organizacin, un cargo, proceso, o grupo de trabajo encargado de administrar y hacer efectivos los controles de seguridad (Toma de copias de seguridad, asignar privilegios de: Acceso, Modificaciones, Borrado) que el propietario de la informacin haya definido, con base en los controles de seguridad disponibles en la organizacin.
Usuario: Cualquier persona que genere, obtenga, transforme, conserve o utilice informacin de la organizacin en papel o en medio digital, fsicamente o a travs de las redes de datos y los sistemas de informacin de la compaa. Son las personas que utilizan la informacin para propsitos propios de su labor, adecuados y que tendrn el derecho manifiesto de uso dentro del inventario de informacin.
INVENTARIO DE ACTIVOS DE INFORMACIN
Mediante la definicin de un inventario la SECRETARA GENERAL DE LA ALCALDA MAYOR DE BOGOT D.C. especifica y reconoce cuales son los activos de informacin ms importantes del negocio y define clasificar mnimo los activos de informacin que se encuentran consignados en este inventario.
El inventario permite identificar los activos de informacin a los que se les debe brindar mayor proteccin y que se puede requerir para servir a otros propsitos del negocio como por ejemplo: controles de seguridad fsica, estudios financieros o de clculo de primas de seguros (gestin de activos), entre otros.
Las actividades realizadas para obtener un inventario de activos son un prerrequisito de la gestin de riesgos de seguridad de la informacin.
Procedimiento de Inventario
El procedimiento de inventario debe realizarse mediante la ejecucin de las siguientes actividades:
Definicin
En el procedimiento de inventario la actividad de definicin consiste en reconocer y determinar que activos de informacin van a hacer parte de la Matriz de Inventario y Clasificacin de activos de informacin y para estos activos definir las propiedades y la informacin que permite identificar el mismo en la organizacin, para obtener su valor para el negocio.
La definicin es un ejercicio que debe ser realizado por cada proceso del negocio para identificar e incluir nuevos activos de informacin a la Matriz de Inventario y Clasificacin de activos de informacin de la SECRETARA GENERAL DE LA ALCALDA MAYOR DE BOGOT D.C.
La definicin se lleva a cabo de la siguiente manera:
Cada proceso del negocio deber hacer uso del instructivo de Levantamiento de Informacin para Inventario y Clasificacin de Activos de Informacin y reportar los nuevos activos de informacin del proceso y asignar los valores correspondientes requeridos para cada campo del formato Definicin de Activos por Proceso.
Cada lder de proceso ser responsable por esta actividad y por garantizar que los activos ms importantes de su proceso han sido identificados y valorados.
El equipo de gestin de activos de la SECRETARA GENERAL DE LA ALCALDA MAYOR DE BOGOT D.C. ser el encargado de solicitar a los lderes de proceso la realizacin de la actividad de definicin y monitorear el desarrollo de esta actividad por cada proceso.
En esta etapa, los lderes de proceso, debern en segunda instancia solicitar la revisin de la definicin de activos realizada por el Propietario del Activo de Informacin designado y del custodio tcnico designado, para que estos validen que efectivamente ellos son las personas o parte de la organizacin adecuados para tener esta designacin que se les ha dado en los campos de propiedad del activo.
El lder de proceso deber finalmente entregar la definicin de sus activos de informacin en el formato Definicin de Activos por Proceso al equipo de gestin de activos de la SECRETARA GENERAL DE LA ALCALDA MAYOR DE BOGOT D.C. para que estos integren la informacin en la Matriz de Inventario y Clasificacin de Activos de Informacin de la SECRETARA GENERAL DE LA ALCALDA MAYOR DE BOGOT D.C.
La definicin del inventario se debe llevar a cabo cada 6 meses. Para el inventario de activos de informacin de la SECRETARA GENERAL DE LA ALCALDA MAYOR DE BOGOT D.C. se define que la siguiente informacin debe ser la mnima que debe consignarse en la tabla de inventario de activos de informacin (Ver Matriz de Inventario y Clasificacin de activos de informacin de la SECRETARA GENERAL DE LA ALCALDA MAYOR DE BOGOT D.C. en el Anexo 1 de este documento).
Informacin mnima
Propiedad
Es un grupo de informacin que permite determinar la propiedad de los activos y para el cual la tabla de inventario define los siguientes campos:
Nombre del Activo: Es un campo que define la manera como se va a reconocer el activo de informacin en la compaa, con un nombre particular y diferenciable.
Propietario.
Custodio Tcnico.
Tipo
Se define el tipo al cual pertenece el activo. Para este campo se utilizan los siguientes valores:
INF (Informacin): Corresponden a este tipo las bases de datos y archivos de datos, contratos y acuerdos, documentacin del sistema, informacin sobre investigacin, manuales de usuario, procedimientos operativos o de soporte, planes para la continuidad del negocio, acuerdos sobre retiro, pruebas de auditoria e informacin archivada fsica o electrnicamente.
SOF (Software): software de aplicacin, software del sistema, herramientas de desarrollo y utilidades.
FIS (Fsico): Equipos de computacin, equipos de comunicaciones, medios removibles y otros equipos fsicos.
SER (Servicio): servicios de computacin y comunicaciones. (Pe: Acceso a Internet, Paginas de consulta, Acceso a la red, etc.)
Valor
Este es un grupo de informacin para el cual se define y deben ser ingresados valores en el rango desde Muy Bajo hasta Muy Alto para cada uno de los campos. Esta informacin nos indica el valor que tiene el activo para el distrito, para el negocio o especficamente para el proceso, ya que uno de los criterios importantes de su clasificacin es en trminos de su valor. A continuacin se define el significado de cada campo presente en la tabla de inventario:
C (Confidencialidad): Proteccin para que el activo de informacin sea accesible solamente por aquellas personas autorizadas para ello. En este campo en el inventario se presenta uno de los siguientes valores:
Criterio
Descripcin
Explicacin
MA
Muy Alto
El conocimiento o divulgacin no autorizada de este activo de informacin impacta negativamente al Distrito.
A
Alto
El conocimiento o divulgacin no autorizada de este activo de informacin impacta negativamente a la Institucin o sus negocios.
M
Medio
El conocimiento o divulgacin no autorizada de este activo de informacin impacta negativamente de manera importante al proceso.
B
Bajo
El conocimiento o divulgacin no autorizada de este activo de informacin impacta negativamente de manera leve al proceso.
MB
Muy Bajo
El conocimiento o divulgacin no autorizada de este activo de informacin no tiene ningn impacto negativo en el pro