Instituto Nacional de Vías Gestión de Tecnologías de ...

Instituto Nacional de Vías Gestión de Tecnologías de Información y Comunicación

Manual de políticas y normas de seguridad de la información

CÓDIGO ETICOM-MN-6

VERSIÓN 1

PÁGINA 1 DE 51

ELABORADO

Seltika Seguridad Informatica & Tecnologia Consultor en Seguridad de la Información

Septiembre 22 de 2015

REVISADO

Equipo Técnico Oficina Asesora de Planeación

Octubre 15 de 2015

APROBADO

Comité de Desarrollo Administrativo Noviembre 13 de 2015

1. OBJETIVO El objetivo de este documento es definir las Políticas de Seguridad y Privacidad de la Información para el Instituto Nacional de Vías INVIAS, en cumplimiento del Modelo de Seguridad y Privacidad de Gobierno en Línea (GEL). 2. INTRODUCCION El Instituto Nacional de Vías INVIAS cuenta con un grupo de Políticas de Seguridad de la Información revisadas y aprobadas en el año 2014, partiendo de las Políticas de Seguridad y Privacidad sugeridas por el Modelo de Seguridad y Privacidad de Gobierno en Línea (GEL) en su versión anterior. El presente documento contiene una actualización de dichas Políticas de Seguridad y Privacidad de la Información, en donde se establecen lineamientos de actuación para los funcionarios y contratistas que laboran en el instituto, así como para los funcionarios provistos por terceras partes, en relación con los recursos y servicios de información. Se acoge como punto de partida el documento Formato e implementación de Políticas de Seguridad y Privacidad de la Información anexo al Manual de Seguridad y Privacidad de Gobierno en Línea (GEL) en su versión actualizada. De manera adicional, se agregan capítulos que no contempla el documento propuesto por GEL de temas incluidos en el Anexo A de la norma ISO/IEC 27001:2013 de gran importancia para la construcción de un Manual de Políticas de Seguridad y Privacidad. Cada Política de Seguridad y Privacidad de la Información es una invitación del instituto a sus funcionarios, contratistas, personal externo y proveedores a reconocer la información como uno de sus principales activos y como un motor para el desarrollo institucional. 3. VIGENCIA Las políticas de Seguridad y Privacidad de la información contenidas en el presente documento estarán vigentes desde la fecha de su aprobación y mientras no exista una revisión posterior de las mismas.



CÓDIGO ETICOM-MN-6

VERSIÓN 1

PÁGINA 2 DE 51

ELABORADO



REVISADO


Octubre 15 de 2015

APROBADO


4. ALCANCE Estas políticas y sus normas asociadas aplican a todo el Instituto Nacional de Vías INVIAS, sus funcionarios, contratistas, personal provisto por terceras partes y todos aquellos que tengan responsabilidades sobre las fuentes, repositorios y recursos de procesamiento de la información del instituto 5. SANCIONES PARA LAS VIOLACIONES A LAS POLÍTICAS DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓ Las Políticas de Seguridad y Privacidad de la Información pretenden instituir y afianzar la cultura de seguridad de la información entre los funcionarios, contratistas, personal externo y proveedores del Instituto Nacional de Vías INVIAS. El incumplimiento de estas políticas permitirá al instituto generar las acciones de ley que correspondan. 6. DEFINICIONES ACTIVO DE INFORMACIÓN: cualquier componente (humano, tecnológico, software, documental o de infraestructura) que soporta uno o más procesos de negocios del instituto y, en consecuencia, debe ser protegido. ACUERDO DE CONFIDENCIALIDAD: es un documento en los que los funcionarios del INVIAS, los contratistas o los provistos por terceras partes manifiestan su voluntad de mantener la confidencialidad de la información del instituto, comprometiéndose a no divulgar, usar o explotar la información confidencial a la que tengan acceso en virtud de la labor que desarrollan dentro de la misma. El instituto debe avalar el levantamiento del acuerdo de confidencialidad. ANÁLISIS DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN: es un proceso sistemático encaminado a minimizar vulnerabilidades por medio de la implantación de medidas de control, velando porque el daño que producen las amenazas que explotan las vulnerabilidades de los activos de información, que hacen parte de los procesos del instituto, está dentro de los límites y costos aceptables. AUTENTICACIÓN: es el procedimiento de comprobación de la identidad de un usuario o recurso tecnológico al tratar de acceder a un recurso de procesamiento o sistema de información.



CÓDIGO ETICOM-MN-6

VERSIÓN 1

PÁGINA 3 DE 51

ELABORADO



REVISADO


Octubre 15 de 2015

APROBADO


CAPACITY PLANNING (PLANEACIÓN DE CAPACIDAD): es el proceso para determinar la capacidad de los recursos de la plataforma tecnológica que necesita la entidad para satisfacer las necesidades de procesamiento de dichos recursos de forma eficiente y con un rendimiento adecuado. CENTROS DE CABLEADO: son habitáculos donde se deberán instalar los dispositivos de comunicación y los cables que conforman la red fisica. Al igual que los centros de cómputo, los centros de cableado deben cumplir requisitos de acceso físico, materiales de paredes, pisos y techos, suministro de alimentación eléctrica y condiciones de temperatura y humedad. CENTRO DE CÓMPUTO: es una zona específica para el alojamiento de múltiples computadores para el procesamiento de datos, los cuales se encuentran conectados entre sí a través de una red. El centro de cómputo debe cumplir ciertos estándares con el fin de garantizar los controles de acceso físico, los materiales de paredes, pisos y techos, el suministro de alimentación eléctrica y las condiciones medioambientales adecuadas. CIFRADO: es la transformación de los datos mediante el uso de la criptografía para producir datos ininteligibles (cifrados) y asegurar su confidencialidad. El cifrado es una técnica muy útil para prevenir la fuga o modificación de información, el monitoreo no autorizado e incluso el acceso no autorizado a los repositorios de información. CONFIDENCIALIDAD: es la garantía de que la información no está disponible o divulgada a personas, entidades o procesos no autorizados. CONTROL: es toda actividad o proceso encaminado a mitigar o evitar un riesgo. Incluye policías, procedimientos, guías, estructuras organizacionales y buenas prácticas, que pueden ser de carácter administrativo, tecnológico, físico o legal. CRIPTOGRAFÍA: es la disciplina que agrupa a los principios, medios y métodos para la transformación de datos con el fin de ocultar el contenido de su información, establecer su autenticidad, prevenir su modificación no detectada, prevenir su repudio, y/o prevenir su uso no autorizado. DERECHOS DE AUTOR: es un conjunto de normas y principios que regulan los derechos morales y patrimoniales que la ley concede a los autores por el solo hecho de la creación

http://es.wikipedia.org/wiki/Norma_jur%C3%ADdica

http://es.wikipedia.org/wiki/Derecho_subjetivo

http://es.wikipedia.org/wiki/Ley

http://es.wikipedia.org/wiki/Autor



CÓDIGO ETICOM-MN-6

VERSIÓN 1

PÁGINA 4 DE 51

ELABORADO



REVISADO


Octubre 15 de 2015

APROBADO


de una obra literaria, artística o científica, tanto publicada o que todavía no se haya publicado. DISPONIBILIDAD: es la garantía de que los usuarios autorizados tienen acceso a la información y a los activos asociados cuando lo requieren. EQUIPO DE CÓMPUTO: dispositivo electrónico capaz de recibir un conjunto de instrucciones y ejecutarlas realizando cálculos sobre los datos numéricos, o bien compilando y correlacionando otros tipos de información. GUÍAS DE CLASIFICACIÓN DE LA INFORMACIÓN: directrices para catalogar la información del instituto y hacer una distinción entre la información que es crítica y aquella que lo es menos o no lo es y, de acuerdo con esto, establecer diferencias entre las medidas de seguridad a aplicar para preservar los criterios de confidencialidad, integridad y disponibilidad de la información. GRUPO TI: Conformado por tres grupos de trabajo que dependen de la Oficina Asesora de Planeación como son: Plataforma Tecnológica, Sistemas de Información y Soporte y Control, que tiene bajo su responsabilidad la administración de los recursos de la plataforma tecnológica y los sistemas de información del instituto. HACKING ÉTICO: es el conjunto de actividades para ingresar a las redes de datos y voz del instituto con el objeto de lograr un alto grado de penetración en los sistemas, de forma controlada, sin ninguna intensión maliciosa, ni delictiva y sin generar daños en los sistemas o redes, con el propósito de mostrar el nivel efectivo de riesgo a lo cual está expuesta la información, y proponer eventuales acciones correctivas para mejorar el nivel de seguridad. INCIDENTE DE SEGURIDAD: es un evento adverso, confirmado o bajo sospecha, que haya vulnerado la seguridad de la información o que intente vulnerarla, sin importar la información afectada, la plataforma tecnológica, la frecuencia, las consecuencia, el número de veces ocurrido o el origen (interno o externo). INTEGRIDAD: es la protección de la exactitud y estado completo de los activos. INVENTARIO DE ACTIVOS DE INFORMACIÓN: es una lista ordenada y documentada de los activos de información pertenecientes al instituto.

http://es.wikipedia.org/wiki/Literatura

http://es.wikipedia.org/wiki/Arte

http://es.wikipedia.org/wiki/Ciencia



CÓDIGO ETICOM-MN-6

VERSIÓN 1

PÁGINA 5 DE 51

ELABORADO



REVISADO


Octubre 15 de 2015

APROBADO


LICENCIA DE SOFTWARE: es un contrato en donde se especifican todas las normas y cláusulas que rigen el uso de un determinado producto de software, teniendo en cuenta aspectos como: alcances de uso, instalación, reproducción y copia de estos productos. MEDIO DE ALMACENAMIENTO: es cualquier componente extraíble de hardware que sea usado para el almacenamiento de información; estos medios incluyen cintas, discos duros removibles, CDs, DVDs y unidades de almacenamiento USB, entre otras. PERFILES DE USUARIO: son grupos que concentran varios usuarios con similares necesidades de información y autorizaciones idénticas sobre los recursos tecnológicos o los sistemas de información a los cuales se les concede acceso de acuerdo con las funciones realizadas. Las modificaciones sobre un perfil de usuario afectan a todos los usuarios cobijados dentro de él. PROPIEDAD INTELECTUAL: es el reconocimiento de un derecho particular en favor de un autor u otros titulares de derechos, sobre las obras del intelecto humano. Este reconocimiento es aplicable a cualquier propiedad que se considere de naturaleza intelectual y merecedora de protección, incluyendo las invenciones científicas y tecnológicas, las producciones literarias o artísticas, las marcas y los identificadores, los dibujos y modelos industriales y las indicaciones geográficas. PROPIETARIO DE LA INFORMACIÓN: es la unidad organizacional o proceso donde se crean los activos de información. RECURSOS TECNOLÓGICOS: son aquellos componentes de hardware y software tales como: servidores (de aplicaciones y de servicios de red), estaciones de trabajo, equipos portátiles, dispositivos de comunicaciones y de seguridad, servicios de red de datos y bases de datos, entre otros, los cuales tienen como finalidad apoyar las tareas administrativas necesarias para el buen funcionamiento y la optimización del trabajo al interior del INVIAS. REDUNDANCIA: implica la repetición aquellos datos o recursos tecnológicos de carácter crítico que se quiere asegurar ante los posibles fallos que puedan surgir durante su uso. La redundancia de datos en bases de datos o en archivos hace referencia al almacenamiento de los mismos en diferentes lugares. La redundancia en los componentes de hardware hace referencia a su duplicación; los componentes que pueden ser

http://es.wikipedia.org/wiki/Humano



CÓDIGO ETICOM-MN-6

VERSIÓN 1

PÁGINA 6 DE 51

ELABORADO



REVISADO


Octubre 15 de 2015

APROBADO


redundantes son, entre otros: las unidades centrales de procesamiento, los módulos de memoria, los discos duros, las tarjetas de red y las fuentes de alimentación eléctrica. REGISTROS DE AUDITORÍA: son archivos donde son registrados los eventos que se han identificado en los sistemas de información, recursos tecnológicos y redes de datos del instituto. Dichos eventos pueden ser, entre otros, identificación de usuarios, eventos y acciones ejecutadas, terminales o ubicaciones, intentos de acceso exitosos y fallidos, cambios a la configuración, uso de utilidades y fallas de los sistemas. SEGURIDAD DE LA INFORMACIÓN: es el conjunto de medidas preventivas y reactivas que establece el Instituto Nacional de Vías INVIAS, entre las que se pueden mencionar políticas, normas, procedimientos, estructura organizacional, así como controles tecnológicos y físicos, que permiten resguardar y proteger la confidencialidad, integridad y disponibilidad de la información institucional. SEGURIDAD INFORMÁTICA: se enfoca en la reducción de riesgos y la protección de los recursos tecnológicos, así como de la información contenida o circulante en ellos, a través del uso de estándares, protocolos, métodos, reglas y herramientas. SGSI: Sistema de Gestión de Seguridad de la Información. SISTEMA DE INFORMACIÓN: es un conjunto organizado de datos, operaciones y transacciones que interactúan para el almacenamiento y procesamiento de la información que, a su vez, requiere la interacción de uno o más activos de información para efectuar sus tareas. Un sistema de información es todo componente de software ya sea de origen interno, es decir desarrollado por el INVIAS o de origen externo ya sea adquirido por el instituto como un producto estándar de mercado o desarrollado para las necesidades de éste. SISTEMAS DE CONTROL AMBIENTAL: son sistemas que utilizan la climatización, un proceso de tratamiento del aire que permite modificar ciertas características del mismo, fundamentalmente humedad y temperatura y, de manera adicional, también permite controlar su pureza y su movimiento. SOFTWARE MALICIOSO: es una variedad de software o programas de códigos hostiles e intrusivos que tienen como objeto infiltrarse o dañar los recursos tecnológicos, sistemas operativos, redes de datos o sistemas de información.



CÓDIGO ETICOM-MN-6

VERSIÓN 1

PÁGINA 7 DE 51

ELABORADO



REVISADO


Octubre 15 de 2015

APROBADO


TERCEROS: todas las personas, jurídicas o naturales, como proveedores, contratistas o consultores, que provean servicios o productos al instituto. VULNERABILIDADES: son las debilidades, hoyos de seguridad o flaquezas inherentes a los activos de información que pueden ser explotadas por factores externos y no controlables por el instituto (amenazas), las cuales se constituyen en fuentes de riesgo. 7. POLITICA DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACION El Instituto Nacional de Vías INVIAS protegerá los activos de información (funcionarios, contratistas, terceros, procesos, recursos tecnológicos y sistemas de información), que soportan la gestión del instituto y apoyan la implementación del Sistema de Gestión de Seguridad de la Información (SGSI), por medio de la aprobación de políticas específicas, normas, procedimientos, controles y asignación de responsabilidades, generando información confiable, integra y disponible a todos los usuarios, Para asegurar la dirección estratégica en el INVIAS se establecen los siguientes objetivos de seguridad de la información: Minimizar el riesgo de seguridad de la información en los procesos del instituto. Cumplir con los principios de seguridad de la información. Implementar el Sistema de Gestión de Seguridad de la Información (SGSI). Proteger los activos de información. Establecer las políticas específicas, normas, procedimientos, controles y asignación de

responsabilidades en materia de seguridad de la información. Fortalecer la cultura de seguridad de la información en los funcionarios, contratistas y

terceros del INVIAS Garantizar la continuidad del negocio frente a incidentes. La Política de Seguridad y Privacidad de la Información del INVIAS se encuentra soportada por políticas específicas, normas y procedimientos los cuales establecerán el manejo adecuado de la información del instituto. Las políticas específicas de Seguridad y Privacidad de la información se fundamentan en la recomendación de Gobierno en Línea (GEL) a través del documento Formato e implementación de Políticas de Seguridad y Privacidad de la Información en lo correspondiente a los capítulos del seis (6) al trece (13).



CÓDIGO ETICOM-MN-6

VERSIÓN 1

PÁGINA 8 DE 51

ELABORADO



REVISADO


Octubre 15 de 2015

APROBADO


Este manual se complementa con políticas de temas contemplados en el Anexo A de la norma ISO/IEC 27001:2013, comprendidos entre los capitulo catorce (14) al veintiuno (21). El Comité de Desarrollo Administrativo y la Oficina Asesora de Planeación tendrán la potestad de modificar la Política general o las específicas de Seguridad y Privacidad de la Información, cuando se requiera. 8. POLÍTICAS DE GESTIÓN DE ACTIVOS DE INFORMACIÓN

8.1 POLÍTICA DE RESPONSABILIDAD POR LOS ACTIVOS El Instituto Nacional de Vías INVIAS como propietario de la información física así como de la información generada, procesada, almacenada y transmitida con su plataforma tecnológica, otorgará responsabilidad a las áreas sobre sus activos de información, asegurando el cumplimiento de las directrices que regulen el uso adecuado de la misma. Normas de responsabilidad por los activos

Las Direcciones, Oficinas Asesoras y la Secretaría General del Instituto Nacional de Vías INVIAS deben ejercer como propietarias de la información física, así como de la información generada, procesada, almacenada y transmitida con la plataforma tecnológica, ejerciendo así, la facultad de aprobar o revocar el acceso a su información con los perfiles adecuados para tal fin.

Los propietarios de los activos de información deben monitorear periódicamente la validez de los perfiles de acceso de los funcionarios a la información.

Los propietarios de los activos de información deben ser conscientes que los recursos de procesamiento de información del instituto, se encuentran sujetos a revisiones por parte de la Oficina de Control Interno.

El Grupo TI de la Oficina Asesora de Planeación es el propietario de la plataforma tecnológica del instituto y, al ser el propietario, debe asegurar su operación y administración.

El Grupo TI de la Oficina Asesora de Planeación debe garantizar el levantamiento y actualización del inventario de activos de información tecnológicos.



CÓDIGO ETICOM-MN-6

VERSIÓN 1

PÁGINA 9 DE 51

ELABORADO



REVISADO


Octubre 15 de 2015

APROBADO


El Grupo TI de la Oficina Asesora de Planeación es quien debe autorizar la instalación,

cambio o eliminación de componentes de la plataforma tecnológica del Instituto Nacional de Vías INVIAS.

El Grupo TI de la Oficina Asesora de Planeación debe establecer una configuración adecuada para los recursos tecnológicos, con el fin de preservar la seguridad de la información y estandarizar las condiciones de uso de estos.

El Grupo TI de la Oficina Asesora de Planeación es responsable de preparar las estaciones de trabajo fijas y/o portátiles de los funcionarios y de autorizar su uso, así como de recibir las estaciones de trabajo fijas y/o portátiles de los funcionarios que se retiran o cambian de labores, para su reasignación o disposición final.

La Oficina Asesora de Planeación debe realizar un análisis de riesgos de seguridad de la información de manera periódica, sobre los procesos del Instituto Nacional de Vías INVIAS.

La Oficina Asesora de Planeación debe realizar revisiones periódicas de los recursos de la plataforma tecnológica y los sistemas de información del instituto.

Los Directores o Jefes de Oficina, o quienes estos deleguen, deben recibir los recursos tecnológicos asignados a sus colaboradores más la información contenida en ellos cuando estos se retiran del instituto o son trasladados de área.

Todos los funcionarios deben utilizar los recursos tecnológicos del INVIAS de forma ética y en cumplimiento de las leyes y reglamentos, con el fin de evitar daños o pérdidas sobre la operación o la imagen del instituto.

Los recursos tecnológicos del instituto provistos a funcionarios y personal suministrado por terceras partes, son proporcionados con el único fin de llevar a cabo las labores del instituto; por consiguiente, no deben ser utilizados para fines personales o ajenos a estos.

Los funcionarios y contratistas pueden utilizar sus equipos de cómputo y dispositivos móviles personales para desempeñar sus actividades laborales al interior del instituto siempre y cuando el Grupo TI de la Oficina Asesora de Planeación apruebe su acceso.



CÓDIGO ETICOM-MN-6

VERSIÓN 1

PÁGINA 10 DE 51

ELABORADO



REVISADO


Octubre 15 de 2015

APROBADO


No se permite utilizar software de propiedad de funcionarios y contratistas en la

plataforma tecnológica del instituto.

Todas las estaciones de trabajo, dispositivos móviles y demás recursos tecnológicos son asignados a un responsable, por lo cual es su compromiso hacer uso adecuado y eficiente de dichos recursos.

En el momento de desvinculación o cambio de labores, los funcionarios deben realizar la entrega de su puesto de trabajo al Director o Jefe de Oficina o a quien estos deleguen, junto con copia de la información crítica que maneja; así mismo, debe entregar todos los recursos tecnológicos y otros activos de información suministrados en el momento de su vinculación.

La Subdirección Administrativa debe informar el retiro o traslado de los funcionarios y cada Subdirección o Director Territorial reportar la terminación de los contratos de prestación de servicios al Grupo TI de la Oficina Asesora de Planeación, para realizar la gestión adecuada de los recursos tecnológicos.

8.2 POLÍTICA DE CLASIFICACIÓN Y MANEJO DE LA INFORMACIÓN El Instituto Nacional de Vías INVIAS definirá los niveles más adecuados para clasificar su información de acuerdo con su sensibilidad e importancia, y generará guías de clasificación de la información para que los propietarios de la misma puedan catalogarla y se puedan determinar controles específicos para su protección. La información que genera el instituto está clasificada como publica, excepto aquella que por ley tenga reserva. Normas para la clasificación y manejo de la información La Oficina Asesora Jurídica debe definir los niveles de clasificación de la información

para el instituto.

La Oficina Asesora de Planeación debe socializar y divulgar las guías de clasificación de la información a los funcionarios y contratistas del instituto.



CÓDIGO ETICOM-MN-6

VERSIÓN 1

PÁGINA 11 DE 51

ELABORADO



REVISADO


Octubre 15 de 2015

APROBADO


El Grupo TI de la Oficina Asesora de Planeación debe proveer los métodos de cifrado de la información, así como debe administrar el software o herramienta utilizado para tal fin.

La Oficina Asesora de Planeación debe garantizar la eliminación segura de la información en la plataforma tecnológica, cuando los equipos son dados de baja o cambian de usuario.

El Grupo TI de la Oficina Asesora de Planeación debe implantar los mecanismos de control necesarios para garantizar la confidencialidad, integridad y disponibilidad de la información que se encuentra en los recursos tecnológicos bajo su custodia.

El Instituto debe adoptar los procedimientos para que los funcionarios y personal provisto por terceros tengan controles en el acceso, divulgación, almacenamiento, copia, transmisión, etiquetado y eliminación de la información contenida en los recursos tecnológicos, así como de la información física del instituto.

La información física y electrónica del instituto debe tener un periodo de almacenamiento que debe ser establecido por las tablas de retención documental.

8.3 POLÍTICA DE USO DE PERIFERICOS Y MEDIOS DE ALMACENAMIENTO El uso de periféricos y medios de almacenamiento en los recursos de la plataforma tecnológica del Instituto Nacional de Vías INVIAS será autorizado por el Grupo TI de la Oficina Asesora de Planeación, considerando las labores realizadas por los funcionarios y su necesidad de uso. Normas uso de periféricos y medios de almacenamiento El Grupo TI de la Oficina Asesora de Planeación debe establecer los lineamientos y

condiciones de uso de periféricos y medios de almacenamiento en la plataforma tecnológica del INVIAS, así como implantar los controles que regulen su uso.

Los funcionarios del instituto y el personal provisto por terceras partes no deben modificar la configuración de periféricos y medios de almacenamiento establecidos por el Grupo TI de la Oficina Asesora de Planeación.



CÓDIGO ETICOM-MN-6

VERSIÓN 1

PÁGINA 12 DE 51

ELABORADO



REVISADO


Octubre 15 de 2015

APROBADO


8.4 POLITICAS DE USO DE DISPOSITIVOS MÓVILES El Instituto Nacional de Vías INVIAS proveerá las condiciones para el manejo de los dispositivos móviles institucionales y será responsabilidad de los funcionarios el uso responsable de éstos. Normas de uso de dispositivos móviles La Subdirección Administrativa debe entregar los dispositivos móviles a la Grupo TI de

la Oficina Asesora de Planeación para configurarlos de acuerdo con los protocolos de seguridad establecidos.

El Grupo TI de la Oficina Asesora de Planeación debe activar la opción de cifrado de la memoria de almacenamiento de los dispositivos móviles institucionales haciendo imposible la copia o extracción de datos si no se conoce el método de desbloqueo.

El Grupo TI de la Oficina Asesora de Planeación debe instalar un software de antivirus que prevenga la presencia de virus informáticos, así como configurar la opción de borrado remoto de información en los dispositivos móviles institucionales, con el fin de eliminar los datos de dichos dispositivos y restaurarlos a los valores de fábrica, de forma remota.

Los usuarios no deben modificar las configuraciones de seguridad de los dispositivos móviles institucionales bajo su responsabilidad, ni desinstalar el software provisto con ellos al momento de su entrega.

Los usuarios deben evitar la instalación de programas desde fuentes desconocidas; se deben instalar aplicaciones únicamente desde los repositorios oficiales de los dispositivos móviles institucionales.

Los usuarios deben, cada vez que el sistema de sus dispositivos móviles corporativos notifique de una actualización disponible, aceptar y aplicar la nueva versión.

Los usuarios deben evitar conectar los dispositivos móviles corporativos asignados por puerto USB a cualquier computador público, de hoteles o cafés internet, entre otros.



CÓDIGO ETICOM-MN-6

VERSIÓN 1

PÁGINA 13 DE 51

ELABORADO



REVISADO


Octubre 15 de 2015

APROBADO


Los usuarios deben evitar almacenar videos, fotografías o información personal en los dispositivos móviles institucionales asignados.

9. POLÍTICAS DE CONTROL DE ACCESO LOGICO

9.1 POLÍTICA DE ACCESO A REDES Y RECURSOS DE RED El Grupo TI de la Oficina Asesora de Planeación del Instituto Nacional de Vías INVIAS garantizará que las redes y recursos de red del instituto estén debidamente protegidos contra accesos no autorizados, a través de mecanismos de control de acceso lógico. Normas de acceso a redes y recursos de red

El Grupo TI de la Oficina Asesora de Planeación debe establecer procedimientos de autorización y controles para proteger el acceso a las redes de datos y los recursos de red del instituto.

El Grupo TI de la Oficina Asesora de Planeación debe asegurar que las redes inalámbricas del instituto cuenten con métodos de autenticación para su acceso.

El Grupo TI de la Oficina Asesora de Planeación debe establecer controles para la identificación y autenticación de los usuarios provistos por terceras partes.

El Grupo TI de la Oficina Asesora de Planeación debe verificar periódicamente los controles de acceso para los usuarios, con el fin de garantizar que dichos usuarios tengan acceso permitido únicamente a aquellos recursos de red y servicios de la plataforma tecnológica para los que fueron autorizados.

Los funcionarios y personal provisto por terceras partes, antes de contar con acceso lógico a la red de datos del instituto, deben contar con Acuerdo de Confidencialidad firmado previamente, que contiene condiciones de aceptación de responsabilidades frente a la seguridad de la información.

Los equipos de cómputo de usuario final que se conecten o deseen conectarse a la red de datos del Instituto Nacional de Vías INVIAS deben cumplir con todos los requisitos o controles para autenticarse en ella y únicamente podrán realizar las tareas para las que fueron autorizados.



CÓDIGO ETICOM-MN-6

VERSIÓN 1

PÁGINA 14 DE 51

ELABORADO



REVISADO


Octubre 15 de 2015

APROBADO


9.2 POLÍTICA DE ADMINISTRACIÓN DE ACCESO DE USUARIOS El Instituto Nacional de Vías INVIAS garantizará el establecimiento de lineamientos y derechos para el control de acceso lógico de cada usuario o grupo de usuarios a las redes de datos, los recursos tecnológicos y los sistemas de información del instituto. Así mismo, velará porque los funcionarios y el personal provisto por terceras partes tengan acceso únicamente a la información necesaria para el desarrollo de sus labores y garantizará que la asignación de los derechos de acceso esté regulada por normas y procedimientos. Normas de administración de acceso de usuarios El Grupo TI de la Oficina Asesora de Planeación debe establecer un procedimiento

formal para la administración del acceso de los usuarios en las redes de datos, los recursos tecnológicos y sistemas de información del instituto.

El Grupo TI de la Oficina Asesora de Planeación, previa aprobación de los Jefes inmediatos de los solicitantes de las cuentas de usuario y de los propietarios de los sistemas de información, debe crear, modificar, bloquear o eliminar cuentas de usuarios y perfiles sobre las redes de datos, recursos tecnológicos y sistemas de información.

El Grupo TI de la Oficina Asesora de Planeación debe establecer un procedimiento que asegure la eliminación, reasignación o bloqueo de los derechos de acceso otorgados sobre los recursos tecnológicos y los sistemas de información de manera oportuna, cuando los funcionarios se desvinculan, toman licencias, vacaciones, son trasladados o cambian de cargo.

El Grupo TI de la Oficina Asesora de Planeación debe definir políticas de contraseñas que aplicaran sobre la plataforma tecnológica y los sistemas de información del INVIAS; dichas políticas debe considerar aspectos como longitud, complejidad, cambio periódico, control histórico, bloqueo por número de intentos fallidos en la autenticación y cambio de contraseña en el primer acceso, entre otros.

El Grupo TI de la Oficina Asesora de Planeación debe verificar periódicamente las novedades de personal y validar la eliminación, reasignación o bloqueo de las cuentas de acceso de los recursos tecnológicos y sistemas de información.



CÓDIGO ETICOM-MN-6

VERSIÓN 1

PÁGINA 15 DE 51

ELABORADO



REVISADO


Octubre 15 de 2015

APROBADO


El Grupo TI de la Oficina Asesora de Planeación debe verificar y ratificar

periódicamente todas las autorizaciones y perfiles sobre sus recursos tecnológicos, así como las áreas propietarias deben hacerlo sobre los sistemas de información.

9.3 POLÍTICA DE RESPONSABILIDADES DE ACCESO DE LOS USUARIOS

Los usuarios de los recursos tecnológicos y los sistemas de información del Instituto Nacional de Vías INVIAS realizarán un uso adecuado y responsable de los mismos, salvaguardando la información de acceso a ellos. Normas de responsabilidades de acceso de los usuarios Los usuarios de la plataforma tecnológica y los sistemas de información del Instituto

Nacional de Vías INVIAS son responsables de las acciones realizadas en los mismos, así como del usuario y contraseña (o cualquier método de autenticación) asignados para el acceso a estos.

Los funcionarios, contratistas y personal provisto por terceras partes no deben compartir sus cuentas de usuario y contraseñas con otros usuarios, con el fin de garantizar una gestión y administración adecuada de las cuentas de usuario y contraseñas y protección de la información.

9.4 POLÍTICA DE USO DE PRIVILEGIOS Y UTILITARIOS DE ADMINISTRACION El Instituto Nacional de Vías INVIAS, a través del Grupo TI de la Oficina Asesora de Planeación, velará porque los recursos de la plataforma tecnológica del instituto sean operados y administrados en condiciones controladas, éticas y de seguridad, que permitan un monitoreo posterior de la actividad de los usuarios administradores. Normas de uso de privilegios y utilitarios de administración

El Grupo TI de la Oficina Asesora de Planeación debe otorgar los privilegios para

administración de recursos tecnológicos, servicios de red y sistemas de información sólo a aquellos funcionarios designados para dichas funciones.



CÓDIGO ETICOM-MN-6

VERSIÓN 1

PÁGINA 16 DE 51

ELABORADO



REVISADO


Octubre 15 de 2015

APROBADO


El Grupo TI de la Oficina Asesora de Planeación debe establecer cuentas personalizadas con privilegios para cada uno de los administradores de los recursos tecnológicos, servicios de red y sistemas de información.

El Grupo TI de la Oficina Asesora de Planeación debe garantizar que los administradores de los recursos tecnológicos no tengan acceso a sistemas de información en producción.

El Grupo TI de la Oficina Asesora de Planeación debe restringir las conexiones remotas a los recursos de la plataforma tecnológica.

El Grupo TI de la Oficina Asesora de Planeación debe modificar los usuarios o perfiles de usuario que traen por defecto los sistemas operativos y las bases de datos, así como sus contraseñas.

El Grupo TI de la Oficina Asesora de Planeación no debe hacer uso de los utilitarios que permiten acceso a los sistemas operativos o conexión a las bases de datos para acceder directamente a los datos y pasar por alto la seguridad de los sistemas de información del INVIAS.

El Grupo TI de la Oficina Asesora de Planeación debe deshabilitar las funcionalidades o servicios no utilizados de los sistemas operativos y las bases de datos para optimizar recursos de procesamiento y evitar accesos no autorizados. Se debe instalar el conjunto mínimo de funcionalidades, servicios y utilitarios.

La Oficina Asesora de Planeación debe revisar periódicamente la actividad de los usuarios con privilegios de administración en los registros de auditoria de la plataforma tecnológica y los sistemas de información.

9.5 POLÍTICA DE CONTROL DE ACCESO A SISTEMAS DE INFORMACION El Grupo TI de la Oficina Asesora de Planeación, responsable de los sistemas de información y aplicativos del Instituto Nacional de Vías INVIAS, garantizará que los sistemas de información que apoyan los procesos del instituto sean debidamente protegidos contra accesos no autorizados a través de mecanismos de control de acceso lógico.



CÓDIGO ETICOM-MN-6

VERSIÓN 1

PÁGINA 17 DE 51

ELABORADO



REVISADO


Octubre 15 de 2015

APROBADO


Así mismo, velará porque los terceros proveedores de sistemas de información acojan buenas prácticas de desarrollo en los productos generados para controlar el acceso lógico y evitar accesos no autorizados a los sistemas administrados. Normas de control de acceso a sistemas de información

El Grupo TI de la Oficina Asesora de Planeación debe establecer procedimientos de

autorización y controles como: privilegios, restricciones de acceso a funcionalidades y datos requeridos para proteger el acceso a los sistemas y aplicativos del Instituto Nacional de vías INVIAS.

El Grupo TI de la Oficina Asesora de Planeación debe establecer los procedimientos y los controles de acceso a los ambientes de producción de los sistemas de información; así mismo, debe garantizar que los terceros proveedores de sistemas de información posean acceso limitado y controlado a los datos y archivos que se encuentren en los ambientes de producción.

El Grupo TI de la Oficina Asesora de Planeación debe proporcionar repositorios de archivos fuente de los sistemas de información; estos deben contar con acceso controlado y restricción de privilegios, además de un registro de acceso a dichos archivos.

Los terceros proveedores de sistemas de información deben asegurar que los sistemas construidos requieran autenticación para todos los recursos y páginas, excepto aquellas específicamente clasificadas como públicas.

Los terceros proveedores de sistemas de información deben garantizar que no se almacenen contraseñas, cadenas de conexión u otra información sensible en texto claro y que se implementen controles de integridad de dichas contraseñas.

Los terceros proveedores de sistemas de información deben garantizar que los controles de autenticación cuando fallen, lo hagan de una forma segura, evitando indicar específicamente cual fue la falla durante el proceso de autenticación y, en su lugar, generando mensajes generales de falla.



CÓDIGO ETICOM-MN-6

VERSIÓN 1

PÁGINA 18 DE 51

ELABORADO



REVISADO


Octubre 15 de 2015

APROBADO


Los terceros proveedores de sistemas de información deben asegurar que no se despliegan en la pantalla las contraseñas ingresadas, así como deben deshabilitar la funcionalidad de recordar campos de contraseñas.

Los terceros proveedores de sistemas de información deben garantizar que se deshabilitan las cuentas luego de un número establecido de intentos inválidos de ingreso a los sistemas desarrollados.

Los terceros proveedores de sistemas de información deben asegurar que si se utiliza la reasignación de contraseñas, únicamente se envíe un enlace o contraseñas temporales a cuentas de correo electrónico previamente registradas en el Directorio Activo, las cuales deben tener un corto periodo de validez; se deben forzar el cambio de las contraseñas temporales después de su utilización.

Los terceros proveedores de sistemas de información deben garantizar que el último acceso (fallido o exitoso) sea reportado al usuario en su siguiente acceso exitoso a los sistemas de información.

Los terceros proveedores de sistemas de información deben asegurar la re-autenticación de los usuarios antes de la realización de operaciones críticas en los aplicativos.

Los terceros proveedores de sistemas de información deben restringir acceso a archivos u otros recursos, a direcciones URL protegidas, a funciones protegidas, a servicios, a información de las aplicaciones, a atributos y políticas utilizadas por los controles de acceso y a la información relevante de la configuración, solamente a usuarios autorizados.

Los terceros proveedores de sistemas de información deben limitar el número de sesiones sobre el mismo sistema de información que un usuario o un dispositivo puede ejecutar en un cierto período de tiempo.

10. POLÍTICAS DE CONTROL DE ACCESO FISICO

10.1 POLÍTICA DE SEGURIDAD FISICA



CÓDIGO ETICOM-MN-6

VERSIÓN 1

PÁGINA 19 DE 51

ELABORADO



REVISADO


Octubre 15 de 2015

APROBADO


El Instituto Nacional de VIAS INVIAS realizará la implantación y garantizará la efectividad de los mecanismos de seguridad física y control de acceso que aseguren el perímetro de sus instalaciones. Del mismo modo, controlará las amenazas físicas externas e internas y las condiciones medioambientales de dichas instalaciones. Normas de seguridad física

El Grupo TI de la Oficina Asesora de Planeación debe garantizar la efectividad de los mecanismos de seguridad física y control de acceso a los centros de cómputo, centros de cableado y otras áreas de procesamiento de la información.

Las solicitudes de acceso a los centros de cómputo o a los centros de cableado deben ser aprobadas por funcionarios del Grupo TI de la Oficina Asesora de Planeación; no obstante, los visitantes siempre deberán estar acompañados de un funcionario de dicho grupo durante su visita a estos centros de cómputo o centros de cableado.

El Grupo TI de la Oficina Asesora de Planeación debe registrar el ingreso de los visitantes a los centros de cómputo o a los centros de cableado en una bitácora ubicada en la entrada de estos lugares de forma visible.

El Grupo TI de la Oficina Asesora de Planeación debe descontinuar o modificar de manera inmediata los privilegios de acceso físico a los centros de cómputo y los centros de cableado en los eventos de desvinculación o cambio en las labores de un funcionario autorizado.

El Instituto debe proveer las condiciones físicas y medioambientales necesarias para garantizar la protección y correcta operación de los recursos de la plataforma tecnológica ubicados en los centros de cómputo; deben existir sistemas de control ambiental de temperatura y humedad (aire acondicionado), sistemas de detección y extinción de incendios, sistemas de descarga eléctrica, sistemas de vigilancia y monitoreo y alarmas en caso de detectarse condiciones ambientales inapropiadas. Estos componentes de soporte físico, eléctrico y ambiental se deben monitorear de manera permanente.

El Grupo TI de la Oficina Asesora de Planeación debe garantizar que el cableado se encuentra protegido con el fin de disminuir las intercepciones o daños.



CÓDIGO ETICOM-MN-6

VERSIÓN 1

PÁGINA 20 DE 51

ELABORADO



REVISADO


Octubre 15 de 2015

APROBADO


El Grupo TI de la Oficina Asesora de Planeación debe velar porque los recursos de la plataforma tecnológica del instituto, ubicados en los centros de cómputo, se encuentran protegidos contra fallas o interrupciones eléctricas.

El Grupo TI de la Oficina Asesora de Planeación debe velar porque los centros de cómputo y los centros de cableado se encuentren separados de áreas que tengan líquidos inflamables o que corran riesgo de inundaciones e incendios.

El Grupo TI de la Oficina Asesora de Planeación debe asegurar que las labores de mantenimiento de redes eléctricas, voz y datos, sean realizadas por personal idóneo y apropiadamente autorizado e identificado; así mismo, se debe llevar control de la programación de los mantenimientos preventivos.

Los Directores o Jefes de Oficina deben velar porque las contraseñas de sistemas de alarma, cajas fuertes, llaves y otros mecanismos de seguridad de acceso a sus áreas solo sean utilizados por los funcionarios autorizados y, salvo situaciones de emergencia, estos no sean transferidos a otros funcionarios del instituto.

La Subdirección Administrativa, conjuntamente con la Oficina Asesora de Planeación, debe proporcionar los recursos necesarios para ayudar a proteger, regular y velar por el perfecto estado de los controles físicos implantados.

La Subdirección Administrativa debe identificar mejoras a los mecanismos implantados o de ser necesario la implementación de nuevos mecanismos, con el fin de garantizar la seguridad física del instituto.

La Subdirección Administrativa, conjuntamente con la Oficina Asesora de Planeación, debe almacenar y custodiar los registros del sistema de control de acceso a las instalaciones del Instituto Nacional de Vías INVIAS.

Las entradas y salidas de personal a las instalaciones del instituto deben ser registrados en el sistema de control de acceso.

Los funcionarios deben portar el carné que los identifica como tales, en un lugar visible mientras se encuentren en las instalaciones del instituto; de manera adicional, en caso de pérdida del carné o tarjeta de acceso a las instalaciones, deben reportarlo a la brevedad posible.



CÓDIGO ETICOM-MN-6

VERSIÓN 1

PÁGINA 21 DE 51

ELABORADO



REVISADO


Octubre 15 de 2015

APROBADO


Los funcionarios y el personal provisto por terceras partes solo deben ingresar a áreas

a las cuales han sido autorizados. 10.2 POLÍTICA DE SEGURIDAD PARA LOS EQUIPOS INSTITUCIONALES El Instituto Nacional de Vías INVIAS, proveerá los controles que minimicen los riesgos sobre los recursos de la plataforma tecnológica, para evitar la pérdida, robo o exposición al peligro de los mismos que se encuentren dentro o fuera de sus instalaciones. Normas de seguridad para los equipos institucionales El Grupo TI de la Oficina Asesora de Planeación debe proveer los mecanismos y

estrategias necesarios para garantizar la confidencialidad, integridad y disponibilidad de los recursos tecnológicos, dentro y fuera de las instalaciones del instituto.

La entrada y salida de equipos de cómputo, servidores, equipos portátiles y demás recursos tecnológicos de las instalaciones del Instituto Nacional de Vías INVIAS debe estar adecuadamente autorizado por el Grupo TI de la Oficina Asesora de Planeación y la Subdirección Administrativa.

El Grupo TI de la Oficina Asesora de Planeación debe procurar la realización de mantenimientos preventivos y correctivos de los recursos tecnológicos del instituto.

La Subdirección Administrativa debe garantizar que los recursos de la plataforma tecnológica posean pólizas de seguro.

El Grupo TI de la Oficina Asesora de Planeación es la única área autorizada para realizar movimientos y asignaciones de recursos tecnológicos; por consiguiente, se encuentra prohibida la disposición que pueda hacer cualquier funcionario de los mismos.

El Grupo TI de la Oficina Asesora de Planeación debe establecer un bloqueo automático de los equipos de cómputo institucionales por inactividad, pasado un periodo de tiempo establecido.



CÓDIGO ETICOM-MN-6

VERSIÓN 1

PÁGINA 22 DE 51

ELABORADO



REVISADO


Octubre 15 de 2015

APROBADO


Los equipos portátiles y dispositivos móviles que se encuentren fuera de las instalaciones del instituto deben contar con medidas de protección de la información, establecidas por la Oficina Asesora de Planeación.

Los equipos de cómputo, dispositivos móviles y demás recursos tecnológicos asignados a los funcionarios, contratistas y personal provisto por terceras partes deben acoger las instrucciones técnicas que proporcione el Grupo TI de la Oficina Asesora de Planeación.

Cuando se presente una falla o problema de hardware o software en un equipo de cómputo u otro recurso tecnológico propiedad del instituto, el usuario responsable debe informar al Grupo TI de la Oficina Asesora de Planeación, con el fin de realiza una asistencia adecuada. El usuario no debe intentar solucionar el problema.

La instalación, reparación o retiro de cualquier componente de hardware o software de los equipos de cómputo, dispositivos móviles y demás recursos tecnológicos del INVIAS, sólo puede ser realizado por los funcionarios del Grupo TI de la Oficina Asesora de Planeación.

Los usuarios deben bloquear sus equipos de cómputo en el momento de abandonar su puesto de trabajo.

Los funcionarios del Instituto Nacional de Vías INVIAS deben apagar los equipos de cómputo u otros recursos tecnológicos en horas no laborables.

11. POLITICAS DE NO REPUDIO Y AUTENTICIDAD DE LA INFORMACION 11.1 POLÍTICA DE INTERCAMBIO DE INFORMACIÓN El Instituto Nacional de Vías INVIAS garantizará la protección de la información en el momento de ser transferida o intercambiada con otras entidades, acogiendo y aplicando los procedimientos de transferencia de información de acuerdo con su nivel de clasificación; así mismo, se establecerán Acuerdos de Confidencialidad y/o de Intercambio de Información con las terceras partes con quienes se realice dicho intercambio. Normas de intercambio de información



CÓDIGO ETICOM-MN-6

VERSIÓN 1

PÁGINA 23 DE 51

ELABORADO



REVISADO


Octubre 15 de 2015

APROBADO


La Oficina Asesora de Planeación debe definir y establecer los procedimientos de intercambio de información electrónica y física, que contemplen la utilización de medios de transmisión confiables y la adopción de los controles establecidos, con el fin de proteger la confidencialidad e integridad de la misma.

La Oficina Asesora de Planeación debe velar porque el intercambio de información del INVIAS con entidades externas acoja el cumplimiento de los Acuerdos de Intercambio de Información y los procedimientos definidos para los diferentes niveles de clasificación de la información.

11.2 POLITICAS PARA USO DE CONEXIONES REMOTAS El Instituto Nacional de Vías INVIAS establecerá las circunstancias para el establecimiento de conexiones remotas y la realización de teletrabajo y suministrará las herramientas y controles necesarios para que se realice de manera segura. Normas para uso de conexiones remotas El Grupo TI de la Oficina Asesora de Planeación debe implantar los métodos y

controles de seguridad para establecer conexiones remotas hacia la plataforma tecnológica del instituto.

El Grupo TI de la Oficina Asesora de Planeación debe controlar y monitorear las conexiones remotas a los recursos de la plataforma tecnológica. Las autorizaciones serán temporales y al culminar el periodo de autorización serán bloqueadas.

La Oficina Asesora de Planeación debe analizar y aprobar los métodos de conexión remota a la plataforma tecnológica del Instituto Nacional de Vías INVIAS.

11.3 POLITICAS PARA REVISION INDEPENDIENTE Y AUDITORIA El Instituto Nacional de Vías INVIAS promoverá la realización de revisiones independientes y auditorías al Sistema de Gestión de Seguridad de la Información (SGSI) y sus diferentes componentes para verificar su nivel de cumplimiento con los lineamientos de Gobierno en Línea (GEL). Normas para revisión independiente y auditoría



CÓDIGO ETICOM-MN-6

VERSIÓN 1

PÁGINA 24 DE 51

ELABORADO



REVISADO


Octubre 15 de 2015

APROBADO


La Oficina de Control Interno deberá realizar auditorías o revisiones independientes al

Sistema de Gestión de Seguridad de la Información (SGSI) del instituto con una periodicidad establecida y efectuar las recomendaciones a que haya lugar para la mejora continua del sistema.

El Instituto deberá realizar o contratar con terceros el monitoreo del cumplimiento de las políticas, normas y procedimientos de seguridad de la información, así como el cumplimiento técnico (estándares de configuración y control de vulnerabilidades) de la plataforma tecnológica y los sistemas de información.

12. POLITICAS DE PRIVACIDAD Y CONFIDENCIALIDAD DE LA INFORMACION 12.1 POLÍTICA DE CONFIDENCIALIDAD DE LA INFORMACION El Instituto Nacional de Vías INVIAS velará por mantener la confidencialidad de la información generada y procesada por sus funcionarios, así como contratistas, proveedores y otros terceros que tenga acceso a fuentes o repositorios de información del instituto. Normas de confidencialidad de la información La Subdirección Administrativa debe garantizar que los funcionarios del instituto firmen

un Acuerdo de Confidencialidad y un documento de Aceptación de las Políticas de Seguridad de la Información; estos documentos hacen parte de la hoja de vida del funcionario.

La Oficina Asesora Jurídica debe definir los Acuerdos de Confidencialidad y/o de Intercambio de Información entre el instituto y terceras partes incluyendo los compromisos adquiridos y las penalidades civiles o penales por el incumplimiento de dichos acuerdos.

12.2 POLÍTICA DE PRIVACIDAD Y PROTECCION DE DATOS PERSONALES El Instituto Nacional de Vías INVIAS acogerá las medidas de ley para la protección de los datos personales de sus funcionarios, contratistas, proveedores y demás terceros de los cuales reciba y administre información.



CÓDIGO ETICOM-MN-6

VERSIÓN 1

PÁGINA 25 DE 51

ELABORADO



REVISADO


Octubre 15 de 2015

APROBADO


Normas de privacidad y protección de datos personales Las áreas que procesan datos personales de funcionarios, contratistas, proveedores u

otras terceras partes deben obtener la autorización para el tratamiento de estos datos con el fin de recolectar, transferir, almacenar, usar, circular, suprimir, compartir, actualizar y transmitir dichos datos personales en el desarrollo de las actividades del instituto.

Las áreas que procesan datos personales de funcionarios, contratistas, proveedores u otras terceras partes deben asegurar que solo aquellas personas que tengan una necesidad legítima puedan tener acceso a dichos datos.

Las áreas que procesan datos personales de funcionarios, contratistas, proveedores u otras terceras partes deben acoger las directrices técnicas y procedimientos establecidos para el intercambio de estos datos con los terceros delegados para el tratamiento de dichos datos personales, en caso de que se presente esta situación.

El Grupo TI de la Oficina Asesora de Planeación debe implantar los controles necesarios para proteger la información personal de los funcionarios, contratistas, proveedores u otras terceras partes almacenada en bases de datos o cualquier otro repositorio y evitar su divulgación, alteración o eliminación sin la autorización requerida.

Los usuarios deben guardar la discreción correspondiente, o la reserva absoluta con respecto a la información del instituto o de sus funcionarios de la cual tengan conocimiento en el ejercicio de sus funciones en cumplimiento de los Acuerdos de Confidencialidad.

Es deber de los usuarios, verificar la identidad de todas aquellas personas, a quienes se les entrega información por teléfono, personalmente, por correo electrónico o por correo certificado, entre otros.

13. POLITICAS DE INTEGRIDAD DE LA INFORMACION 13.1 POLÍTICA DE CONTROLES CRIPTOGRAFICOS



CÓDIGO ETICOM-MN-6

VERSIÓN 1

PÁGINA 26 DE 51

ELABORADO



REVISADO


Octubre 15 de 2015

APROBADO


El Instituto Nacional de vías INVIAS velará porque la información del instituto clasificada como sensitiva o no pública, será cifrada al momento de almacenarse y transmitirse por cualquier medio para preservar su integridad. Normas de controles criptográficos

El Grupo TI de la Oficina Asesora de Planeación debe velar porque la información

electrónica clasificada como no pública sea almacenada y/o transmitida bajo técnicas de cifrado con el propósito de proteger su confidencialidad e integridad.

El Grupo TI de la Oficina Asesora de Planeación debe verificar que todo sistema de información o aplicativo que requiera realizar transmisión de información no pública, cuente con mecanismos de cifrado de datos.

El Grupo TI de la Oficina Asesora de Planeación debe corroborar los requisitos legales aplicables a la utilización de mecanismos de cifrado para la información.

El Grupo TI de la Oficina Asesora de Planeación debe desarrollar y establecer un procedimiento para el manejo y la administración de llaves de cifrado, siempre y cuando se usen.

El Grupo TI de la Oficina Asesora de Planeación debe declarar que sus funcionarios comprenden y aceptan la responsabilidad de custodia de las llaves de cifrado y las demás responsabilidades asociadas al rol.

14. POLITICAS DE DISPONIBILIDAD DEL SERVICIO Y LA INFORMACION 14.1 POLÍTICA DE COPIAS DE RESPALDO DE LA INFORMACIÓN El Instituto Nacional de Vías INVIAS garantizará la generación de copias de respaldo y almacenamiento de su información crítica, proporcionando los recursos necesarios y estableciendo los procedimientos y mecanismos para la realización de estas actividades. Normas de copias de respaldo de la información



CÓDIGO ETICOM-MN-6

VERSIÓN 1

PÁGINA 27 DE 51

ELABORADO



REVISADO


Octubre 15 de 2015

APROBADO


El Grupo TI de la Oficina Asesora de Planeación debe crear y adoptar los procedimientos para la generación, restauración, almacenamiento y tratamiento para las copias de respaldo de la información, garantizando su integridad y disponibilidad.

Es responsabilidad de los usuarios de la plataforma tecnológica del instituto identificar la información crítica almacenada en sus estaciones de trabajo o dispositivos móviles, que debe ser respaldada y almacenada de manera segura.

El Grupo TI de la Oficina Asesora de Planeación debe ejecutar el procedimiento para realizar pruebas de recuperación a las copias de respaldo, para así comprobar su integridad y posibilidad de uso en caso de ser necesario.

El Grupo TI de la Oficina Asesora de Planeación debe definir las condiciones de transporte o transmisión y custodia de las copias de respaldo de la información almacenadas externamente.

14.2 POLÍTICA DE INCLUSION DE CONSIDERACIONES DE SEGURIDAD DE LA INFORMACION EN LA CONTINUIDAD, CONTINGENCIA, RECUPERACIÓN Y RETORNO A LA NORMALIDAD El Instituto Nacional de Vías INVIAS proporcionará los recursos para proveer una respuesta efectiva de funcionarios y procesos en caso de contingencia o eventos catastróficos que se presenten en el instituto y que afecten la continuidad de su operación; así mismo, velara por la seguridad de la información durante la ocurrencia de eventos catastróficos. Normas de inclusión de consideraciones de seguridad de la información en la continuidad, contingencia, recuperación y retorno a la normalidad La Oficina Asesora de Planeación debe realizar los análisis de impacto al negocio y

los análisis de riesgos de continuidad para, posteriormente proponer posibles estrategias de recuperación en caso de activarse el plan de contingencia o continuidad, con las consideraciones de seguridad de la información a que haya lugar.

La Oficina Asesora de Planeación, en conjunto con el Comité de Desarrollo Administrativo, debe seleccionar las estrategias de recuperación más convenientes para el instituto.



CÓDIGO ETICOM-MN-6

VERSIÓN 1

PÁGINA 28 DE 51

ELABORADO



REVISADO


Octubre 15 de 2015

APROBADO


La Oficina Asesora de Planeación, en conjunto con el Comité de Desarrollo

Administrativo, debe aprobar los procedimientos de contingencia, recuperación y retorno a la normalidad los cuales deben incluir consideraciones de seguridad de la información.

La Oficina Asesora de Planeación, en conjunto con el Comité de Desarrollo Administrativo, debe identificar y designar responsables que deben actuar en momentos de emergencia o desastre; dichos responsables deben ser capacitados en las actividades a realizar y los procedimientos a seguir en caso de un evento catastrófico.

La Oficina Asesora de Planeación, en conjunto con el Comité de Desarrollo Administrativo, debe garantizar la realización de pruebas periódicas del plan de recuperación ante desastres, verificando la seguridad de la información durante su realización y la documentación de dichas pruebas.

El Comité de Desarrollo Administrativo debe proveer un plan de recuperación ante desastres para los centros de cómputo y un conjunto de procedimientos de contingencia, recuperación y retorno a la normalidad para cada uno de los servicios prestados y sistemas provistos.

El Grupo TI de la Oficina Asesora de Planeación debe participar activamente en las pruebas de recuperación ante desastres y notificar los resultados al Comité de Desarrollo Administrativo.

Los Directores o Jefes de Oficina deben identificar y documentar los procedimientos de continuidad que podrían ser utilizados en caso de un evento adverso y ante la falta de disponibilidad de la plataforma tecnológica, teniendo en cuenta la seguridad de la información. Estos documentos deben ser probados para garantizar su efectividad.

14.3 POLÍTICA DE REDUNDANCIA

El Instituto Nacional de Vías INVIAS propenderá por la existencia de una plataforma tecnológica redundante que satisfaga los requerimientos de disponibilidad aceptables para el instituto.



CÓDIGO ETICOM-MN-6

VERSIÓN 1

PÁGINA 29 DE 51

ELABORADO



REVISADO


Octubre 15 de 2015

APROBADO


Normas de redundancia La Oficina Asesora de Planeación y el Grupo TI deben analizar y establecer los

requerimientos de redundancia para los sistemas de información críticos para el instituto y la plataforma tecnológica que los apoya.

La Oficina Asesora de Planeación y el Grupo TI deben evaluar y probar soluciones de redundancia tecnológica y seleccionar la solución que mejor cumple los requerimientos del instituto.

El Grupo TI de la Oficina Asesora de Planeación debe administrar las soluciones de redundancia tecnológica y realizar pruebas periódicas sobre dichas soluciones, para garantizar el cumplimiento de los requerimientos de disponibilidad del instituto.

15. POLITICAS DE REGISTRO Y AUDITORIA 15.1 POLÍTICA DE REGISTRO DE EVENTOS Y MONITOREO DE LOS RECURSOS TECNOLÓGICOS Y LOS SISTEMAS DE INFORMACIÓN La Oficina de Control Interno y la Oficina Asesora de Planeación realizarán monitoreo permanente del uso que dan los funcionarios, contratistas y el personal provisto por terceras partes a los recursos de la plataforma tecnológica y los sistemas de información del Instituto Nacional de Vías INVIAS. Además, velarán por la custodia de los registros de auditoria cumpliendo con los periodos de retención establecidos para dichos registros. Normas de registro de eventos y monitoreo de los recursos tecnológicos y los sistemas de información El Grupo TI de la Oficina Asesora de Planeación debe garantizar la integridad y

disponibilidad de los registros de auditoria generados en la plataforma tecnológica y los sistemas de información del INVIAS; dichos registros deben grabar los eventos correspondientes a la seguridad de la plataforma tecnológica y sistemas de información auditados. Estos registros se deben almacenar y solo deben ser accedidos por personal autorizado.

El Grupo TI de la Oficina Asesora de Planeación debe habilitar sistemas de monitoreo que permitan detectar incumplimientos a la Política de Control de Acceso, registrar



CÓDIGO ETICOM-MN-6

VERSIÓN 1

PÁGINA 30 DE 51

ELABORADO



REVISADO


Octubre 15 de 2015

APROBADO


eventos referentes a incidentes de seguridad y verificar el uso adecuado de la plataforma tecnológica y los sistemas de información del instituto.

La Oficina de Control Interno y la Oficina Asesora de Planeación deben determinar los periodos de retención de archivos de auditoria y los eventos a auditar en los recursos tecnológicos y los sistemas de información del instituto, con base en las tablas de retención documental.

La Oficina de Control Interno debe revisar periódicamente los archivos de auditoria de la plataforma tecnológica y los sistemas de información con el fin de identificar brechas de seguridad y otras actividades propias del monitoreo.

La adquisición de nuevo software debe garantizar el registro de logs de auditoría de las actividades realizadas por los usuarios finales y administradores en los sistemas de información intervenidos. Se deben utilizar controles de integridad sobre dichos registros.

En los aplicativos existentes y en los nuevos desarrollos se deben registrar en los logs de auditoría eventos como: transacciones sobre los datos, fallas de validación, intentos de autenticación fallidos y exitosos, fallas en los controles de acceso, intento de evasión de controles, excepciones de los sistemas, funciones administrativas y cambios de configuración de seguridad, fallas en los módulos criptográficos, entre otros.

16. POLÍTICAS DE LA ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN 16.1 POLÍTICA QUE RIGE LA ORGANIZACIÓN INTERNA El Instituto Nacional de Vías INVIAS establecerá un esquema de seguridad de la información en donde existan roles y responsabilidades de: administración, operación y gestión de la seguridad de la información. Normas que rigen la organización interna El Comité de Desarrollo Administrativo debe definir y establecer los roles y

responsabilidades relacionados con la seguridad de la información en todos los niveles.



CÓDIGO ETICOM-MN-6

VERSIÓN 1

PÁGINA 31 DE 51

ELABORADO



REVISADO


Octubre 15 de 2015

APROBADO


La Direccion General debe velar por la asignación de los recursos necesarios para la

gestión de la seguridad de la información del instituto.

La Oficina Asesora de Planeación debe liderar la generación de lineamientos para gestionar la seguridad de la información del instituto y el establecimiento de controles técnicos, físicos y administrativos derivados de análisis de riesgos de seguridad de la información.

La Oficina Asesora de Planeación debe validar y monitorear de manera periódica la implantación de los controles de seguridad establecidos.

El Grupo TI de la Oficina Asesora de Planeación debe asignar las funciones, roles y responsabilidades a sus funcionarios para la operación y administración de la plataforma tecnológica del instituto. Dichas funciones, roles y responsabilidades deben encontrarse documentadas y apropiadamente segregadas.

17. POLÍTICAS DE SEGURIDAD DEL PERSONAL 17.1 POLÍTICA RELACIONADA CON LA VINCULACIÓN DE FUNCIONARIOS. El Instituto Nacional de Vías INVIAS reconociendo la importancia que tiene el factor humano para el cumplimiento de sus objetivos misionales y con el interés de contar con el personal mejor calificado, garantizará que la vinculación de nuevos funcionarios y contratistas se realizará siguiendo un proceso formal de selección, acorde con la legislación vigente, el cual estará orientado a las funciones y roles que deben desempeñar en el ejercicio de sus funciones. Normas relacionadas con la vinculación de funcionarios La Subdirección Administrativa debe realizar el análisis de antecedentes para

confirmar la veracidad de la información suministrada por el personal candidato a ocupar un cargo en el Instituto Nacional de Vías INVIAS, antes de su vinculación definitiva.

La Subdirección Administrativa debe incluir los aspectos relacionados con seguridad de la información en el proceso de inducción a funcionarios y contratistas.



CÓDIGO ETICOM-MN-6

VERSIÓN 1

PÁGINA 32 DE 51

ELABORADO



REVISADO


Octubre 15 de 2015

APROBADO


Los funcionarios provistos por terceras partes, deben comprometerse con el

cumplimiento de los Acuerdo de Confidencialidad y aceptación de las Políticas de Seguridad de la Información del instituto.

El Grupo TI de la Oficina Asesora de Planeación debe verificar que estén suscritos los Acuerdos de Confidencialidad y la existencia de la documentación de Aceptación de Políticas para los funcionarios, contratistas y personal provisto por terceras partes, para otorgar acceso a la información del instituto.

17.2 POLÍTICA APLICABLE DURANTE LA VINCULACION DE FUNCIONARIOS Y CONTRATISTAS El Instituto Nacional de Vías INVIAS en su interés por proteger su información y los recursos de procesamiento de la misma promoverá que los funcionarios y contratistas cuenten con el nivel deseado de conciencia en seguridad de la información para la correcta gestión de los activos de información. Normas aplicables durante la vinculación de funcionarios y contratistas El Comité de Desarrollo Administrativo debe demostrar su compromiso con la

seguridad de la información por medio de su aprobación de las políticas, normas y demás lineamientos que desee establecer el instituto.

El Comité de Desarrollo Administrativo debe promover la importancia de la seguridad de la información entre los funcionarios y contratistas, así como motivar el entendimiento, la toma de conciencia y el cumplimiento de las políticas, normas, procedimientos y estándares para la seguridad de la información establecidos.

La Oficina Asesora de Planeación debe diseñar y ejecutar de manera permanente un programa de concienciación en seguridad de la información, con el objetivo de apoyar la protección adecuada de la información y de los recursos de procesamiento la misma.

La Subdirección Administrativa deberá convocar a los funcionarios y contratistas a los cursos de inducción, capacitación y entrenamiento del Programa de Concienciación en Seguridad de la Información.



CÓDIGO ETICOM-MN-6

VERSIÓN 1

PÁGINA 33 DE 51

ELABORADO



REVISADO


Octubre 15 de 2015

APROBADO


Quien conozca de algún incumplimiento de las políticas de seguridad de la información

debe escalarlo a su jefe inmediato.

El instituto debe aplicar las sanciones que por ley afecten o vulneren la seguridad de la información, de acuerdo con la normatividad vigente.

17.3 POLÍTICA DE DESVINCULACIÓN DE CONTRATISTAS; LICENCIAS, VACACIONES O CAMBIO DE LABORES DE LOS FUNCIONARIOS El Instituto Nacional de Vías INVIAS asegurará que sus funcionarios y contratistas serán desvinculados o reasignados para la ejecución de nuevas labores de una forma ordenada, controlada y segura. Normas para la desvinculación de contratistas; licencias, vacaciones o cambios de labores de los funcionarios La Subdirección Administrativa es responsable del proceso de desvinculación,

licencias, vacaciones o cambio de labores de los funcionarios del instituto llevando a cabo los procedimientos y ejecutando los controles establecidos para tal fin.

Las Unidades Ejecutoras son responsables del proceso de desvinculación de los contratistas llevando a cabo los procedimientos y ejecutando los controles establecidos para tal fin.

La Subdirección Administrativa y las Unidades Ejecutoras deben informar de manera inmediata al Grupo TI de la Oficina Asesora de Planeación de la desvinculación o cambio de labores de los funcionarios y desvinculación de contratistas, para la remoción o reasignación de privilegios en los recursos tecnológicos y/o sistemas de información.

18. POLÍTICAS DE SEGURIDAD EN LAS OPERACIONES 18.1 POLÍTICA DE ASIGNACIÓN DE RESPONSABILIDADES OPERATIVAS El Grupo TI de la Oficina Asesora de Planeación, encargado de la operación y administración de los recursos tecnológicos que apoyan los procesos del instituto,



CÓDIGO ETICOM-MN-6

VERSIÓN 1

PÁGINA 34 DE 51

ELABORADO



REVISADO


Octubre 15 de 2015

APROBADO


asignará funciones específicas a sus funcionarios y contratistas, quienes deben garantizar la adecuada operación y administración de los recursos tecnológicos, manteniendo y actualizando la documentación de los procesos operativos para la ejecución de dichas actividades. Así mismo, velará por la eficiencia de los controles implantados en los procesos operativos asociados a los recursos tecnológicos con el objeto de garantizar la confidencialidad, la integridad y la disponibilidad de la información manejada y asegurará que los cambios efectuados sobre los recursos tecnológicos, serán adecuadamente controlados y debidamente autorizados. El Instituto Nacional de Vías INVIAS propenderá por mantener la capacidad de procesamiento adecuada en sus recursos tecnológicos y sistemas de información, efectuando proyecciones de crecimiento y provisiones en la plataforma tecnológica con una periodicidad definida. Normas de asignación de responsabilidades operativas El Grupo TI de la Oficina Asesora de Planeación debe garantizar la documentación y

actualización de los procedimientos relacionados con la operación y administración de la plataforma tecnológica.

El Grupo TI de la Oficina Asesora de Planeación debe proveer los recursos necesarios para la implantación de controles con el fin de garantizar la separación de ambientes de desarrollo, pruebas y producción, teniendo en cuenta consideraciones como: control estricto para el intercambio de información entre los ambientes de desarrollo y producción, la inexistencia de compiladores, editores o fuentes en los ambientes de producción y un acceso diferente para cada uno de los ambientes.

El Grupo TI de la Oficina Asesora de Planeación debe garantizar la realización de estudios sobre la demanda y proyecciones de crecimiento de los recursos administrados (capacity planning) de manera periódica, con el fin de asegurar el desempeño y capacidad de la plataforma tecnológica.

18.2 POLÍTICA DE PROTECCIÓN FRENTE A SOFTWARE MALICIOSO El Instituto Nacional de Vías INVIAS proporcionará los mecanismos necesarios que garanticen la protección de la información y los recursos de procesamiento de la misma adoptando los controles necesarios para evitar la divulgación, modificación o daño



CÓDIGO ETICOM-MN-6

VERSIÓN 1

PÁGINA 35 DE 51

ELABORADO



REVISADO


Octubre 15 de 2015

APROBADO


permanente ocasionados por el contagio de software malicioso. Además, proporcionará los mecanismos para generar cultura de seguridad entre sus funcionarios frente a los ataques de software malicioso. Normas de protección frente a software malicioso

El Grupo TI de la Oficina Asesora de Planeación debe proveer herramientas tales

como antivirus, antimalware, antispam, antispyware, entre otras, que reduzcan el riesgo de contagio de software malicioso y respalden la seguridad de la información contenido y administrada en la plataforma tecnológica del instituto y los servicios que se ejecutan en la misma.

El Grupo TI de la Oficina Asesora de Planeación debe garantizar que el software de antivirus, antimalware, antispam y antispyware cuente con las licencias de uso, garantizando así su autenticidad y su posibilidad de actualización periódica frente a las últimas bases de datos de firmas del proveedor del servicio.

El Grupo TI de la Oficina Asesora de Planeación debe garantizar que la información almacenada en la plataforma tecnológica sea escaneada por el software de antivirus, incluyendo la información que se encuentra contenida y es transmitida por el servicio de correo electrónico.

El Grupo TI de la Oficina Asesora de Planeación debe garantizar que los usuarios no puedan realizar cambios en la configuración del software de antivirus, antispyware, antispam, antimalware.

El Grupo TI de la Oficina Asesora de Planeación debe garantizar que el software de antivirus, antispyware, antispam, antimalware, posea las últimas actualizaciones y parches de seguridad, para mitigar las vulnerabilidades de la plataforma tecnológica.

Los usuarios de recursos tecnológicos no deben cambiar o eliminar la configuración del software de antivirus, antispyware, antimalware, antispam definida por el Grupo TI de la Oficina Asesora de Planeación; por consiguiente, únicamente podrán realizar tareas de escaneo en diferentes medios.

Los usuarios de recursos tecnológicos deben ejecutar el software de antivirus, antispyware, antispam, antimalware sobre los archivos y/o documentos que son



CÓDIGO ETICOM-MN-6

VERSIÓN 1

PÁGINA 36 DE 51

ELABORADO



REVISADO


Octubre 15 de 2015

APROBADO


abiertos o ejecutados por primera vez, especialmente los que se encuentran en medios de almacenamiento externo o que provienen del correo electrónico.

Los usuarios deben garantizar que los archivos adjuntos de los correos electrónicos descargados de internet o copiados de cualquier medio de almacenamiento, provienen de fuentes conocidas y seguras para evitar el contagio de virus informáticos y/o instalación de software maliciosos en los recursos tecnológicos.

Los usuarios que sospechen o detecten alguna infección por virus informático y/o software malicioso, deben notificar al Grupo TI de la Oficina Asesora de Planeación para tome las medidas de control correspondientes.

18.3 POLITICA DE CONTROL AL SOFTWARE OPERATIVO El Instituto Nacional de Vías INVIAS, a través del Grupo TI de la Oficina Asesora de Planeación, designará responsables y establecerá procedimientos para controlar la instalación de software operativo, garantizará el soporte de los proveedores de dicho software y asegurará la funcionalidad de los sistemas de información que operan sobre la plataforma tecnológica cuando el software operativo es actualizado. Normas de control al software operativo El Grupo TI de la Oficina Asesora de Planeación debe establecer responsabilidades y

procedimientos para controlar la instalación de software en los sistemas operativos, que interactúen con los procedimientos de control de cambios existentes en el instituto.

El Grupo TI de la Oficina Asesora de Planeación debe garantizar que el software operativo instalado en la plataforma tecnológica del INVIAS cuente con soporte de los proveedores.

El Grupo TI de la Oficina Asesora de Planeación debe conceder accesos temporales y controlados a los proveedores para realizar las actualizaciones sobre el software operativo, así como monitorear dichas actualizaciones.



CÓDIGO ETICOM-MN-6

VERSIÓN 1

PÁGINA 37 DE 51

ELABORADO



REVISADO


Octubre 15 de 2015

APROBADO


El Grupo TI de la Oficina Asesora de Planeación debe proveer ambientes de pruebas para la actualización del software operativo con miras a realizar pruebas de funcionalidad antes de su aplicación en ambientes de producción.

La Oficina Asesora de Planeación y el Grupo TI deben validar los riesgos que genera la migración hacia nuevas versiones de los sistemas operativos. Se debe garantizar el correcto funcionamiento de sistemas de información y herramientas de software que se ejecutan sobre la plataforma tecnológica cuando el software operativo es actualizado.

El Grupo TI de la Oficina Asesora de Planeación debe implantar los controles necesarios para evitar la instalación de software en los equipos de cómputo del instituto.

18.4 POLÍTICA DE GESTIÓN DE VULNERABILIDADES La Oficina Asesora de Planeación del Instituto Nacional de Vías INVIAS revisará periódicamente la aparición de vulnerabilidades técnicas sobre los recursos de la plataforma tecnológica a través de la realización periódica de pruebas de vulnerabilidades, con el objetivo de realizar la corrección sobre los hallazgos arrojados por dichas pruebas. Normas para la gestión de vulnerabilidades

La Oficina Asesora de Planeación debe revisar periódicamente la aparición de nuevas

vulnerabilidades técnicas y debe reportarlas a los administradores de la plataforma tecnológica y los terceros proveedores de sistemas de información, con el fin de prevenir la exposición al riesgo de estos.

La Oficina Asesora de Planeación debe realizar o contratar a terceros para la realización de pruebas de vulnerabilidades, escaneo de sistemas y hacking ético con una periodicidad establecida, que cumplan con estándares internacionales.

La Oficina Asesora de Planeación debe generar los lineamientos y estándares a seguir para la configuración segura de la plataforma tecnológica.

El Grupo TI de la Oficina Asesora de Planeación debe establecer las restricciones y limitaciones para la instalación de software en los equipos de cómputo del instituto.



CÓDIGO ETICOM-MN-6

VERSIÓN 1

PÁGINA 38 DE 51

ELABORADO



REVISADO


Octubre 15 de 2015

APROBADO


El Grupo TI de la Oficina Asesora de Planeación debe configurar los recursos de la

plataforma tecnológica siguiendo los lineamientos y estándares de configuración segura establecidos.

El Grupo TI de la Oficina Asesora de Planeación debe generar y ejecutar o monitorear planes de acción para la mitigación de las vulnerabilidades técnicas detectadas en la plataforma tecnológica.

19. POLÍTICAS DE SEGURIDAD EN LAS COMUNICACIONES 19.1 POLÍTICA DE GESTION DE SEGURIDAD EN LAS REDES DE DATOS El Instituto Nacional de Vías INVIAS proveerá, a través del Grupo TI de la Oficina Asesora de Planeación, los mecanismos de control necesarios para garantizar la disponibilidad de las redes de datos y de los servicios que dependen de ellas; así mismo, velará por que se cuente con los mecanismos de seguridad que protejan la integridad y la confidencialidad de la información que se transporta a través de dichas redes de datos. Normas de gestión de seguridad en las redes de datos

El Grupo TI de la Oficina Asesora de Planeación debe adoptar medidas para

garantizar la disponibilidad de los recursos y servicios de red del INVIAS.

El Grupo TI de la Oficina Asesora de Planeación debe implantar controles para minimizar los riesgos de seguridad de la información transportada por medio de las redes de datos.

El Grupo TI de la Oficina Asesora de Planeación debe mantener las redes de datos segmentadas por dominios, grupos de servicios, grupos de usuarios, ubicación geográfica o cualquier otra tipificación que se considere conveniente para el instituto.

El Grupo TI de la Oficina Asesora de Planeación debe identificar los mecanismos de seguridad y los niveles de servicio de red requeridos e incluirlos en los Acuerdos de Servicios de red, cuando estos se contraten externamente.

19.2 POLÍTICA DE ASEGURAMIENTO DE LAS REDES DE DATOS



CÓDIGO ETICOM-MN-6

VERSIÓN 1

PÁGINA 39 DE 51

ELABORADO



REVISADO


Octubre 15 de 2015

APROBADO


El Instituto Nacional de Vías INVIAS propenderá por el aseguramiento de las redes de datos, el control del tráfico en dichas redes y la protección de la información sensible del instituto ante posibles eventos de acceso o divulgación no autorizados. Normas para el aseguramiento de las redes de datos El Grupo TI de la Oficina Asesora de Planeación debe establecer los estándares

técnicos de configuración de los dispositivos de seguridad y de red de la plataforma tecnológica del instituto.

La Oficina Asesora de Planeación debe realizar revisiones de las reglas de configuración de los dispositivos de seguridad y de red, de manera periódica.

El Grupo TI de la Oficina Asesora de Planeación debe instalar protección entre las redes internas del instituto y cualquier red externa, que este fuera de la capacidad de control y administración del INVIAS.

El Grupo TI de la Oficina Asesora de Planeación debe instalar y configurar los dispositivos de seguridad y de red de forma que restrinjan el tráfico entrante y saliente de las redes de datos del instituto.

El Grupo TI de la Oficina Asesora de Planeación debe velar por la confidencialidad de la información del direccionamiento y el enrutamiento de las redes de datos del INVIAS.

19.3 POLÍTICA DE USO DEL CORREO ELECTRONICO El Instituto Nacional de Vías INVIAS, entendiendo la importancia del correo electrónico como herramienta para facilitar la comunicación entre funcionarios, contratistas y terceras partes, proporcionará y garantizará un servicio idóneo y seguro para la ejecución de las actividades que requieran el uso del correo electrónico, respetando siempre los principios de confidencialidad, integridad, disponibilidad y autenticidad de quienes realizan las comunicaciones a través de este medio. Normas de uso del correo electrónico



CÓDIGO ETICOM-MN-6

VERSIÓN 1

PÁGINA 40 DE 51

ELABORADO



REVISADO


Octubre 15 de 2015

APROBADO


El Grupo TI de la Oficina Asesora de Planeación debe proveer un ambiente seguro y controlado para el funcionamiento de la plataforma de correo electrónico.

El Grupo TI de la Oficina Asesora de Planeación debe implantar controles que permitan detectar y proteger la plataforma de correo electrónico contra código malicioso que pudiera ser transmitido a través de los mensajes.

El Grupo TI de la Oficina Asesora de Planeación tiene la responsabilidad de realizar monitoreos sobre el uso de cuentas de correo específicas según lo considere pertinente.

La cuenta de correo electrónico asignada es de carácter individual; por consiguiente, ningún funcionario bajo ninguna circunstancia debe utilizar una cuenta de correo que no sea la suya.

Los usuarios de correo electrónico institucional tienen prohibido él envió de cadenas de mensajes de cualquier tipo, ya sea comercial, político, religioso, material audiovisual, contenido discriminatorio, pornografía y demás condiciones que degraden la condición humana y resulten ofensivas para los funcionarios y contratistas del instituto.

Los mensajes y la información contenida en los correos electrónicos deben ser relacionados con el desarrollo de las labores y funciones de cada usuario en apoyo al objetivo misional del INVIAS.

19.4 POLÍTICA DE USO ADECUADO DE INTERNET El Instituto Nacional de Vías INVIAS consciente de la importancia de Internet como una herramienta para el desempeño de labores, proporcionará los recursos necesarios para garantizar su disponibilidad a los usuarios que así lo requieran para el desarrollo de sus actividades diarias en el instituto. Normas de uso adecuado de internet El Grupo TI de la Oficina Asesora de Planeación debe proporcionar los recursos

necesarios para la implementación, administración y mantenimiento requeridos para la



CÓDIGO ETICOM-MN-6

VERSIÓN 1

PÁGINA 41 DE 51

ELABORADO



REVISADO


Octubre 15 de 2015

APROBADO


prestación segura del servicio de Internet, bajo las restricciones de los perfiles de acceso establecidos.

El Grupo TI de la Oficina Asesora de Planeación debe diseñar e implementar mecanismos que permitan la continuidad o restablecimiento del servicio de internet en caso de contingencia interna.

El Grupo TI de la Oficina Asesora de Planeación debe monitorear continuamente el canal o canales del servicio de Internet.

El Grupo TI de la Oficina Asesora de Planeación debe implementar controles para evitar la descarga de software no autorizado, evitar código malicioso proveniente de internet y evitar el acceso a sitios catalogados como restringidos.

El Grupo TI de la Oficina Asesora de Planeación debe generar registros correspondientes con la navegación y accesos de los usuarios a Internet, así como establecer e implantar procedimientos de monitoreo sobre la utilización del servicio de internet.

El Grupo TI de la Oficina Asesora de Planeación establecerá canales dedicados para servicios o sistemas de información, de manera que optimicen su rendimiento.

Los usuarios del servicio de Internet deben evitar la descarga de software desde la red, así como su instalación en las estaciones de trabajo o dispositivos móviles asignados para el desempeño de sus labores.

20. POLÍTICAS DE ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE INFORMACIÓN 20.1 POLÍTICA PARA EL ESTABLECIMIENTO DE REQUISITOS DE SEGURIDAD El Instituto Nacional de Vías INVIAS asegurará que el software adquirido y desarrollado tanto al interior del instituto, como por terceras partes, cumplirá con los requisitos de seguridad y calidad establecidos por el. Las áreas propietarias de sistemas de información y el Grupo TI de la Oficina Asesora de Planeación incluirán requisitos de seguridad en la definición de requerimientos y, posteriormente se asegurarán que estos hayan sido acogidos, durante las pruebas realizadas sobre los desarrollos del software construido.



CÓDIGO ETICOM-MN-6

VERSIÓN 1

PÁGINA 42 DE 51

ELABORADO



REVISADO


Octubre 15 de 2015

APROBADO


Normas para el establecimiento de requisitos de seguridad Todos los sistemas de información o desarrollos de software deben tener un área

propietaria dentro del instituto formalmente asignada.

El Grupo TI de la Oficina Asesora de Planeación debe establecer una metodología para el desarrollo de software, que incluya la definición de requerimientos de seguridad y las buenas prácticas de desarrollo seguro, con el fin de proporcionar a los terceros proveedores de sistemas de información una visión clara de lo que se espera, enmarcados dentro de la arquitectura seguridad, hardware y software.

La Oficina Asesora de Planeación y el Grupo TI deben incluir en la definición de requerimientos de seguridad de los sistemas de información aspectos como la estandarización de herramientas de desarrollo, controles de autenticación, controles de acceso y arquitectura de aplicaciones, entre otros.

Los terceros proveedores de sistemas de información deben documentar los requerimientos establecidos y definir la arquitectura de software más conveniente para cada sistema de información que se quiera desarrollar, de acuerdo con los parámetros de seguridad y los controles deseados.

Los terceros proveedores de sistemas de información deben garantizar que todo sistema de información adquirido o desarrollado, debe usar herramientas de desarrollo licenciadas y reconocidas en el mercado.

Los terceros proveedores de sistemas de información deben deshabilitar las funcionalidades de completar automáticamente en formularios de solicitud de datos que requieran información sensible.

Los terceros proveedores de sistemas de información deben establecer el tiempo de duración de las sesiones activas de las aplicaciones, terminándolas una vez se cumpla este tiempo.

Los terceros proveedores de sistemas de información deben garantizar que no se permitan conexiones recurrentes a los sistemas de información construidos con el mismo usuario.



CÓDIGO ETICOM-MN-6

VERSIÓN 1

PÁGINA 43 DE 51

ELABORADO



REVISADO


Octubre 15 de 2015

APROBADO


20.2 POLÍTICA DE DESARROLLO SEGURO, REALIZACION DE PRUEBAS Y SOPORTE DE LOS SISTEMAS El Instituto Nacional de Vías INVIAS velará porque el software nuevo o existente en los sistemas de información cumpla con los requerimientos de seguridad, con las buenas prácticas para desarrollo seguro de aplicativos, así como con la metodología para la realización de pruebas de aceptación y seguridad al software desarrollado. Normas de desarrollo seguro, realización de pruebas y soporte de los sistemas Los propietarios de los sistemas de información, conjuntamente con el Grupo TI de la

Oficina Asesora de Planeación, son responsables de realizar las pruebas para asegurar que éstos cumplen con los requerimientos de seguridad establecidos antes del paso a producción de los sistemas, utilizando una metodología establecida para este fin, documentado las pruebas realizadas y aprobando los pasos a producción.

El Grupo TI de la Oficina Asesora de Planeación debe implantar los controles necesarios para garantizar que las migraciones entre los ambientes de desarrollo, pruebas y producción han sido aprobadas, de acuerdo con el procedimiento de control de cambios.

El Grupo TI de la Oficina Asesora de Planeación debe contar con sistemas de control de versiones para administrar los cambios de los sistemas de información del instituto.

El Grupo TI de la Oficina Asesora de Planeación debe asegurase que los sistemas de información adquiridos o desarrollados por terceros, cuenten con un acuerdo de licenciamiento el cual debe especificar las condiciones de uso del software y los derechos de propiedad intelectual.

El Grupo TI de la Oficina Asesora de Planeación debe generar una metodología para la realización de pruebas al software desarrollado, que contenga pautas para la selección de escenarios, niveles, tipos, datos de pruebas y sugerencias de documentación.

El Grupo TI de la Oficina Asesora de Planeación se debe asegurar que la plataforma tecnológica, las herramientas de desarrollo y los componentes de cada sistema de



CÓDIGO ETICOM-MN-6

VERSIÓN 1

PÁGINA 44 DE 51

ELABORADO



REVISADO


Octubre 15 de 2015

APROBADO


información estén actualizados con todos los parches generados para las versiones en uso y que estén ejecutando la última versión aprobada del sistema.

El Grupo TI de la Oficina Asesora de Planeación debe incluir dentro del procedimiento y los controles de gestión de cambios el manejo de los cambios en el software aplicativo y los sistemas de información del instituto.

Los terceros proveedores de sistemas de información deben considerar las buenas prácticas y lineamientos de desarrollo seguro durante el ciclo de vida de los mismos, pasando desde el diseño hasta la puesta en marcha.

El Grupo TI de la Oficina Asesora de Planeación velara porque se mantenga un nivel adecuado de soporte para garantizar la solución de problemas que se presenten en el software aplicativo del INVIAS; dicho soporte debe contemplar aspectos como tiempos de respuesta aceptables, considerados en los Acuerdos de Niveles de Servicio.

Los terceros proveedores de sistemas de información deben garantizar que los sistemas construidos validen la información suministrada por los usuarios antes de procesarla, teniendo en cuenta aspectos como: tipos de datos, rangos válidos, longitud, listas de caracteres aceptados, caracteres considerados peligrosos y caracteres de alteración de rutas, entre otros.

Los terceros proveedores de sistemas de información deben garantizar la existencia de opciones de desconexión o cierre de sesión de los aplicativos (logout) que permita terminar completamente con la sesión o conexión asociada, las cuales deben encontrarse disponibles en todas las páginas protegidas por autenticación.

Los terceros proveedores de sistemas de información deben garantizar que no se divulgue información sensible en respuestas de error, incluyendo detalles del sistema, identificadores de sesión o información de las cuentas de usuarios; así mismo, deben implementar mensajes de error genéricos.

Los terceros proveedores de sistemas de información deben prevenir la revelación de la estructura de directorios de los sistemas de información construidos.



CÓDIGO ETICOM-MN-6

VERSIÓN 1

PÁGINA 45 DE 51

ELABORADO



REVISADO


Octubre 15 de 2015

APROBADO


Los terceros proveedores de sistemas de información deben remover información innecesaria en los encabezados de respuesta que se refieran a los sistemas operativos y versiones del software utilizado.

Los terceros proveedores de sistemas de información deben evitar incluir las cadenas de conexión a las bases de datos en el código de los aplicativos. Dichas cadenas de conexión deben estar en archivos de configuración independientes, los cuales se recomienda que estén cifrados.

Los terceros proveedores de sistemas de información deben garantizar la protección del código fuente de los aplicativos construidos, de tal forma de que no pueda ser descargado ni modificado por los usuarios.

Los terceros proveedores de sistemas de información deben asegurar que no se permite que los aplicativos desarrollados ejecuten comandos directamente en el sistema operativo.

20.3 POLÍTICA PARA LA PROTECCION DE LOS DATOS DE PRUEBA El Grupo TI de la Oficina Asesora de Planeación del Instituto Nacional de Vías INVIAS entregará los datos de prueba a los terceros proveedores de sistemas de información, garantizando que no corresponden a información real de los ambientes de producción. Normas para la protección de los datos de prueba El Grupo TI de la Oficina Asesora de Planeación debe garantizar que la información a

ser entregada a los terceros proveedores de sistemas de información para sus pruebas será enmascarada y no corresponderá a datos de los ambientes de producción.

El Grupo TI de la Oficina Asesora de Planeación debe eliminar la información de los ambientes de pruebas, una vez estas han concluido.

21. POLÍTICAS DE GESTIÓN DE INCIDENTES DE SEGURIDAD 21.1 POLÍTICA PARA EL REPORTE Y TRATAMIENTO DE INCIDENTES DE SEGURIDAD



CÓDIGO ETICOM-MN-6

VERSIÓN 1

PÁGINA 46 DE 51

ELABORADO



REVISADO


Octubre 15 de 2015

APROBADO


El Instituto Nacional de Vías INVIAS promoverá entre los funcionarios, contratistas y personal provisto por terceras partes el reporte de incidentes relacionados con la seguridad de la información y sus medios de procesamiento, incluyendo cualquier tipo de medio de almacenamiento de información, como la plataforma tecnológica, los sistemas de información, los medios físicos de almacenamiento y las personas. De igual manera, asignará responsables para el tratamiento de los incidentes de seguridad de la información, quienes tendrán la responsabilidad de identificar las causas y solucionar los incidentes reportados, tomando las medidas necesarias para evitar su reincidencia y escalando los incidentes de acuerdo con su criticidad. Según la naturaleza del incidente, reportará ante las autoridades competentes quien conozca o deba conocer del hecho. Normas para el reporte y tratamiento de incidentes de seguridad

Los propietarios de los activos de información deben informar a la Oficina Asesora de

Planeación los incidentes de seguridad que hayan sido identificados.

La Oficina Asesora de Planeación debe establecer responsabilidades y procedimientos para asegurar una respuesta rápida, ordenada y efectiva frente a los incidentes de seguridad de la información.

La Oficina Asesora de Planeación debe evaluar todos los incidentes de seguridad de acuerdo a sus circunstancias particulares y escalar aquellos en los que se considere pertinente.

La Oficina Asesora de Planeación debe designar personal calificado, para investigar adecuadamente los incidentes de seguridad reportados, identificando las causas, realizando una investigación exhaustiva, proporcionando las soluciones y finalmente previniendo su recurrencia.

La Oficina Asesora de Planeación debe crear bases de conocimiento para los incidentes de seguridad presentados con sus respectivas soluciones, con el fin de reducir el tiempo de respuesta para los incidentes futuros, partiendo de dichas bases de conocimiento.



CÓDIGO ETICOM-MN-6

VERSIÓN 1

PÁGINA 47 DE 51

ELABORADO



REVISADO


Octubre 15 de 2015

APROBADO


Es responsabilidad de los funcionarios y contratistas del INVIAS y del personal

provisto por terceras partes reportar cualquier evento o incidente relacionado con la información y/o los recursos tecnológicos con la mayor prontitud posible.

22. POLÍTICAS QUE RIGEN LA RELACION CON TERCERAS PARTES 22.1 POLÍTICA DE INCLUSION DE CONDICIONES DE SEGURIDAD EN LA RELACIÓN CON TERCERAS PARTES El Instituto Nacional de Vías INVIAS establecerá mecanismos de control en sus relaciones con terceras partes, con el objetivo de garantizar que la información a la que tengan acceso o servicios que sean provistos por las mismas, cumplan con las políticas, normas y procedimientos de seguridad de la información. Los funcionarios responsables de la realización y/o firma de contratos o convenios con terceras partes garantizarán la divulgación de las políticas, normas y procedimientos de seguridad de la información para dichas partes. Normas de inclusión de condiciones de seguridad en la relación con terceras partes La Oficina Asesora de Planeación y la Oficina Asesora Jurídica deben generar un

modelo base para los Acuerdos de Niveles de Servicio y requisitos de Seguridad de la Información, con los que deben cumplir terceras partes o proveedores de servicios; dicho modelo, debe ser divulgado a todas las áreas que adquieran o supervisen recursos y/o servicios tecnológicos.

El Grupo TI de la Oficina Asesora de Planeación debe establecer las condiciones de conexión adecuada para los equipos de cómputo y dispositivos móviles de los terceros en la red de datos del instituto.

El Grupo TI de la Oficina Asesora de Planeación debe establecer las condiciones de comunicación segura, cifrado y transmisión de información desde y hacia los terceros proveedores de servicios.

La Oficina Asesora de Planeación debe evaluar y aprobar los accesos a la información requeridos por terceras partes.



CÓDIGO ETICOM-MN-6

VERSIÓN 1

PÁGINA 48 DE 51

ELABORADO



REVISADO


Octubre 15 de 2015

APROBADO


La Oficina Asesora de Planeación debe identificar y monitorear los riesgos relacionados con terceras partes o los servicios provistos por ellas, haciendo extensiva esta actividad a la cadena de suministro de los servicios de tecnología o comunicaciones provistos.

Los Supervisores de contratos con terceros deben divulgar las políticas, normas y procedimientos de seguridad de la información del INVIAS a dichos terceros, así como velar porque el acceso a la información y a los recursos de almacenamiento o procesamiento de la misma, por parte de dichos terceros se realice de manera segura, de acuerdo con las políticas, normas y procedimientos de seguridad de la información y por tiempo limitado.

22.2 POLÍTICA DE GESTION DE LA PRESTACION DE SERVICIOS DE TERCERAS PARTES El Instituto Nacional de Vías INVIAS propenderá por mantener los niveles acordados de seguridad de la información y de prestación de los servicios de los proveedores, en concordancia con los acuerdos establecidos con estos. Así mismo, velará por el adecuado manejo administrativo de los cambios presentados durante la prestación de servicios de dichos proveedores. Normas de gestión de la prestación de servicios de terceras partes El Grupo TI de la Oficina Asesora de Planeación deberá verificar en el momento de la

conexión y, cuando se considere pertinente, el cumplimiento de las condiciones de conexión de los equipos de cómputo y dispositivos móviles de los terceros en la red de datos del instituto.

La Oficina Asesora de Planeación debe verificar las condiciones de comunicación segura, cifrado y transmisión de información desde y hacia los terceros proveedores de servicios.

La Oficina Asesora de Planeación y los Supervisores de contratos con terceros deben administrar los cambios en el suministro de servicios por parte de los proveedores, manteniendo los niveles de cumplimiento de servicio y seguridad establecidos con ellos y monitoreando la aparición de nuevos riesgos.



CÓDIGO ETICOM-MN-6

VERSIÓN 1

PÁGINA 49 DE 51

ELABORADO



REVISADO


Octubre 15 de 2015

APROBADO


23. POLÍTICAS DE CUMPLIMIENTO 23.1 POLÍTICA DE CUMPLIMIENTO CON REQUISITOS LEGALES, REGLAMENTARIOS Y CONTRACTUALES El Instituto Nacional de Vías INVIAS velará por la identificación, documentación y cumplimiento de la legislación relacionada con la seguridad de la información, entre ella la referente a derechos de autor y propiedad intelectual, razón por la cual propenderá porque el software instalado en los recursos de la plataforma tecnológica cumpla con los requerimientos legales y de licenciamiento aplicables. Normas de cumplimiento con requisitos legales, reglamentarios y contractuales La Oficina Asesora Jurídica y la Oficina Asesora de Planeación deben identificar,

documentar y mantener actualizados los requisitos legales, reglamentarios o contractuales aplicables al INVIAS relacionados con seguridad y privacidad de la información.

El Grupo TI de la Oficina Asesora de Planeación debe garantizar que todo el software que se ejecuta en el instituto esté protegido por derechos de autor y requiera licencia de uso o, en su lugar que sea software de libre distribución y uso.

El Grupo TI de la Oficina Asesora de Planeación debe establecer una lista del software y sistemas de información que se encuentran permitidos en las estaciones de trabajo o equipos móviles del instituto para el desarrollo de las actividades laborales, así como verificar periódicamente que el software instalado en dichas estaciones de trabajo o equipos móviles sea únicamente el permitido.

El Grupo TI de la Oficina Asesora de Planeación debe implantar los controles necesarios para proteger la información personal almacenada en la plataforma tecnológica y evitar su divulgación o alteración sin la autorización requerida.

La Subdirección Administrativa debe implantar los controles necesarios para proteger la información personal almacenada en forma física y evitar su divulgación o alteración sin la autorización requerida.



CÓDIGO ETICOM-MN-6

VERSIÓN 1

PÁGINA 50 DE 51

ELABORADO



REVISADO


Octubre 15 de 2015

APROBADO


Los usuarios no deben instalar software o sistemas de información adicionales en sus estaciones de trabajo o equipos móviles sin previa autorización del Grupo TI de la Oficina Asesora de Planeación.

Los funcionarios y contratistas, así como el personal provisto por terceras partes, deben cumplir con las leyes de derechos de autor y acuerdos de licenciamiento de software. Es ilegal duplicar software o su documentación sin la autorización del propietario de los derechos de autor y, su reproducción no autorizada es una violación de ley; no obstante, puede distribuirse un número de copias bajo una licencia otorgada.



CÓDIGO ETICOM-MN-6

VERSIÓN 1

PÁGINA 51 DE 51

ELABORADO



REVISADO


Octubre 15 de 2015

APROBADO


CONTROL DE CAMBIOS

VERSIÓN FECHA DE

MODIFICACIÓN DESCRIPCIÓN

1 22 de Septiembre de

2015 Versión Inicial

Instituto Nacional de Vías Gestión de Tecnologías de ...

Documents

Transcript of Instituto Nacional de Vías Gestión de Tecnologías de ...