Inventario Activos de La Información

CDIGO 2213200-GS-004 VERSIN 01

GUA PARA EL INVENTARIO Y LA CLASIFICACIN DE ACTIVOS DE INFORMACIN DE LA SECRETARA GENERAL

DE LA ALCALDA MAYOR DE BOGOT D.C. PGINA: 1 de 44

2213200-GS-004 Versin 01

DIRECCIN DISTRITAL DE DESARROLLO INSTITUCIONAL

SUBDIRECCIN DE INFORMTICA Y SISTEMAS

SECRETARA GENERAL ALCALDA MAYOR DE BOGOT.

NOMBRE CARGO FECHA FIRMA

ELABORO Juan Carlos Cely Profesional Especializado 28/09/2007

REVISO Juan Carlos Cely Profesional Especializado 28/09/2007

APROB Oscar Alberto Cardona Subdirector de Informtica

y Sistemas (E) 28/09/2007

ALCALDA MAYOR DE BOGOT D.C.

Secretara GENERAL




2213200-GS-004 Versin 01

NOMBRE DEL DOCUMENTO: Inventario_y_Clasificacin-_Alcalda_MayorV1_0.doc VERSIN DEL DOCUMENTO: 1.0 FECHA: Septiembre de 2007 LECTORES: Usuarios internos de la SECRETARA GENERAL DE

LA ALCALDA MAYOR DE BOGOT D.C.

RESUMEN Este documento establece los criterios y mecanismos que debern ser utilizados por los usuarios internos de la SECRETARA GENERAL DE LA ALCALDA MAYOR DE BOGOT D.C. para clasificar y manejar la informacin que generen, posean o utilicen, llevando a cabo las actividades que bajo su responsabilidad tendrn como usuarios, propietarios o custodios tcnicos de los activos de informacin del alcance aqu consignado.

Historia del documento Versin Fecha Comentarios Por Acta 1.0 NewNet S.A. 2.0 Septiembre 2007 Personalizacin del

documento Subdireccin de Informtica y Sistemas

N/A

Documentos asociados (Este documento debe ser ledo en conjunto con) Nombre del Documento Versin Fecha Aprobacin Nombre Empresa

Autor NewNet S.A. Propietario Subdireccin Informtica y Sistemas Secretaria General

Alcaldia Mayor de Bogot




2213200-GS-004 Versin 01

TABLA DE CONTENIDO

1 RESUMEN EJECUTIVO....................................................................................... 4 2 OBJETIVO del documento.................................................................................... 6 3 DEFINICIONES .................................................................................................... 7 4 INVENTARIO DE ACTIVOS DE INFORMACIN................................................. 9 4.1 Procedimiento de Inventario .....................................................................................9 4.1.1 Definicin .........................................................................................................................10 4.1.2 Informacin mnima .........................................................................................................12 4.1.3 Revisin ...........................................................................................................................17 4.1.4 Actualizacin....................................................................................................................18 4.1.5 Publicacin ......................................................................................................................19 5 CLASIFICACIN DE ACTIVOS DE INFORMACIN ......................................... 20 5.1 Definicin ................................................................................................................20 5.2 Niveles de Clasificacin y de Confidencialidad ......................................................22 5.2.1 Niveles de Clasificacin...................................................................................................22 5.2.2 Niveles de confidencialidad .............................................................................................23 5.3 Atributos de Clasificacin .......................................................................................40 5.4 Procedimiento de clasificacin ...............................................................................41 6 Recomendaciones .............................................................................................. 42




2213200-GS-004 Versin 01

RESUMEN EJECUTIVO

Este documento presenta el inventario y clasificacin de los activos de informacin que

son manejados por los empleados a travs de los procesos de la SECRETARA

GENERAL DE LA ALCALDA MAYOR DE BOGOT D.C., con el fin principal de

determinar que activos posee la institucin, reconocer el valor de cada activo, los

niveles de acceso permitidos, y determinar su clasificacin para que sea utilizada

adecuadamente.

La realizacin de un inventario y clasificacin de activos de informacin hace parte de la

debida diligencia que a nivel estratgico ha considerado la SECRETARA GENERAL

DE LA ALCALDA MAYOR DE BOGOT D.C. dentro de sus elementos a tratar con

respecto a la seguridad para los activos de informacin de la institucin.

Las mejores prcticas de seguridad de la informacin a nivel nacional e internacional

recomiendan de manera imperativa la realizacin de un inventario y clasificacin de los

activos de informacin de las organizaciones, para determinar cmo deben ser

utilizados en los procesos del negocio, los roles y las responsabilidades que tiene el

personal sobre la misma, reconociendo adicionalmente los niveles de confidencialidad

que a cada activo debe drsele.

De esta forma y con base en las normas tcnicas colombianas NTC ISO/IEC 17799 y

NTC ISO/IEC 27001 en el tem Gestin de Activos se persigue dar cumplimiento a tres

puntos principales que son explcitos en las mismas as:




2213200-GS-004 Versin 01

Inventario de Activos: Todos los activos deben estar claramente identificados y se debe

elaborar y mantener un inventario de todos los activos importantes de la organizacin.

Propiedad de los Activos: Toda la informacin y los activos asociados con los servicios

de procesamiento de informacin deben ser propiedad1 de una parte designada de la

organizacin.

Directrices de Clasificacin: La informacin debe clasificarse en trminos de su valor, de

los requisitos legales, de la sensibilidad y la importancia para la organizacin.

Dado que todos los procesos de la SECRETARA GENERAL DE LA ALCALDA

MAYOR DE BOGOT D.C. deben conocer y aplicar los criterios, procedimientos y

recomendaciones para el manejo y clasificacin de la informacin que se encuentran en

este documento, se ha buscado que el impacto de la aplicacin de los mismos sea el

mnimo en las actividades de los diferentes procesos de la SECRETARA GENERAL

DE LA ALCALDA MAYOR DE BOGOT D.C.

Esta gua busca dar cumplimiento y tener como marco de aplicacin el manual de

seguridad de la informacin de la SECRETARA GENERAL DE LA ALCALDA MAYOR

DE BOGOT D.C., en el cual se estructura y se compilan las polticas y principios ticos

que orientan la actuacin de la institucin respecto de su conducta con respecto a la

seguridad su INFORMACIN.

1 El trmino Propietario identifica a un individuo o a una entidad que tiene responsabilidad aprobada de la direccin por el control de la produccin, el desarrollo, el mantenimiento, el uso y la seguridad de los activos. El trmino Propietario no implica que la persona tenga realmente los derechos de propiedad de los activos.




2213200-GS-004 Versin 01

Este documento cuenta con una seccin de definiciones las cuales aplican al contenido

total del documento, por lo tanto los conceptos deben aplicarse y entenderse con base

en las definiciones dadas en este contexto.

Si se tiene alguna duda sobre informacin que no ha sido clasificada o si se piensa que

no se ha realizado adecuadamente su clasificacin, debe dirigir la inquietud al jefe

inmediato en su rea.

OBJETIVO del documento

Presentar los criterios, procedimientos y recomendaciones que deben ser utilizados por

los responsables de los procesos de la SECRETARA GENERAL DE LA ALCALDA

MAYOR DE BOGOT D.C. para realizar y mantener el inventario y la clasificacin de

los activos de informacin que posee la entidad, para llevar a cabo las actividades que

bajo su responsabilidad todos los empleados tendrn como usuarios, propietarios o

custodios tcnicos de los activos de informacin del alcance consignado en este

documento.




2213200-GS-004 Versin 01

DEFINICIONES

Informacin: La informacin es un activo que, como otros activos importantes del negocio, es esencial para las actividades de la organizacin y, en consecuencia,

necesita una proteccin adecuada2.

Seguridad de la Informacin: La seguridad de la informacin es la proteccin de la

informacin contra una gran variedad de amenazas con el fin de asegurar la continuidad

del negocio, minimizar el riesgo y maximizar el retorno de inversiones y oportunidades

de negocio3. Adicionalmente, se define como la preservacin de la confidencialidad,

integridad y disponibilidad de la informacin, adems, otras propiedades tales como

autenticidad, responsabilidad, no-repudio y confiabilidad pueden estar involucradas.

Clasificacin de la Informacin: Es el ejercicio por medio del cual se determina que la informacin pertenece a uno de los niveles de clasificacin estipulados a nivel

corporativo. Tiene como objetivo asegurar que la informacin recibe el nivel de

proteccin adecuado. La informacin debe clasificarse en trminos de la sensibilidad y

la importancia para la organizacin.

Propietario de la Informacin: Es una parte designada de la organizacin, un cargo,

proceso, o grupo de trabajo que tiene la responsabilidad de definir quienes tienen

acceso y que pueden hacer con la informacin y de determinar cuales son los requisitos

para que la misma se salvaguarde ante accesos no autorizados, modificacin, prdida

2 Tomado de NTC ISO/IEC 17799:2005 3 Tomado de NTC ISO/IEC 17799:2005




2213200-GS-004 Versin 01

de la confidencialidad o destruccin deliberada, y al mismo tiempo de definir que se

hace con la informacin una vez ya no sea requerida.

Custodio Tcnico: Es una parte designada de la organizacin, un cargo, proceso, o

grupo de trabajo encargado de administrar y hacer efectivos los controles de seguridad

(Toma de copias de seguridad, asignar privilegios de: Acceso, Modificaciones, Borrado)

que el propietario de la informacin haya definido, con base en los controles de

seguridad disponibles en la organizacin.

Usuario: Cualquier persona que genere, obtenga, transforme, conserve o utilice

informacin de la organizacin en papel o en medio digital, fsicamente o a travs de las

redes de datos y los sistemas de informacin de la compaa. Son las personas que

utilizan la informacin para propsitos propios de su labor, adecuados y que tendrn el

derecho manifiesto de uso dentro del inventario de informacin.4

4 Las personas que se relacionan con la Alcalda Mayor de Bogot D.C. estn obligadas a utilizar la informacin a la cual tengan acceso en virtud de sus funciones o relacin contractual, exclusivamente para el ejercicio de las mismas




2213200-GS-004 Versin 01

INVENTARIO DE ACTIVOS DE INFORMACIN

Mediante la definicin de un inventario la SECRETARA GENERAL DE LA ALCALDA

MAYOR DE BOGOT D.C. especifica y reconoce cuales son los activos de informacin

ms importantes del negocio y define clasificar mnimo los activos de informacin que

se encuentran consignados en este inventario.

El inventario permite identificar los activos de informacin a los que se les debe brindar

mayor proteccin y que se puede requerir para servir a otros propsitos del negocio

como por ejemplo: controles de seguridad fsica, estudios financieros o de clculo de

primas de seguros (gestin de activos), entre otros.

Las actividades realizadas para obtener un inventario de activos son un prerrequisito de

la gestin de riesgos de seguridad de la informacin.

Procedimiento de Inventario

El procedimiento de inventario debe realizarse mediante la ejecucin de las siguientes

actividades:




2213200-GS-004 Versin 01

Definicin

En el procedimiento de inventario la actividad de definicin consiste en reconocer y

determinar que activos de informacin van a hacer parte de la Matriz de Inventario y

Clasificacin de activos de informacin y para estos activos definir las propiedades y la

informacin que permite identificar el mismo en la organizacin, para obtener su valor

para el negocio.

La definicin es un ejercicio que debe ser realizado por cada proceso del negocio para

identificar e incluir nuevos activos de informacin a la Matriz de Inventario y

Clasificacin de activos de informacin de la SECRETARA GENERAL DE LA





2213200-GS-004 Versin 01

La definicin se lleva a cabo de la siguiente manera:

Cada proceso del negocio deber hacer uso del instructivo de Levantamiento de Informacin para Inventario y Clasificacin de Activos de Informacin y reportar

los nuevos activos de informacin del proceso y asignar los valores

correspondientes requeridos para cada campo del formato Definicin de Activos

por Proceso.

Cada lder de proceso ser responsable por esta actividad y por garantizar que los activos ms importantes de su proceso han sido identificados y valorados.

El equipo de gestin de activos de la SECRETARA GENERAL DE LA ALCALDA MAYOR DE BOGOT D.C. ser el encargado de solicitar a los lderes de proceso

la realizacin de la actividad de definicin y monitorear el desarrollo de esta

actividad por cada proceso.

En esta etapa, los lderes de proceso, debern en segunda instancia solicitar la revisin de la definicin de activos realizada por el Propietario del Activo de

Informacin designado y del custodio tcnico designado, para que estos validen

que efectivamente ellos son las personas o parte de la organizacin adecuados

para tener esta designacin que se les ha dado en los campos de propiedad del

activo.

El lder de proceso deber finalmente entregar la definicin de sus activos de informacin en el formato Definicin de Activos por Proceso al equipo de gestin

de activos de la SECRETARA GENERAL DE LA ALCALDA MAYOR DE




2213200-GS-004 Versin 01

BOGOT D.C. para que estos integren la informacin en la Matriz de Inventario y

Clasificacin de Activos de Informacin de la SECRETARA GENERAL DE LA


La definicin del inventario se debe llevar a cabo cada 6 meses. Para el inventario de

activos de informacin de la SECRETARA GENERAL DE LA ALCALDA MAYOR DE

BOGOT D.C. se define que la siguiente informacin debe ser la mnima que debe

consignarse en la tabla de inventario de activos de informacin (Ver Matriz de Inventario

y Clasificacin de activos de informacin de la SECRETARA GENERAL DE LA

ALCALDA MAYOR DE BOGOT D.C. en el Anexo 1 de este documento).

Informacin mnima

Propiedad

Es un grupo de informacin que permite determinar la propiedad de los activos y para el

cual la tabla de inventario define los siguientes campos:

Nombre del Activo: Es un campo que define la manera como se va a reconocer el activo de informacin en la compaa, con un nombre particular y diferenciable.

Propietario5. Custodio Tcnico6.

5 Ver 3. Definiciones 6 Ver 3. Definiciones




2213200-GS-004 Versin 01

Tipo Se define el tipo al cual pertenece el activo. Para este campo se utilizan los

siguientes valores:

INF (Informacin): Corresponden a este tipo las bases de datos y archivos de datos, contratos y acuerdos, documentacin del sistema, informacin sobre

investigacin, manuales de usuario, procedimientos operativos o de soporte,

planes para la continuidad del negocio, acuerdos sobre retiro, pruebas de auditoria

e informacin archivada fsica o electrnicamente.

SOF (Software): software de aplicacin, software del sistema, herramientas de desarrollo y utilidades.

FIS (Fsico): Equipos de computacin, equipos de comunicaciones, medios removibles y otros equipos fsicos.

SER (Servicio): servicios de computacin y comunicaciones. (Pe: Acceso a Internet, Paginas de consulta, Acceso a la red, etc.)

Valor

Este es un grupo de informacin para el cual se define y deben ser ingresados valores

en el rango desde Muy Bajo hasta Muy Alto para cada uno de los campos. Esta

informacin nos indica el valor que tiene el activo para el distrito, para el negocio o

especficamente para el proceso, ya que uno de los criterios importantes de su

clasificacin es en trminos de su valor. A continuacin se define el significado de cada

campo presente en la tabla de inventario:




2213200-GS-004 Versin 01

C (Confidencialidad): Proteccin para que el activo de informacin sea accesible solamente por aquellas personas autorizadas para ello. En este campo en el inventario

se presenta uno de los siguientes valores:

Criterio Descripcin Explicacin MA Muy Alto El conocimiento o divulgacin no autorizada de este activo de

informacin impacta negativamente al Distrito. A Alto El conocimiento o divulgacin no autorizada de este activo de

informacin impacta negativamente a la Institucin o sus negocios.

M Medio El conocimiento o divulgacin no autorizada de este activo de informacin impacta negativamente de manera importante al proceso.

B Bajo El conocimiento o divulgacin no autorizada de este activo de informacin impacta negativamente de manera leve al proceso.

MB Muy Bajo El conocimiento o divulgacin no autorizada de este activo de informacin no tiene ningn impacto negativo en el proceso.

I (Integridad): proteccin de la exactitud y estado completo de la informacin y sus mtodos de procesamiento.

Criterio Descripcin Explicacin MA Muy Alto La prdida de exactitud y estado completo de la informacin y

mtodos de procesamientos impacta negativamente al Distrito.

A Alto La prdida de exactitud y estado completo de la informacin y mtodos de procesamientos impacta negativamente a la Institucin o sus negocios.

M Medio La prdida de exactitud y estado completo de la informacin y mtodos de procesamientos impacta negativamente de manera importante al proceso.

B Bajo La prdida de exactitud y estado completo de la informacin y




2213200-GS-004 Versin 01

Criterio Descripcin Explicacin mtodos de procesamientos impacta negativamente de manera leve al proceso.

MB Muy Bajo La prdida de exactitud y estado completo de la informacin y mtodos de procesamientos no tiene ningn impacto negativo en el proceso.

D (Disponibilidad): Garantizar que los usuarios autorizados tengan acceso a los activos de informacin cada vez que los requieren.

Criterio Descripcin Explicacin MA Muy Alto La falta del activo de informacin impacta negativamente al

Distrito. A Alto La falta del activo de informacin impacta negativamente a la

Institucin o sus negocios M Medio La falta del activo de informacin impacta negativamente de

manera importante al proceso. B Bajo La falta del activo de informacin impacta negativamente de

manera leve al proceso. MB Muy Bajo La falta del activo de informacin no tiene ningn impacto

negativo en el proceso.

V (Valor): En este campo se encuentra definido el valor que tiene el activo de informacin para el distrito, para la institucin o especficamente para el proceso:

Criterio Descripcin Explicacin MA Muy Alto Apoya el cumplimiento de Objetivos Misionales de la institucin A Alto Apoya el cumplimiento de los objetivos de la Institucin y/o

negocio M Medio Apoya ampliamente el cumplimiento de objetivos del Proceso B Bajo Apoya levemente el cumplimiento de objetivos del Proceso MB Muy Bajo No apoya el cumplimiento de los objetivos del proceso




2213200-GS-004 Versin 01

Acceso

El grupo de informacin denominado Acceso permite identificar que usuarios han sido

formalmente declarados y autorizados a hacer uso de la informacin y adicionalmente

identificar que tipos de acceso se manejan del activo para cada usuario o grupo de

usuarios. Los siguientes son los campos de informacin que se encuentran en la tabla

de inventario:

Usuarios. Derechos de Acceso: Se definen los tipos de acceso identificados para cada

activo por cada usuario definido:

o (L) lectura, consulta. o (E) Escritura. o (M) Modificacin. o (B) Borrado, eliminacin.

Ubicacin

Es la informacin acerca de donde se encuentra especficamente ubicado el activo de

informacin, puede ser un archivo fsico de oficina, archivo digital, sistema de

informacin, computador, base de datos, o aplicacin.

Para este grupo de informacin se indica si el activo se encuentra disponible en medio

fsico o en medio electrnico.




2213200-GS-004 Versin 01

Fsico: Se indica la informacin del sitio fsico en donde se encuentra el activo, esto puede ser el nombre de una oficina, el nombre de un archivo, caja fuerte,

escritorio, A-Z, etc.

Electrnico: Se indica la informacin sobre el lugar en el que se encuentra el activo disponible, esto puede ser el nombre de un servidor de archivos, base de

datos, sistema de gestin de documentos, medio, cinta, etc.

Fechas Fecha de Ingreso a inventario: Es la fecha en la cual el activo de informacin se

incluy formalmente en el inventario en la actividad de definicin.

Fecha de Salida de Inventario: Es la fecha en la cual el activo de informacin se excluy del inventario.

Revisin

La actividad de revisin se refiere a la verificacin que se puede llevar a cabo para

determinar si un activo de informacin continua o no siendo parte del inventario, o si los

valores asignados a los activos de informacin en los campos de la Matriz de Inventario

y Clasificacin deben ser actualizados.

El inventario de activos puede ser revisado en cualquier momento en que un lder de

proceso de la SECRETARA GENERAL DE LA ALCALDA MAYOR DE BOGOT D.C.

as lo solicite, o si el equipo de gestin de activos lo solicita a algn lder de proceso.

Esta revisin del inventario ser aprobada por el equipo de gestin de activos cuando lo

considere pertinente debido a eventos que hacen que los valores asignados a los




2213200-GS-004 Versin 01

activos no estn actualizados y no correspondan con la realidad, las razones por las

cuales puede gestarse una revisin son:

Actualizacin del proceso. Inclusin de nuevas actividades en el proceso. Inclusin de: nuevos registros de calidad, nuevos registros de referencia

procesos y procedimientos.

Inclusin de un nuevo activo importante. Desaparicin de un rea, proceso o cargo en la compaa que tena asignado el

rol de propietario o custodio tcnico.

Cambios o migraciones de sistemas de informacin en donde se almacenan o reposan activos de informacin ya inventariados.

Cambio fsico de la ubicacin de activos de informacin.

Para esta revisin se utiliza el formato Definicin de Activos por Proceso en el cual el

lder de proceso indica si los elementos que fueron revisados se someten a

actualizacin o si son para Definicin.

Actualizacin

Una vez el equipo de gestin de activos recibe el formato Definicin de Activos por

Proceso diligenciado con los resultados de la revisin procede a actualizar la Matriz de

Inventario y Clasificacin de Activos de Informacin con los valores sugeridos para ello




2213200-GS-004 Versin 01

por el lder de proceso o el equipo de gestin de activos, en el formato Definicin de

Activos por Proceso.

Publicacin

El inventario de activos de informacin es un documento de uso interno de la

SECRETARA GENERAL DE LA ALCALDA MAYOR DE BOGOT D.C., y de acceso

de solo lectura para todos los usuarios internos autorizados. Slo debe tener acceso de

modificacin a este documento la persona que haya sido designada expresamente por

el equipo de gestin de activos para ello.

Este documento debe ser publicado en la Intranet de la SECRETARA GENERAL DE

LA ALCALDA MAYOR DE BOGOT D.C. y debe ser mantenido en el sistema de

gestin de la seguridad de la informacin con su respectivo control de versiones. Este

mismo documento hace parte del inventario y clasificacin de activos de informacin de

la SECRETARA GENERAL DE LA ALCALDA MAYOR DE BOGOT D.C. por lo tanto

los requerimientos derivados de su clasificacin deben tenerse en cuenta.

Debe llevarse a cabo una presentacin formal del documento de inventario y

clasificacin de activos de informacin como mnimo a las personas que aparezcan

como propietarios o custodios tcnicos del algn activo.

Adicionalmente se debe informar a todos los empleados de la SECRETARA GENERAL

DE LA ALCALDA MAYOR DE BOGOT D.C., a travs de una circular interna, acerca

de la disposicin y publicacin de este documento y a partir de que fecha inicia su

vigencia informando que el mismo indica responsabilidades asociadas para todos los




2213200-GS-004 Versin 01

empleados de la SECRETARA GENERAL DE LA ALCALDA MAYOR DE BOGOT

D.C.

CLASIFICACIN DE ACTIVOS DE INFORMACIN

La clasificacin de activos de informacin tiene como objetivo asegurar que la

informacin recibe los niveles de proteccin adecuados. La informacin con base en su

valor y de acuerdo a los requisitos de confidencialidad tiene diferentes grados de

proteccin o manejo especial que se definen en la clasificacin de activos de

informacin.

En este documento se define el esquema de clasificacin para estipular los niveles de

proteccin para cada activo de informacin y sealar las consideraciones especiales de

manejo, restricciones, distribucin, almacenamiento y destruccin de la informacin.

Los lderes de proceso que definieron el activo de informacin en el inventario deben

revisar y confirmar el nivel de clasificacin asignado al activo, y confirmar si el activo

est clasificado adecuadamente.

Definicin

La clasificacin de los activos de informacin de la SECRETARA GENERAL DE LA

ALCALDA MAYOR DE BOGOT D.C. se basa en la informacin del inventario

consignado en este documento. Se define un esquema de clasificacin que se basa en

los siguientes componentes:

1) Niveles de Clasificacin y de Confidencialidad.




2213200-GS-004 Versin 01

o Niveles de Acceso. o Mtodos de Distribucin. o Restricciones en la Distribucin Electrnica. o Almacenamiento y Archivado. o Destruccin. o Penalizaciones por revelacin deliberada de la informacin.

Cada activo de informacin tendr asociado un nico nivel de clasificacin y un nico

nivel de confidencialidad. Cada nivel de confidencialidad posee caractersticas propias

de proteccin, manejo y tratamiento del activo de informacin en cuanto a: Niveles de

Acceso, Mtodos de Distribucin, Restricciones en la Distribucin Electrnica,

Almacenamiento, Archivado, Disposicin y Destruccin. Una vez que a un activo de

informacin le es asignado un nivel de confidencialidad este adquiere las caractersticas

especficas anteriormente mencionadas para el nivel especfico de confidencialidad

asignado.

Adicionalmente para cada activo de informacin se definen unos atributos de

clasificacin, estos indican propiedades adicionales y especficas que cada activo de

informacin posee y las cuales permiten identificar el nivel de riesgo base inherente a

cada activo de informacin con respecto a la preservacin del nivel de confidencialidad

asignado.

Como resultado de esta clasificacin se genera una tabla de clasificacin de los activos

de informacin de la SECRETARA GENERAL DE LA ALCALDA MAYOR DE BOGOT

D.C.




2213200-GS-004 Versin 01

Niveles de Clasificacin y de Confidencialidad

Los Niveles de Clasificacin y Confidencialidad de los activos de informacin de la

ALCALDA MAYOR DE BOGOT D.C. son los siguientes:

Niveles de Clasificacin

Pblica: La informacin pblica de la SECRETARA GENERAL DE LA ALCALDA

MAYOR DE BOGOT D.C. es la informacin que ha sido declarada de conocimiento

pblico de acuerdo a alguna norma jurdica o por parte de la persona o grupo de

personas de la SECRETARA GENERAL DE LA ALCALDA MAYOR DE BOGOT D.C.

con autoridad para hacerlo. Esta informacin puede ser entregada o publicada sin

restricciones a los empleados o a cualquier persona sin que esto implique daos a

terceros ni a las actividades y procesos de la SECRETARA GENERAL DE LA


Confidencial: La informacin confidencial de la SECRETARA GENERAL DE LA

ALCALDA MAYOR DE BOGOT D.C. es toda aquella informacin que no es Pblica y

que adems no ha sido an clasificada en este documento. A la informacin

confidencial slo pueden tener acceso las personas que expresamente han sido

declaradas usuarios legtimos de esta informacin, y con los privilegios asignados, tal

como aparece consignado en el inventario de activos de informacin.

A esta categora se asocia la informacin propiedad de terceros que la SECRETARA

GENERAL DE LA ALCALDA MAYOR DE BOGOT D.C. utiliza bajo acuerdos de

confidencialidad o por licencias de uso. Los directores definirn cual informacin es

Reservada o Confidencial.




2213200-GS-004 Versin 01

Niveles de confidencialidad

La informacin confidencial debe ser entendida como: La existencia de informacin ms

crtica a nivel de prdida de su confidencialidad que otra y que por ende debe tener una

mayor proteccin.

La informacin que es confidencial hoy puede llegar a ser pblica en un momento

posterior, de conocimiento pblico para un conjunto de personas y parte de ella es

pblica para la comunidad en general en algunos casos.

Para saber cuando puede permitrsele el acceso y uso de la informacin a personas

distintas a las responsables de la misma y para poder establecer el grado de proteccin

que se le debe aplicar a la informacin de la institucin es necesario clasificarla

totalmente en trminos de su confidencialidad.

Para realizar una clasificacin ms precisa y fcil de manejar se definen tres grados de

confidencialidad de la informacin para la SECRETARA GENERAL DE LA ALCALDA

MAYOR DE BOGOT D.C.: de uso interno, restringida y altamente restringida. A

continuacin encontramos su definicin especfica:

Uso Interno

Es toda informacin consignada en el inventario de activos de informacin que es

utilizada por el personal de la SECRETARA GENERAL DE LA ALCALDA MAYOR DE

BOGOT D.C. para realizar sus labores en los procesos y que no puede ser conocida

por terceros sin autorizacin del propietario del activo. En caso de ser conocida,

utilizada o modificada por personas sin la debida autorizacin, impactara de forma leve




2213200-GS-004 Versin 01

a terceros o a los sistemas y/o procesos de la SECRETARA GENERAL DE LA


Restringida

Informacin que es utilizada por solo un grupo de empleados para realizar sus labores y

que no puede ser conocida por otros empleados o terceros sin autorizacin del

propietario de la informacin. En caso de ser conocida, utilizada o modificada por

personas sin la debida autorizacin, impactara de forma importante a terceros o a los

sistemas y/o procesos de la institucin.

Altamente Restringida

Informacin que es utilizada por solo un grupo de empleados para realizar sus labores y

que no puede ser conocida por otros empleados o terceros sin autorizacin especial de

la Gerencia. En caso de ser conocida, utilizada o modificada por personas sin la debida

autorizacin, impactara de forma grave a terceros o a los sistemas, a la institucin o al

distrito.

Para el esquema de clasificacin de la SECRETARA GENERAL DE LA ALCALDA

MAYOR DE BOGOT D.C., la relacin que se establece entre los niveles de

Clasificacin y los niveles de confidencialidad es como se muestra en la figura 1.




2213200-GS-004 Versin 01

Figura 1. Niveles de Confidencialidad y Clasificacin la ALCALDA MAYOR DE BOGOT D.C.

Los diferentes niveles de clasificacin tienen las siguientes caractersticas y

recomendaciones de manejo:

Pgina 26 de 44 2213200-GS-004 Versin 01

Nivel de Clasificacin

Pblica Uso Interno Restringida Altamente Restringida

1. Definicin

La informacin pblica de la ALCALDA MAYOR DE BOGOT D.C. es la informacin que ha sido declarada de conocimiento pblico de acuerdo a alguna norma jurdica o por parte de la persona o grupo de personas de la ALCALDA MAYOR DE BOGOT D.C. con autoridad para hacerlo. Esta informacin puede ser entregada o publicada sin restricciones a los empleados o a cualquier persona sin que esto implique daos a terceros ni a las actividades y procesos de la ALCALDA MAYOR DE BOGOT D.C.

Es toda informacin consignada en el inventario de activos de informacin que es utilizada por el personal de la ALCALDA MAYOR DE BOGOT D.C. para realizar sus labores en los procesos y que no puede ser conocida por terceros sin autorizacin del propietario del activo. En caso de ser conocida, utilizada o modificada por personas sin la debida autorizacin, impactara de forma leve a terceros o a los sistemas y/o procesos de la ALCALDA MAYOR DE BOGOT D.C.

Informacin que es utilizada por solo un grupo de empleados para realizar sus labores y que no puede ser conocida por otros empleados o terceros sin autorizacin del propietario de la informacin. En caso de ser conocida, utilizada o modificada por personas sin la debida autorizacin, impactara de forma importante a terceros o a los sistemas y/o procesos de la institucin.

Informacin que es utilizada por solo un grupo de empleados para realizar sus labores y que no puede ser conocida por otros empleados o terceros sin autorizacin especial de la Gerencia. En caso de ser conocida, utilizada o modificada por personas sin la debida autorizacin, impactara de forma grave a terceros o a los sistemas, a la institucin o al distrito.




2. Criterio de Definicin de Confidencialidad

Calificacin de Confidencialidad: Muy baja (MB):"El conocimiento o divulgacin no autorizada de este activo de informacin no tiene ningn impacto negativo en el proceso." Atributos: A2: "No esta restringida a un numero limitado de empleados". A3: "No restringida a personas externas". A7: "Declarado de conocimiento publico".

Calificacin de Confidencialidad: Baja (B): "El conocimiento o divulgacin no autorizada de este activo de informacin impacta negativamente de manera leve al proceso." Media (M): "El conocimiento o divulgacin no autorizada de este activo de informacin impacta negativamente de manera importante al proceso." Atributos: A3: "Restringida a personas externas"

Calificacin de Confidencialidad: Alta (A): " El conocimiento o divulgacin no autorizada de este activo de informacin impacta negativamente a la Institucin o sus negocios". Atributos: A2: "Restringido a un numero determinado de empleados".

Calificacin de Confidencialidad: Muy Alta (MA): " El conocimiento o divulgacin no autorizada de este activo de informacin impacta negativamente al Distrito. Atributos A8 (G): El impacto para la organizacin es Grave en caso de ser conocida, modificada o no tener disponibilidad.

3. Acceso permitido

Todos (Cualquier persona Interna o Externa) Todos los Empleados de La Alcalda Mayor de Bogot D.C. y contratistas con un compromiso firmado de confidencialidad y con autorizacin del propietario para su uso.

Solo los Usuarios expresamente autorizados en el Inventario de activos y subcontratistas con un compromiso firmado confidencialidad y con autorizacin del propietario para su uso.

Empleados de La Alcalda Mayor de Bogot D.C. con un compromiso firmado de confidencialidad de informacin y con autorizacin formal de la gerencia para acceder a esta informacin.

5. Etiquetado




a. Documentos en Papel

a. No es requerido a. No es requerido, queda a discrecin del propietario de la informacin. En caso de etiquetarse, si un documento que se haya impreso no posee el campo "Nivel de Confidencialidad", prediligenciado por medio de formato electrnico, entonces se deber etiquetar con un sello de tinta correspondiente a su clasificacin en su primera pgina como mnimo.

SI, es obligatorio por parte del Propietario de la informacin. Si un documento que se haya impreso no posee el campo "Nivel de Confidencialidad", prediligenciado por medio de formato electrnico, entonces se deber etiquetar con un sello de tinta correspondiente a su clasificacin en su primera pgina como mnimo.

SI, es obligatorio por parte del Propietario de la informacin. Si un documento que se haya impreso no posee el campo "Nivel de Confidencialidad", prediligenciado por medio de formato electrnico, entonces se deber etiquetar con un sello de tinta correspondiente a su clasificacin en su primera pgina como mnimo.

b. Archivos Electrnicos (Texto, Word, Excel, dibujos, planos, etc.)

b. No es requerido. b. No es requerido, queda a discrecin del propietario de la informacin. En caso de etiquetarse los documentos o informacin que estn en archivos electrnicos se les debe agregar un campo de informacin que indique el nivel de clasificacin del mismo y que hagan parte de los formatos manejados.

SI, es obligatorio por parte del Propietario de la informacin. Los documentos o informacin que estn en archivos electrnicos se les debe agregar un campo de informacin que indique el nivel de clasificacin del mismo y que hagan parte de los formatos manejados.

SI, es obligatorio por parte del Propietario de la informacin. Los documentos o informacin que estn en archivos electrnicos se les debe agregar un campo de informacin que indique el nivel de clasificacin del mismo y que hagan parte de los formatos manejados.




c. Aplicaciones

c. No es requerido. c. No es requerido, queda a discrecin del propietario de la informacin. En caso de etiquetarse, las aplicaciones que procesen o almacenen temporal o indefinidamente informacin, y si lo permiten, se les debe agregar un cuadro de dilogo en donde se informe su nivel de clasificacin.

SI, es obligatorio por parte del Propietario de la informacin. Las aplicaciones que procesen o almacenen temporal o indefinidamente informacin, y si lo permiten, se les debe agregar un cuadro de dilogo en donde se informe su nivel de clasificacin.

SI, es obligatorio por parte del Propietario de la informacin. Las aplicaciones que procesen o almacenen temporal o indefinidamente informacin, y si lo permiten, se les debe agregar un cuadro de dilogo en donde se informe su nivel de clasificacin.

d. Carpetas en Sistemas

d. No es requerido

d. No es requerido, queda a discrecin del propietario de la informacin. En caso de etiquetarse, las carpetas en servidores de archivos o en PCS se les debe colocar un nombre o identificador distintivo (icono en algunos sistemas) con el nivel de clasificacin a cada carpeta que almacena la informacin clasificada.

SI, es obligatorio por parte del Propietario de la informacin. Las carpetas en servidores de archivos o en PCS se les debe colocar un nombre o identificador distintivo (cono en algunos sistemas) con el nivel de clasificacin a cada carpeta que almacena la informacin clasificada.

SI, es obligatorio por parte del Propietario de la informacin. Las carpetas en servidores de archivos o en PCS se les debe colocar un nombre o identificador distintivo (cono en algunos sistemas) con el nivel de clasificacin a cada carpeta que almacena la informacin clasificada.

6. Mtodo de distribucin recomendado




a. Internamente a. Ninguno. Esta informacin puede distribuirse en cualquier medio al pblico en general, incluso a cualquier ente o persona por fuera de la organizacin.

Electrnica: Mediante el sistema de correo electrnico de La Alcalda Mayor de Bogot D.C. y a travs de las redes de datos y sistemas de La Alcalda Mayor de Bogot D.C. nicamente. Se debe evitar en lo posible manejar esta informacin en dispositivos de almacenamiento externo (Diskets, CDS, DVD's, memorias USB, SD, etc.) que no sean autorizados por La Alcalda Mayor de Bogot D.C. Fsica: Proceso de manejo de correspondencia interno.

Electrnica: Mediante el sistema de correo electrnico de La Alcalda Mayor de Bogot D.C. y a travs de las redes de datos y sistemas de la nicamente. Se debe evitar en lo posible manejar esta informacin en dispositivos de almacenamiento externo (Diskets, CDS, DVD's, memorias USB, SD, etc.) que no sean autorizados por La Alcalda Mayor de Bogot D.C. Fsica: Proceso de manejo de correspondencia interno, verificando que el destinatario si es un usuario autorizado en el inventario de activos de informacin, de otra forma se requiere de autorizacin por parte del propietario de la informacin.

Electrnico: Solo en la red de la Alcalda Mayor de Bogot D.C. y los archivos debern estar cifrados, la entrega se hace solo a un destinatario legtimo del inventario de activos de informacin. (Se recomienda el uso de certificado digital en el correo electrnico) Fsica: Entrega directa, firma de recepcin personal requerida no transferible, entregada por el propietario de la informacin directamente.




b. Hacia Terceros b. Ninguno. Esta informacin puede distribuirse en cualquier medio al pblico en general, incluso a cualquier ente o persona por fuera de la organizacin.

Debe ser entregada a un tercero solo si es una obligacin contractual o de negocio bien conocida o si hay una autorizacin formal del propietario de la informacin para su entrega. Electrnica: Si se entrega en medio electrnico en lo posible se debe tener los archivos y/o datos de acceso de solo lectura. Se puede entregar la informacin va e-mail a destinatarios con cuentas por fuera de La Alcalda Mayor de Bogot D.C. Se debe evitar utilizar listas de distribucin al momento de enviar este tipo de informacin. Fsica: Si es posible se debera entregar solo en medio fsico (Papel), el menor nmero de copias posible, y solo al receptor autorizado, firmando una carta de recibido.

Debe ser entregada a un tercero solo si es una obligacin contractual o de negocio bien conocida o si hay una autorizacin formal del propietario de la informacin para su entrega. Electrnica: Si se entrega en medio electrnico en lo posible se debe tener los archivos y/o datos de acceso de solo lectura. No se puede entregar la informacin va e-mail a destinatarios con cuentas por fuera de los sistemas de correo de La Alcalda Mayor de Bogot D.C. si la informacin no posee clave. Se debe evitar utilizar listas de distribucin al momento de enviar este tipo de informacin. Fsica: Si es posible se debera entregar solo en medio fsico (Papel), el menor nmero de copias posible, y solo al receptor autorizado, firmando una carta de recibido, mediante la empresa de mensajera de La Alcalda Mayor de Bogot D.C. o directamente por parte del propietario de la informacin.

Debe ser entregada a un tercero solo si es una obligacin contractual o de negocio bien conocida o si hay una autorizacin formal del propietario de la informacin para su entrega. Electrnico: Siempre se debe entregar esta informacin de manera cifrada al destinatario legtimo directamente. (Se debe utilizar certificado digital si se requiere obligatoriamente transmitir por correo electrnico) Fsico: En este caso debe utilizarse una empresa de transporte de valores con un proceso formal de verificacin del destinatario y entrega directa.




7. Almacenamiento y archivado

a. Informacin Impresa.

a. No requiere precauciones especiales. a. Se debe establecer una poltica de escritorio limpio, asegurar el acompaamiento y seguimiento de las acciones de personas externas en las instalaciones.

a. Se debe archivar en reas seguras bajo llave (Cajones, Cuarto de archivo, estantes, etc.)

a. Se debe archivar en reas seguras bajo llave (Cajones, Cuarto de archivo, estantes, etc.). Se recomienda guardar este tipo de informacin en caja fuerte si es posible. Cada vez que se archive asegrese de que sea por fuera de la vista de otras personas.




b. Informacin Electrnica

b. No requiere precauciones especiales. b. Se puede almacenar en cualquier sistema o repositorio siempre y cuando se asegure que no es accesible a personas por fuera de las redes y sistemas de informacin de La Alcalda Mayor de Bogot D.C. (i.e. desde Internet, servicios FTP, Web, etc.). Debe existir copia de la informacin solamente en los medios, sistemas de informacin o recursos indicados en el campo ubicacin del inventario de activos de informacin.

b. Se debe almacenar en sistemas o repositorios centralizados, bien administrados desde donde se comparta la informacin, est prohibido dejar sin proteccin de autenticacin de usuario/password esta informacin y con los privilegios indicados en el inventario de activos de informacin y los asignados por el propietario a los usuarios autorizados. Debe evitarse almacenar este tipo de informacin en PCS que no tengan administracin formal de seguridad. Debe existir copia de la informacin solamente en los medios, sistemas de informacin o recursos indicados en el campo ubicacin del inventario de activos de informacin.

b. Los controles individuales mnimos sugeridos para la informacin digital son: la autenticacin con usuario y contrasea al sistema donde reposa la informacin y adicionalmente usuario y contrasea para el archivo (si es posible se debe cifrar la informacin). Si esta informacin se encuentra en un PC o porttil, al equipo deben tener acceso solo las personas autorizadas, preferiblemente utilizando autenticacin fuerte de mnimo dos factores. Debe existir copia de la informacin solamente en los medios, sistemas de informacin o recursos indicados en el campo ubicacin del inventario de activos de informacin.

c. e-mail c. No requiere precauciones especiales. c. Se debe asegurar que esta informacin no se enve a terceros no autorizados para recibirla por este medio.

c. asegrese de que la informacin no queda en los elementos enviados y adicionalmente asegrese de que el backup del correo electrnico se realiza de manera segura (protegido con usuario y contrasea).

c. Se debe evitar en lo posible el uso de este medio, en caso de que sea necesario debe manejarse a travs de certificados digitales.




8. Destruccin

a. Informacin Impresa.

a. No requiere precauciones especiales. a. No requiere precauciones especiales.

a. Se deben utilizar mquinas destructoras de papel.

a. Debe utilizarse una destructora de papel pero preferiblemente debe incinerarse y esta accin debe ser llevada a cabo por el propietario del activo.

c. Reciclaje de Papel c. Es permitido sin restricciones. c. Es permitido solo para uso interno. c. No es permitido. c. No es permitido.

d. Medios de almacenamiento

d. No requiere precauciones especiales. d. Borrado seguro de informacin, destruccin fsica de medios que vayan a desecharse.

d. Borrado seguro de informacin, destruccin fsica de medios que vayan a desecharse.

d. Borrado seguro de informacin, destruccin fsica de medios que vayan a desecharse.

9. Transmisin Oral




a. Conversaciones y reuniones

a. No requiere precauciones especiales. a. Se debe evitar referenciar esta informacin por fuera de las instalaciones de La Alcalda Mayor de Bogot D.C., cuando se lleven a cabo deben ser en conversaciones privadas y en voz baja, evitando en lo posible zonas pblicas, tales como elevadores, pasillos, cafeteras, etc.

a. Se debe evitar referenciar esta informacin por fuera de las instalaciones de La Alcalda Mayor de Bogot D.C. al menos que sea una reunin formal por fuera de las mismas. Evite reunirse en salas que no sean cerradas y que no permitan aislar el ruido. Si la informacin fue anotada en papelgrafos o tableros, o documentos no formales (trozos de papel, libretas o agendas personales, etc.), esta debe ser borrada o destruida inmediatamente se abandone el sitio o se transfiera a un medio formal dispuesto por La Alcalda Mayor de Bogot D.C. (Archivo de Acta, archivo formal de notas, etc.).

a. Se debe evitar referenciar esta informacin por fuera de las instalaciones de La Alcalda Mayor de Bogot D.C. al menos que sea una reunin formal por fuera de las mismas. Evite reunirse en salas que no sean cerradas y que no permitan aislar el ruido. En lo posible asegrese que esta informacin solo es transmitida solo a las mnimas personas necesarias. Si la informacin fue anotada en papelgrafos o tableros, o documentos no formales (trozos de papel, libretas o agendas personales, etc.), esta debe ser borrada o destruida inmediatamente se abandone el sitio o se transfiera a un medio formal dispuesto por La Alcalda Mayor de Bogot D.C. (Archivo de Acta, archivo formal de notas, etc.).




b. Telefnica

b. No requiere precauciones especiales. b. No se debera entregar informacin de uso interno a personas no autorizadas por este medio.

b. Evite en lo posible establecer conversaciones telefnicas en donde se maneje este tipo de informacin, ms aun si hay posibles escuchas no autorizados cerca del sitio en donde se encuentra. Si se requiere haga uso de un telfono en una zona segura o aislada (Sala de reuniones, tele conferencia)

b. Evite establecer conversaciones telefnicas en donde se maneje este tipo de informacin, ms aun si hay posibles escuchas no autorizados cerca del sitio en donde se encuentra. Si se requiere haga uso de un telfono en una zona segura o aislada (Sala de reuniones, tele conferencia)

c. Voice Mail o maquina de grabacin automtica de mensajes

c. No requiere precauciones especiales. c. No se debera entregar informacin de uso interno a personas no autorizadas por este medio.

c. No se deberan dejar mensajes con este tipo de informacin

c. No se deberan dejar mensajes con este tipo de informacin

10. Transmisin por FAX

a. Localizacin de la Mquina de FAX

a. No debe estar disponible al pblico en general (externo)

a. No debe estar disponible al pblico en general (externo)

a. No debe estar disponible a personas no autorizadas y se debe tener bajo supervisin especfica (i.e. Asistente, secretaria, etc.).

a. No debe estar disponible a personas no autorizadas y se debe tener bajo supervisin especfica (i.e. Asistente, secretaria, etc.) y en oficina cerrada.

b. Uso de Cubierta de FAX

b. Si se requiere cubierta. Debe identificar a la compaa

b. Si se requiere cubierta. Debe identificar a la compaa

b. Si se requiere cubierta. Debe identificar a la compaa y debe estar etiquetado como confidencial.

b. Se debe evitar la transmisin por FAX, solo con autorizacin de la gerencia se debe llevar a cabo. En tal caso se debe etiquetar como altamente confidencial.




c. Cuidados en la transmisin

c. No requiere precauciones especiales. b. No se debera entregar informacin de uso interno a personas no autorizadas por este medio.

c. Es permitido sin restricciones. c. No se deberan dejar mensajes con este tipo de informacin

11. Seguridad Fsica

a. Estaciones de Trabajo

a. Se debe bloquear el equipo con proteccin de contrasea apenas se abandone y adicionalmente tener un protector de pantalla que bloquee el equipo en un tiempo corto automticamente en caso de olvido. En un tiempo ms largo se puede configurar la estacin para que se apague automticamente y no quede disponible en la red. Se debe tener un estricto control de vigilancia para el retiro de estaciones de trabajo por fuera de las instalaciones.



a. Se debe bloquear el equipo con proteccin de contrasea apenas se abandone y adicionalmente tener un protector de pantalla que bloquee el equipo en un tiempo corto automticamente en caso de olvido. En un tiempo ms largo se puede configurar la estacin para que se apague automticamente y no quede disponible en la red. Se debe tener un estricto control de vigilancia para el retiro de estaciones de trabajo por fuera de las instalaciones. Conecte lo menos posible la estacin a la red de la institucin o a Internet.

b. Informacin Impresa en zona de impresin

b. No requiere precauciones especiales. b. Se debe tener las impresoras por fuera del alcance del pblico en general y se debe buscar la impresin inmediatamente.

b. Se debe tener las impresoras por fuera del alcance del pblico en general y se debe buscar la impresin inmediatamente.

b. Se debe tener una persona atendiendo todo el proceso de impresin en la zona de impresoras desde el inicio, esta debe estar autorizada a ver la informacin.




c. Lap Tops, PDA's c. No requiere precauciones especiales. c. No descuide el equipo en zonas que no posean vigilancia o control de salida de equipos.

c. Nunca debe dejarlo solo el equipo y siempre debe utilizar cable de aseguramiento (lockdown cable), y si no es posible se debe dejar bajo vigilancia y cuando se salga de la oficina se debe dejar este bajo llave.

c. Nunca debe dejarlo solo el equipo y siempre debe utilizar cable de aseguramiento (lockdown cable) y si no es posible se debe dejar bajo vigilancia y cuando se salga de la oficina se debe dejar este bajo llave. Se debe procurar tener la informacin cifrada.

d. Acceso a Oficina d. No requiere precauciones especiales. d. No requiere precauciones especiales.

d. el acceso a las reas que poseen informacin confidencial debe tener algn tipo de restriccin fsica de acceso (Puerta con llave, tarjeta, vigilancia), este control debe ser aplicado cuando la oficina este desatendida.

d. el acceso a las reas que poseen informacin confidencial debe tener algn tipo de restriccin fsica de acceso (Puerta con llave, tarjeta, vigilancia), este control debe ser aplicado cuando la oficina este desatendida.

12. Fotocopiado de Informacin

a. Tipo de copias permitidas.

a. No requiere precauciones especiales. a. No requiere precauciones especiales.

a. Solo cuando sea necesario. a. Debe ser autorizado por el propietario de la informacin.





Atributos de Clasificacin

A cada activo de informacin se le relacion uno o ms atributos, los cuales

permiten identificar su sensibilidad y justificar el valor asignado al activo y

adicionalmente permitirn obtener elementos que permitan darle un tratamiento

adecuado. Los atributos asociados al activo de informacin y que se tiene como

informacin de referencia en la matriz de inventario y clasificacin de activos de

informacin es la siguiente:

A1: Activo de informacin de clientes o terceros que debe protegerse. A2: Activo de informacin que debe ser restringido a un nmero limitado de

empleados.

A3: Activo de informacin que debe ser restringido a personas externas. A4: Activo de informacin que puede ser alterado o comprometido para

fraudes corrupcin.

A5: Activo de informacin que es muy crtico para las operaciones internas. A6: Activo de informacin que es muy crtico para el servicio hacia terceros. A7: Activo de informacin que ha sido declarado de conocimiento pblico por

parte de la persona con autoridad para hacerlo o por alguna norma jurdica.

A8: Activo de informacin que en caso de ser conocido, utilizado o modificado por alguna persona o sistema sin la debida autorizacin, impactara de forma

leve a terceros, a los sistemas y/o procesos de la institucin.





A9: Activo de informacin que en caso de ser conocido, utilizado o modificado por alguna persona o sistema sin la debida autorizacin impactara de forma

importante a terceros, a los sistemas y/o procesos de la institucin.

A10: Activo de informacin que en caso de ser conocido, utilizado o modificado por alguna persona o sistema sin la debida autorizacin

impactara de forma grave a terceros, a los sistemas y/o procesos de la

institucin.

Procedimiento de clasificacin

La clasificacin de la informacin se lleva a cabo bajo el mismo procedimiento del

inventario de activos de informacin (Definicin, Revisin, Actualizacin y

Publicacin). La diferencia que se suscita es que en la definicin despus de que el

lder de proceso lleva a cabo el levantamiento de informacin, el equipo de gestin

de activos es quien asigna los niveles de clasificacin de acuerdo a la informacin

consignada en la matriz de Inventario y clasificacin.

En este sentido lo que se realiza es el llenado de la columna clasificacin con

alguno de los siguientes valores:

Publica Uso Interno Restringida Altamente Restringida





Estos valores se consiguen a partir del valor consignado en el campo

confidencialidad y los atributos sobre la informacin:

Pblica Uso Interno Restringida Altamente restringida Calificacin de Confidencialidad: Muy baja (MB):"El conocimiento o divulgacin no autorizada de este activo de informacin no tiene ningn impacto negativo en el proceso." Atributos: A2: "No esta restringida a un numero limitado de empleados". A3: "No restringida a personas externas". A7: "Declarado de conocimiento publico".

Calificacin de Confidencialidad: Baja (B): "El conocimiento o divulgacin no autorizada de este activo de informacin impacta negativamente de manera leve al proceso." Media (M): "El conocimiento o divulgacin no autorizada de este activo de informacin impacta negativamente de manera importante al proceso." Atributos: A3: "Restringida a personas externas"

Calificacin de Confidencialidad: Alta (A): " El conocimiento o divulgacin no autorizada de este activo de informacin impacta negativamente a la Institucin o sus negocios". Atributos: A2: "Restringido a un numero determinado de empleados".

Calificacin de Confidencialidad: Muy Alta (MA): " El conocimiento o divulgacin no autorizada de este activo de informacin impacta negativamente al Distrito. Atributos A8 (G): El impacto para la organizacin es Grave en caso de ser conocida, modificada o no tener disponibilidad.

El equipo de gestin de activos lleva a cabo esta revisin y actualizacin con los

valores correspondientes.

Recomendaciones

Las siguientes son las recomendaciones asociadas al manejo del esquema de

clasificacin de activos de informacin de la GENERAL DE LA ALCALDA MAYOR

DE BOGOT D.C., tendientes a que la elaboracin, actualizacin y manejo del

mismo se mantenga de manera adecuada en el tiempo.





Este documento debe hacer parte del Sistema de Gestin de la Seguridad de la Informacin, as como todos los anexos: tablas, formatos e instructivos que

lo conforman. Se recomienda que la NO aplicacin del procedimiento aqu

consignado debe considerarse una no conformidad dentro del SGSI.

A los propietarios de la informacin y los custodios tcnicos se les debe informar y adjudicar formalmente las responsabilidades que cada uno tiene

sobre los activos de informacin y que se derivan del inventario y clasificacin

consignado en ste documento.

Se recomienda que el custodio tcnico haya sido designado formalmente por el propietario del activo o por el rea con autoridad para hacerlo, de acuerdo a

las responsabilidades asociadas en la recomendacin anterior. Las labores de

salvaguardar las propiedades de seguridad del activo se pueden delegar al

custodio, pero la responsabilidad sigue siendo del propietario de la

informacin, por lo tanto se recomienda que el propietario establezca

mecanismos de monitoreo y revisin a travs de los cuales asegure que estos

requisitos de seguridad estn siendo administrados y gestionados por el

custodio tcnico del activo.

Los lderes de proceso son los encargados de definir el valor de los campos de informacin del inventario, debe revisarlo peridicamente y asegurarse del

proceso de actualizacin de la informacin con los valores adecuados. El

propietario del activo debe dar el visto bueno a dicha valoracin.

Se recomienda que dentro de los procesos de desvinculacin de personal o de eliminacin de un cargo se haga una revisin de si la persona se encontraba





como propietario o custodio tcnico de algn activo para de esta forma llevar a

cabo una revisin y actualizacin al inventario.

Se recomienda que dentro de los procesos de vinculacin de personal o de creacin de un nuevo cargo se haga una revisin de si la persona debe ser

propietario o custodio tcnico de algn activo para de esta forma llevar a cabo

una revisin y actualizacin al inventario y la clasificacin.

Cada vez que se cambie o migre un sistema de informacin, servicio, aplicacin o cualquier utilidad que almacene algn activo de informacin se

debe generar una actualizacin al inventario en su campo Ubicacin.

A nivel documental para todos los procesos es importante tener una diferenciacin clara en el nombre de los documentos que sean de trabajo

preliminar o que an no sean oficiales, de tal forma que se nombren

formalmente como borrador, preliminar o proyecto de... Esto debe aplicar

para todos los documentos que tengan un nivel de clasificacin diferente antes

y despus de ser oficiales.

Se recomienda declarar la vigencia del inventario de activos de informacin una vez todas las recomendaciones aqu sugeridas hayan sido implementadas

y se hayan definidos todos los procedimientos asociados a la gua de

inventario y clasificacin.

DIRECCIN DISTRITAL DE DESARROLLO INSTITUCIONAL SUBDIRECCIN DE INFORMTICA Y SISTEMAS NOMBRECARGOFECHAFIRMAELABOROREVISOAPROB RESUMEN EJECUTIVO OBJETIVO del documento DEFINICIONES INVENTARIO DE ACTIVOS DE INFORMACIN Procedimiento de Inventario Definicin Informacin mnima Propiedad Tipo Valor Acceso Ubicacin Fechas

Revisin Actualizacin Publicacin

CLASIFICACIN DE ACTIVOS DE INFORMACIN Definicin Niveles de Clasificacin y de Confidencialidad Niveles de Clasificacin Niveles de confidencialidad Uso Interno Restringida Informacin que es utilizada por solo un grupo de empleados para realizar sus labores y que no puede ser conocida por otros empleados o terceros sin autorizacin del propietario de la informacin. En caso de ser conocida, utilizada o modificada por personas sin la debida autorizacin, impactara de forma importante a terceros o a los sistemas y/o procesos de la institucin. Altamente Restringida

Atributos de Clasificacin Procedimiento de clasificacin

Recomendaciones

GUA PARA EL INVENTARIO Y LA CLASIFICACIN DE ACTIVOS DE INFORMACIN DE LA SECRETARA GENERAL DE LA ALCALDA MAYOR DE BOGOT D.C.

CDIGO

2213200-GS-004

VERSIN

01

PGINA:

1 de 44

DIRECCIN DISTRITAL DE DESARROLLO INSTITUCIONAL

SUBDIRECCIN DE INFORMTICA Y SISTEMAS

SECRETARA GENERAL

ALCALDA MAYOR DE BOGOT.

NOMBRE

CARGO

FECHA

FIRMA

ELABORO

Juan Carlos Cely

Profesional Especializado

28/09/2007

REVISO

Juan Carlos Cely

Profesional Especializado

28/09/2007

APROB

Oscar Alberto Cardona

Subdirector de Informtica y Sistemas (E)

28/09/2007

NOMBRE DEL DOCUMENTO:

Inventario_y_Clasificacin-_Alcalda_MayorV1_0.doc

VERSIN DEL DOCUMENTO:

1.0

FECHA:

Septiembre de 2007

LECTORES:

Usuarios internos de la SECRETARA GENERAL DE LA ALCALDA MAYOR DE BOGOT D.C.

RESUMEN

Este documento establece los criterios y mecanismos que debern ser utilizados por los usuarios internos de la SECRETARA GENERAL DE LA ALCALDA MAYOR DE BOGOT D.C. para clasificar y manejar la informacin que generen, posean o utilicen, llevando a cabo las actividades que bajo su responsabilidad tendrn como usuarios, propietarios o custodios tcnicos de los activos de informacin del alcance aqu consignado.

Historia del documento

Versin

Fecha

Comentarios

Por

Acta

1.0

NewNet S.A.

2.0

Septiembre 2007

Personalizacin del documento

Subdireccin de Informtica y Sistemas

N/A

Documentos asociados (Este documento debe ser ledo en conjunto con)

Nombre del Documento

Versin

Fecha

Aprobacin

Nombre

Empresa

Autor

NewNet S.A.

Propietario

Subdireccin Informtica y Sistemas

Secretaria General Alcaldia Mayor de Bogot

TABLA DE CONTENIDO

41RESUMEN EJECUTIVO

62OBJETIVO del documento

73DEFINICIONES

94INVENTARIO DE ACTIVOS DE INFORMACIN

94.1Procedimiento de Inventario

104.1.1Definicin

124.1.2Informacin mnima

174.1.3Revisin

184.1.4Actualizacin

194.1.5Publicacin

205CLASIFICACIN DE ACTIVOS DE INFORMACIN

205.1Definicin

225.2Niveles de Clasificacin y de Confidencialidad

225.2.1Niveles de Clasificacin

235.2.2Niveles de confidencialidad

405.3Atributos de Clasificacin

415.4Procedimiento de clasificacin

426Recomendaciones

RESUMEN EJECUTIVO

Este documento presenta el inventario y clasificacin de los activos de informacin que son manejados por los empleados a travs de los procesos de la SECRETARA GENERAL DE LA ALCALDA MAYOR DE BOGOT D.C., con el fin principal de determinar que activos posee la institucin, reconocer el valor de cada activo, los niveles de acceso permitidos, y determinar su clasificacin para que sea utilizada adecuadamente.

La realizacin de un inventario y clasificacin de activos de informacin hace parte de la debida diligencia que a nivel estratgico ha considerado la SECRETARA GENERAL DE LA ALCALDA MAYOR DE BOGOT D.C. dentro de sus elementos a tratar con respecto a la seguridad para los activos de informacin de la institucin.

Las mejores prcticas de seguridad de la informacin a nivel nacional e internacional recomiendan de manera imperativa la realizacin de un inventario y clasificacin de los activos de informacin de las organizaciones, para determinar cmo deben ser utilizados en los procesos del negocio, los roles y las responsabilidades que tiene el personal sobre la misma, reconociendo adicionalmente los niveles de confidencialidad que a cada activo debe drsele.

De esta forma y con base en las normas tcnicas colombianas NTC ISO/IEC 17799 y NTC ISO/IEC 27001 en el tem Gestin de Activos se persigue dar cumplimiento a tres puntos principales que son explcitos en las mismas as:

Inventario de Activos: Todos los activos deben estar claramente identificados y se debe elaborar y mantener un inventario de todos los activos importantes de la organizacin.

Propiedad de los Activos: Toda la informacin y los activos asociados con los servicios de procesamiento de informacin deben ser propiedad de una parte designada de la organizacin.

Directrices de Clasificacin: La informacin debe clasificarse en trminos de su valor, de los requisitos legales, de la sensibilidad y la importancia para la organizacin.

Dado que todos los procesos de la SECRETARA GENERAL DE LA ALCALDA MAYOR DE BOGOT D.C. deben conocer y aplicar los criterios, procedimientos y recomendaciones para el manejo y clasificacin de la informacin que se encuentran en este documento, se ha buscado que el impacto de la aplicacin de los mismos sea el mnimo en las actividades de los diferentes procesos de la SECRETARA GENERAL DE LA ALCALDA MAYOR DE BOGOT D.C.

Esta gua busca dar cumplimiento y tener como marco de aplicacin el manual de seguridad de la informacin de la SECRETARA GENERAL DE LA ALCALDA MAYOR DE BOGOT D.C., en el cual se estructura y se compilan las polticas y principios ticos que orientan la actuacin de la institucin respecto de su conducta con respecto a la seguridad su INFORMACIN.

Este documento cuenta con una seccin de definiciones las cuales aplican al contenido total del documento, por lo tanto los conceptos deben aplicarse y entenderse con base en las definiciones dadas en este contexto.

Si se tiene alguna duda sobre informacin que no ha sido clasificada o si se piensa que no se ha realizado adecuadamente su clasificacin, debe dirigir la inquietud al jefe inmediato en su rea.

OBJETIVO del documento

Presentar los criterios, procedimientos y recomendaciones que deben ser utilizados por los responsables de los procesos de la SECRETARA GENERAL DE LA ALCALDA MAYOR DE BOGOT D.C. para realizar y mantener el inventario y la clasificacin de los activos de informacin que posee la entidad, para llevar a cabo las actividades que bajo su responsabilidad todos los empleados tendrn como usuarios, propietarios o custodios tcnicos de los activos de informacin del alcance consignado en este documento.

DEFINICIONES

Informacin: La informacin es un activo que, como otros activos importantes del negocio, es esencial para las actividades de la organizacin y, en consecuencia, necesita una proteccin adecuada.

Seguridad de la Informacin: La seguridad de la informacin es la proteccin de la informacin contra una gran variedad de amenazas con el fin de asegurar la continuidad del negocio, minimizar el riesgo y maximizar el retorno de inversiones y oportunidades de negocio. Adicionalmente, se define como la preservacin de la confidencialidad, integridad y disponibilidad de la informacin, adems, otras propiedades tales como autenticidad, responsabilidad, no-repudio y confiabilidad pueden estar involucradas.

Clasificacin de la Informacin: Es el ejercicio por medio del cual se determina que la informacin pertenece a uno de los niveles de clasificacin estipulados a nivel corporativo. Tiene como objetivo asegurar que la informacin recibe el nivel de proteccin adecuado. La informacin debe clasificarse en trminos de la sensibilidad y la importancia para la organizacin.

Propietario de la Informacin: Es una parte designada de la organizacin, un cargo, proceso, o grupo de trabajo que tiene la responsabilidad de definir quienes tienen acceso y que pueden hacer con la informacin y de determinar cuales son los requisitos para que la misma se salvaguarde ante accesos no autorizados, modificacin, prdida de la confidencialidad o destruccin deliberada, y al mismo tiempo de definir que se hace con la informacin una vez ya no sea requerida.

Custodio Tcnico: Es una parte designada de la organizacin, un cargo, proceso, o grupo de trabajo encargado de administrar y hacer efectivos los controles de seguridad (Toma de copias de seguridad, asignar privilegios de: Acceso, Modificaciones, Borrado) que el propietario de la informacin haya definido, con base en los controles de seguridad disponibles en la organizacin.

Usuario: Cualquier persona que genere, obtenga, transforme, conserve o utilice informacin de la organizacin en papel o en medio digital, fsicamente o a travs de las redes de datos y los sistemas de informacin de la compaa. Son las personas que utilizan la informacin para propsitos propios de su labor, adecuados y que tendrn el derecho manifiesto de uso dentro del inventario de informacin.

INVENTARIO DE ACTIVOS DE INFORMACIN

Mediante la definicin de un inventario la SECRETARA GENERAL DE LA ALCALDA MAYOR DE BOGOT D.C. especifica y reconoce cuales son los activos de informacin ms importantes del negocio y define clasificar mnimo los activos de informacin que se encuentran consignados en este inventario.

El inventario permite identificar los activos de informacin a los que se les debe brindar mayor proteccin y que se puede requerir para servir a otros propsitos del negocio como por ejemplo: controles de seguridad fsica, estudios financieros o de clculo de primas de seguros (gestin de activos), entre otros.

Las actividades realizadas para obtener un inventario de activos son un prerrequisito de la gestin de riesgos de seguridad de la informacin.

Procedimiento de Inventario

El procedimiento de inventario debe realizarse mediante la ejecucin de las siguientes actividades:

Definicin

En el procedimiento de inventario la actividad de definicin consiste en reconocer y determinar que activos de informacin van a hacer parte de la Matriz de Inventario y Clasificacin de activos de informacin y para estos activos definir las propiedades y la informacin que permite identificar el mismo en la organizacin, para obtener su valor para el negocio.

La definicin es un ejercicio que debe ser realizado por cada proceso del negocio para identificar e incluir nuevos activos de informacin a la Matriz de Inventario y Clasificacin de activos de informacin de la SECRETARA GENERAL DE LA ALCALDA MAYOR DE BOGOT D.C.

La definicin se lleva a cabo de la siguiente manera:

Cada proceso del negocio deber hacer uso del instructivo de Levantamiento de Informacin para Inventario y Clasificacin de Activos de Informacin y reportar los nuevos activos de informacin del proceso y asignar los valores correspondientes requeridos para cada campo del formato Definicin de Activos por Proceso.

Cada lder de proceso ser responsable por esta actividad y por garantizar que los activos ms importantes de su proceso han sido identificados y valorados.

El equipo de gestin de activos de la SECRETARA GENERAL DE LA ALCALDA MAYOR DE BOGOT D.C. ser el encargado de solicitar a los lderes de proceso la realizacin de la actividad de definicin y monitorear el desarrollo de esta actividad por cada proceso.

En esta etapa, los lderes de proceso, debern en segunda instancia solicitar la revisin de la definicin de activos realizada por el Propietario del Activo de Informacin designado y del custodio tcnico designado, para que estos validen que efectivamente ellos son las personas o parte de la organizacin adecuados para tener esta designacin que se les ha dado en los campos de propiedad del activo.

El lder de proceso deber finalmente entregar la definicin de sus activos de informacin en el formato Definicin de Activos por Proceso al equipo de gestin de activos de la SECRETARA GENERAL DE LA ALCALDA MAYOR DE BOGOT D.C. para que estos integren la informacin en la Matriz de Inventario y Clasificacin de Activos de Informacin de la SECRETARA GENERAL DE LA ALCALDA MAYOR DE BOGOT D.C.

La definicin del inventario se debe llevar a cabo cada 6 meses. Para el inventario de activos de informacin de la SECRETARA GENERAL DE LA ALCALDA MAYOR DE BOGOT D.C. se define que la siguiente informacin debe ser la mnima que debe consignarse en la tabla de inventario de activos de informacin (Ver Matriz de Inventario y Clasificacin de activos de informacin de la SECRETARA GENERAL DE LA ALCALDA MAYOR DE BOGOT D.C. en el Anexo 1 de este documento).

Informacin mnima

Propiedad

Es un grupo de informacin que permite determinar la propiedad de los activos y para el cual la tabla de inventario define los siguientes campos:

Nombre del Activo: Es un campo que define la manera como se va a reconocer el activo de informacin en la compaa, con un nombre particular y diferenciable.

Propietario.

Custodio Tcnico.

Tipo

Se define el tipo al cual pertenece el activo. Para este campo se utilizan los siguientes valores:

INF (Informacin): Corresponden a este tipo las bases de datos y archivos de datos, contratos y acuerdos, documentacin del sistema, informacin sobre investigacin, manuales de usuario, procedimientos operativos o de soporte, planes para la continuidad del negocio, acuerdos sobre retiro, pruebas de auditoria e informacin archivada fsica o electrnicamente.

SOF (Software): software de aplicacin, software del sistema, herramientas de desarrollo y utilidades.

FIS (Fsico): Equipos de computacin, equipos de comunicaciones, medios removibles y otros equipos fsicos.

SER (Servicio): servicios de computacin y comunicaciones. (Pe: Acceso a Internet, Paginas de consulta, Acceso a la red, etc.)

Valor

Este es un grupo de informacin para el cual se define y deben ser ingresados valores en el rango desde Muy Bajo hasta Muy Alto para cada uno de los campos. Esta informacin nos indica el valor que tiene el activo para el distrito, para el negocio o especficamente para el proceso, ya que uno de los criterios importantes de su clasificacin es en trminos de su valor. A continuacin se define el significado de cada campo presente en la tabla de inventario:

C (Confidencialidad): Proteccin para que el activo de informacin sea accesible solamente por aquellas personas autorizadas para ello. En este campo en el inventario se presenta uno de los siguientes valores:

Criterio

Descripcin

Explicacin

MA

Muy Alto

El conocimiento o divulgacin no autorizada de este activo de informacin impacta negativamente al Distrito.

A

Alto

El conocimiento o divulgacin no autorizada de este activo de informacin impacta negativamente a la Institucin o sus negocios.

M

Medio

El conocimiento o divulgacin no autorizada de este activo de informacin impacta negativamente de manera importante al proceso.

B

Bajo

El conocimiento o divulgacin no autorizada de este activo de informacin impacta negativamente de manera leve al proceso.

MB

Muy Bajo

El conocimiento o divulgacin no autorizada de este activo de informacin no tiene ningn impacto negativo en el pro

Inventario Activos de La Información

Documents

Transcript of Inventario Activos de La Información