Políticas de seguridad de la información...Parques Nacionales Naturales de Colombia Calle 74 No....

Parques Nacionales Naturales de Colombia

Calle 74 No. 11 - 81 Piso 3 Bogotá, D.C., Colombia

Teléfono: 353 2400 Ext.: 3110 www.parquesnacionales.gov.co

PLAN DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN

VERSIÓN 1

EN PROCESO DE APROBACIÓN

SUBDIRECCIÓN DE GESTIÓN Y MANEJO GRUPO DE SISTEMAS DE INFORMACIÓN Y RADIOCOMUNICACIONES

2018




CONTROL DE REVISIÓN

SGC PROCESO DE GESTIÓN DE

INFORMACIÓN

Versión 1

03/25/2016 Página 1 de 105 Confidencial

05/04/2018 En proceso de aprobación

La información contenida en este documento es propiedad intelectual de PNN




Tabla de contenido 1. Introducción .................................................................................................................................................... 12

1.1 ¿Por qué implementar políticas de seguridad de la información? ......................................................... 20

1.2. ¿Qué riesgos se pueden derivar de no contar con Políticas de seguridad de la información? .............. 22

2. Política Uso aceptable de los Activos ............................................................................................................. 24

2.1. Alcance ................................................................................................................................................... 24

2.2. Objetivo ................................................................................................................................................... 24

2.3. Marco normativo ..................................................................................................................................... 24

2.4. Condiciones Obligatorias ........................................................................................................................ 24

2.5. Usos no autorizados ............................................................................................................................... 25

2.6. Responsabilidades ................................................................................................................................. 25

2.7. Seguimiento y control (monitoreo) .......................................................................................................... 26

2.8. Procedimientos por dominio ................................................................................................................... 26

2.9. Controles por dominio ............................................................................................................................. 27

2.10. Controles asociados ............................................................................................................................... 27

2.11. Estándares aplicables ............................................................................................................................. 28

3. Política de control de acceso físico ................................................................................................................ 29

3.1. Alcance ................................................................................................................................................... 29

3.2. Objetivo ................................................................................................................................................... 29

3.3. Marco normativo ..................................................................................................................................... 29

3.4. Condiciones obligatorias......................................................................................................................... 29






3.10. .Controles asociados .............................................................................................................................. 31


4. Política de seguridad de la información para relaciones con proveedores .................................................... 32

4.1. Alcance ................................................................................................................................................... 32

4.2. Objetivo ................................................................................................................................................... 32

4.3. Marco normativo ..................................................................................................................................... 32












5. Política Trae tu propio dispositivo (BYOD, Bring Your Own Device) ............................................................. 35

5.1. Alcance ................................................................................................................................................... 35

5.2. Objetivo ................................................................................................................................................... 35

5.3. Definiciones ............................................................................................................................................ 35

5.4. Marco normativo ..................................................................................................................................... 35









6. Política de dispositivos móviles, teletrabajo y cumplimiento de funciones por fuera de las redes y sistemas de la Parques Nacionales Naturales De Colombia ................................................................................................ 38

6.1. Alcance ................................................................................................................................................... 38

6.2. Marco normativo ..................................................................................................................................... 38









7. Política de seguridad para proveedores ......................................................................................................... 41

7.1. Alcance ................................................................................................................................................... 41

7.2. Objetivo ................................................................................................................................................... 41

7.3. Marco normativo ..................................................................................................................................... 41








8. Política de claves ............................................................................................................................................ 43




8.1. Alcance ................................................................................................................................................... 43

8.2. Objetivo ................................................................................................................................................... 43

8.3. Marco normativo ..................................................................................................................................... 43

8.4. Definiciones ............................................................................................................................................ 43

8.5. Condiciones obligatorias ......................................................................................................................... 43


8.7. Responsabilidades .................................................................................................................................. 44

8.7.1. Responsabilidades de los usuarios ......................................................................................................... 44

8.7.2. Responsabilidades Unidad Informática ................................................................................................... 45


8.9. Procedimientos por dominio .................................................................................................................... 45


8.11. Controles asociados................................................................................................................................ 45


9. Política para la eliminación y destrucción de medios ..................................................................................... 46

9.1. Alcance ................................................................................................................................................... 46

9.2. Objetivo ................................................................................................................................................... 46

9.3. Marco normativo ..................................................................................................................................... 46









10. Política de escritorio limpio y pantalla limpia .............................................................................................. 48

10.1. Alcance ................................................................................................................................................... 48

10.2. Objetivo ................................................................................................................................................... 48

10.3. Marco normativo ..................................................................................................................................... 48







11. Política de Gestión de Cambios ................................................................................................................. 50

11.1. Alcance ................................................................................................................................................... 50

11.2. Objetivo ................................................................................................................................................... 50




11.3. Marco normativo ..................................................................................................................................... 50







11.10. Controles asociados ........................................................................................................................... 52

11.11. Estándares aplicables ......................................................................................................................... 52

12. Politica De Respaldo De Información ......................................................................................................... 53

12.1. Alcance ................................................................................................................................................... 53

12.2. Objetivo ................................................................................................................................................... 53

12.3. Marco normativo ..................................................................................................................................... 53







13. Política de Transferencia de Información ................................................................................................... 56

13.1. Alcance ................................................................................................................................................... 56

13.2. Objetivo ................................................................................................................................................... 56

13.3. Marco normativo ..................................................................................................................................... 56









14. Política de Concientización en seguridad de la información ...................................................................... 59

14.1. Alcance ................................................................................................................................................... 59

14.2. Objetivo ................................................................................................................................................... 59

14.3. Marco normativo ..................................................................................................................................... 59









14.9. Controles complementarios .................................................................................................................... 60


15. Política de control de acceso a la información ........................................................................................... 61

15.1. Alcance ................................................................................................................................................... 61

15.2. Objetivo ................................................................................................................................................... 61

15.3. Marco normativo ..................................................................................................................................... 61









16. Acceso a Componentes de Tecnología de Información y Comunicaciones .............................................. 64

16.1. Alcance ................................................................................................................................................... 64

16.2. Objetivo ................................................................................................................................................... 64

16.3. Marco normativo ..................................................................................................................................... 64







16.10 Controles asociados .............................................................................................................................. 66

16.11 Estándares aplicables ............................................................................................................................. 66

17. Política de desvinculación cambio de funciones, ausencia temporal o vacaciones .................................. 67

17.1. Alcance ................................................................................................................................................... 67

18. Política de uso de correo electrónico.......................................................................................................... 69

18.1. Alcance ................................................................................................................................................... 69

18.2. Objetivo ................................................................................................................................................... 69

18.3. Marco normativo ..................................................................................................................................... 69











19. Política de uso de servicios de acceso a Internet ...................................................................................... 72

19.1. Alcance ................................................................................................................................................... 72

19.2. Objetivo ................................................................................................................................................... 72

19.3. Marco normativo ..................................................................................................................................... 72









20. Política de Antivirus .................................................................................................................................... 75

20.1. Alcance ................................................................................................................................................... 75

20.2. Objetivo ................................................................................................................................................... 75

20.3. Marco normativo ..................................................................................................................................... 75









21. Política de Controles para Cifrado de Datos .............................................................................................. 77

21.1. Alcance ................................................................................................................................................... 77

21.2. Objetivo ................................................................................................................................................... 77

21.3. Marco normativo ..................................................................................................................................... 77









22. Política de uso de dispositivos móviles ...................................................................................................... 79

22.1. Alcance ................................................................................................................................................... 79




22.2. Objetivo ................................................................................................................................................... 79

22.3. Marco Normativo .................................................................................................................................... 79









23. Política de adquisición, desarrollo y mantenimiento de software ............................................................... 81

23.1. Alcance ................................................................................................................................................... 81

23.2. Objetivo ................................................................................................................................................... 81

23.3. Marco normativo ..................................................................................................................................... 81







24. Cuentas para acceso a sistemas de información ....................................................................................... 83

24.1. Alcance ................................................................................................................................................... 83

24.2. Objetivo ................................................................................................................................................... 83

24.3. Marco normativo ..................................................................................................................................... 83








25. Política de gestión de incidentes de seguridad de la información ............................................................. 85

25.1. Alcance ................................................................................................................................................... 85

25.2. Objetivo ................................................................................................................................................... 85

25.3. Marco normativo ..................................................................................................................................... 85

25.4. Definiciones ............................................................................................................................................ 85

25.5. Detalle ..................................................................................................................................................... 85










26. Politica de tratamiento de datos personales ............................................................................................... 88

26.1. Alcance ................................................................................................................................................... 88

26.2. Objetivo ................................................................................................................................................... 88

26.3. Marco normativo ..................................................................................................................................... 88

26.4. Definiciones ............................................................................................................................................ 88






26.10. Controles por dominio ......................................................................................................................... 93


27. Política de clasificación de la información .................................................................................................. 94

27.1. Alcance ................................................................................................................................................... 94

27.2. Objetivo ................................................................................................................................................... 94

27.3. Marco normativo ..................................................................................................................................... 94

27.4. Definiciones ............................................................................................................................................ 94






27.10. Controles por dominio ......................................................................................................................... 97



28. Politica para la gestion de vulnerabildades sobre los componentes de la infraestructura tecnologica ..... 98

28.1. Alcance ................................................................................................................................................... 98

28.2. Objetivo ................................................................................................................................................... 98

28.3. Marco normativo ..................................................................................................................................... 98

28.4. Definiciones ............................................................................................................................................ 98



28.7. Roles y Responsabilidades .................................................................................................................... 99

28.8. Seguimiento y control (monitoreo) ........................................................................................................ 100

28.9. Procedimientos por dominio ................................................................................................................. 100




28.10. Controles por dominio ....................................................................................................................... 100

28.11. Controles asociados ......................................................................................................................... 100

28.12. Estándares aplicables ....................................................................................................................... 100

29. Sistema de clasificacion de riesgos .......................................................................................................... 101

29.1. Grupo Meta ........................................................................................................................................... 101

29.2. Propósito del Sistema de Clasificación de Riesgos ............................................................................. 101

29.3. Responsabilidades ............................................................................................................................... 101

29.4. 29.4. Conceptos Básicos ................................................................................................................. 101

30. Bibliografía ................................................................................................................................................ 105

30. BIBLIOGRAFÍA........................................................................................................97




1. Introducción

La mayor parte de las organizaciones dependen de los sistemas automatizados para la

obtención de la información necesaria en la toma de decisiones.

A medida que la sociedad se vuelve más dependiente de la tecnología de la información y del

procesamiento automatizado de la información es natural hacer énfasis en la necesidad de

proteger las funciones vitales, que constituyen un componente clave para la organización

susceptible a pérdida, daños o usos indebidos.

La información y los sistemas de información son un recurso muy valioso; por lo que deben

ser tratados como un recurso estratégico que requiere ser administrado (tal como el capital, el

recurso humano y recursos técnicos), debiendo dárseles la misma atención. Las

consecuencias financieras pueden ser desastrosas si los sistemas fallan o si se pierde la

información.

El tema de la seguridad de la información cobra gran importancia y tiene como meta proteger

los activos o recursos de la organización y asegurar la viabilidad de las operaciones si

algo llegara a pasar, promoviendo e implementando medidas de seguridad, controles

administrativos y especialmente, por medio de la actitud de cada uno de los miembros de la

Institución.

Entre otros, la seguridad informática considera aspectos como daño o divulgación de

información no autorizada, pérdida de medios físicos, hechos resultantes de errores del

operador, errores en el software, errores en los datos, daños a las instalaciones, daños en

bases de datos, crimen por computadora ya sea que esté dirigido al software, a los datos o al

hardware, documentación de sistemas, criptografía, comunicaciones, y otros.

Los recursos informáticos están sujetos a amenazas generadas por los diferentes tipos de

riesgos a los que están expuestos dependiendo de sus componentes y sus propósitos,

por lo tanto, es necesario implementar controles para prevenir, detectar o corregir los

ataques de las amenazas y para disminuir los riesgos.

Los controles deben ser proporcionales a los riegos; la falta de protección de los

recursos informáticos es muy peligroso, pero el exceso de estos es muy costoso. Por esto

es necesario identificar en dónde podría suceder algo y qué implicaciones originaría para

el área o entidad afectada, así como también, lo que le costaría a la Institución eliminar

el riesgo o disminuir la probabilidad de ocurrencia.

Solamente así se pueden tomar decisiones en cuanto al establecimiento de las

previsiones requeridas o de los riesgos que se asumen.

La seguridad de la información involucra el establecimiento de un sistema de control para

proporcionar confidencialidad, integridad y disponibilidad de la información, así como ética del

recurso humano.




El primer desafío para la seguridad está representado no por la tecnología sino por las

personas involucradas, por lo tanto, se requiere de un alto grado de compromiso por

parte de la Administración de la PARQUES NACIONALES NATURALES DE COLOMBIA,

para que todos los esfuerzos en este sentido tengan razón de ser

Desde el punto de vista de las regulaciones en Colombia, vamos identificar la necesidad

del por qué contar con una política de clasificación de la información:

Normas o Regulación: Constitución política de Colombia. Artículo 15.

“Todas las personas tienen derecho a su intimidad personal y familiar y a su buen nombre, y el

Estado debe respetarlos y hacerlos respetar. De igual modo, tienen derecho a conocer, actualizar y

rectificar las informaciones que se hayan recogido sobre ellas en bancos de datos y en archivos de

entidades públicas y privadas. En la recolección, tratamiento y circulación de datos se respetarán

la libertad y demás garantías consagradas en la Constitución. La correspondencia y demás formas

de comunicación privada son inviolables. Sólo pueden ser interceptadas o registradas mediante

orden judicial, en los casos y con las formalidades que establezca la ley. Para efectos tributarios o

judiciales y para los casos de inspección, vigilancia e intervención del Estado podrá exigirse la

presentación de libros de contabilidad y demás documentos privados, en los términos que señale

la ley

Ley 1581 de 2012 Protección de Datos personales,

Artículo 1°. Objeto. La presente ley tiene por objeto desarrollar el derecho constitucional que

tienen todas las personas a conocer, actualizar y rectificar las informaciones que se hayan recogido

sobre ellas en bases de datos o archivos, y los demás derechos, libertades y garantías

constitucionales a que se refiere el artículo

15 de la Constitución Política; así como el derecho a la información consagrado en el artículo

20 de la misma.

Artículo 2°. Ámbito de aplicación. Los principios y disposiciones contenidas en la presente

ley serán aplicables a los datos personales registrados en cualquier base de datos que los haga

susceptibles de tratamiento por entidades de naturaleza pública o privada.

La presente ley aplicará al tratamiento de datos personales efectuado en territorio colombiano o

cuando al Responsable del Tratamiento o Encargado del Tratamiento no establecido en territorio

nacional le sea aplicable la legislación colombiana en virtud de normas y tratados internacionales

Artículo 4°. Principios para el Tratamiento de datos personales. En el desarrollo, interpretación

y aplicación de la presente ley, se aplicarán, de manera armónica e integral, los siguientes principios:

f) Principio de acceso y circulación restringida: El Tratamiento se sujeta a los límites que se

derivan de la naturaleza de los datos personales, de las disposiciones de la presente ley y la




Constitución. En este sentido, el Tratamiento sólo podrá hacerse por personas autorizadas por el

Titular y/o por las personas previstas en la presente ley;

Los datos personales, salvo la información pública, no podrán estar disponibles en Internet u otros

medios de divulgación o comunicación masiva, salvo que el acceso sea técnicamente controlable

para brindar un conocimiento restringido sólo a los Titulares o terceros autorizados conforme a la

presente




1.1 Objetivos del Manual Brindar a los funcionarios de la PARQUES NACIONALES NATURALES DE COLOMBIA una

herramienta que les permita mejorar la seguridad de la información de la Institución, donde

quiera que tenga presencia y proveer información útil para cualquiera que tenga

responsabilidades en relación con la seguridad de los sistemas de información de la

PARQUES NACIONALES NATURALES DE COLOMBIA, garantizando la continuidad,

confiabilidad y confidencialidad de la información tanto de los usuarios como de la Entidad

misma.

1.2 Objetivo de la Seguridad de la Información

Promover la protección no sólo de las personas y organizaciones que confían en la

información para la toma de decisiones, sino también los sistemas y comunicaciones

susceptibles de sufrir fallas en relación con la confiabilidad, confidencialidad, continuidad y uso

legítimo de la información, a través de la identificación y definición de las medidas necesarias

para evitar el daño accidental o intencional de los recursos informáticos (tanto de

procesamiento como de comunicaciones).

1.3 Política institucional de la seguridad de la información

En el cumplimiento de sus funciones institucionales de Administrar las áreas del Sistema de Parques Nacionales Naturales y coordinar el Sistema Nacional de Áreas Protegidas, en el marco del ordenamiento ambiental del territorio, con el propósito de conservar in situ la diversidad biológica y eco sistémica representativa del país, proveer y mantener bienes y servicios ambientales, proteger el patrimonio cultural y el hábitat natural donde se desarrollan las culturas tradicionales como parte del Patrimonio Nacional y aportar al Desarrollo Humano Sostenible; bajo los principios de transparencia, solidaridad, equidad, participación y respeto a la diversidad cultural, PARQUES NACIONALES NATURALES DE COLOMBIA, acogerá todas las medidas que estén a su alcance para salvaguardar la integridad, la disponibilidad y la confidencialidad de la información necesaria para el cumplimiento de su misión, gestionando los riesgos de manera integral con criterios de efectividad, eficiencia y transparencia en todos sus procesos, mejorando permanentemente sus capacidades en materia de seguridad de la información.

En este sentido, se declara como prioritario y de la más alta relevancia la seguridad de la

información en la ejecución permanente de las labores de la PARQUES NACIONALES

NATURALES DE COLOMBIA, mediante la protección de los activos de información, la

infraestructura crítica y de soporte, con el fin de garantizar un nivel adecuado de

continuidad de negocio y sus servicios relacionados; contribuyendo por tanto al

cumplimiento en los procesos misionales y los objetivos estratégicos organizacionales.




POLÍTICA DE CLASIFICACIÓN DE LA

INFORMACIÓN Alcance

La Política de Seguridad Informática aplica para todas las dependencias de la PARQUES

NACIONALES

NATURALES DE COLOMBIA, donde quiera que tenga presencia. Cubre todos los

componentes informáticos, datos e información, tanto de la institución como de sus clientes, así

como los sistemas de información relacionados, que estén almacenados en cualquier sitio o sean

movilizados.

Responsabilidades básicas

La Dirección General tiene la responsabilidad última por la seguridad de la información en la

PARQUES NACIONALES NATURALES DE COLOMBIA. Es el responsable por el establecimiento de la Política de Seguridad de la Información y por el establecimiento de una estructura de control para asegurar su cumplimiento.

Las Dependencias son las responsables por la seguridad de sus unidades organizacionales y de todos los activos bajo su control. Son responsables de asegurar que sus funcionarios y contratistas comprenden su obligación de proteger los recursos informáticos y asegurar que periódicamente se verifique y evalúe la implementación y efectividad de los controles.

Todos los funcionarios y contratistas son responsables por el cumplimiento de la Política de Seguridad de la Información, así como de las directrices, estándares y procedimientos asociados.

REPONSABILIDADES BASICAS DEL ESQUEMA DE SEGURIDAD DE LA

INFORMACIÓN Introducción

Una clara definición de responsabilidades es una condición básica para una seguridad adecuada.

Descripción de las responsabilidades básicas por el uso y la seguridad de los sistemas

automatizados en la PARQUES NACIONALES NATURALES DE COLOMBIA

Las responsabilidades básicas pueden ser clasificadas de acuerdo con el siguiente

esquema: Responsabilidades generales en relación con la responsabilidad hacia la

Institución

Ejecutivos

Funcionarios

Responsabilidades específicas en relación con los sistemas automatizados. En relación con los sistemas automatizados, puede subdividirse en: “Dueño” del sistema Usuario

Desarrolladores de Sistemas




Operadores de Sistemas

Administradores de Bases de Datos

Auditores Internos

Una persona puede tener varias funciones, por ejemplo, ser funcionario y desarrollador

de sistemas. Todas las responsabilidades asociadas a las diversas funciones se le

aplican a dicha persona.




Responsabilidades en Seguridad de la Información

Ejecutivos

Definición: Funcionario con responsabilidades de jefatura dentro de la PARQUES

NACIONALES NATURALES DE COLOMBIA.

Responsabilidades:

a) Asegurar que los “funcionarios” estén familiarizados con las regulaciones y responsabilidades que les competen en seguridad de la información, así como la supervisión de la observancia de las mismas.

b) Asegurar una adecuada segregación de funciones dentro de su estructura organizacional, y que las funciones críticas estén adecuadamente asignadas a personal calificado.

c) Asegurar que los derechos de acceso de sus funcionarios a los sistemas automatizados,

estén de acuerdo y permanezcan actualizados con el nivel de autorización asociado a sus

funciones.

d) Tomar, dentro de su área de acción y responsabilidad, las acciones oportunas y efectivas

contra los riesgos e incidentes de seguridad de la información identificados.

Funcionario

Definición: Personal contratado por la PARQUES NACIONALES NATURALES DE

COLOMBIA, indistintamente de estar nombrado en propiedad, subcontratado o en

entrenamiento.

Responsabilidades:

a) Conocer y acatar las regulaciones de seguridad de la información. b) Reportar a sus superiores las deficiencias detectadas en materia de seguridad de la información. c) Asegurar que los datos e información “sensitivos”, tanto de la institución, como de los

clientes sean mantenidos en forma confidencial.

Responsabilidades en Seguridad de la Información (Roles en Sistemas Automatizados)

Dueño del Sistema

Definición: Funcionario responsable por la definición y aceptación de los requerimientos

para el desarrollo y mantenimiento de los sistemas automatizados y con autoridad sobre su

uso.

Responsabilidades:

a) Determinar el valor y los riesgos asociados a sus sistemas, clasificándolos de acuerdo con la

“sensitividad” al riesgo y evaluar su clasificación periódicamente. b) Asegurar que existe una adecuada seguridad en sus sistemas, determinando los

requerimientos de seguridad acordes a las políticas institucionales de seguridad informática. En los sistemas nuevos, verificar que estos satisfacen los requerimientos de seguridad preestablecidos y evaluar periódicamente su clasificación de “sensitividad” al riesgo.

c) Autorizar los derechos de acceso y uso a sus sistemas.




Usuario

Definición: Funcionario que utiliza los sistemas

automatizados. Responsabilidades:

a) Utilizar el sistema de acuerdo con los derechos de acceso y uso asociados a sus funciones. b) Familiarizarse y cumplir con las regulaciones en seguridad de la información y operacionales. c) Utilizar las opciones provistas, determinando que el proceso y resultados obtenidos sean

correctos. d) Indicar a sus superiores cualquier deficiencia del sistema que detecte.

Desarrollador de Sistemas

Definición: Funcionario quién, - en representación del “dueño”-, selecciona, desarrolla

y/o da mantenimiento a los sistemas automatizados.

Responsabilidades:

a) Asegurar que la clasificación de riesgo definida por el “dueño” sea efectivamente implementada

en el sistema automatizado. b) En coordinación con el “dueño” y representantes de otras funciones relacionadas, define los

riesgos y los requerimientos con respecto al uso, control y seguridad del sistema a desarrollar. Específica y concreta las medidas de seguridad a ser implementadas.

c) Asegurar que el “dueño”, los responsables de la operación, el auditor interno y otras instan cias relacionadas conozcan, evalúen y acepten los resultados intermedios relevantes.

d) Tomar las medidas necesarias para asegurar la funcionalidad del sistema para que pueda ser usado y administrado adecuadamente.

Operadores de Sistemas

Definición: Funcionario que opera y da mantenimiento al sistema automatizado en representación del

“dueño”.

Responsabilidades:

a) Resguarda y procesa el sistema de acuerdo con los requerimientos del “dueño” en cuanto

a uso, control y seguridad. Debe asegurar que el sistema sólo pueda ser sustituido, modificado, eliminado o utilizado de acuerdo con la autoridad requerida y determinar que las medidas de seguridad funcionan adecuadamente.

b) Asegurar que el sistema es puesto en producción previa aceptación del “dueño” y del responsabl e de operaciones.

c) Administrar los derechos de acceso de acuerdo con los requerimientos aprobados por el “dueño” del sistema y el usuario administrador del sistema, e informar a ellos de los derechos de acceso definidos.

d) Registrar el uso e intentos de violación de los sistemas, reportándolo a “dueños” y usuarios.




Administradores de Bases de Datos

Definición: Funcionarios responsables por la custodia de los datos físicos de la institución, así

como proveer experiencia en la administración de bases de datos y guiar a los dueños de

datos, desarrolladores y usuarios finales en el diseño, creación, mantenimiento, manipulación

e integración de bases de datos.

Responsabilidades:

a) Definir y mantener los estándares en materia de Bases de Datos (documentación,

diseño, manuales técnicos, otros). b) Documentar y mantener actualizadas las Bases de Datos de la

institución. c) Definir, implementar y vigilar el cumplimiento de los esquemas de seguridad en Bases de Datos. d) Apoyar, evaluar y certificar el diseño de Bases de Datos, ya sea que se diseñen

internamente o por terceros.

Auditores Internos

Definición: Funcionarios que proveen una evaluación independiente y recomiendan acerca de

los controles internos y seguridad.

Responsabilidades:

a) Evaluar y recomendar sobre la estructura y operación del control interno y las

medidas de seguridad para el desarrollo, administración, proceso y uso de los sistemas automatizados.

b) Reportar a los interesados sobre los resultados de su evaluación y las

recomendaciones pertinentes.

1.1 ¿Por qué implementar políticas de seguridad de la información?

En su artículo 227. Obligatoriedad de suministro de información, el plan nacional de desarrollo

2010-2014, parágrafo tercero establece que:

“El Gobierno Nacional debe garantizar mediante la implementación de sistemas de gestión para la

seguridad de la información que el acceso a las bases de datos y a la utilización de la información sea

seguro y confiable para no permitir el uso indebido de ella.”

A su vez el programa gobierno en línea del Ministerio de las tecnologías de información y las

comunicaciones en su modelo de Gobierno en Línea 3.1 establece que:

“Los componentes de la Estrategia de Gobierno en línea definidos en el Decreto 2693 de 2012 que se

derivan de la evolución de las “Fases de Gobierno en línea” contempladas en el Decreto 1151 de

2008, se adiciona un nuevo componente que contempla temas y actividades transversales, así:




1) Elementos Transversales:

…

En este componente también se describen actividades orientadas a que cada entidad cuente con una política de seguridad que es aplicada de forma transversal y mejorada constantemente; y que se garantice la incorporación del Gobierno en línea como parte de la cultura organizacional y elemento de soporte en sus actividades misionales. Para alcanzar los objetivos de este componente, las entidades deberán desarrollar las siguientes actividades:




1. Institucionalizar la Estrategia de Gobierno en línea 2. Centrar la atención en el

usuario 3. Implementar un sistema de gestión de Tecnologías de Información 4. Implementar un sistema de gestión de seguridad de la información (SGSI).

Complementariamente el modelo Estándar de control Interno MECI define en su control 1.3

COMPONENTE ADMINISTRACIÓN DEL RIESGO: la necesidad de:

“1.3.5 Políticas de Administración de Riesgos: Elemento de Control, que permite estructurar criterios

orientadores en la toma de decisiones, respecto al tratamiento de los riesgos y sus efectos al interior

de la Entidad Pública.”

De todo lo anterior se deduce que es una obligación para las entidades del estado contar con un

conjunto de políticas que les permitan gestionar los riesgos y en particular gestionar la seguridad de la

información.

Además de las obligaciones normativas, la implementación de un sistema de gestión de seguridad de

la información, como lo define la norma técnica Colombiana NTC/ISO IEC 27001:2013, define la

obligatoriedad de contar con una política de seguridad de la información:

1.2. ¿Qué riesgos se pueden derivar de no contar con Políticas de seguridad de la información?

Se pueden derivar múltiples riesgos de no contar con políticas de seguridad de la información.

Citaremos algunos por su relevancia:

1) Riesgo Legal. La normatividad Colombiana ya ha establecido multiplicidad de normas que obligan a la implementación de controles de seguridad, algunas de las cuales están orientadas a la protección de información personal y otras a la obligación de disponer al ciudadano de información oportuna y veraz para la toma de decisiones. Cuando una entidad no tiene definidas políticas de seguridad de la información, se somete a posibles sanciones de entes de control por no contar con mecanismos que le permitan demostrar la debida diligencia en el cumplimiento de normas

2) Riesgo Técnico

La inexistencia de políticas de seguridad hace que los controles de seguridad informática se orienten a resolver problemas inmediatos, es decir una posición reactiva frente a riesgo y no proactiva, con lo cual, los controles de tecnología se adquieren para resolver problemas del momento y no como mecanismos para soportar las misión, visión, objetivos y requisitos de la entidad. De esta forma no se puede saber con claridad si estamos o no suficientemente protegidos.

3) Riesgo Administrativo




Como se explicó en la primera sección de este documento, las políticas definen el conjunto de principios para la correcta toma de decisiones. Cuando no se definen con claridad las políticas de seguridad de la información, por ejemplo a quién podemos suministrar cierto tipo de información y a quién no, las entidades se someten a constante riesgo administrativo porque sus procesos carecen de directrices claras sobre su ejecución, poniendo en riesgo no solo los resultados del proceso, sino también al directo responsable del proces




2. Política Uso aceptable de los Activos

2.1. Alcance

Esta política aplica para todos los funcionarios, contratistas y terceros que presten sus servicios a la

PARQUES NACIONALES NATURALES DE COLOMBIA responsables de usar o administrar activos

de información de la PARQUES NACIONALES NATURALES DE COLOMBIA.

2.2. Objetivo

Definir las pautas generales para asegurar un adecuado uso y administración de los activos informáticos de la

PARQUES NACIONALES NATURALES DE COLOMBIA por parte del personal a cargo de su administración.

2.3. Marco normativo

Ley 1712 del 6 de marzo de 2014, Por medio de la cual se crea la ley de transparencia y del

Derecho de acceso a la información pública nacional y se dictan otras disposiciones.

Ley 734 de 2002, Por la cual se expide el Código Disciplinario Único. “Artículo 34, Deberes.Numeral 4

Utilizar los bienes y recursos asignados para el desempeño de su empleo, cargo o función, las facultades que le sean atribuidas, o la información reservada a que tenga acceso por razón de su función, en forma exclusiva para los fines a que están afectos.”

Componentes de Elementos Transversales del manual 3.1 Gobierno en Línea, actividad 3, el

cual dice “Implementar un sistema de Gestión de TI, el cual establece la sostenibilidad y mejoramiento que permita articular el uso de la tecnología con los objetivos misionales de las entidades. Así mismo, se requiere una estrategia de monitoreo, de forma tal que se puedan establecer avances y correctivos que permitan la adopción de buenas prácticas y tendencias tanto locales como globales”.

2.4. Condiciones Obligatorias

La información es uno de los activos más valiosos de la PARQUES NACIONALES NATURALES DE COLOMBIA, es por esa razón que todos los funcionarios, servidores públicos y contratistas prestan sus servicios a la PARQUES NACIONALES NATURALES DE COLOMBIA se deben comprometer a realizar sus mejores esfuerzos para aplicar todos los controles de seguridad de la información definidos por el sistema de gestión de seguridad de la información de la PARQUES NACIONALES NATURALES DE COLOMBIA para garantizar la preservación de la Confidencialidad, Integridad y Disponibilidad de la información que está a su cargo y a la que tengan acceso por la naturaleza misma de sus actividades.

Las actividades de administración y operación de los activos de información de la PARQUES NACIONALES NATURALES DE COLOMBIA deben estar orientadas a garantizar la prestación de los servicios necesarios para el cumplimiento de la misionalidad de la Entidad, los usos diferentes deben ser formalmente autorizados.

La PARQUES NACIONALES NATURALES DE COLOMBIA mantiene y mejora continuamente un

inventario de los activos de información que son de vital importancia para el desarrollo de sus

funciones misionales.

Todos los funcionarios de la PARQUES NACIONALES NATURALES DE COLOMBIA deben reportar sin demoras injustificadas a los responsables de sus áreas o los responsables de los procesos en los cuales cumple sus funciones cualquier evento que pueda afectar la integridad, disponibilidad o confidencialidad de cualquier activo de información de la Entidad.




Todos los funcionarios de la PARQUES NACIONALES NATURALES DE COLOMBIA deben aplicar el procedimiento institucional de gestión de riesgos para identificar y tratar los riesgos que puedan afectar a sus activos de información. Cada responsable de proceso o área debe coordinar la aplicación del procedimiento institucional de gestión de riesgos sobre los activos a su cargo.

Las modificaciones a los activos de la Entidad, deben cumplir con la política de control de cambios

y los procedimientos para la gestión del cambio definidos por el sistema de gestión de

seguridad de la información de la PARQUES NACIONALES NATURALES DE COLOMBIA Los cambios sobre la información de la Entidad deben estar autorizados por el responsable del

área o el proceso al que pertenece la información.

Todos los funcionarios de la PARQUES NACIONALES NATURALES DE COLOMBIA deben aplicar los procedimientos de mejora continua a sus servicios de tecnología definidos en el sistema integrado de gestión de la PARQUES NACIONALES NATURALES DE COLOMBIA, para garantizar la seguridad de la información.

Todos los funcionarios de la PARQUES NACIONALES NATURALES DE COLOMBIA deben aplicar los controles de seguridad de la Información definidos el sistema de gestión de seguridad de la información de la PARQUES NACIONALES NATURALES DE COLOMBIA para reducir los riesgos que afectan a la seguridad de la información.

Todos los funcionarios de la PARQUES NACIONALES NATURALES DE COLOMBIA se comprometen a acatar las leyes, normas y procedimientos a los que está sometida la PARQUES NACIONALES NATURALES DE COLOMBIA para la protección de la información a su cargo.

2.5. Usos no autorizados

Está completamente prohibido realizar cambios a los activos informáticos de la PARQUES NACIONALES NATURALES DE COLOMBIA sin contar con la autorización formal de los responsable de las áreas o del proceso en el que este el activo informático

Está completamente prohibido la divulgación de información de la Entidad a personal o terceros

que no estén autorizados para recibir la información.

Está completamente prohibido Impedir el acceso a la información a los debidamente autorizados

sin justificación real

Está completamente prohibido utilizar los activos de información de la Entidad para fines

diferentes al cumplimiento de las funciones asignadas y el cumplimiento de la misión institucional.

2.6. Responsabilidades

Todos los funcionarios, contratistas, o terceros que presten sus servicios a la PARQUES NACIONALES NATURALES DE COLOMBIA son responsables del cumplimiento y seguimiento de esta política y demás políticas de seguridad de la información que adopta la Entidad.

Los responsables de proceso y áreas de la PARQUES NACIONALES NATURALES DE COLOMBIA deben coordinar la implementación de todos los controles de seguridad de la información necesarios para el tratamiento de los riesgos de seguridad de la información que estén definidos en el Sistema de Gestión de Seguridad de la Información de la PARQUES NACIONALES NATURALES DE COLOMBIA.

Los responsables de proceso y áreas de la PARQUES NACIONALES NATURALES DE COLOMBIA deben generar y mantener un registro detallado de todos los eventos que sucedan sobre los diferentes activos de información su cargo.

Los responsables de áreas y procesos de la PARQUES NACIONALES NATURALES DE COLOMBIA deben coordinar sus esfuerzos para realizar el mejoramiento de los servicios informáticos de la Entidad, así como de controlar cualquier cambio que afecte los niveles acordados para la prestación de los servicios.

Los responsables de áreas y procesos de la PARQUES NACIONALES NATURALES DE

COLOMBIA deben coordinar la realización del inventario de activos de información.




Los administradores de los activos y servicios de información son responsables de implementar, preservar y garantizar la seguridad de la información referente a la configuración de los diversos componentes o servicios de información y tecnología de la Entidad que estén a su cargo.

Los administradores de equipos informáticos Entidad deben: Mantener y aplicar los procedimientos de operación de los equipos o servicios informáticos

definidos por el sistema de gestión de seguridad de la Información de la PARQUES NACIONALES NATURALES DE COLOMBIA.

Aplicar y mantener los acuerdos de confidencialidad sobre la información a su cargo

Mantenimiento y aplicación de las responsabilidades para la administración y operación de los

activos de información identificados a su cargo

Mantener actualizado el registro de riesgos que afecte a los activos bajo su responsabilidad.

Reportar lo cambios que sucedan sobre los activos a su cargo ante los responsables de áreas o

procesos de la PARQUES NACIONALES NATURALES DE COLOMBIA

Aplicar los procedimientos que defina el sistema de gestión de seguridad de la información de la PARQUES NACIONALES NATURALES DE COLOMBIA para el acceso de terceros a los componentes a su cargo en situaciones como mantenimiento o garantía.

Mantenimiento de registros del desempeño de los equipos o servicios a su cargo.

Mantenimiento de registros que muestren las actividades realizadas por los administradores

o los operadores de los equipos o servicios a su cargo.

Mantenimiento de los registros de las fallas sobre los equipos o servicios a su cargo

Mantener registros de los usuarios a los cuales se les ha otorgado acceso a cada activo,

servicio o componente.

Realizar una revisión periódica de los privilegios de acceso otorgados a los usuarios de los servicios o componentes a su cargo.

Coordinar la aplicación de los procedimientos definidos el sistema de gestión de seguridad de la

Información de la PARQUES NACIONALES NATURALES DE COLOMBIA para la asignación de cuentas de usuario y contraseñas de acceso a servicios y componentes

En coordinación con los responsables de los procesos y áreas de la PARQUES NACIONALES NATURALES DE COLOMBIA aplicar las medidas de mitigación que se definan en el sistema de gestión de seguridad de la Información de la PARQUES NACIONALES NATURALES DE COLOMBIA para contrarrestar las vulnerabilidades que se identifiquen sobre los componentes o servicios de tecnología.

Mantener y aplicar los procedimientos de respaldo de la información.

Mantener, Mejorar y probar periódicamente los procedimientos de contingencia, recuperación

ante desastres y continuidad en la prestación de servicios de tecnología.

Implementar, mantener y mejorar de los controles de protección física lógica o procedimental que defina el sistema de gestión de seguridad de la Información de la PARQUES NACIONALES NATURALES DE COLOMBIA para la protección de los activos de información, componentes o servicios a su cargo

2.7. Seguimiento y control (monitoreo)

La política de Gestión de Activos debe ser revisada cada seis meses o cuando se presenten

eventos que obliguen a su actualización.

Los responsables de procesos y áreas de la PARQUES NACIONALES NATURALES

DE COLOMBIA realizarán seguimiento y control al cumplimiento de las políticas de seguridad

de la información del sistema de gestión de seguridad de la información.

2.8. Procedimientos por dominio

Procedimiento Institucional de Gestión de Riesgos

Procedimiento de acción Correctiva y Preventiva




A.5.1.1 Roles y responsabilidades para la seguridad de la información

A.7.1.2. Términos y condiciones del empleo

A.8.1.1 Inventario de Activos

A.8.1.2 Propiedad de los activos

A.8.1.4 Devolución de los activos

A.8.2.1 Clasificación de la

información A.8.2.2 Etiquetado de

activos

A.8.2.3 Manejo de activos

2.9. Controles por dominio

A.8.1.3 Uso aceptable de los activos

2.10. Controles asociados

Política de uso de correo electrónico

Política de respaldo de información

Política de Acceso a componentes de

tecnología Política Administración de

estaciones de trabajo Política de Gestión de

Cambios

Política de uso de servicios de acceso a internet

Política de Antivirus

Política de seguridad de proveedores

Política de Gestión de incidentes de

seguridad Política de control de acceso a

la información Política de cuentas de

usuario

Política de transferencia de información




Política de seguridad de la información para relaciones con

proveedores. Política Desvinculación Cambios Funciones, Ausencia

temporal o Vacaciones

2.11. Estándares aplicables

No aplica




3. Política de control de acceso físico

3.1. Alcance

Esta política aplica para todo el personal que requiera ingreso a las instalaciones de la PARQUES

NACIONALES NATURALES DE COLOMBIA, incluidos funcionarios, contratistas, terceros que prestan

sus servicios a la Entidad, proveedores, visitantes, o ciudadanos que demandan servicios de la Entidad.

3.2. Objetivo

Evitar el acceso físico no autorizado de personal, el daño o la interferencia de las instalaciones y la

información de la organización.


Ley 734 de 2002, Por la cual se expide el Código Disciplinario Único. “Artículo 34, Deberes. Numeral 4


Ley 87 del 29 de noviembre de 1993 por la cual se establecen normas para el ejercicio de control

interno en la entidades y organismos del estado y se dictan otras disposiciones

Componentes de Elementos Transversales del manual 3.1 Gobierno en Línea, actividad 3, el cual dice “Implementar un sistema de Gestión de TI, el cual establece la sostenibilidad y mejoramiento que permita articular el uso de la tecnología con los objetivos misionales de las entidades. Así mismo, se requiere una estrategia de monitoreo, de forma tal que se puedan establecer avances y correctivos que permitan la adopción de buenas prácticas y tendencias tanto locales como globales”.

3.4. Condiciones obligatorias

El personal de la PARQUES NACIONALES NATURALES DE COLOMBIA, terceros autorizados o visitantes, deben portar siempre su identificación en un lugar visible al permanecer en las instalaciones de la PARQUES NACIONALES NATURALES DE COLOMBIA y sus dependencias.

Los visitantes autorizados para ingresar a las instalaciones de la PARQUES NACIONALES NATURALES DE COLOMBIA, deben portar en forma permanente y en lugar visible su identificación como visitantes, firmar registro de ingreso cuando entren a las instalaciones de procesamiento de datos o áreas de acceso restringido por los responsables de los procesos o áreas de la Entidad.

El acceso de visitantes a los centros de cómputo, o áreas de trabajo que contengan información clasificada como Reservada deben estar físicamente restringido y el ingreso de visitantes se debe realizar con el acompañamiento de un funcionario de la PARQUES NACIONALES NATURALES DE COLOMBIA debidamente autorizado.

Se debe mantener registros del ingreso a las áreas identificadas como de acceso restringido, indicando nombre de la persona que ingresa, documento de identificación, fecha, hora de entrada y salida, y motivo de la visita.

Las áreas donde se encuentren equipos de comunicaciones (switches, PBX, routers, firewalls y

consolas de administración) deben estar clasificadas como de acceso restringido.

Todas las áreas de la PARQUES NACIONALES NATURALES DE COLOMBIA adoptaran las medidas de seguridad definidas en el sistema de gestión de seguridad de la información que permitan proteger las áreas con acceso restringido como centro de cómputo o cuartos de equipos con controles de seguridad apropiados que incluyan cuando aplique: detección de incendios, control de humedad, protección contra ingreso, alarmas, sistemas de extinción de incendios y




grabación en vídeo de acuerdo con los riesgos de seguridad de la información identificados para cada área.


No se debe permitir el uso de equipos como videograbadoras, cámaras fotográficas, grabadoras de vídeo o audio, sniffers, analizadores de datos en áreas restringidas de la Entidad sin contar primero con la autorización formal del responsable del área o del proceso.

No se debe permitir e ingreso a áreas restringidas de procesamiento de datos de la PARQUES

NACIONALES NATURALES DE COLOMBIA sin autorización del responsable del área y sin

acompañamiento de funcionario de la PARQUES NACIONALES NATURALES DE COLOMBIA.


Los responsables de las áreas o procesos de la PARQUES NACIONALES NATURALES DE COLOMBIA deben definir los niveles de seguridad asociados a cada área, así como los controles adecuados para cada nivel de acuerdo con lo establecido en el Sistema de Gestión de seguridad de la información de la PARQUES NACIONALES NATURALES DE COLOMBIA.

Los equipos autorizados para ingresar en forma temporal a áreas restringidas deben ser inscritos

en un registro para su control de entrada, salida, motivo

Todo traslado de equipos de cómputo, comunicaciones, dispositivos móviles de la PARQUES NACIONALES NATURALES DE COLOMBIA debe ser autorizado por el responsable del área o del proceso al que pertenece el equipo, esta autorización debe contener mínimo nombre e identificación de la persona responsable del activo, la identificación del equipo que se traslada, origen y destino además de la fecha del traslado.

Cada responsable de área o proceso de la PARQUES NACIONALES NATURALES DE COLOMBIA deben mantener la lista de personal autorizado para ingresar a sus centro de cómputo y áreas restringidas de procesamiento de datos de la Entidad.

Los permisos de ingreso a las áreas restringidas deben verificarse periódicamente y actualizarse

cuando terminen su relación laboral con la Entidad funcionarios que tenían autorización de ingreso.

Todos los funcionarios, contratistas y terceros que presten sus servicios a la PARQUES NACIONALES NATURALES DE COLOMBIA deben reportar la presencia de personal sin identificación o sospechosas dentro de las instalaciones de la Entidad ante los responsables de las áreas o los responsables de la seguridad física de la edificación.


Está política debe ser revisada al menos cada seis meses, realizar pruebas de control al menos una

vez al año, o cuando se produzcan cambios que así lo ameriten.


A.9.4.2 Procedimiento de ingreso seguro A.11.1.5 Trabajo en áreas seguras A.11.1.6 Áreas de despacho y

carga


A.11.1.2 Controles de acceso físico




A.11.1.3 Seguridad de oficinas recintos e instalaciones A.11.1.4 Protección contra amenazas externas

A.11.2.3 Seguridad del cableado

A.11.2.4 Mantenimiento de equipos

A.11.2.7 Disposición segura o reutilización de equipos

3.10. .Controles asociados

Política Acceso a componentes de

tecnología Política Administración de

estaciones de trabajo Política de seguridad

de proveedores

Política de Escritorio y Pantalla limpia

Política de controles criptográficos

Política Desvinculación Cambios de Funciones, Ausencia temporal o Vacaciones.


Lista de chequeo para el acceso a áreas restringidas

Lista de personal autorizado para el ingreso a áreas restringidas




4. Política de seguridad de la información para relaciones con proveedores

4.1. Alcance

La presente política de seguridad es aplicable a los proveedores y terceros, que tengan alguna relación

con la PARQUES NACIONALES NATURALES DE COLOMBIA, bien sea de tipo legal, contractual o

de cualquier otra índole no laboral y que en razón de ésta, tengan acceso a información, sistemas de

información, centros de cómputo, redes de telecomunicaciones o tecnologías de información y

comunicaciones de propiedad de la PARQUES NACIONALES NATURALES DE COLOMBIA.

4.2. Objetivo

Mantener la seguridad de la información y los servicios de procesamiento de información a los cuales

tienen acceso los proveedores o terceros que prestan sus servicios para la PARQUES NACIONALES

NATURALES DE COLOMBIA


Decreto 1510 de 17 de julio de 2013, Por el cual se reglamenta el sistema de compras y

contratación pública.


Los proveedores o terceros que presten sus servicios a la PARQUES NACIONALES NATURALES DE COLOMBIA que contemplen la gestión, transformación o transmisión de información de la PARQUES NACIONALES NATURALES DE COLOMBIA deben conocer, aceptar y cumplir las políticas de seguridad de la información definidas por el sistema de gestión de seguridad de la Información. En caso de conflicto entre las políticas de seguridad de la Información de la PARQUES NACIONALES NATURALES DE COLOMBIA y las políticas de seguridad de los proveedores o terceros se acordaran políticas comunes de seguridad de la información y formalizaran mediante un documento formal suscrito por un representante de ambas partes, que permitan cumplir los requisitos necesarios para garantizar la protección de la confidencialidad, integridad y disponibilidad de la información de la PARQUES NACIONALES NATURALES DE COLOMBIA.

Para el acceso a cualquier tipo de información o sistema de información, los proveedores y

terceros que presten sus servicios a la PARQUES NACIONALES NATURALES DE COLOMBIA deberán suscribir acuerdos de confidencialidad con el fin reducir los riesgos de divulgación de información con carácter reservado.

En los contratos suscritos con proveedores o terceros que presten sus servicios a la PARQUES

NACIONALES NATURALES DE COLOMBIA se deben establecer y acordar los requisitos de seguridad que debe cumplir el proveedor o tercero para poder tener acceso, procesar, almacenar, comunicar información de la PARQUES NACIONALES NATURALES DE COLOMBIA o para el suministro de componentes de infraestructura de tecnología a la PARQUES NACIONALES NATURALES DE COLOMBIA. En los acuerdos se deben incluir las medidas necesarias para el tratamiento de los riesgos de seguridad de la información derivados de las actividades realizadas por el proveedor o tercero. Los acuerdos deben ser formalizados antes del inicio de las actividades con el proveedor o tercero.




Proveedores y terceros solo deben tener acceso a la información, sistemas de información o

instalaciones que son indispensables para el cumplimiento de sus objetos contractuales.

Todo equipo de procesamiento de información usado por el proveedor o tercero que presta sus

servicios a la PARQUES NACIONALES NATURALES DE COLOMBIA debe cumplir con las políticas de seguridad de la información del sistema de gestión de seguridad de la información de la PARQUES NACIONALES NATURALES DE COLOMBIA

Al finalizar sus contratos los proveedores o terceros que presten sus servicios a la PARQUES

NACIONALES NATURALES DE COLOMBIA deben efectuar la devolución de información o activos de información propiedad de la PARQUES NACIONALES NATURALES DE COLOMBIA que estuvieron bajo su responsabilidad y procurar la destrucción o borrado seguro de información reservada conocida en razón de su actividad.

Los proveedores y terceros que presten sus servicios a la PARQUES NACIONALES

NATURALES DE COLOMBIA deben cumplir con la reglamentación en materia de derechos de autor y propiedad intelectual, incluido pero no limitado al uso de información y software.


Los proveedores y terceros que presten sus servicios a la PARQUES NACIONALES NATURALES DE COLOMBIA no están autorizados para utilizar los recursos de información y tecnología de la PARQUES NACIONALES NATURALES DE COLOMBIA para propósitos diferentes a los necesarios para el cumplimiento del objeto contractual suscrito.

No está autorizada la utilización de equipos informáticos dentro de las redes de comunicaciones

de la PARQUES NACIONALES NATURALES DE COLOMBIA que no cumplan con los controles de seguridad especificados por el sistema de gestión de seguridad de la información de la PARQUES NACIONALES NATURALES DE COLOMBIA.

No está autorizada la ejecución de cambios sobre la infraestructura de información y

comunicaciones de la PARQUES NACIONALES NATURALES DE COLOMBIA sin contar con la autorización formal y expresa del responsable del área o proceso que utilizan el recurso informático

No está autorizada la modificación o desactivación de los controles de seguridad instalados

en los componentes de información y tecnología de la PARQUES NACIONALES NATURALES DE COLOMBIA sin contar con autorización del responsable del área o proceso que utilizan el recurso informático


Los responsables de áreas y procesos deben evaluar periódicamente los riesgos que se identifiquen sobre la contratación de servicios de procesamientos de información con proveedores o terceros. Los resultados de la evaluación de riesgos deben generar propuestas de mecanismos de control que mitiguen los impactos de los riesgos identificados.

El personal de la PARQUES NACIONALES NATURALES DE COLOMBIA debe reportar mediante a los responsables de áreas o procesos fallas en la prestación de servicios contratados con proveedores o terceros.

Los proveedores o terceros responsables de la prestación de servicios a la PARQUES

NACIONALES NATURALES DE COLOMBIA deben cumplir con las políticas de seguridad de la

información definidas por la PARQUES NACIONALES NATURALES DE COLOMBIA.

Los terceros que reciban información de la PARQUES NACIONALES NATURALES DE COLOMBIA deben garantizar que aplicarán todas medidas de seguridad razonables a su alcance, para evitar divulgación, fuga o uso no autorizado de información y deben aceptar que protegerán la




información suministrada aplicando los controles que se especifiquen al momento de la entrega de la información.


La política de Seguridad de la información para relaciones con proveedores debe ser revisada cada

seis meses o cuando se presenten eventos que obliguen a su actualización.


A.12.1.2 Gestión de Cambios

A.15.2.2 Gestión de cambios en los servicios de los proveedores

A.15.1.2 Tratamiento de la seguridad dentro de los acuerdos con proveedores

A.18.1.2 Derechos de propiedad Intelectual


A. 7.1.2 Términos y Condiciones del empleo

A. 8.1.4 Devolución de activos

A.15.2.1 Cadena de suministro de tecnología de información y comunicación

A.15.2.1 Seguimiento y revisión de los servicio de los proveedores


Controles a proveedores


Procedimientos de contratación a proveedores o terceros




5. Política Trae tu propio dispositivo (BYOD, Bring Your Own Device)

5.1. Alcance

Esta política se aplica a todos los dispositivos electrónicos personales tales como teléfonos

inteligentes y tabletas, los computadores portátiles que pertenecen y/o utilizan los empleados y/o

terceros y son utilizados para acceder y almacenar información de la PARQUES NACIONALES

NATURALES DE COLOMBIA, así como la personal.

5.2. Objetivo

Definir las medidas necesarias para evitar que la información reservada de la PARQUES

NACIONALES NATURALES DE COLOMBIA se vea comprometida en su integridad y confidencialidad

al ser almacenada en dispositivos ajenos a la entidad.

5.3. Definiciones

BYOD: Por sus siglas en Ingles Bring Your Own Device, identifica a los dispositivos propiedad de un

tercero diferente a la PARQUES NACIONALES NATURALES DE COLOMBIA.


Ley Estatuaria 1581 de 2012, por la cual se dictan disposiciones generales para la protección de datos personales.

Ley 1221 de 2008 “por la cual se establecen normas para promover y regular el teletrabajo

y se dictan otras disposiciones”

Decreto 0884 de 2012, por del cual se reglamenta la ley 1221 de 2008 y se dictan otra disposiciones

Guía Jurídica de Implementación del Teletrabajo de mayo de 2013, Ministerio del trabajo y la

seguridad social

ABCÉ del Decreto Reglamentario Teletrabajo, Ministerio del trabajo y la seguridad social


cual dice “Implementar un sistema de Gestión de TI, el cual establece la sostenibilidad y

mejoramiento que permita articular el uso de la tecnología con los objetivos misionales de las

entidades. Así mismo, se requiere una

estrategia de monitoreo, de forma tal que se puedan establecer avances y correctivos que permitan la adopción de buenas prácticas y tendencias tanto locales como globales”.


Los responsables de los procesos y áreas de la PARQUES NACIONALES NATURALES DE COLOMBIA determinarán en conjunto que procesos y bajo qué circunstancias se autorizará el uso de dispositivos que no pertenecen la entidad (BYOD) para almacenar o procesar información institucional reservada, así como la aplicación de las políticas de seguridad requeridas para la información que se almacene y gestione en el dispositivo personal del empleado.

El funcionario, contratista o tercero al que se autorice un BYOD debe garantizar bajo acuerdo de confidencialidad que la información de la PARQUES NACIONALES NATURALES DE COLOMBIA reservada correspondiente a sus labores asignadas será almacenada de forma aislada a la información personal que guarde en su dispositivo o en los repositorios que la unidad de informática le asigne.




Cuando se almacene información de la PARQUES NACIONALES NATURALES DE COLOMBIA en un BYOD, se debe configurar el dispositivo para que utilice un perfil de usuario específico para el almacenamiento de la Información correspondiente al ejercicio de sus funciones.

Los BYOD deben obligatoriamente cifrar la información de la PARQUES NACIONALES NATURALES DE COLOMBIA de acuerdo con la política de controles criptográficos y controles del sistema de gestión de seguridad de la información

El usuario al que se le autorice el uso de BYOD debe cumplir con la reglamentación vigente en

materia de uso de software legal. El usuario es enteramente responsable de contar con todo el

software de su dispositivo debidamente licenciado.

Los responsables de áreas y procesos de la PARQUES NACIONALES NATURALES DE COLOMBIA puede realizar periódicamente revisiones a los equipos BYOD para certificar que están cumpliendo con las políticas de seguridad de la Información de la Entidad, la revisiones preservaran el derecho fundamental a la Intimidad del usuario del BYOD y las normas sobre Protección de Datos de carácter personal.

Todo dispositivo BYOD debe cumplir con todos los controles de seguridad del sistema de gestión de seguridad de la información que le apliquen de acuerdo con su tipo cuando se utilice para con ectarse a las redes de comunicaciones de la Entidad.

El acceso a la información de la PARQUES NACIONALES NATURALES DE COLOMBIA desde los BYOD debe estar sujeto a controles que garanticen la trazabilidad de las acciones realizadas sobre la misma, considerando la identificación de la persona, proceso o sistema que realiza el acceso, acciones realizadas, instante de tiempo en que se realizan las acciones y ubicación desde la cual se realiza el acceso a la misma.

La PARQUES NACIONALES NATURALES DE COLOMBIA por medio del responsable del área o proceso al que pertenece el funcionario a que se le autorice un BYOD debe contar con la autorización del dueño del dispositivo para instalar software de cifrado de datos y borrado seguro de datos para prevenir la divulgación de información reservada de la Entidad en caso de robo o extravío del dispositivo.

Los dueños de los procesos deben evaluar los riesgos asociados a la divulgación de información

con reserva antes de autorizar el uso de los BYOD.

Todo dispositivo BYOD debe tener software actualizado y en correcto funcionamiento que evite su contaminación con códigos maliciosos. El dueño del dispositivo es responsable de suministrar dicho software

Todo dispositivo BYOD debe tener software actualizado y en correcto funcionamiento que

permita monitorizar y controlar la instalación de programas en el dispositivo


Los funcionarios o contratistas no deben conectar dispositivos BYOD que no sean formalmente

autorizados por los responsables de áreas o procesos de la PARQUES NACIONALES NATURALES

DE COLOMBIA.

Los funcionarios o contratistas no deben instalar programas no autorizados o que contengan

software malicioso (Spyware, Malware) en los dispositivos de su propiedad y los van a utilizar para

conectarse a las redes de comunicación de la PARQUES NACIONALES NATURALES DE COLOMBIA.


Los responsables de áreas y procesos definirán los parámetros técnicos que deben cumplir los dispositivos que serán autorizados como BYOD aplicando los controles definidos en el Sistema de Gestión de Seguridad de la Información.

Los responsables de áreas y procesos deben administrar los controles seguridad de los

diferentes dispositivos BYOD preservando la seguridad de la información de la entidad y

respetando el derecho fundamental a la Intimidad del propietario del dispositivo.




El propietario del dispositivo debe aplicar todas las medidas de seguridad razonables que

estén a su alcance para preservar la integridad de la información que se encuentre en su dispositivo

personal

El propietario del dispositivo debe informar sin demoras injustificadas al responsable del área o proceso, y a la autoridad competente el robo o pérdida de su dispositivo.


Esta política debe ser revisada y actualizada al menos cada seis meses o cuando se presenten

eventos que ameriten su actualización


A.9.2.1 Registro y cancelación del registro de usuarios

A.9.2.2 Suministro de acceso a usuario

A.13.2.1 Políticas y procedimientos de transferencia de información

A.16.1.2 Reporte de eventos de seguridad de la información


A.6.2.1 Política para dispositivos móviles

A.7.2.2 Toma de conciencia, educación y formación en la Seguridad de la información


A.9.1.2 Acceso a redes y servicios en red

A.9.3.1 Uso de información de autenticación secreta

A.10.1 Controles Criptográficos

A.11.2.6 Seguridad de equipos y activos fuera de las instalaciones

A.12.2.1 Controles contra códigos maliciosos

A.13.1.2 Seguridad de los servicios de red

A.13.2.4 Acuerdos de confidencialidad o de no divulgación


Controles para BYOD


Lista de dispositivos BYOD autorizados para su conexión a las redes de comunicaciones de la

PARQUES NACIONALES NATURALES DE COLOMBIA.




6. Política de dispositivos móviles, teletrabajo y cumplimiento de funciones por fuera de las redes y sistemas de la Parques Nacionales Naturales De Colombia

6.1. Alcance

Esta política aplica para cualquier conexión remota a través de un equipo o dispositivo móvil

que legítimamente y por necesidades de los servicios, sea requerida y aceptada para el desarrollo de

funciones laborales conocidas en la modalidad de teletrabajo por los responsables de cada proceso

en la PARQUES NACIONALES NATURALES DE COLOMBIA y por actores externos con conexión a

los sistemas de Información tecnología de la PARQUES NACIONALES NATURALES DE COLOMBIA

Objetivo

Garantizar la seguridad que requiere el tratamiento de la información susceptible de ser transmitida

mediante el uso de las Tecnologías de la información y las comunicaciones (TIC), cuando se utilizan

equipos o dispositivos de comunicación móvil para realizar funciones o actividades de teletrabajo y

cumplimiento de funciones extra despacho en la PARQUES NACIONALES NATURALES DE

COLOMBIA.


Ley 1221 de 2008 “POR LA CUAL SE ESTABLECEN NORMAS PARA PROMOVER

Y REGULAR EL TELETRABAJO Y SE DICTAN OTRAS DISPOSICIONES”



seguridad social



Todo acceso a servicios de teletrabajo debe ser autorizado por el responsable del proceso al que pertenece el funcionario que lo solicita considerando las evaluaciones de riesgos de seguridad de la información y riesgos administrativos.

Antes de su aprobación todo acceso a servicios de teletrabajo debe ser sometido a una

evaluación de riesgos de seguridad de la información

Los accesos a servicios de teletrabajo deben ser sometidos a evaluaciones de riesgos tecnológicos, administrativos y operativos antes de su aprobación

Antes de su aprobación todo acceso a servicios de teletrabajo debe ser sometido a una evaluación de riesgos administrativos que incluya la identificación de: Lugar donde se realizarán las actividades de teletrabajo (domicilio del funcionario, oficinas especializadas en servicios de teletrabajo, establecimientos públicos, etc), Horario en el cual se solicita realizar las actividades de teletrabajo, requisitos técnicos para la realización de las actividades de teletrabajo (acceso a sistemas de información, uso de dispositivos especiales como micrófonos, cámaras, equipos de digitalización etc.), condiciones reglamentarias consignadas en la ley 1221 de 2008 y su decreto reglamentario 884 de 2012

Los responsables de áreas y procesos que autoricen servicios de teletrabajo deben realizar las evaluaciones de riesgos tecnológicos sobre los accesos solicitados y formular las recomendaciones de controles de seguridad necesarios para la implementación del acceso. En caso de identificar riesgos que no son aceptables notificará al peticionario del servicio la imposibilidad de activar los servicios de teletrabajo en las condiciones presentadas en la solicitud. Las demás áreas de la PARQUES NACIONALES NATURALES DE COLOMBIA en su ámbito de competencia realizaran sus respectivos análisis de riesgos y remitirán su concepto al responsable del área o proceso sobre la solicitud de acceso a teletrabajo




El acceso a teletrabajo no debe implicar que la información de la PARQUES NACIONALES NATURALES DE COLOMBIA no estará disponible en el momento en que se requiera por parte de los debidamente autorizados.

Para el acceso al teletrabajo se deben tener en cuenta las necesidades técnicas y tecnológicas que garanticen que el funcionario cuente con las herramientas necesarias para poder realizar su trabajo, así como las configuraciones de acceso seguro, los medios y horarios que solicite el responsable del proceso manteniendo en todo momento los principios de eficiencia, eficacia y uso racional de los recursos del estado.

Los servicios de teletrabajo deben ser implementados con controles del sistema de gestión de

seguridad de la información que garanticen en todo momento la seguridad de la información

de la PARQUES

NACIONALES NATURALES DE COLOMBIA, las condiciones mínimas que se deben implementar incluyen:

comprobar y certificar la identidad de los usuarios que utilizan la conexión para teletrabajo,

autorizar el acceso únicamente a la información, servicios y sistemas de información necesarios

para la realización de las actividades a cargo del funcionario que solicita el acceso al teletrabajo,

separar los accesos de comunicación entre los diferentes usuarios de teletrabajo para impedir acceso no autorizado a información o servicios, garantizar la integridad de la información y acceso a los sistemas de información cuando se usan los servicios de teletrabajo

Cualquier dispositivo que se emplee para las actividades de teletrabajo deberá cumplir con los requisitos y controles de seguridad que defina el sistema de gestión de seguridad de la información de la PARQUES NACIONALES NATURALES DE COLOMBIA

Las conexiones a servicios de teletrabajo deben permanecer cifradas con los controles de seguridad del sistema de gestión de seguridad y utilizando conexiones seguras o redes privadas entre el lugar dónde se realiza el teletrabajo y las sedes de la PARQUES NACIONALES NATURALES DE COLOMBIA.

El acceso a los servicios de teletrabajo se debe usar para el cumplimiento de las funciones asignadas y el cumplimiento de las funciones de la PARQUES NACIONALES NATURALES DE COLOMBIA, cualquier uso diferente está expresamente prohibido.

Antes de iniciar la utilización de los servicios de teletrabajo el funcionario autorizado debe

aceptar formalmente que acatará, aplicará y cumplirá las políticas de seguridad de la información

de la PARQUES NACIONALES NATURALES DE COLOMBIA.


La utilización de los servicios de teletrabajo para fines diferentes a las funciones asignadas está prohibida.

No está autorizada la modificación de los controles de seguridad de la información implementados

en los equipos autorizados para las actividades de teletrabajo

No está autorizado compartir el acceso a información, servicios o sistemas de información mediante los servicios de teletrabajo a personal que no haya recibido una autorización formal de la PARQUES NACIONALES NATURALES DE COLOMBIA


Todos los funcionarios y contratistas de la PARQUES NACIONALES NATURALES DE

COLOMBIA son responsables de cumplir la política de Teletrabajo.

Todos los funcionarios y contratistas de la PARQUES NACIONALES NATURALES DE

COLOMBIA son responsables de reportar a la mayor brevedad posible la pérdida o hurto de los

equipos y dispositivos móviles usados para Teletrabajo y que se encuentren bajo su

responsabilidad

Los responsables de áreas y procesos deben coordinar y gestionar la instalación de controles de seguridad en los equipos y dispositivos móviles utilizados para Teletrabajo, según lo establezca el sistema de gestión de seguridad de la información.

Los responsables de áreas y procesos deben mantener, coordinar y gestionar el acceso

seguro a la información requerida para Teletrabajo.




Todo responsable del proceso que tenga funcionarios usando los servicios de teletrabajo debe realizar seguimientos periódicos sobre el cumplimiento de la política de teletrabajo para certificar su cumplimiento.


La política de Teletrabajo debe ser revisada cada seis meses o cuando se presenten eventos que

obliguen a su actualización.

Los responsables de áreas y procesos realizarán seguimiento y control al cumplimiento de esta política.


A.9.2.1 Registro y cancelación del registro de usuarios

A.9.2.2 Suministro de acceso a usuarios




A.6.2.1 Política para dispositivos móviles

A.6.2.2 Teletrabajo

A.7.2.2 Toma de conciencia, educación y formación en la Seguridad de la información


A.9.1.2 Acceso a redes y servicios en red


A.10.1 Controles Criptográficos

A.11.2.6 Seguridad de equipos y activos fuera de las instalaciones


A.13.1.2 Seguridad de los servicios de red


A.18.2.2 Cumplimiento con las políticas y normas de seguridad


Controles de seguridad teletrabajo


Controles especiales para estaciones de Teletrabajo




7. Política de seguridad para proveedores

7.1. Alcance

La política aplica a contratistas y terceros que gestionen equipos de tecnología o servicios de

procesamiento de información la PARQUES NACIONALES NATURALES DE COLOMBIA

7.2. Objetivo

Mantener la seguridad de la información y los servicios de procesamiento de información a los

cuales tienen acceso las partes externas o que son procesados, comunicados o dirigidos por estas.


Decreto 1510 de 17 de julio de 2013, Por el cual se reglamenta el sistema de compras y contratación pública.


cual dice “Implementar un sistema de Gestión de TI, el cual establece la sostenibilidad y

mejoramiento que permita articular el uso de la tecnología con los objetivos misionales de las

entidades. Así mismo, se requiere una estrategia de monitoreo, de forma tal que se puedan

establecer avances y correctivos que permitan la

adopción de buenas prácticas y tendencias tanto locales como globales”.


Para la selección de proveedores y terceros se aplicaran criterios que contemplen el historial de contratación, experiencia , capacidad del proveedor para el suministro de equipos o prestación de servicios, certificaciones y recomendaciones de otros clientes, estabilidad financiera de la compañía, procesos de selección de personal, seguimiento de estándares de gestión de calidad y seguridad, criterios que resulten de un análisis de riesgos de la selección y los criterios que tenga establecidos la entidad para los procesos de contratación.

Se deben identificar, valorar y gestionar los riesgos de seguridad asociados a la

subcontratación de servicios con terceros. Así como consideraciones de seguridad de la

información del ciudadano.

En los contratos realizados con los proveedores que tendrán acceso a la información de la PARQUES NACIONALES NATURALES DE COLOMBIA se debe incluir la obligatoriedad de cumplir las políticas de seguridad de la información, acuerdos de niveles de servicio, responsabilidades legales y derechos de propiedad intelectual sobre la información, leyes y regulaciones sobre la protección de la información de la entidad.

Para permitir acceso a la información de la PARQUES NACIONALES NATURALES DE COLOMBIA, es indispensable que el proveedor firme acuerdo de confidencialidad y compromiso de aceptar y cumplir las políticas de seguridad de la información de la Entidad.


Los proveedores de servicios y equipos de la PARQUES NACIONALES NATURALES DE COLOMBIA son responsables del cumplimiento de las políticas de seguridad de la información y los controles del sistema de gestión de seguridad de la información de la PARQUES NACIONALES NATURALES DE COLOMBIA

Los supervisores de contrato de la PARQUES NACIONALES NATURALES DE COLOMBIA son responsables de hacer seguimiento, revisar y auditar con regularidad la prestación de los servicios realizados por los proveedores




Los dueños de los procesos son responsables de determinar el acceso a la información de la

PARQUES NACIONALES NATURALES DE COLOMBIA que requieran los proveedores de

servicios.

Los proveedores deben cumplir los procedimientos de gestión de cambios definidos por la Entidad en su sistema de gestión de seguridad de la información.


La política de seguridad de proveedores debe ser revisada cada seis meses o cuando se presenten



No aplica


A 15.1.1 Política de seguridad de la información para relaciones con proveedores

A 15.1.2 Tratamiento de la seguridad de la información dentro de los acuerdos con proveedores

A 15.1.3 Cadena de suministro de tecnología de información y comunicaciones

A 15.2.1 Seguimiento y revisión de los servicios de los proveedores

A 15.2.2 Gestión de cambios en los servicios de los proveedores.


No aplica


No aplica




8. Política de claves

8.1. Alcance

Esta política se aplica a funcionarios, contratistas que prestan sus servicios a la PARQUES

NACIONALES NATURALES DE COLOMBIA y a los funcionarios contratistas y terceros que tengan

acceso a los recursos de información de la Entidad.

8.2. Objetivo

Implementar seguridad en los accesos de usuarios por medio de técnicas de autenticación y

autorización, usando claves fuertes.


Ley 1273 de 2009 , “Por medio de la cual se modifica el Código Penal, se crea un nuevo bien jurídico tutelado - denominado “de la protección de la información y de los datos”- y se preservan integralmente los sistemas que utilicen las tecnologías de la información y las comunicaciones, entre otras disposiciones”.

Ley 734 de 2002, Por la cual se expide el Código Disciplinario

Único.




8.4. Definiciones

Clave o Contraseña: es una forma de verificar la identidad de un usuario. Por lo general está

compuesta por una secuencia de caracteres (números, letras, signos de puntuación o caracteres

especiales) que el usuario debe suministrar después de escribir su nombre para poder tener acceso a

un servicio, sistema de información o equipo informático. Existen otras formas de verificar identidad de

los usuarios como: huellas digitales, patrones de voz o dispositivos electrónicos que pueden almacenar

la contraseña.


La asignación de contraseñas se realiza de forma controlada mediante un procedimiento definido por el sistema de gestión de seguridad de la información. Los responsables de áreas y procesos son los únicos autorizados para la asignación de contraseñas para acceso a servicios, sistemas de información o equipos informáticos.

Los responsables de procesos, servicios o sistemas de información son los únicos autorizados para tramitar ante los administradores de sistemas de información o equipos de tecnología la asignación de cuenta de usuario y contraseña para los funcionarios, contratistas y terceros que presten sus servicios a la PARQUES NACIONALES NATURALES DE COLOMBIA.




Cualquier servicio, sistema de información o equipo informático que tenga contraseñas por defecto configuradas por el proveedor o fabricante deben ser cambiadas por nuevas contraseñas cuando se realice el proceso de configuración del servicio, sistema o equipo. Al momento de poner en producción el servicio, sistema o equipo se debe volver a cambiar la contraseña por una nueva.

La contraseña asignada a un usuario es personal e intransferible. Los usuarios no deben divulgar, prestar, exhibir, comunicar en forma escrita o verbal su contraseña. Cuando por labores de soporte o mantenimiento se requiere la contraseña de usuario, el usuario es quién debe digitarla y al final de las actividades de soporte se debe cambiar por una contraseña nueva.

Los usuarios deben cambiar mínimo cada Treinta (30) días sus contraseñas de acceso a servicios,

sistemas de información o equipos informáticos

Los administradores de servicios, sistemas de información, equipos informáticos deben

cambiar sus contraseñas una (1) vez al mes.

Los administradores de servicios, sistemas de información, equipos informáticos deben utilizar

contraseñas diferentes para sus cuentas de usuario y para sus cuentas como administradores.

Los usuarios son responsables de todas las acciones que se realicen con sus contraseñas. En caso de que la contraseña haya sido conocida por terceros, el usuario debe informar inmediatamente al responsable del proceso o del área para bloquear cualquier acceso a servicio, sistema de información o equipo informático que utilizará la contraseña comprometida.

Las contraseñas almacenadas en los servicios, sistemas de información y equipos informáticos de la PARQUES NACIONALES NATURALES DE COLOMBIA, deben estar almacenadas en formato cifrado cumpliendo con la política de controles criptográficos de la PARQUES NACIONALES NATURALES DE COLOMBIA.


Esta expresamente prohibido divulgar por cualquier medio las contraseñas

De acuerdo con la Ley 1273 de 2009, ley de delitos informáticos: “Artículo 269 A. Acceso

abusivo a un sistema informático. El que, sin autorización o por fuera de lo acordado, acceda

en todo o en parte a un sistema informático protegido o no con una medida de seguridad, o se

mantenga dentro del mismo

en contra de la voluntad de quien tenga el legítimo derecho a excluirlo, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes.”

El uso de software para visualizar, descifrar o interceptar contraseñas de servicios,

sistemas de información o equipos informáticos de la PARQUES NACIONALES

NATURALES DE COLOMBIA está prohibido.


Cada usuario debe tener en cuenta las buenas prácticas de seguridad de selección y uso de sus

contraseñas que defina el sistema de gestión de seguridad de la información de la PARQUES


8.7.1. Responsabilidades de los usuarios

Cambiar SIEMPRE en forma inmediata la contraseña que le asignen en el primer acceso a los

servicios, sistemas de información o equipos informáticos.

Mantener la contraseña en estricto secreto, nunca por ninguna circunstancia se debe divulgar a nadie.

Cambiar periódicamente la contraseña de usuario, al menos cada treinta (30) dias y si se tiene

rol de administrador al menos una (1) vez al mes.

Cambiar mínimo una (1) vez cada mes las contraseñas de administración de servicios,

sistemas de información o equipos informáticos




No usar las contraseñas asignadas por la PARQUES NACIONALES NATURALES DE COLOMBIA en servicios que no son de la PARQUES NACIONALES NATURALES DE COLOMBIA, ejemplo servicios gratuitos de correo electrónico, mensajería instantánea o redes sociales y viceversa no usar las contraseñas de servicios gratuitos en los servicios, sistemas de información y equipos informáticos de la PARQUES NACIONALES NATURALES DE COLOMBIA

8.7.2. Responsabilidades Unidad Informática

Además de las obligaciones descritas en la política de gestión de claves, los administradores de servicios, sistemas de información y equipos informáticos deben:

Aplicar el procedimiento de creación de cuentas y contraseñas definido por el sistema de

gestión de seguridad de la información de la PARQUES NACIONALES NATURALES DE

COLOMBIA

Realizar verificación periódica de contraseñas débiles. e informar al responsable del servicio,

sistema de información o equipo para que aplique medidas correctivas

Cuando se detecte que una contraseña ha sido comprometida, debe seguir el procedimiento de

gestión de incidentes de seguridad, mitigar el impacto del incidente cambiando las contraseñas

de los sistemasidentificados como comprometidos y evaluar la extensión del incidente para

determinar el cambio de contraseñas en otros sistemas no comprometidos


La política de claves debe ser revisada cada seis meses o cuando se presenten eventos que



A 9.2.2 Suministro de acceso a usuarios


A 8.1.3 Uso aceptable de activos

A 9.1.1 Política de control de acceso.

A 9.2.4 Gestión de información de autenticación secreta de usuarios

A 9.3.1 Uso de información de autenticación secreta

A 9.4.3 Sistema de gestión de contraseñas

A 10.1.1Política sobre uso de controles criptográficos

A 10.1.2 Gestión de llaves


Mecanismos de evaluación de fortaleza de contraseñas


Estándar para creación, protección y administración de contraseñas




9. Política para la eliminación y destrucción de medios

9.1. Alcance

Esta política aplica a todos los dispositivos de almacenamiento externo e interno, fijos o removibles

como discos duros discos compactos, DVD, Blue Ray, Memorias flash, cintas y medios impresos

utilizados para el almacenamiento de la información de la PARQUES NACIONALES NATURALES DE

COLOMBIA.

9.2. Objetivo

Asegurar la disposición final segura de todos los elementos o dispositivos que contengan información de la

PARQUES NACIONALES NATURALES DE COLOMBIA, cuando se den de baja o sean reutilizados.


Ley 1712 de 6 de marzo de 2014, Por medio de la cual se crea la ley de transparencia y acceso a la información pública nacional y se dictan otras disposiciones

Decreto 1377 de 27 de junio de 2013, por el cual se reglamenta parcialmente la Ley 1581

de 2012.

Ley 1581 de 2012, Por la cual se dictan disposiciones generales para la protección de datos

personales

Ley 1273 de 2009 , “Por medio de la cual se modifica el Código Penal, se crea un nuevo bien

jurídico tutelado - denominado “de la protección de la información y de los datos”- y se preservan

integralmente los sistemas que utilicen las tecnologías de la información y las comunicaciones, entre

otras disposiciones”.

Ley Estatutaria 1266 de 31 de diciembre de 2008, Por la cual se dictan disposiciones generales del Habeas Data y se regula el manejo de la información contenida en bases de datos personales, en especial la financiera, crediticia, comercial, de servicios y la proveniente de terceros países y se dictan otras disposiciones

Ley 594 de 14 de julio de 2000 por medio de la cual se dicta la Ley General de Archivos y se

dictan otras disposiciones.

Ley 87 del 29 de noviembre de 1993 por la cual se establecen normas para el ejercicio de control interno en la entidades y organismos del estado y se dictan otras disposiciones


cual dice “Implementar un sistema de Gestión de TI, el cual establece la sostenibilidad y mejoramiento que

permita articular el uso de la tecnología con los objetivos misionales de las entidades. Así mismo, se requiere una estrategia de monitoreo, de forma tal que se puedan establecer avances y correctivos que permitan la adopción de buenas prácticas y tendencias tanto locales como globales”.


Se debe verificar la eliminación, destrucción o borrado en de forma segura de cualquier software licenciado y datos sensibles de medios de almacenamiento y equipos informáticos que se den de baja, se donen, o trasladen de área.

Se debe realizar una evaluación de riesgos para los dispositivos de almacenamiento deteriorados

con el fin de determinar si se deben destruir físicamente, reciclados o donarlos.

Los responsables de áreas y procesos deben definir y utilizar procedimientos formales para la

eliminación segura de los dispositivos de almacenamiento para minimizar el riesgo de fuga de

información sensible a personas no autorizadas.




Los procedimientos de eliminación segura deben incluir el uso de herramientas tecnológicas que garanticen que la información no sea recuperable o que esfuerzo técnico para realizar su recuperación desaliente al posible interesado en recuperar la información.

Los responsables de áreas y procesos deben llevar un registro de la eliminación de los medios de almacenamiento con información clasificada como reservada con el objetivo de tener pruebas de auditoría de los procedimientos de eliminación segura.


No se deben eliminar, retirar, cambiar o donar ningún medio de almacenamiento sin la

p revia autorización del responsable del proceso o del área.

No se deben usar las herramientas de borrado de los sistemas operacionales para realizar la eliminación de la información de medios de almacenamiento, se deben usar herramientas de borrador seguro. En el sistema de gestión de seguridad de la información se deben incluir listas de las herramientas que se deben usar para realizar el borrado seguro.


El sistema de gestión de seguridad de la información de la PARQUES NACIONALES

NATURALES DE COLOMBIA debe contener una lista de herramientas para borrado seguro de

datos.

La eliminación o donación de medios de almacenamiento debe contar con la evaluación del responsable del área o del proceso.


Esta política debe ser revisada y actualizada al menos cada seis meses o cuando se presenten

eventos que así lo demanden.


A.8.3.2 Gestión de medios removibles


A.8.3.2 Disposición de los medios

A.8.3.3 Transferencia de medios físicos


Políticas de tratamientos de datos personales

Controles de eliminación y destrucción de medios


Métodos de borrado seguro

Listado de verificación de borrado seguro

Registro de eliminación de medios




10. Política de escritorio limpio y pantalla limpia

10.1. Alcance

Esta política se aplica al cualquier tipo de información que repose en escritorios, áreas de trabajo,

computadores, equipos portátiles, documentos en papel, medios de almacenamiento y en general

cua lquier tipo de información que utilicen los funcionarios, contratistas o terceros que presten

sus servicios a la PARQUES NACIONALES NATURALES DE COLOMBIA.

10.2. Objetivo

Definir las pautas generales para reducir el riesgo de acceso no autorizado, pérdida o daño de la

información disponible de los puestos de trabajo durante y fuera del horario trabajo normal de los

funcionarios, contratistas y terceros que prestan sus servicios a la PARQUES NACIONALES



Ley 734 de 2002, por la cual se expide el Código Disciplinario único, Artículo 35, numeral 21,

“Dar lugar al acceso o exhibir expedientes, documentos o archivos a personas no autorizadas”.


Todos los funcionarios, contratistas y terceros que presten sus servicios a la PARQUES NACIONALES NATURALES DE COLOMBIA deben aplicar los controles recomendados por el sistema de gestión de seguridad de la información o el responsable de la información para impedir el acceso no autorizado de terceros a la información de la PARQUES NACIONALES NATURALES DE COLOMBIA.

Los lugares de trabajo de funcionarios, contratistas y terceros que prestan sus servicios a la PARQUES NACIONALES NATURALES DE COLOMBIA y cuyas funciones no obliguen a la atención directa de ciudadanos deben localizarse preferiblemente en ubicaciones físicas que no queden expuestas al público para minimizar los riesgos asociados a acceso no autorizado a la información o a los equipos informáticos.

En los puntos de atención al ciudadano se debe evitar el acceso a información no indispensable

para la prestación de los servicios

Durante las ausencias temporales o definitivas el personal de la PARQUES NACIONALES NATURALES DE COLOMBIA debe bloquear la pantalla de los computadores a su cargo con el protector de pantalla designado por el sistema de gestión de seguridad de la información, para impedir el acceso de terceros no autorizados a la información almacenada en el computador.

Durante ausencias temporales o definitivas el personal de PARQUES NACIONALES NATURALES DE COLOMBIA debe guardar en un lugar seguro los documentos físicos o medios de almacenamiento para impedir su pérdida, daño o acceso por parte de personal no autorizado.

Los documentos impresos y los archivos electrónicos clasificados con carácter reservado siempre deben permanecer custodiados o protegidos en áreas seguras para evitar su divulgación no autorizada. Ver modelo de clasificación de la información de la PARQUES NACIONALES NATURALES DE COLOMBIA

Cuando esté autorizada la impresión o reproducción de documentos clasificados con carácter

reservado, se deben retirar inmediatamente de los dispositivos empleados para su impresión o

reproducción.

Todos los computadores y cuando sea factible en equipos de impresión o reproducción se deben tener configurada una cuenta de con privilegios de administrador que permita realizar labores de instalación, configuración, soporte y mantenimiento, el uso de dicha cuenta es de responsabilidad exclusiva del personal que presta los servicios de soporte tecnológico en cada dependencia de la PARQUES NACIONALES NATURALES DE COLOMBIA




Para el acceso a cualquier computador de la PARQUES NACIONALES NATURALES DE COLOMBIA se debe hacer uso de una cuenta y una contraseña que serán únicos, exclusivos, personales e intransferibles para cada usuario de la PARQUES NACIONALES NATURALES DE COLOMBIA

Todos los computadores de la PARQUES NACIONALES NATURALES DE COLOMBIA deben tener configurado y operativo un protector de pantalla que se active cuando el equipo no esté en uso y bloquee el acces o con contraseña al equipo cuando no esté en uso por parte del funcionario, contratista o tercero que presten sus servicios a la PARQUES NACIONALES NATURALES DE COLOMBIA


Todos los funcionarios, contratistas y terceros que prestan sus servicios a la PARQUES

NACIONALES NATURALES DE COLOMBIA son responsables de cumplir la política de escritorio y

pantalla despejada.

Todos los funcionarios, Contratistas y terceros que prestan sus servicios a la PARQUES

NACIONALES NATURALES DE COLOMBIA deben participar activamente en la protección de la

información que emplea para el desarrollo de sus actividades

Todos los funcionarios, Contratistas y terceros que prestan sus servicios a la PARQUES NACIONALES NATURALES DE COLOMBIA debe informar a la mayor brevedad posible a los responsables de los procesos o a los responsables de dependencias las fallas potenciales o reales que puedan implicar el acceso no autorizado a información de los puestos de trabajo o lo equipos de procesamiento de información que se encuentren desatendidos.

La información de la Entidad debe ser empleada para servir al cumplimiento de las funciones y responsabilidades designadas a la PARQUES NACIONALES NATURALES DE COLOMBIA y en ningún caso para fines o propósitos diferentes a las labores designadas a cada funcionario, Contratista o tercero que preste sus servicios a la PARQUES NACIONALES NATURALES DE COLOMBIA.


La política de escritorio limpio y pantalla limpia debe ser revisada cada seis meses o cuando se

presenten eventos que obliguen a su actualización.


A 8.2.2 Etiquetado de información

A 8.3.1 Gestión de medio removibles

A 9.2.2 Suministro de acceso de usuarios


A 11.1.2 Controles de acceso físico

A 11.1.3 Seguridad de oficinas, recintos e instalaciones

A 11.2.1 Ubicación y protección de equipos

A 11.2.8 Equipos de usuario desatendido

A 11.2.9 Política de escritorio limpio y pantalla limpia


Estándar de configuración de computadores personales




11. Política de Gestión de Cambios

11.1. Alcance

Está política se aplica para todos los servicios, componentes operativos de información y tecnología

de la PARQUES NACIONALES NATURALES DE COLOMBIA, cubre componentes como Redes de

datos, servidores, computadores personales, dispositivos móviles, sistemas de procesamiento de

información, mantenimiento y mejora de las políticas existente de seguridad de la información,

procedimientos y controles cuyo objetivo sea el tratamiento de información propiedad de la PARQUES


11.2. Objetivo

Garantizar que los cambios sobre la infraestructura de tecnología de información, los servicios por

terceras partes, procedimientos, controles y comunicaciones en la PARQUES NACIONALES

NATURALES DE COLOMBIA se realicen e implementen adecuadamente siguiendo procedimientos

estándar.


Ley 734 de 2002, Por la cual se expide el Código Disciplinario Único. “Artículo 34, Deberes. Numeral 4 Utilizar los bienes y recursos asignados para el desempeño de su empleo, cargo o función, las facultades que le sean atribuidas, o la información reservada a que tenga acceso por razón de su función, en forma exclusiva para los fines a que están afectos.”



Mediante esta política se establecen las directrices de alto nivel para el control de cambios

permitiendo mitigar los riesgos asociados a:

Degradación del desempeño de los componentes de procesamiento de información de la Entidad

Perdida, Daño o deterioro de la información propiedad de la PARQUES NACIONALES


Pérdida de productividad de la entidad generada por fallas en los componentes de

procesamiento de información

Incidentes de seguridad de la información.

cambios no controlados en los sistemas y los servicios de procesamiento de

información.

Gestión inapropiada los cambios para puesta en producción de un desarrollo de

software o modificaciones a componentes de tecnología de la PARQUES NACIONALES

NATURALES DE COLOMBIA.

La PARQUES NACIONALES NATURALES DE COLOMBIA adopta un procedimiento formal para la gestión de cambios de servicios por terceras partes, infraestructura de información y tecnología y sistemas de procesamiento de información, en donde están claramente definidas




las responsabilidades y actividades necesarias para la planificación, evaluación, ejecución y revisión de los cambios.

Todos los cambios a la infraestructura de Información y Tecnología deben estar

plenamente justificados.

Los cambios deben ser propuestos e implementados sin perjuicio de la calidad de los servicios de

Información y Tecnología de Comunicaciones de la PARQUES NACIONALES NATURALES DE

COLOMBIA

Todos los cambios deben ser formalmente documentados.

Todos los cambios deben incluir una evaluación de riesgos, análisis de los impactos de los

cambio y especificar los controles de seguridad que sean necesarios adoptar.

Todos los cambios deben ser sometidos a algún mecanismo de prueba que permita verificar

si su planificación está completa antes de su ejecución.

Solamente se ejecutan los cambios que han sido debidamente autorizados por la

PARQUES NACIONALES NATURALES DE COLOMBIA

Todos los cambios deben estar formalmente registrados, clasificados y documentados

siguiendo los procedimientos adoptados por la PARQUES NACIONALES NATURALES DE

COLOMBIA.

Todos los cambios deben poderse deshacerse mediante planes de "retirada del cambio" en

caso de un incorrecto funcionamiento tras su implementación.

Cuando se realicen cambios a la infraestructura de información y tecnología de

comunicaciones de la Entidad se debe verificar la necesidad de actualizar los planes de

contingencia y continuidad de negocio.

Cuando se realicen cambios se debe tener en cuenta si existe la necesidad de formación adicional para el personal, documentar los costos, soporte, requerimientos tecnológicos administración y mantenimiento.

Se debe documentar los cambios hechos por la PARQUES NACIONALES NATURALES DE COLOMBIA en cuanto a mejoras del servicio actuales ofrecidos por terceros, desarrollo de todos los aplicativos nuevos, controles nuevos para resolver los incidentes de seguridad de la información, modificaciones o actualizaciones de las políticas y procedimientos de la organización. Teniendo en cuenta la importancia de los sistemas y procesos involucrados

Se deben gestionar los servicios a implementar por terceros como: cambios y mejoras en las redes, uso de nuevas tecnologías, actualización de productos nuevos o nuevas versiones, nuevas herramientas y entornos de desarrollo, cambios de la ubicación física de las instalaciones de los servicios y cambio de proveedores.

Se debe llevar un registro de control de cambios.


No se deben realizar cambios sin la previa autorización de la PARQUES NACIONALES


No se deben aceptar cambios por parte de la prestación del servicio de terceros, sin el previo

estudio, aprobación y su debida documentación.

No se debe poner en peligro la integridad de la información debido a la falta de revisión de los cambios. No se deben realizar cambios por usuarios no autorizados.

No se pueden realizar cambios que atenten o vayan en contra de las estrategias de

continuidad y seguridad definidas por la PARQUES NACIONALES NATURALES DE COLOMBIA.


Los responsables de áreas o procesos deben evaluar periódicamente los riesgos que se identifiquen

sobre los cambios en la contratación de servicios de procesamientos de información con terceros. Los




resultados de la evaluación de riesgos deben generar propuestas de mecanismos de control que

mitiguen los impactos de los riesgos identificados.

El personal de la PARQUES NACIONALES NATURALES DE COLOMBIA debe reportar mediante los

conductos aprobados la solicitud de cambios o nuevos requerimientos tecnológicos, de servicios o

sistemas de información.

Los terceros responsables de la prestación de servicios a la Entidad deben cumplir con las políticas de

seguridad de la información adoptadas por la Entidad en cuanto a cambios que pretendan realizar en

la prestación del servicio.


Esta política debe ser revisada al menos cada seis meses o cuando se presenten cambios que

ameriten su actualización.


Procedimientos de Control de Cambios


A.12.2 Gestión de cambios

A.12.5.1 Instalación de software en sistemas operativos

A.12.6.2 Restricción sobre la instalación de software

A.14.2.3 Revisión técnica de las aplicaciones después de cambios en la plataforma de operación

A.14.3.1 Protección de datos de prueba.


No aplica


No aplica.




12. Politica De Respaldo De Información

12.1. Alcance

Esta política se aplicara todos los sistemas de información y dispositivos de almacenamiento

electrónico de información de la PARQUES NACIONALES NATURALES DE COLOMBIA.

12.2. Objetivo

Definir las pautas generales para garantizar en la PARQUES NACIONALES NATURALES DE

COLOMBIA la ejecución, preservación, mantenimiento y verificación de copias de respaldo de la

información.

El respaldo de la información busca reducir los impactos de los riesgos generados por la pérdida de

información y es un mecanismo para soportar los planes de contingencia, recuperación ante

desastres y atención a incidentes de seguridad de la información adoptados por la Entidad.




La información de los diferentes procesos, procedimientos y actividades que forman parte de las funciones de la PARQUES NACIONALES NATURALES DE COLOMBIA se respalda de acuerdo con requisitos legales, nivel de clasificación de la información, períodos de retención documental y requerimientos de uso establecidos en el sistema integrado de gestión de la PARQUES NACIONALES NATURALES DE COLOMBIA.

Toda información que soporte procesos, procedimientos o actividades definidas en el sistema de integrado de gestión de la PARQUES NACIONALES NATURALES DE COLOMBIA debe tener una definición formalmente documentada de las necesidades de respaldo de información. La definición del esquema de preservación de las copias de respaldo se documenta en la tabla de retención de copias de respaldo y debe incluir: identificación de la información a respaldar, periodicidad de ejecución de la copia de respaldo, nivel de clasificación de la información respaldada y período de retención de las copias de respaldo.

Las copias de respaldo de la información deben ser preservadas por el tiempo definido en las tab las de retención de respaldo y aprobadas por los responsables de los procesos a los que pertenece la información. El Sistema de Gestión de Seguridad de la Información de la PARQUES NACIONALES NATURALES DE COLOMBIA debe asistir a los dueños de los procesos en la definición de los períodos de retención de las copias de respaldo.

Los responsables de áreas y procesos deben coordinar la preservación de las copias de

respaldo, resguardando su acceso de acuerdo con su nivel de clasificación y la disposición final

definida en las tablas de retención de copias de respaldo

El respaldo de la información almacenada en computadores personales, dispositivos móviles u otros medios de procesamiento de información diferentes a los sistemas de información de la PARQUES NACIONALES NATURALES DE COLOMBIA debe ser solicitado formal y expresamente por el responsable del equipo o dispositivo al que se requiere realizar el respaldo de información ante el responsable del proceso.

Las copias de respaldo se almacenaran en sitios seguros con controles físicos y tecnológicos que permitan el cumplimiento de los estándares mínimos necesarios para: preservar las copias durante




los períodos definidos, limitar su acceso a los debidamente autorizados y garantizar su disponibilidad cuando el responsable de la información los requiera.

Las copias de respaldo de información clasificada como RESERVADA, se deben cifrar siguiendo

la política de cifrado de información adoptada por la PARQUES NACIONALES NATURALES DE

COLOMBIA

Las copias de respaldo se deben someter a pruebas periódicamente para certificar que cumplen

con los propósitos para las cuales fueron realizadas. Los resultados se deben usar

para actualizar los procedimientos de respaldo, recursos tecnológicos necesarios, evidenciar

oportunidades de mejora o riesgos en la realización de copias de respaldo y restauración de

información. Los responsables de la información deben participar en las pruebas para certificar

formalmente que las estrategias de respaldo y restauración se ajustan a las necesidades de sus

procesos.

Cuando los requisitos legales, requisitos de retención o condiciones de los medios de respaldo de información así lo dictaminen, se debe proceder a la destrucción o disposición final de medio, garantizando que la información contenida en los mismos ya no será accesible. Cuando se requiera destrucción de medios se deben seguir los procedimientos aprobados por el sistema integrado de gestión de la PARQUES NACIONALES NATURALES DE COLOMBIA para la preservación del medio ambiente.


Los responsables de procesos de la PARQUES NACIONALES NATURALES DE COLOMBIA deben informar al Sistema de Gestión de Seguridad de la Información de la PARQUES NACIONALES NATURALES DE COLOMBIA, qué datos son los necesarios para el cumplimiento de sus funciones para poder establecer el conjunto las estrategias de copias de respaldo

Los administradores de los sistemas de información de la PARQUES NACIONALES NATURALES DE COLOMBIA se deben asegurar que las actividades de respaldo de información se realicen de manera controlada y permanente, que se realicen las pruebas para certificar el correcto funcionamiento de las copias y sus restauraciones, y que se mantengan registros de las actividades relacionadas con la programación, ejecución, verificación, mantenimiento, restauración y disposición final de las copias de respaldo.

Los administradores de los sistemas de información de la PARQUES NACIONALES NATURALES DE COLOMBIA deben definir e implementar los métodos a utilizar y los medios específicos requeridos para realizar las copias de respaldo de cada sistema de información o dispositivo de almacenamiento y que permitan el cumplimiento de los requisitos de la política de respaldo de información.


La política de control de copias de respaldo debe ser revisada cada seis meses o cuando se



A 17.1.2 Implementación de la continuidad de la seguridad de la información


A 8.2.1 Clasificación de la información A 8.3.1Gestión de medios removibles A 8.3.2 Disposición

final de medios

A 8.3.3 Transferencia de medios físicos

A 10.1.1 Política sobre uso de controles criptográficos




A 12.3.1 Respaldo de información


Tablas de retención de copias de respaldo




13. Política de Transferencia de Información

13.1. Alcance

Esta es una política que aplica a toda la PARQUES NACIONALES NATURALES DE COLOMBIA y a

todos los funcionarios, proveedores, contratistas y terceros autorizados para intercambiar

información de la PARQUES NACIONALES NATURALES DE COLOMBIA

13.2. Objetivo

Mantener la seguridad de la información cuando se autoriza el intercambio de la misma dentro de la

PARQUES NACIONALES NATURALES DE COLOMBIA y con cualquier entidad externa.


Ley 1712 de 6 de marzo de 2014, Por medio de la cual se crea la ley de transparencia y acceso a la información pública nacional y se dictan otras disposiciones

Ley Estatutaria 1581 de 17 de octubre de 2012 Por la cual se dictan disposiciones generales

para la protección de datos personales.

Ley Estatutaria 1266 de 31 de diciembre de 2008, Por la cual se dictan disposiciones generales del Habeas Data y se regula el manejo de la información contenida en bases de datos personales, en especial la financiera, crediticia, comercial, de servicios y la proveniente de terceros países y se dictan otras disposiciones

Decreto 1377 de 2013, por medio del cual se reglamenta parcialmente la Ley 1581 de 2012.






La transmisión, transferencia o comunicación de información de la PARQUES NACIONALES NATURALES DE COLOMBIA se debe realizar únicamente por las redes de comunicaciones o dispositivos autorizados por el Sistema de Gestión de Seguridad de la Información de la PARQUES NACIONALES NATURALES DE COLOMBIA.

El acceso a la información de la PARQUES NACIONALES NATURALES DE COLOMBIA debe estar sujeto a controles que garanticen la trazabilidad de las acciones realizadas sobre la misma, considerando la identificación de la persona, proceso o sistema que realiza el acceso, acciones realizadas, instante de tiempo en que se realizan las acciones y ubicación desde la cual se realiza el acceso a

la misma.

Los controles de seguridad de la información para la transferencia de información se deben

seleccionar para mitigar los riesgos de pérdida de confidencialidad, integridad o disponibilidad de la

información

Cualquier transferencia de información que implique información clasificada con carácter reservado debe cumplir con la política de controles de criptográficos de la PARQUES NACIONALES NATURALES DE COLOMBIA

Los accesos a información deben ser sometidos a evaluaciones de riesgos tecnológicos,

administrativos y operativos antes de su aprobación

La trasferencia de información debe cumplir con las políticas de control de acceso a la información. Las actividades de teletrabajo deben cumplir con la política de Transferencia de información

Las actividades de transferencia de medios físicos deben cumplir con la política de

transferencia de información




Para realizar actividades de transferencia de información los proveedores y terceros que presten sus servicios a la PARQUES NACIONALES NATURALES DE COLOMBIA deberán suscribir acuerdos de confidencialidad con el fin reducir los riesgos de divulgación de información con carácter reservado.

En los contratos suscritos con proveedores o terceros que presten sus servicios a la PARQUES NACIONALES NATURALES DE COLOMBIA para actividades de transferencia de información por medios electrónicos o físicos, se deben establecer y acordar los requisitos de seguridad que debe cumplir el proveedor o tercero para poder tener acceso, procesar, almacenar, comunicar y transmitir información de la PARQUES NACIONALES NATURALES DE COLOMBIA. En los acuerdos se deben incluir las medidas necesarias para el tratamiento de los riesgos de seguridad de la información derivados de las actividades realizadas por el proveedor o tercero. Los acuerdos deben ser formalizados antes del inicio de las actividades con el proveedor o tercero.

La transferencia de información de carácter personal y que no esté relacionada con procesos

judiciales deberá observar los procedimientos descritos en el Art. 25 de la Ley 1581 de 2012 y el

Decreto 1377 de

2013.


Modificación de la información sin contar con la autorización formal para dichas modificaciones

Divulgación no autorizada de información

Impedir el acceso a la información sin justificación real

Modificación o Eliminación de los controles de seguridad que protejan la información

Cualquier acción sobre la información considerada como ilegal o no autorizada por las leyes,

regulaciones, normas o procedimientos a los que está sometida la PARQUES NACIONALES



Para el cumplimiento de la Política transferencia de Información, las áreas responsables de la información deben coordinar sus esfuerzos con el Sistema de Gestión de Seguridad de la Información de la PARQUES NACIONALES NATURALES DE COLOMBIA para lograr la implementación de los controles que se identifiquen como necesarios para la transferencia de información

Todos los funcionarios y contratistas de la Entidad que en el desarrollo de sus tareas habituales u ocasionales deban realizar actividades relacionadas con la transferencia de información dentro de la Entidad o con terceros son responsables del cumplimiento y seguimiento de esta política.

Los terceros que reciban información de la PARQUES NACIONALES NATURALES DE COLOMBIA se deben comprometer a proteger toda información que les sea suministrada, sin importar su nivel de clasificación para evitar su divulgación no autorizada aplicando los procedimientos administrativos, técnicos o legales que se acuerden con la PARQUES NACIONALES NATURALES DE COLOMBIA al momento de recibir la información.

Los proveedores o terceros que reciban información de la PARQUES NACIONALES NATURALES DE COLOMBIA deben informar a cada uno de sus empleados o colaboradores debidamente autorizados para recibir documentos o Información, de los niveles de clasificación de la Información definidos por la PARQUES NACIONALES NATURALES DE COLOMBIA y de la existencia de acuerdos de confidencialidad con la Entidad. Igualmente el tercero debe instruir a quién reciba la información o documentos, acerca de las medidas de protección y mecanismos para manejar la información y la obligatoriedad de no utilizarla sino para los temas necesarios para el desarrollo del acuerdo suscrito entre la PARQUES NACIONALES NATURALES DE COLOMBIA y el proveedor o tercero quién será enteramente responsable por cualquier uso inadecuado de la información Suministrada por la Entidad.





La política de transferencia de la información debe ser revisada cada seis meses o cuando se



No Aplica


A 13.1.1 Controles de redes

A 13.1.2 Seguridad de los servicios de red

A 13.1.3 Separación de redes

A.13.2.2 Acuerdos sobre transferencia de información

A.13.2.3 Mensajería electrónica



Controles de Transferencia de información


Estándar de controles criptográficos




14. Política de Concientización en seguridad de la información

14.1. Alcance

Esta política se aplica a todas las actividades de formación de la PARQUES NACIONALES

NATURALES DE COLOMBIA, a los procesos de inducción al cargo en la PARQUES NACIONALES

NATURALES DE COLOMBIA y a los procesos de empalme con terceros que prestan servicios a

la PARQUES NACIONALES NATURALES DE COLOMBIA

14.2. Objetivo

Asegurar que todos los funcionarios, contratistas, contratistas y terceros que prestan sus servicios

a la PARQUES NACIONALES NATURALES DE COLOMBIA mejoran continuamente su conciencia

en seguridad de la información y de cómo sus actividades diarias contribuye al logro de los objetivos

de la seguridad de la información.


Modelo estándar de control interno para el estado colombiano, MECI 1000:2005, Numeral 1.1.2. Desarrollo del Talento Humano


Todos los funcionarios, contratistas y terceros que prestan sus servicios a la PARQUES NACIONALES NATURALES DE COLOMBIA deben mejorar continuamente sus conocimientos en materia de seguridad de la información

Todos los funcionarios, contratistas de la PARQUES NACIONALES NATURALES DE COLOMBIA deben leer al menos una vez al año las políticas de seguridad de la información o cuando se informe que las mismas han sido actualizadas.

La PARQUES NACIONALES NATURALES DE COLOMBIA dispondrá de mecanismos

para desarrollar actividades que fomenten y garanticen la difusión, conocimiento, capacitación,

formación y educación del Sistema de Gestión de Seguridad de la Información

Las actividades de difusión, conocimiento, capacitación, formación y educación del Sistema de Gestión de Seguridad de la Información de la PARQUES NACIONALES NATURALES DE COLOMBIA se deben realizar tomando en cuenta las responsabilidades, conocimientos y necesidades específicas de las áreas y funcionarios a las que van dirigidas.

Las actividades de difusión, conocimiento, capacitación, formación en seguridad de la

información que reciben los funcionarios, contratistas y terceros que prestan sus servicios a la

PARQUES NACIONALES NATURALES DE COLOMBIA deben incluir como mínimo:

1. Explicación clara y precisa de estructura y controles del Sistema de Gestión de Seguridad de la Información 2. Las responsabilidades respecto la seguridad la información, Implicaciones de no cumplir con los requisitos de seguridad de la información de la PARQUES NACIONALES NATURALES DE COLOMBIA 3. Beneficios que se esperan de aplicar los lineamientos del Sistema de Gestión de Seguridad de la Información 4. Mecanismos para reportar eventos e incidentes de seguridad de la

información

La PARQUES NACIONALES NATURALES DE COLOMBIA propenderá por el desarrollo de las competencias, habilidades, aptitudes e idoneidad de su Servidor Público en materia de seguridad de la información incorporando en sus procesos de formación y toma de conciencia los principios




de justicia, equidad y transparencia en concordancia con los lineamientos del modelo estándar de control interno MECI.


Todos los funcionarios, contratistas y terceros que prestan sus servicios a la PARQUES NACIONALES

NATURALES DE COLOMBIA son responsables de mejorar sus competencias y conocimientos en

seguridad de la información.

A través de las instancias pertinentes la PARQUES NACIONALES NATURALES DE

COLOMBIA fomentará el desarrollo de la cultura y conocimiento en seguridad de la información


La política de formación y toma de conciencia debe ser revisada cada seis meses o cuando se



No aplica


A.7.2.2 Toma de conciencia educación y formación en la seguridad de la información

A.15.1.2 Tratamiento de la seguridad dentro de los acuerdos con proveedores

14.9. Controles complementarios

Modelo estándar de control Interno MECI 1000:2005, Control 1.1.2 Desarrollo del Talento Humano


Plan de Formación y Capacitación formulado de acuerdo a las necesidades de los Servidores Públicos.

Programa de Inducción o reinducción establecido, en el cual se especifica los temas y el procedimiento

de inducción para empleados nuevos o reinducción en el caso de cambios organizacionales, técnicos

y/o normativos




15. Política de control de acceso a la información

15.1. Alcance

Esta política aplicará a todo el personal vinculado laboralmente con la PARQUES NACIONALES NATURALES DE COLOMBIA, contratistas y terceros que tengan acceso a los recursos de información de la organización.

15.2. Objetivo

Definir las pautas generales para asegurar un acceso seguro y controlado a la información de la

PARQUES NACIONALES NATURALES DE COLOMBIA, impidiendo los accesos no autorizados.


Ley 1712 de 6 de marzo de 2014, Por medio de la cual se crea la ley de transparencia y

acceso a la información pública nacional y se dictan otras disposiciones

Ley Estatutaria 1581 de 17 de octubre de 2012 Por la cual se dictan disposiciones generales

para la protección de datos personales.

Ley Estatutaria 1266 de 31 de diciembre de 2008, Por la cual se dictan disposiciones generales del habeas data y se regula el manejo de la información contenida en bases de datos personales, en especial la financiera, crediticia, comercial, de servicios y la proveniente de terceros países y se dictan otras disposiciones

Ley 734 de 2002, Por la cual se expide el Código Disciplinario Único.






Todos los funcionarios, contratistas y terceros que prestan sus servicios a la PARQUES NACIONALES NATURALES DE COLOMBIA deben realizar todos los mejores esfuerzos que estén a su alcance para aplicar todos los controles de seguridad definidos por la PARQUES NACIONALES NATURALES DE COLOMBIA para garantizar la preservación de la Confidencialidad, Integridad y Disponibilidad de la información que está a su cargo y a la que tengan acceso por la naturaleza misma de sus actividades o que por otras situaciones esté bajo su custodia.

Toda persona, proceso o sistema de información que realice actividades para la PARQUES NACIONALES NATURALES DE COLOMBIA debe tener acceso únicamente a la información necesaria para el desempeño de las actividades que le han sido autorizadas.

Todo acceso a la información debe ser autorizado formalmente por el área responsable de la información. Para la autorización de acceso a la información se debe contemplar un análisis previo de la justificación de la necesidad de uso de la misma y las actividades a realizar con el acceso a la información.

Todo acceso a la información debe considerar el nivel de clasificación definido por la

PARQUES NACIONALES NATURALES DE COLOMBIA o por el responsable de la información

Todo acceso a la información debe cumplir con los requisitos legales, normativos,

reglamentarios, procedimentales o de cualquier otra índole que haya definido el responsable de la

información.

El acceso a la información de la PARQUES NACIONALES NATURALES DE COLOMBIA debe estar sujeto a controles que garanticen la trazabilidad de las acciones realizadas sobre la misma, considerando la identificación de la persona, proceso o sistema que realiza el acceso, acciones realizadas, instante de tiempo en que se realizan las acciones y ubicación desde la cual se realiza el acceso a la misma.




La entidad deberá realizar un inventario y proceso de clasificación de la información con relación a la información y en especial con el fin de garantizar el acceso a la información pública por parte de los ciudadanos de conformidad con la Ley 1712 de 2014.

Cuando se tiene acceso a la información de la PARQUES NACIONALES NATURALES DE COLOMBIA se está obligado a la aceptación formal de la reglamentación de acceso y tratamiento de la información que definan las leyes de Colombia, Acuerdos internacionales suscritos por Colombia, normas del sector, políticas, estándares o cualquier tipo de control establecido para la protección o tratamiento de la información.


Los siguientes usos se consideran usos no autorizados de la información

Modificación de la información sin contar con la autorización formal para dichas modificaciones Divulgación no autorizada de información

Impedir el acceso a la información sin justificación

real

Modificación o Eliminación de los controles de seguridad que protejan la

información

Cualquier acción sobre la información considerada como ilegal o no autorizada por las leyes,

regulaciones, normas o procedimientos a los que está sometida la PARQUES NACIONALES



Todos los funcionarios y contratistas de la PARQUES NACIONALES NATURALES DE COLOMBIA

que en el desarrollo de sus tareas habituales u ocasionales que utilicen información, servicios

de tecnología de la información y comunicaciones o manipulen equipos pertenecientes a la PARQUES

NACIONALES NATURALES DE COLOMBIA, son responsables del cumplimiento y seguimiento de esta

política.


La política de control de acceso a la información debe ser revisada cada seis meses o cuando se


Los responsables de los procesos de la PARQUES NACIONALES NATURALES DE

COLOMBIA realizarán seguimiento y control al cumplimiento de esta política.


A.9.2.1 Registro y cancelación de registro de usuarios

A 9.4.2 Procedimiento de ingreso seguro


A 8.1.3 Uso aceptable de los activos

A 8.2.1 Clasificación de la información

A.9.1.1 Política de control de acceso




A 9.1.2 Acceso a redes y a servicios de red

A 9.2.2 Suministro de acceso de usuarios

A 9.2.3 Gestión de derechos de acceso privilegiado

A 9.2.4 Gestión de información de autenticación secreta de usuarios

A 9.2.5 Revisión de los derechos de acceso de los usuarios

A 9.2.6 Retiro o ajuste de los derechos de acceso


A 9.4.1 Restricción de acceso a la información

A 9.4.5 Control de acceso a códigos fuente de programas

A 13.2.4 Acuerdos de confidencialidad o de no divulgación

A 15.1.1 Política de seguridad de la información para las relaciones con proveedores

A 18.1.4 Privacidad y protección de información de datos personales


Procedimiento de administración de usuarios


No aplica




16. Acceso a Componentes de Tecnología de Información y Comunicaciones

16.1. Alcance

Esta política se aplica a todos los funcionarios, contratistas y terceros que por la naturaleza de sus

funciones asignadas o provisionales requieren acceso a los diversos componentes de tecnología de


16.2. Objetivo

Definir las pautas generales para asegurar un acceso controlado a los componentes de tecnología de



Ley 734 de 2002, Por la cual se expide el Código Disciplinario Único. “Artículo 34, Deberes. Numeral

4 Utilizar los bienes y recursos asignados para el desempeño de su empleo, cargo o función, las

facultades que le sean atribuidas, o la información reservada a que tenga acceso por razón de su

función, en forma exclusiva para los fines a que están afectos.”


Todo componente de tecnología de información de la PARQUES NACIONALES NATURALES DE COLOMBIA debe servir al cumplimiento de los propósitos misionales de la Entidad. Todo componente de tecnología de información de la PARQUES NACIONALES NATURALES DE

COLOMBIA debe contar con mecanismos que permitan llevar registro y control de las solicitudes de acceso, modificación de acceso y borrado de accesos. Los mecanismos de control de registro pueden ser manuales o automatizados.

El acceso a los equipos informáticos de la PARQUES NACIONALES NATURALES DE COLOMBIA

debe contar con autorización del responsable del proceso al cual pertenece el funcionario o

contratista que solicita el acceso al equipo.

Todos los equipos de tecnología de información de la PARQUES NACIONALES NATURALES DE COLOMBIA deben tener asignado un responsable quién debe velar por su uso adecuado y utilización aco rde con las funciones asignadas.

La PARQUES NACIONALES NATURALES DE COLOMBIA debe contar con un inventario de equipos informáticos o componentes de tecnología que se utilizan para el cumplimiento de su misión. El inventario de equipos debe ser actualizado permanentemente.

Todos los equipos de tecnología de la PARQUES NACIONALES NATURALES DE COLOMBIA deben estar instalados en ubicaciones físicas que cuenten con las medidas de seguridad mínimas para evitar, pérdida, robo, actos vandálicos y en general protegidos de amenazas, peligros del entorno y accesos no autorizados.

Para el retiro de componentes de tecnología y equipos informáticos de las instalaciones de la

PARQUES NACIONALES NATURALES DE COLOMBIA es obligatorio contar con una autorización

de retiro de equipos.

Cuando se utilicen equipos de tecnología de la PARQUES NACIONALES NATURALES DE COLOMBIA fuera de sus instalaciones, se deben aplicar los controles de seguridad adoptados por la PARQUES NACIONALES NATURALES DE COLOMBIA.

Cada usuario debe tener una cuenta de acceso única, personal e intransferible para el uso de equipos informáticos. La creación, modificación, suspensión o eliminación de la cuenta de usuario para acceso a un equipo informático debe seguir el procedimiento definido por los responsables de áreas y procesos.

La autorización para la creación, modificación suspensión o eliminación de cuentas de usuario

debe ser aprobada por el responsable del proceso al cual pertenece el usuario.




Cuando varios usuarios tengan diferentes niveles de acceso o privilegios sobre equipos informáticos, se deben definir diferentes perfiles de acceso para cada grupo de usuarios. Los responsables de la información y el administrador del componente de procesamiento de la información deben asegurarse de que los perfiles de acceso y privilegios de acceso a los componentes de procesamiento de la información se encuentren acordes con las funciones autorizadas a cada usuario

Cuando se requiera realizar la reasignación, reutilización o disposición final de equipos informáticos de la PARQUES NACIONALES NATURALES DE COLOMBIA se deben aplicar los controles de seguridad adoptados por la misma.

Al finalizar su relación contractual o al realizar cambios de funciones, los funcionarios, contratistas y terceros que presten sus servicios deben coordinar la devolución de los equipos informáticos que sea de propiedad de la PARQUES NACIONALES NATURALES DE COLOMBIA al responsable del proceso al que pertenecía el funcionario, contratista o tercero.


Se consideran acciones no autorizadas sobre los equipos informáticos y componentes de tecnología de la

PARQUES NACIONALES NATURALES DE COLOMBIA, los siguientes:

Modificar el equipo físicamente o su configuración lógica sin contar con la autorización formal para

dichas modificaciones.

Usar los equipos informáticos de la PARQUES NACIONALES NATURALES DE COLOMBIA

para fines diferentes a los formalmente definidos por la entidad.

Impedir el acceso de personal autorizado al equipo informático sin justificación real.

Modificar, inhabilitar o Eliminar los controles de seguridad que protegen los equipos

informáticos

Ejecutar cualquier acción sobre el equipo informático sean contrarias a leyes, regulaciones,

normas o procedimientos a los que está sujeta la PARQUES NACIONALES NATURALES DE

COLOMBIA.


Todos los funcionarios, contratistas y Terceros que presten sus servicios a la PARQUES

NACIONALES NATURALES DE COLOMBIA son responsables del cumplimiento de esta política y

demás políticas de seguridad de la información que adopta la Entidad.

Todos los responsables de equipos informáticos deben procurar la aplicación de los controles de

seguridad definidos para el acceso a los equipos informáticos y reportar a os los responsables de

áreas y procesos cualquier falla potencial o real identificada en los equipos a su cargo.


La política de control de acceso a componentes de tecnología debe ser revisada cada seis meses o

cuando se presenten eventos que obliguen a su actualización.


A9.4.2 Procedimiento de ingreso seguro

A.11.1.5 Trabajo en áreas seguras


A.11.1.1 Perímetro de seguridad física




A.11.1.2 Protección contra amenazas externas y ambientales

A11.2.1 Ubicación y protección de equipos

A11.2.5 Retiro de activos

A11.2.6 Seguridad de equipos y activos fuera de las instalaciones

A11.2.7 Disposición segura o reutilización de equipos

16.10 Controles asociados

Procedimiento de reasignación de equipos informáticos

Procedimiento de disposición final de equipos informáticos

16.11 Estándares aplicables

Seguridad de los equipos que salen de las instalaciones de la PARQUES NACIONALES





17. Política de desvinculación cambio de funciones, ausencia temporal o vacaciones

17.1. Alcance

Esta política aplica a toda la PARQUES NACIONALES NATURALES DE COLOMBIA sus funcionarios,

Contratistas y terceros que presten servicios para la PARQUES NACIONALES NATURALES DE

COLOMBIA 17.2. Objetivo

Definir las pautas generales para asegurar una adecuada gestión del acceso a la información y prevenir

accesos no autorizados a los sistemas de información y servicios de la PARQUES NACIONALES

NATURALES DE COLOMBIA cuando se produce desvinculación, cambios de función, ausencias

temporales o vacaciones de los usuarios de los sistemas de información.


Ley 909 del 23 de septiembre de 2004 “Por la cual se expiden normas que regulan el empleo público, la carrera administrativa, gerencia pública y se dictan otras disposiciones”. Artículo 3. Campo de aplicación

Ley 1093 de 2006, Por la cual se crean los literales e) y f) y un parágrafo del numeral 2 del artículo

5to de la Ley 909 de 2004.


Todas las novedades como vacaciones, incapacidades, cambio de funciones, ascensos y terminación de contratos que se presenten con los empleados, contratistas o terceros vinculados a la PARQUES NACIONALES NATURALES DE COLOMBIA deben ser reportadas al responsable del área o proceso al cual pertenece para ajustar los permisos de acceso de los usuarios a la información, sistemas de información y servicios de la PARQUES NACIONALES NATURALES DE COLOMBIA

Cuando se produzca una desvinculación o cambio de funciones de un funcionario, contratista o tercero que preste sus servicios a la PARQUES NACIONALES NATURALES DE COLOMBIA se debe aplicar el procedimiento formal de devolución de activos de información como: archivos, documentos, credenciales de acceso a instalaciones, contraseñas de acceso a sistemas o servicios, equipos informáticos o software a cargo del funcionario

En caso de desvinculación se notificará formalmente al funcionario, contratista o tercero las

obligaciones sobre confidencialidad de la información que permanezcan vigentes aún después de

su desvinculación.

Cuando se produzca ausencia temporal o vacaciones, el responsable del proceso al que pertenece el funcionario, contratista o tercero debe notificar al responsable del área o proceso al cual pertenece acerca de la necesidad de bloquear provisionalmente los accesos a cargo del funcionario, contratista o tercero durante la vigencia de su ausencia.


El área de gestión humana debe mantener actualizadas las novedades del personal y comunicarlas al responsable del área o proceso y otras áreas interesadas para garantizar que no se presentan brechas de seguridad de la información por accesos no autorizados.

Los administradores de sistemas de información son responsables de mantener actualizados y

aplicar los cambios en accesos o permisos a la información, sistemas de información y servicios de

acuerdo con el tipo de novedad reportada.





La política de Desvinculación, Cambios de funciones, ausencia temporal o vacaciones debe ser

revisada cada seis meses o cuando se presenten eventos que obliguen a su actualización

Todos los responsables de procesos de la PARQUES NACIONALES NATURALES DE COLOMBIA

realizarán seguimiento y control al cumplimiento de esta política.


A.7.3.1 Terminación o cambio de responsabilidades de empleo

A.8.1.4 Devolución de activos


A.9.2.1 Registro y cancelación de usuarios

A.9.2.6 Retiro o ajuste de los derechos de acceso

A.13.2.4 Acuerdos de confidencialidad o no divulgación

N/A



Administración de usuario




18. Política de uso de correo electrónico

18.1. Alcance

Esta política aplica a todas los funcionarios, contratistas y terceros que presten sus servicios a la

PARQUES NACIONALES NATURALES DE COLOMBIA que por el desarrollo de sus actividades

utilizan el servicio de correo electrónico de la PARQUES NACIONALES NATURALES DE COLOMBIA.

18.2. Objetivo

Definir las pautas generales para asegurar una adecuada protección de la información de la PARQUES

NACIONALES NATURALES DE COLOMBIA cuando se usa el servicio de correo electrónico por parte

de los usuarios autorizados




Decreto 1524 de 24 de julio de 2002, Por el cual se reglamenta el artículo 5 de la Ley 679 de 2001. Ley 1273 de 2009 “Por medio de la cual se modifica el Código Penal, se crea un nuevo bien

jurídico tutelado - denominado “de la protección de la información y de los datos”- y se preservan integralmente los sistemas que utilicen las tecnologías de la información y las comunicaciones, entre otras disposiciones


El servicio de correo electrónico institucional debe ser utilizado exclusivamente para las tareas propias de la función desarrollada por la PARQUES NACIONALES NATURALES DE COLOMBIA los usos diferentes a los necesarios para el cumplimiento de las funciones encargadas al funcionario, contratista o tercero y son de entera responsabilidad del usuario al que se le asigna la cuenta de acceso al servicio. Por lo anterior no se permitirá un uso con fines personales del correo institucional.

El acceso al servicio de correo electrónico debe ser autorizado por el responsable del proceso al que pertenece el funcionario, contratista o tercero que presta sus servicios a la PARQUES NACIONALES NATURALES DE COLOMBIA.

Para creación de la cuenta de correo electrónico se seguirán los procedimientos definidos por el responsable del área o proceso y las políticas de cuentas de usuario del Sistema de Gestión de Seguridad de la Información de la PARQUES NACIONALES NATURALES DE COLOMBIA.

El uso de las cuentas de correo electrónico debe cumplir con la política de cuentas de usuario

de la PARQUES NACIONALES NATURALES DE COLOMBIA

El servicio de correo electrónico oficial de la PARQUES NACIONALES NATURALES DE COLOMBIA es el que es suministrado y gestionado por el Sistema de Gestión de Seguridad de la Información, el cual cumple los requerimientos técnicos y de seguridad necesarios para garantizar la confidencialidad, integridad y disponibilidad de las comunicaciones oficiales por correo electrónico. Los usuarios reconocen y aceptan que los incidentes de seguridad de la información generados por el uso de servicios de correo electrónico no autorizados serán de su entera responsabilidad.




La clave de acceso al servicio de correo electrónico no debe ser divulgada a ninguna persona, exhibirse en público y para su gestión se debe seguir los controles de protección de contraseñas definidos por el Sistema de Gestión de Seguridad de la Información de la PARQUES NACIONALES NATURALES DE COLOMBIA.

La PARQUES NACIONALES NATURALES DE COLOMBIA puede supervisar el uso del

servicio de correo electrónico para verificar que se está usando para el cumplimiento de las

funciones misionales de la Entidad.

En los casos en los que se requiera envío o recepción de información clasificada con carácter reservado, el usuario del servicio de correo electrónico debe solicitar el servicio de cifrado de datos al responsable del área o proceso al cual pertenece.

Los correos electrónicos deben contener una nota de confidencialidad ubicada al final del texto,

después de la firma del mismo, este mecanismo es una medida preventiva de divulgación no autorizada de contenidos de correo electrónico. La nota de confidencialidad debe seguir el estándar definido por el Sistema de Gestión de Seguridad de la Información de la PARQUES NACIONALES NATURALES DE COLOMBIA

Al finalizar su relación laboral todo funcionario, contratista o tercero que preste sus servicios a la PARQUES NACIONALES NATURALES DE COLOMBIA, debe realizar la devolución de la cuenta de usuario de correo electrónico al responsable del proceso para el cual laboraba. Los procedimientos de suspensión de cuenta de correo electrónico son definidos por el responsable del área o proceso al cual pertenece.


Los usos no autorizados constituyen un incidente de seguridad de la información y se tratan de

acuerdo con los procedimientos adoptados por la PARQUES NACIONALES NATURALES DE

COLOMBIA:

Envío de correos masivos sin autorización oficial.

Envío, reenvío o intercambio de mensajes no deseados o considerados SPAM

Envío o intercambio de mensajes con contenido que atente contra la integridad de las personas o instituciones, tales como contenidos ofensivos, obscenos, pornográficos, terroristas, discriminación sobre la base de raza, género, nacionalidad de origen, edad, estado marital, orientación sexual, religión o discapacidad, amenazas, cualquier contenido que represente riesgo para la seguridad de la información de la Entidad o esté prohibido por la leyes, regulaciones o normas a las cuales está sujeta la entidad.

Creación, almacenamiento o intercambio de mensajes que violen las leyes de material protegido

por la ley de derechos de autor, normas sobre seguridad de la información y protección de datos

personales.

Crear, enviar, alterar, borrar mensajes suplantando la identidad de un usuario.

Abrir, usar o revisar indebidamente la cuenta de correo electrónico de otro usuario, sin contar

con la autorización formal del titular de la cuenta.

Uso, envió, reenvió o intercambio de mensajes con uso de plataformas de intercambio de archivos como P2P (Peer To Peer).


Todos los funcionarios, contratistas y terceros que presten sus servicios a la PARQUES NACIONALES

NATURALES DE COLOMBIA son responsables del cumplimiento de esta política y demás políticas

de seguridad de la información que adopta la PARQUES NACIONALES NATURALES DE COLOMBIA


La política de uso de correo electrónico ser revisada cada seis meses o cuando se presenten






A 9.2.1 Registro y cancelación de registro de usuarios


A 8.1.3 Uso aceptable de los activos

A 8.1.4 Devolución de los activos

A 9.2.2 Suministro de acceso a usuarios



A 13.2.3 Mensajería electrónica



Gestión de contraseñas

Modelo de nota de confidencialidad para correo electrónic




19. Política de uso de servicios de acceso a Internet

19.1. Alcance

Esta es una política de la PARQUES NACIONALES NATURALES DE COLOMBIA que aplica a toda

la entidad y a todos los usuarios autorizados para acceder al servicio de Internet en la Entidad.

19.2. Objetivo


NACIONALES NATURALES DE COLOMBIA en el uso del servicio de Internet por parte de los

usuarios autorizados.






El servicio de acceso a Internet debe utilizarse exclusivamente para las tareas propias de la función desarrollada en la PARQUES NACIONALES NATURALES DE COLOMBIA, los usos diferentes a los necesarios para el cumplimiento de las funciones de la Entidad son de entera responsabilidad del usuario al que se le asigna la cuenta de acceso al servicio.

El acceso al servicio podrá ser asignado a las personas que tengan algún tipo de vinculación con la PARQUES NACIONALES NATURALES DE COLOMBIA, ya sea como funcionario, contratista o tercero. El acceso al servicio es solicitado por funcionarios de nivel directivo de la PARQUES NACIONALES NATURALES DE COLOMBIA

El navegador autorizado para el uso del servicio de Internet en la PARQUES NACIONALES NATURALES DE COLOMBIA es el designado por el Sistema de Gestión de Seguridad de la Información de la PARQUES NACIONALES NATURALES DE COLOMBIA, el cual cumple con todos los requerimientos técnicos y de seguridad de la información.

Los servicios a los que un determinado usuario pueda acceder desde Internet dependerán del

rol que desempeña el usuario en la PARQUES NACIONALES NATURALES DE COLOMBIA y

para los cuales este formal y expresamente autorizado.

Todo usuario es responsable de informar de contenidos o acceso a servicios que no le estén

autorizados o no correspondan a sus funciones dentro de la PARQUES NACIONALES


Todo usuario es responsable tanto del contenido de las comunicaciones como de cualquier otra información que se envíe desde la red de la PARQUES NACIONALES NATURALES DE COLOMBIA o descargue desde Internet empleando la cuenta de acceso a Internet que se le ha suministrado.

La PARQUES NACIONALES NATURALES DE COLOMBIA puede supervisar el acceso del

servicio de Internet para certificar que se está usando para el cumplimiento de las funciones

institucionales.




Cuando un funcionario o contratista al que le haya sido autorizado el uso de una cuenta servicio de Internet o de acceso a la red local de la Entidad finalice su vinculación con la Entidad, deberá seguir los procedimientos definidos por la Entidad para entregar su cuenta de usuario y accesos a servicios informáticos provistos por la Entidad


Los siguientes usos se consideran usos no autorizados del servicio de acceso a Internet. Los usos no

autorizados constituyen un incidente de seguridad de la información:

Envío o descarga de información de sometida a derechos de autor cuando no se tienen esos derechos

Envío, descarga o visualización de información con contenidos que no forman parte de las

actividades propias asignadas al usuario

Envío o descarga de información cuyo volumen ponga en riesgo la disponibilidad del servicio, los usuarios del servicio deben informarse de los procedimientos para descarga de información con los responsables de áreas o procesos.

Cualquier otro propósito considerado inmoral o ilegal de acuerdo con las leyes, regulaciones o

normas a las que está sometida la entidad.

No es aceptable el uso del servicio de acceso a Internet para actividades comerciales.

Está prohibido el uso del servicio de acceso a Internet para realizar o propiciarla

propaganda de productos o propaganda política.

Queda estrictamente prohibido el uso, autorizado o no, de un nombre de usuario distinto al

designado por el responsable de área o proceso o administrador de sistema de información.

No está autorizado el acceso a sitios Web relacionados con actividades de juego, apuestas, o actividades ilegales en general;

No está autorizado el acceso a material pornográfico o a sitios Web de contenido para

adultos relacionados con desnudismo, erotismo o pornografía, salvo en los casos que

estén expresa y

formalmente autorizados con apego a funciones explícitamente definidas para el funcionario, caso particular de investigaciones en procesos judiciales, en dichos casos se debe gestionar los mecanismos de acceso seguro en canales protegidos configurados por los responsables de administración de tecnología durante el tiempo requerido para el cumplimiento de la asignación.

No está autorizado el acceso a sitios de música, juegos, vídeos, u otros sitios de

entretenimientos on - line;

No está autorizado el acceso a sitios Web de carácter discriminatorio, racista, o

material potencialmente ofensivo incluyendo, bromas de mal gusto, prejuicios, menosprecio, o

acoso explícito.

No está autorizado el acceso a sitios de “hacking” o sitios reconocidos como inseguros, los cuales puedan poner en riesgo la integridad y confidencialidad de la información de la

Entidad.

Participación en cualquier actividad ilegal o criminal mediante las redes de comunicaciones

de la entidad. Instalación y uso de programas de transferencia de información vía Internet para el intercambio de

archivos

.


Los funcionarios responsables de los procesos de la Entidad son los autorizados para solicitar la

creación, modificación o cancelación de las cuentas de acceso al servicio de Internet

Todos los funcionarios y contratistas que en el desarrollo de sus tareas habituales u ocasionales, utilicen cualquier servicio de tecnología de la información y comunicaciones (TIC) que provea la




PARQUES NACIONALES NATURALES DE COLOMBIA son responsables del cumplimiento y seguimiento de esta política.

Todo el personal vinculado a la PARQUES NACIONALES NATURALES DE COLOMBIA es

responsable de velar por el cumplimiento de las políticas de seguridad de la información.

Los responsables de la administración de tecnología deben de implementar los controles necesarios para evitar la circulación de información o contenidos desde Internet hacia la red de la PARQUES NACIONALES NATURALES DE COLOMBIA que puedan constituirse en riesgos para la seguridad de la Información.

Los responsables de la administración de tecnología garantizar que cualquier conexión de red de comunicaciones se encuentre protegida mediante controles de seguridad que garanticen la confidencialidad, integridad y disponibilidad de la información.


La política de control acceso a Internet debe ser revisada cada seis meses o cuando se presenten





A.9.2 Acceso a redes y servicios en red

A.13.1.1. Control de las redes

A.13.1.3 Separación en las redes


A.18.1.1 Identificación de la legislación aplicable y de los requisitos contractuales

Política de Teletrabajo

Política de transferencia de la información

Política de uso de correo electrónico


Gestión de contraseñas

Acuerdos de confidencialidad y buen uso de los medios




20. Política de Antivirus

20.1. Alcance

Esta es una política sé que aplica a todos los equipos informáticos (computadores, tabletas, equipos

portátiles, teléfonos inteligentes, entre otros) que sean empleados para conexión con los servicios

o sistemas de información de la PARQUES NACIONALES NATURALES DE COLOMBIA.

20.2. Objetivo


NACIONALES NATURALES DE COLOMBIA contra software malicioso.


Ley 1273 de 2009, “Por medio de la cual se modifica el Código Penal, se crea un nuevo bien jurídico

tute lado - denominado “de la protección de la información y de los datos”- y se preservan integralmente

los sistemas que utilicen las tecnologías de la información y las comunicaciones, entre otras

disposiciones”. Artículo 269 E: Uso de software malicioso. El que, sin estar facultado para ello,

produzca, trafique, adquiera, distribuya, venda, envíe, introduzca o extraiga del territorio nacional

software malicioso u otros programas de computación de efectos dañinos, incurrirá en pena de prisión

de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de

100 a 1000 salarios mínimos legales mensuales vigentes.


Es obligatorio usar un software de protección contra código malicioso (antivirus) en todos los computadores, dispositivos móviles, teléfonos inteligentes y cualquier tipo de equipo de cómputo empleado para acceder a los servicios y sistemas de información de la PARQUES NACIONALES NATURALES DE COLOMBIA.

Es obligatorio que el software contra código malicioso (antivirus) siempre se encuentre actualizado

con la versión más reciente de base de datos de virus

El software de antivirus siempre debe estar activo en los computadores y equipos de cómputo de la

PARQUES NACIONALES NATURALES DE COLOMBIA Es obligatorio aplicar los controles de seguridad que defina el Sistema de Gestión de Seguridad

de la Información de la PARQUES NACIONALES NATURALES DE COLOMBIA para evitar incidentes de seguridad de la información generados por la presencia de código malicioso en los equipos de cómputo, redes de comunicaciones, dispositivos de almacenamiento fijos o removibles de los computadores o dispositivos informáticos.

Los usuarios finales de los computadores no deben detener, desinstalar o alterar el funcionamiento del software de antivirus. Las modificaciones sobre el software de antivirus solo deben ser realizadas por personal formalmente autorizado por el Sistema de Gestión de Seguridad de la Información de la PARQUES NACIONALES NATURALES DE COLOMBIA.

Es obligatorio realizar verificaciones periódicas automáticas a los computadores de la PARQUES NACIONALES NATURALES DE COLOMBIA, de acuerdo con el estándar que defina el Sistema de Gestión de Seguridad de la Información de la PARQUES NACIONALES NATURALES DE COLOMBIA.


Esta formalmente prohibida la utilización de software de código malicioso dentro de la infraestructura

tecnológica de la PARQUES NACIONALES NATURALES DE COLOMBIA. El Personal que cuenta con




autorización para atención de incidentes de seguridad de la información debe tramitar autorización

específica para la utilización de software de código malicioso con propósitos de tratamiento de

incidentes de seguridad en equipos de la PARQUES NACIONALES NATURALES DE COLOMBIA y

siempre en ambientes aislados no productivos.


Todos los funcionarios, contratistas o terceros que presten sus servicios a la PARQUES

NACIONALES NATURALES DE COLOMBIA son responsables del cumplimiento de la política de

antivirus y las demás políticas

de seguridad de la información de la PARQUES NACIONALES NATURALES DE COLOMBIA.

El Sistema de Gestión de Seguridad de la Información de la PARQUES NACIONALES NATURALES DE COLOMBIA

es responsable de administrar el servicio de antivirus institucional


La política de antivirus debe ser revisada cada seis meses o cuando se presenten eventos que



A16.1.1 Responsabilidades y procedimientos para gestión de incidentes de seguridad de la información.


A 12.2.1 Controles contra códigos maliciosos


No aplica


Esquema de verificaciones automáticas para

antivirus. Controles de seguridad antiviru




21. Política de Controles para Cifrado de Datos

21.1. Alcance

Esta política aplica para cualquier información que sea gestionada, almacenada, trasmitida o

transportada usando la infraestructura de tecnología de información y comunicaciones, o medios de

almacenamiento de la PARQUES NACIONALES NATURALES DE COLOMBIA y que de acuerdo con

su nivel de clasificación o riesgos a los que puede estar expuesta debe ser cifrada para evitar su acceso

a personas o sistemas de información no autorizados.

21.2. Objetivo

Definir la gestión de controles de encripción para el envío o recepción de información en medios electrónicos protegiendo la confidencialidad, integridad y trazabilidad de la información.


Ley 1273 de enero 5 de 2009 (Ley de delitos Informáticos), Por medio de la cual se modifica el Código Penal, se crea un nuevo bien jurídico tutelado - denominado "de la protección de la información y de los datos"- y se preservan integralmente los sistemas que utilicen las tecnologías de la información y las comunicaciones, entre otras disposiciones.

Ley 594 de 2000 (Ley General de Archivo), Por medio de la cual se dicta la Ley General de

Archivos y se dictan otras disposiciones.

Ley 527 de 1999 (Acceso y Uso de Mensajes de datos), Por medio de la cual se define y reglamenta el acceso y uso de los mensajes de datos, del comercio electrónico y de las firmas digitales, y se establecen las entidades de certificación y se dictan otras disposiciones

Decreto 333 de 19 de febrero de 2014 Ministerio de comercio, industria y turismo, Por el

cual se reglamenta el artículo 160 del decreto ley 19 de 2012

Decreto 1747 DE 2000, MINISTERIO DE DESARROLLO ECONOMICO, Por el cual se reglamenta parcialmente la Ley 527 de 1999, en lo relacionado con las entidades de certificación, los certificados y las firmas digitales


La información con carácter reservado o que por los procesos en que se utilice esté expuesta a

riesgos de pérdida de confidencialidad se debe cifrar.

El Sistema de Gestión de Seguridad de la Información de la PARQUES NACIONALES

NATURALES DE COLOMBIA determinará los mecanismos de cifrado de datos que mejor se

ajusten a las necesidades específicas de cada tipo de información.

Las contraseñas para cifrado de información se deben proteger y gestionar siguiendo los controles de seguridad definidos para la protección de contraseñas de la PARQUES NACIONALES NATURALES DE COLOMBIA

Para el cifrado de información se utilizaran algoritmos de cifrado asimétricos.

Los computadores portátiles, medios de almacenamiento removibles y medios de respaldo que

contengan información clasificada con carácter reservado deben ser sometidos a cifrado de datos.

Cuando se utilicen sistemas de intercambio de información como correos electrónicos, sistemas de transferencias de datos o sistemas de información para intercambio de datos con otras entidades del estado en los que viaje información con carácter reservado deben emplear mecanismos de cifrado autorizados por los responsables de áreas y procesos de la PARQUES NACIONALES NATURALES DE COLOMBIA.

Al realizar el cifrado de información, se debe mantener copia de las llaves de cifrado en lugar seguro de forma que la recuperación de la información cifrada sea factible en caso de ausencia temporal o permanente del custodio de la información cifrada.





Está expresamente prohibido cifrar información con mecanismos no autorizados por el Sistema de

Gestión de Seguridad de la Información de la PARQUES NACIONALES NATURALES DE

COLOMBIA

Está expresamente prohibido cifrar información sin la autorización del custodio de la información.

Está expresamente prohibido revelar las claves privadas de cifrado de información a

personal no autorizado.


Los responsables de información, procesos, procedimientos o actividades que impliquen procesamiento, transmisión o almacenamiento de información empleando medios electrónicos deben solicitar mediante los procedimientos definidos por la PARQUES NACIONALES NATURALES DE COLOMBIA, el cifrado de la información clasificada como RESERVADA que esté bajo su responsabilidad.

Los responsables de áreas y procesos de la PARQUES NACIONALES NATURALES DE COLOMBIA son los responsables de documentar, divulgar y actualizar los procedimientos para el cifrado de información incluidas las actividades de generación, gestión y protección de las claves empleadas para el cifrado de información.


La política de controles criptográficos debe ser revisada cada seis meses o cuando se presenten



A.10.1 Controles criptográficos


A.8.3.3 Transferencia de medios físicos

A.10.1.1 Política sobre el uso de controles criptográficos

A.10.1.2 Gestión de llaves

A.18.1.5 Reglamentación de controles criptográficos


Gestión de llaves


Procedimiento de controles criptográficos

Procedimientos para la generación, gestión y protección de las claves




22. Política de uso de dispositivos móviles

22.1. Alcance

Esta política se aplica para cualquier equipo o dispositivo móvil de propiedad de la PARQUES

NACIONALES NATURALES DE COLOMBIA y que por necesidad de los servicios que presta la

PARQUES NACIONALES NATURALES DE COLOMBIA, requiere acceso a la información, los

sistemas de información o los servicios de tecnología de información de la PARQUES NACIONALES


22.2. Objetivo

Garantizar la seguridad de la información cuando se utilizan dispositivos móviles en las Instalaciones de la PARQUES NACIONALES NATURALES DE COLOMBIA o cuando se usan para tener acceso a sistemas de información o servicios de procesamiento de información de la PARQUES NACIONALES NATURALES DE COLOMBIA aunque no se encuentren dentro de instalaciones de la PARQUES NACIONALES NATURALES DE COLOMBIA.

22.3. Marco Normativo

Ley 1221 de 2008 “por la cual se establecen normas para promover y regular el teletrabajo

y se dictan otras disposiciones”



seguridad social



Cualquier dispositivo móvil adquirido por la PARQUES NACIONALES NATURALES DE COLOMBIA debe ser sometido a pruebas de seguridad de la información que permitan certificar que su uso para tener acceso sistemas de información o servicios de procesamiento de información no representará un riesgo injustificado para la seguridad de la información

Los dispositivos móviles destinados a ser utilizados fuera de las instalaciones de la PARQUES NACIONALES NATURALES DE COLOMBIA que deban tener acceso o que contengan información clasificada con carácter reservado (ver instructivo de clasificación de la información de la PARQUES NACIONALES NATURALES DE COLOMBIA) deben estar configurados con mecanismos de control de acceso seguro que impidan su utilización en caso de pérdida o robo.

Los dispositivos móviles que contengan información clasificada con carácter reservado debe

tener implementado mecanismo de cifrado de datos.

Todo dispositivo móvil debe tener software actualizado y en correcto funcionamiento que

evite su contaminación con códigos maliciosos.

Todo dispositivo móvil debe tener software actualizado y en correcto funcionamiento que

permitan monitorizar y controlar la instalación de programas en el dispositivo

Todo dispositivo móvil debe tener su sistema operacional actualizado y con la versión más

actualizada posible de su software de seguridad.

La conexión de dispositivos móviles a las redes de comunicaciones de la PARQUES NACIONALES NATURALES DE COLOMBIA desde redes de terceros debe utilizar canales seguros de comunicación que impidan el acceso no autorizado a información con carácter reservado. Los canales de acceso seguro son configurados por los administradores de sistemas de información.

En caso de pérdida o hurto de dispositivos móviles de la PARQUES NACIONALES NATURALES DE COLOMBIA, el responsable del dispositivo debe notificar a la mayor brevedad




posible a los responsables de áreas y procesos y a la autoridad competente para que se tomen las acciones necesarias para impedir el uso no autorizado del dispositivo.

El almacenamiento de información de la PARQUES NACIONALES NATURALES DE COLOMBIA en servicios públicos o gratuitos de almacenamiento de datos solo se debe realizar bajo autorización del responsabledel proceso y en cualquier caso la información a almacenar deber ser cifrada para su almacenamiento en dichos servicios


La modificación de los controles de seguridad implantados en los dispositivos móviles no está

autorizada si ello implica un riesgo para la seguridad de la información de la PARQUES

NACIONALES NATURALES DE COLOMBIA

Solamente el personal técnico debidamente autorizado puede realizar instalación, desinstalación o

borrado de software en los dispositivos móviles de la PARQUES NACIONALES NATURALES DE

COLOMBIA.


Todos los funcionarios y contratistas de la PARQUES NACIONALES NATURALES DE COLOMBIA son responsables de cumplir la política de uso de dispositivos móviles.

Todos los funcionarios y contratistas de la PARQUES NACIONALES NATURALES DE COLOMBIA son responsables de reportar a la mayor brevedad posible la pérdida o hurto de los dispositivos móviles bajo su responsabilidad

Los administradores de sistemas de información son responsables de coordinar y gestionar la

instalación de controles de seguridad en los dispositivos móviles.


La política de uso de dispositivos móviles debe ser revisada cada seis meses o cuando se presenten

eventos que obliguen a su actualización

Los responsables de procesos realizan seguimiento y control al cumplimiento de esta política.



A.16.1.5 Respuesta a incidentes de seguridad de la información


A.11.2.5 Retiro de activos

A.11.2.6 Seguridad de los equipos fuera de las instalaciones



Controles de seguridad para dispositivos móviles


Contraseña segura




23. Política de adquisición, desarrollo y mantenimiento de software

23.1. Alcance

Esta política aplicará para todo el personal que labore para la PARQUES NACIONALES NATURALES

DE COLOMBIA y para contratistas o terceros encargados con el fin de poder garantizar la adquisición,

el desarrollo y mantenimiento de los sistemas de información de manera adecuada.

23.2. Objetivo

Asegurar que el software sea adquirido o desarrollado con los controles de seguridad requeridos

en la protección de la integridad y confidencialidad de la información.






Componentes de Elementos Transversales del manual 3.1 Gobierno en Línea, actividad 3, el cual dice

“Implementar un sistema de Gestión de TI, el cual establece la sostenibilidad y mejoramiento que

permita articular el uso de la tecnología con los objetivos misionales de las entidades. Así mismo, se

requiere una estrategia de monitoreo, de forma tal que se puedan establecer avances y correctivos

que permitan la adopción de buenas prácticas y tendencias tanto locales como globales”.


Los requerimientos de seguridad deben ser identificados y acordados por los responsables de

áreas y procesos y el usuario final antes del desarrollo o la adquisición de los sistemas de

información.

Los responsables de áreas y procesos junto con los administradores de sistemas de información

son los encargados de la adquisición de software o del desarrollo del mismo, teniendo en cuenta

las necesidades expresas.

Los responsables de áreas y procesos junto con los administradores de sistemas de información deben seleccionar metodologías para adquisición y desarrollo de software que consideren mínimo los siguientes aspectos de seguridad y control: Control de acceso a la información, definición y autenticación de usuarios, mecanismos de detección de intrusos, definición de mecanismos de cifrado de datos, administración de la información y su confidencialidad e integridad, y administración de la seguridad física de la información.

Los responsables de áreas y procesos junto con los administradores de sistemas de información deben considerar en el desarrollo y adquisición de aplicaciones, los controles respectivos para la validación de datos de entrada, procesamiento, almacenamiento, hasta la salida de dichos datos, se deben considerar los controles apropiados que permitan el seguimiento de auditoría y el registro de actividades en el software. Así mismo deberá considerar en dicho desarrollo la gestión adecuada de derechos de autor, propiedad intelectual, confidencialidad y normas especiales aplicables al desarrollo de software en Colombia y a nivel internacional cuando se trate de contratistas extranjeros.

Se debe realizar mantenimiento periódicamente a los sistemas de información con el fin de

garantizar el correcto funcionamiento de los mismos.





Esta política es responsabilidad de ser ejecutada por los responsables de áreas y procesos y los

administradores de sistemas de información con el fin de garantizar un desarrollo, adquisición y

mantenimiento de los sistemas de información de manera adecuada, asegurando así, la

confidencialidad e integridad de la información.


Esta política debe ser revisada cada seis meses o cuando se presenten eventos que obliguen a su actualización.


A.14 Adquisición, desarrollo y mantenimiento de sistemas


A.14.1 Requisitos de seguridad de los sistemas de

información A.14.2 Seguridad en los procesos de

desarrollo y soporte A.14.3 Datos de prueba


Controles para el desarrollo y adquisición de software


Formatos de solicitud de adquisición, desarrollo o actualización de sistemas de información




24. Cuentas para acceso a sistemas de información

24.1. Alcance

Esta política de aplica a todos los funcionarios, contratistas y terceros que presten sus servicios en la

PARQUES NACIONALES NATURALES DE COLOMBIA y que por la naturaleza de su trabajo requieren

una cuenta de acceso a sistemas de información o a servicios de información y tecnología.

24.2. Objetivo

Definir las pautas generales para asegurar el uso controlado y seguro de las cuentas para el acceso a los

Sistemas de información y Servicios de la PARQUES NACIONALES NATURALES DE COLOMBIA







Para tener acceso a un sistema de información o a un servicio de procesamiento de información, todo usuario debe tener una cuenta y un mecanismo de autenticación o verificación de la identidad.

El acceso a los sistemas de información o los servicios electrónicos de la PARQUES

NACIONALES NATURALES DE COLOMBIA es probado por el responsable del proceso al que

pertenece el usuario que

solicita la cuenta. Para la asignación de cuenta de usuario a un sistema de información o servicio se usa el

procedimiento de creación de cuentas de usuario del Sistema de Gestión de Seguridad de la Información de la PARQUES NACIONALES NATURALES DE COLOMBIA.

El responsable del proceso o del sistema de información debe determinar que privilegios se

deben configurar al usuario de acuerdo con la naturaleza del trabajo y funciones asignadas al

usuario.

El uso adecuado de la cuenta de usuario es una responsabilidad indelegable e intransferible del funcionario, contratista o tercero que presta sus servicios a la PARQUES NACIONALES NATURALES DE COLOMBIA. Cada cuenta de usuario es única y de uso personal.

Toda cuenta de usuario debe ser asignada formalmente a una persona quién responderá por

su uso y acciones realizadas con la misma en el sistema de información o servicio.

Toda cuenta de usuario que no cuente con un responsable en un momento en el tiempo de manera temporal o definitiva debe ser inhabilitada para evitar su uso por parte de otros usuarios o sistemas de información. La cuenta debe permanecer inhabilitada mientras no esté disponible el responsable de la cuenta de usuario o se decida su inactivación definitiva.

Todas las acciones realizadas utilizando las cuentas de usuario deben ser registrada por los

sistemas de información o servicios.

Toda cuenta de acceso debe estar asociada a un mecanismo de verificación de identidad del usuario, se contraseña, sistema de control biométrico, certificado digital u otros mecanismos que permitan comprobar la identidad del usuario que utiliza la cuenta.





Está prohibido el préstamo de la cuenta de usuario a otros usuarios.

Está prohibido el uso de la cuenta de usuario para fines diferentes a los expresamente

autorizados al momento de su creación.

Está prohibido inhabilitar los controles de seguridad y registros de acciones de la cuenta de usuario.


Todos los funcionarios, contratistas y Terceros que presten sus servicios a la PARQUES NACIONALES NATURALES DE COLOMBIA son responsables del cumplimiento de esta política y demás políticas de seguridad de la información que adopta la Entidad.

Los responsables de los procesos informáticos o servicios son responsables de autorizar la asignación de cuentas de usuario a los funcionarios, contratistas o terceros que prestan sus servicios para la PARQUES NACIONALES NATURALES DE COLOMBIA

Los administradores de sistemas de información, responsables de áreas y procesos de la PARQUES NACIONALES NATURALES DE COLOMBIA son los encargados de coordinar el procedimiento de asignación de cuentas de usuario


La política de cuentas de usuario debe ser revisada cada seis meses o cuando se presenten



A 9.2.1 Registro y cancelación de usuarios

A 9.2.2 Procedimiento de Suministro de acceso a usuarios


A 8.1.3 uso aceptable de los activos

A 9.1.1 Política de control de acceso

A 9.2.3 Gestión de derechos de acceso privilegiado

A 9.2.5 Revisión de los derechos de acceso de usuario



A 9.4.2 Procedimiento de ingreso seguro

A 9.4.3 Sistemas de gestión de contraseñas

A 12.4.1 Registro de eventos

A 12.4.2 Protección de la información de registro

A 12.4.3 Registros del administrador y del operador


Estándar de contraseñas

Estándar de cuenta de usuario




25. Política de gestión de incidentes de seguridad de la información

25.1. Alcance

Esta política se aplica a funcionarios, contratista y terceros que prestan sus servicios la PARQUES


25.2. Objetivo

Proteger la integridad, disponibilidad y confidencialidad de la información de la PARQUES

NACIONALES NATURALES DE COLOMBIA, prevenir la perdida de servicios y cumplir con

requerimientos legales. Esta política establece los mecanismos de coordinación para dar respuesta a

los incidentes de seguridad de la información y habilita a la PARQUES NACIONALES NATURALES DE

COLOMBIA para una remediación rápida, recopilación de datos y reporte de los eventos que afectan la

infraestructura de información y tecnología.


Ley 1273 de 2009 , “Por medio de la cual se modifica el Código Penal, se crea un nuevo bien jurídico tutelado - denominado “de la protección de la información y de los datos”- y se preservan integralmente los sistemas que utilicen las tecnologías de la información y las comunicaciones, entre otras disposiciones”.


25.4. Definiciones

Un incidente de seguridad de la información (“incidente”) es cualquier evento que daña o representa

una amenaza seria para toda o una parte de la infraestructura de información y tecnología (sistemas

de cómputo, sistemas de información, sistemas de telefonía), incluyen: pueden ser: : sustracción de

información, intrusión a sistemas de información, uso no autorizado de datos, denegación de servicios,

violación a las políticas de uso de servicios como correo, y otras actividades contrarias a las políticas

de uso adecuado de recursos de información y tecnología de la entidad, cambios no autorizados al

hardware, firmware, software o datos y los delitos definidos en la ley 1273 de 2009

25.5. Detalle

Cualquier funcionario, contratista, tercero puede reportar incidentes de seguridad de la información

que afecten la PARQUES NACIONALES NATURALES DE COLOMBIA.

Cada responsable de área o proceso de la PARQUES NACIONALES NATURALES DE

COLOMBIA debe identificar incidentes potenciales de seguridad de la información a través de

supervisión proactiva de los sistemas de información y tecnología de la entidad.

Cualquier incidente de seguridad de la información se debe registrar y se debe realizar tratamiento del mismo empleando el procedimiento de gestión de incidentes de seguridad de la información de la PARQUES NACIONALES NATURALES DE COLOMBIA

Cualquier dispositivo de uso personal como teléfonos inteligentes, computadores portátiles, tabletas, u otros dispositivos de cómputo que estén implicados en incidentes de seguridad de la información en la PARQUES NACIONALES NATURALES DE COLOMBIA pueden ser sometidos a cadena de custodia o protección para fines de investigación o evidencia ante procesos administrativos o legales, previa coordinación del procedimiento con el propietario del equipo.




Para prevenir la ocurrencia de incidentes de seguridad de la información la PARQUES NACIONALES NATURALES DE COLOMBIA aplicará los procedimientos de su sistema de gestión de seguridad de la información para llevar a cabo actividades de prevención de incidentes, supervisión y filtrado de anomalías que puedan afectar a la seguridad de la información o los recursos de información y tecnología de la Entidad.

En caso de ser requerido por autoridad competente o grupos especializados en el

tratamiento de incidentes de seguridad de la información la PARQUES NACIONALES NATURALES DE COLOMBIA puede suministrar el plan de respuesta o remediación específico para un incidente para que se evalúe su efectividad, solicitar apoyo, demostrar debida diligencia u otros propósitos definidos por la PARQUES NACIONALES NATURALES DE COLOMBIA


La unidad de informática es responsable de evaluar si los eventos que se reporten sobre los

servicios o sistemas de información se deben tratar como incidentes de seguridad de la información.

La Unidad de Informática es la dependencia responsable de dar respuesta, realizar el

aislamiento y recuperación de los accesos a sistemas de comunicaciones y cómputo afectados por

el incidente.

Cada responsable de área o proceso debe garantizar que los incidentes sean apropiadamente registrados y almacenados de acuerdo con el procedimiento de gestión de incidentes de seguridad.

Todos los funcionarios, contratistas y terceros que presten sus servicios a la PARQUES

NACIONALES NATURALES DE COLOMBIA deben informar al responsable del área o proceso la

ocurrencia de incidentes

de seguridad de la información tan pronto como sea posible. Todos los funcionarios, contratistas y terceros que presten sus servicios a la PARQUES

NACIONALES NATURALES DE COLOMBIA deben informar a la Unidad de Informática cualquier debilidad de seguridad de la información o acción sospecha que observen en los servicios, sistemas de información o instalaciones de la Entidad.


La política de gestión de incidentes de seguridad de la información debe ser revisada cada seis

meses o cuando se presenten eventos que obliguen a su actualización.

El responsable del área o proceso realizará seguimiento y control al cumplimiento de esta política


A 16.1.1. Responsabilidades y procedimiento de gestión de incidentes de seguridad


A 16.1.2 Reporte de eventos de seguridad de la información

A 16.1.3 Reporte de debilidades de seguridad de la información

A 16.1.4 Evaluación de eventos de seguridad de la información y decisiones sobre ellos

A 16.1.5 Respuesta a incidentes de seguridad de la información

A 16.1.6 Aprendizaje obtenido de los incidentes de seguridad de la información

A 16.1.7 Recolección de evidencia.





No aplica


No aplica




26. Politica de tratamiento de datos personales

26.1. Alcance

La política de protección de datos personales es aplicable a los datos personales registrados en

cualquier base de datos que los haga susceptibles de tratamiento por parte de la PARQUES

NACIONALES NATURALES DE COLOMBIA y según el alcance definido por la Ley 1581 de 2012 no

están exentos de su aplicación.

26.2. Objetivo

En cumplimiento a lo dispuesto en la Ley 1581 de 2012, reglamentada parcialmente por el Decreto 1377 de

2013 sobre protección de datos, la PARQUES NACIONALES NATURALES DE COLOMBIA establece

la siguiente política de tratamiento de datos personales con el propósito de que todas las personas

puedan conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en las

bases de datos o archivos a cargo de esta entidad.


Ley 1581 de 2012, Por la cual se dictan disposiciones generales para la protección de datos personales

Decreto 1377 de 27 de junio de 2013, por el cual se reglamenta parcialmente la Ley 1581 de 2012.

26.4. Definiciones

Para el completo entendimiento y aplicación de la presente política se hará uso de las siguientes definiciones:

Aviso de Privacidad: Comunicación verbal o escrita generada por el Responsable, dirigida al Titular

para el Tratamiento de sus datos personales, mediante la cual se le informa acerca de la existencia de

las políticas de Tratamiento de información que le serán aplicables, la forma de acceder a las mismas

y las finalidades del Tratamiento que se pretende dar a los datos personales.

Dato Personal: Cualquier información vinculada o que pueda asociarse a una o varias personas

naturales determinadas o determinables.

Datos Sensibles: Aquellos datos que afectan la intimidad del Titular o cuyo uso indebido pueden

generar su discriminación.

Encargado del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en

asocio con otros, realice el Tratamiento de datos personales por cuenta de La PARQUES

NACIONALES NATURALES DE COLOMBIA como Responsable de los datos.

Política de Tratamiento: Se refiere a este documento, como política de tratamiento de datos

personales aplicada por La PARQUES NACIONALES NATURALES DE COLOMBIA de conformidad

con los lineamientos de la legislación vigente en la materia de protección de datos personales.




Responsable del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en

asocio con otros, decida sobre la base de datos y/o el Tratamiento de los Datos. Para los efectos de

esta política, el Responsable es La PARQUES NACIONALES NATURALES DE COLOMBIA

Titular: Persona natural o jurídica cuyos datos personales sean objeto de Tratamiento por La

PARQUES NACIONALES NATURALES DE COLOMBIA en razón con las actividades misionales de la

PARQUES NACIONALES NATURALES DE COLOMBIA

Transferencia: Se refiere al envío por parte de La PARQUES NACIONALES NATURALES DE

COLOMBIA como responsable del Tratamiento o un Encargado de los datos personales a un tercero

dentro o fuera del territorio nacional para el tratamiento efectivo de datos personales.

Trasmisión: Se entiende como la comunicación de datos personales por parte del Responsable al

Encargado, ubicado dentro o fuera del territorio nacional, para que el Encargado, por cuenta del

Responsable, trate datos personales.

Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales, tales

como la recolección, almacenamiento, uso, circulación o supresión.

El entendimiento de cualquier término que no se encuentre incluido dentro del anterior listado se

realizará de acuerdo a la legislación vigente, en especial a la Ley 1581 de 2012 y al Decreto 1377 de

2013.


La PARQUES NACIONALES NATURALES DE COLOMBIA, deber realizar la administración y

tratamiento de unas bases de datos con la información de los ciudadanos que realizan cualquier tipo

de trámite o procedimi ento ante las Entidades de la PARQUES NACIONALES NATURALES DE

COLOMBIA, Los datos personales que recolecta y almacena la PARQUES NACIONALES NATURALES

DE COLOMBIA en sus bases de datos se utilizarán única y exclusivamente para el desarrollo de sus

funciones misionales y en tal virtud no requiere la autorización previa del titular para acceder a su

información de conformidad con lo dispuesto en el literal a) del artículo 10 de la Ley 1581 de 2012.

Datos personales de niños, niñas y adolescentes

En cumplimiento de su misión la PARQUES NACIONALES NATURALES DE COLOMBIA recibe

datos de niños, niñas y adolescentes que acceden a sus servicios. El suministro de datos personales

de niños, niñas y adolescentes es de carácter facultativo, tanto para ellos como para quienes actúen

a su nombre. La PARQUES NACIONALES NATURALES DE COLOMBIA velará por el tratamiento

adecuado de los datos personales de los niños, niñas y adolescentes y respetará en su tratamiento el

interés superior de aquellos, asegurando la protección de sus derechos fundamentales y, en lo posible,

teniendo en cuenta su opinión como titulares de sus datos personales.


El tratamiento de los datos personales por parte de la PARQUES NACIONALES NATURALES DE

COLOMBIA se regirá por los siguientes principios rectores consagrados en el artículo 4 de la Ley 1581

de 2012 los cuales se trascriben a continuación:




a) Principio de legalidad en materia de Tratamiento de datos: El Tratamiento a que se refiere la Ley 1581 de 2012 es una actividad reglada que debe sujetarse a lo establecido en ella y en las demás disposiciones que la desarrollen;

b) Principio de finalidad: El Tratamiento debe obedecer a una finalidad legítima de acuerdo con la

Constitución y la Ley, la cual debe ser informada al Titular;

c) Principio de libertad: El Tratamiento sólo puede ejercerse con el consentimiento, previo,

expreso e informado del Titular. Los datos personales no podrán ser obtenidos o divulgados sin previa

autorización, o en ausencia de mandato legal o judicial que releve el consentimiento;

d) Principio de veracidad o calidad: La información sujeta a Tratamiento debe ser veraz, completa,

exacta, actualizada, comprobable y comprensible. Se prohíbe el Tratamiento de datos parciales,

incompletos, fraccionados o que induzcan a error;

e) Principio de transparencia: En el Tratamiento debe garantizarse el derecho del Titular a

obtener del Responsable del Tratamiento o del Encargado del Tratamiento, en cualquier momento y

sin restricciones, información acerca de la existencia de datos que le conciernan;

f) Principio de acceso y circulación restringida: El Tratamiento se sujeta a los límites que se derivan de

la naturaleza de los datos personales, de las disposiciones de la Ley 1581 de 2012 y la Constitución.

En este sentido, el Tratamiento sólo podrá hacerse por personas autorizadas por el Titular y/o

por las personas previstas en la presente ley;

Los datos personales, salvo la información pública, no podrán estar disponibles en Internet u otros

medios de divulgación o comunicación masiva, salvo que el acceso sea técnicamente controlable para

brindar un conocimiento restringido sólo a los Titulares o terceros autorizados conforme a la Ley 1581

de 2012;

g) Principio de seguridad: La información sujeta a Tratamiento por el Responsable del Tratamiento o

Encargado del Tratamiento a que se refiere la Ley 1581 de 2012, se deberá manejar con las medidas

técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros

evitando su adulteración, pérd ida, consulta, uso o acceso no autorizado o fraudulento;

h) Principio de confidencialidad: Todas las personas que intervengan en el Tratamiento de datos

personales que no tengan la naturaleza de públicos están obligadas a garantizar la reserva de la

infor mación, inclusive después de finalizada su relación con alguna de las labores que comprende el

Tratamiento, pudiendo sólo realizar suministro o comunicación de datos personales cuando ello

corresponda al desarrollo de las actividades autorizadas en la Ley 1581 de 2012y en los términos de

la misma.

Los ciudadanos titulares de los datos personales contenidos en las bases de datos de la PARQUES

NACIONALES NATURALES DE COLOMBIA, les asiste los siguientes derechos, contenidos en el

artículo 8 de la Ley 1581 de

2012, los cuales son:

a) Conocer, actualizar y rectificar sus datos personales frente a los Responsables del Tratamiento o

Encargados del Tratamiento. Este derecho se podrá ejercer, entre otros frente a datos parciales,

inexactos, incompletos, fraccionados, que induzcan a error, o aquellos cuyo Tratamiento esté

expresamente prohibido o no haya sido autorizado;




b) Solicitar prueba de la autorización otorgada al Responsable del Tratamiento salvo cuando

expresamente se exceptúe como requisito para el Tratamiento, de conformidad con lo previsto en el

artículo 10 de la Ley 1581 de 2012;

Por ser la PARQUES NACIONALES NATURALES DE COLOMBIA una Entidad pública no requiere

autorización para el tratamiento de datos personales como lo establece el artículo 10 de la Ley 1581 de

2012

Artículo 10. Casos en que no es necesaria la autorización. La autorización del Titular no será

necesaria cuando se trate de:

a) Información requerida por una entidad pública o administrativa en ejercicio de sus funciones legales o por orden judicial;

c) Ser informado por la PARQUES NACIONALES NATURALES DE COLOMBIA del Tratamiento o el Encargado del

Tratamiento, previa solicitud, respecto del uso que le ha dado a sus datos personales;

d) Presentar ante la Superintendencia de Industria y Comercio quejas por infracciones a lo dispuesto en la Ley

1581 de 2012y las demás normas que la modifiquen, adicionen o complementen;

f) Acceder en forma gratuita a sus datos personales que hayan sido objeto de Tratamiento.

Obligaciones de la PARQUES NACIONALES NATURALES DE COLOMBIA

En virtud de lo dispuesto en el artículo 17 de la Ley 1581 de 2012, son deberes de la PARQUES

NACIONALES NATURALES DE COLOMBIA para el tratamiento de los datos personales:

a) Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data;

b) Solicitar y conservar, en las condiciones previstas en la Ley 1581 de 2012, copia de la respectiva

autorización otorgada por el Titular;


autorización para el tratamiento de datos personales como lo establece el artículo 10 de la Ley 1581

de 2012

Artículo 10. Casos en que no es necesaria la autorización. La autorización del Titular no será necesaria cuando se trate de:


c) Informar debidamente al Titular sobre la finalidad de la recolección y los derechos que le asisten

por virtud de la autorización otorgada;

d) Conservar la información bajo las condiciones de seguridad necesarias para impedir su

adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento;




e) Garantizar que la información que se suministre al Encargado del Tratamiento sea veraz,

completa, exacta, actualizada, comprobable y comprensible;

f) Actualizar la información, comunicando de forma oportuna al Encargado del Tratamiento, todas las

novedades respecto de los datos que previamente le haya suministrado y adoptar las demás

medidas necesarias para que la información suministrada a este se mantenga actualizada;

g) Rectificar la información cuando sea incorrecta y comunicar lo pertinente al Encargado del Tratamiento;

h) Suministrar al Encargado del Tratamiento, según el caso, únicamente datos cuyo

Tratamiento esté previamente autorizado de conformidad con lo previsto en la Ley 1581 de 2012;

i) Exigir al Encargado del Tratamiento en todo momento, el respeto a las condiciones de seguridad y

privacidad de la información del Titular;

j) Tramitar las consultas y reclamos formulados en los términos señalados en la Ley 1581 de 2012;

k) Adoptar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la

Ley 1581 de 2012y en especial, para la atención de consultas y reclamos;

l) Informar al Encargado del Tratamiento cuando determinada información se encuentra en discusión

por parte del Titular, una vez se haya presentado la reclamación y no haya finalizado el trámite

respectivo;

m) Informar a solicitud del Titular sobre el uso dado a sus datos;


autorización para el tratamiento de datos personales como lo establece el artículo 10 de la Ley 1581

de 2012

Artículo 10. Casos en que no es necesaria la autorización. La autorización del Titular no será necesaria cuando se trate de:


n) Informar a la autoridad de protección de datos cuando se presenten violaciones a los códigos de

seguridad y existan riesgos en la administración de la información de los Titulares.

o) Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.


Todos los funcionarios, contratistas y terceros que presten sus servicios a la PARQUES NACIONALES

NATURALES DE COLOMBIA que en el desarrollo de sus tareas habituales u ocasionales que utilicen

información, servicios de tecnología de la información y comunicaciones o manipulen equipos

pertenecientes a la PARQUES NACIONALES NATURALES DE COLOMBIA, son responsables del

cumplimiento y seguimiento de la política de tratamiento de datos personales.





La política de protección de datos personales debe ser revisada cada seis meses o cuando se



A 13.2.1 Políticas y procedimientos de transferencia de información


A 8.2.1 Clasificación de la información

A 10.1.1 Política sobre el uso de controles criptográficos

A 13.2.2 Acuerdos sobre transferencia de Información


A 18.1.4 Privacidad y protección de información de datos personales


No aplica


27. Política de clasificación de la información

27.1. Alcance

Esta política se aplica a toda la información de la PARQUES NACIONALES NATURALES DE

COLOMBIA contenida en cualquier tipo de medio físico, electrónico, visual, sonoros,

electromagnético o en otros tipos de soporte de almacenamiento

27.2. Objetivo

Asegurar que la información recibe un nivel de protección apropiado de acuerdo con su importancia para la

PARQUES NACIONALES NATURALES DE COLOMBIA.


Constitución política de Colombia de 1991 Artículo 15. Ley 1712 de 2014 Por medio de la cual se crea la Ley de Transparencia y del Derecho de Acceso a la

Información Pública Nacional y se dictan otras disposiciones.

Ley Estatutaria 1581 de 17 de octubre de 2012, Por la cual se dictan disposiciones

generales para la protección de datos personales.

Ley 1592 de 2012 Por medio de la cual se introducen modificaciones a la Ley 975 de 2005. Ley 1266 de 31 de diciembre de 2008, Por la cual se dictan disposiciones generales del

Habeas Data y se regula el manejo de la información contenida en bases de datos personales, en especial la financiera, crediticia, comercial, de servicios, y la proveniente de terceros países y se dictan otras disposiciones.

Ley 1010 de 23 de enero de 2006, Por medio de la cual se adoptan medidas para prevenir,

corregir y sancionar el acoso laboral y otros hostigamientos en el marco de las relaciones de

trabajo.

Ley 975 de 2005, Por la cual se dictan disposiciones para la reincorporación de miembros de grupos armados organizados al margen de la ley, que contribuyan de manera efectiva a la consecución de la paz nacional y se dictan otras disposiciones para acuerdos humanitarios.

Ley 909 de 23 de septiembre de 2004, Por la cual se expiden normas que regulan el empleo

público, la carrera administrativa, gerencia pública y se dictan otras disposiciones.

Ley 734 DE 2002 de 5 de febrero de 2002, Por la cual se expide el Código Disciplinario Único. Ley 190 de 6 de junio de 1995, Por la cual se dictan normas tendientes a preservar la moralidad en la

Administración Pública y se fijan disposiciones con el fin de erradicar la corrupción administrativa.

Decreto 1377 de 27 de junio de 2013, Por el cual se reglamenta parcialmente la Ley 1581 de 2012.

Circular No .004 DE 2003, Departamento administrativo de la función pública, Archivo general

de la nación, Organización de las Historias Laborales.

Sentencia T-729 DE 2002, Habeas Data.

Sentencia C-326 de 1997 Corte Constitucional, CONTRATO DE PRESTACION

DE SERVICIOS.

Sentencia C-446/98, Formato único de hoja de vida para contratación con la

administración.

Sentencia No. T-473/92 Documento público/derecho de acceso a documentos

públicos/derecho de petición.

27.4. Definiciones

Datos Abiertos. En los términos de la Ley 1712 de 2014, son todos aquellos datos primarios o sin

procesar, que se encuentran en formatos estándar e interoperables que facilitan su acceso y

reutilización, los cuales están bajo la custodia de las entidades públicas o privadas que cumplen

con funciones públicas y que son puestos a disposición de cualquier ciudadano, de forma libre y

sin restricciones, con el fin de que terceros puedan reutilizarlos y crear servicios derivados de los

mismos;


Dato personal: De acuerdo con la ley 1581 de 2012: Articulo 3: Cualquier información vinculada

o que pueda asociarse a una o varias personas naturales determinadas o determinables.

Dato personal Semiprivado: De acuerdo con la Sentencia T729 del 2002 de la corte

constitucional: “La información semi-privada, será aquella que por versar sobre información

personal o impersonal y no estar comprendida por la regla general anterior, presenta para su

acceso y conocimiento un grado mínimo de limitación, de tal forma que la misma sólo puede ser

obtenida y ofrecida por orden de autoridad administrativa en el cumplimiento de sus funciones o en

el marco de los principios de la administración de datos personales. Es el caso de los datos

relativos a las relaciones con las entidades de la seguridad social o de los datos relativos al

comportamiento financiero de las personas”.

De acuerdo con la Ley 1266 de diciembre 31 de 2008 Habeas Data: Es semiprivado el dato que

no tiene naturaleza íntima, reservada, ni pública y cuyo conocimiento o divulgación puede interesar

no solo a su titular sino a cierto sector o grupo de personas o a la sociedad en general, como el

dato financiero y crediticio de actividad comercial o de servicios a que se refiere el Título IV de la

presente ley.

Dato personal Público, De acuerdo con la Sentencia T729 del 2002 de la corte constitucional:

“…: igualmente serán públicos, los datos sobre el estado civil de las personas o sobre la

conformación de la familia. Información que puede solicitarse por cualquier persona de manera

directa y sin el deber de satisfacer requisito alguno.”

Dato Privado: De acuerdo con la Sentencia T729 del 2002 de la corte constitucional: La

información privada, será aquella que por versar sobre información personal o no, y que por

encontrarse en un ámbito privado, só lo puede ser obtenida y ofrecida por orden de autoridad

judicial en el cumplimiento de sus funciones. Es el caso de los libros de los comerciantes, de los

documentos privados, de las historias clínicas o de la información extraída a partir de la inspección

del domicilio.

De acuerdo con la Ley 1266 diciembre 31 de 2008 Habeas Data h) Dato privado. Es el dato

que por su naturaleza íntima o reservada solo es relevante para el titular.

Dato personal Sensible: De acuerdo con la ley 1581de 2012: ARTICULO 5: Para los propósitos

de la presente ley, se entiende por datos sensibles aquellos que afectan la intimidad del Titular o

cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen

racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a

sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier

partido político o que garanticen los derechos y garantías de partidos políticos de oposición así

como los datos relativos a la salud, a la vida sexual y los datos biométricos.

Documento de carácter Reservado: Aquellos que la Constitución y la ley hayan dado carácter

reservado. De acuerdo con la Ley 594 del 2000, Ley general de archivo: ARTÍCULO 27. Acceso y

consulta de los documentos. Todas las personas tienen derecho a consultar los documentos de

archivos públicos y a que se les expida copia de los mismos, siempre que dichos documentos no

tengan carácter reservado conforme a la Constitución o a la ley.

Documento público: De acuerdo con la sentencia T473-92 documento público/derecho de acceso a documentos públicos/derecho de petición: El documento público, es aquél otorgado por el funcionario público en ejercicio de su cargo o con su intervención. Se denomina INSTRUMENTO PUBLICO cuando consiste en un escrito autorizado o suscrito por el respectivo funcionario; se denomina ESCRITURA PUBLICA cuando es otorgado por un notario o quien haga sus veces y ha sido incorporado en el respectivo protocolo. El documento privado es, por exclusión, todo el que no reúna los requisitos para ser público

Información. Se refiere a un conjunto organizado de datos contenido en cualquier documento que

los sujetos obligados generen, obtengan, adquieran, transformen o controlen;

Ley 1712 de 2014. También se puede definir en los términos del modelo estándar de control interno como


“Conjunto de Elementos de Control, conformado por datos que al ser ordenados y procesados adquiere significado para los grupos de interés de la Entidad Pública a los que va dirigido. Hace parte fundamental de la operación de la Entidad al convertirse en insumo para la ejecución de los procesos y a su vez en producto de los mismos. Garantiza la base de la transparencia de la actuación pública, la Rendición de Cuentas a la Comunidad y el cumplimiento de obligaciones de información.”

Información Primaria: De acuerdo con el Modelo Estándar de Control Interno MECI 1000:2005,

adoptado mediante la ley 87 de 1993: Elemento de Control, conformado por el conjunto de datos

de fuentes externas provenientes de las instancias con las cuales la organización está en

permanente contacto, así como de las variables que no están en relación directa con la Entidad,

pero que afectan su desempeño.

Información pública clasificada. En los términos de la Ley 1712 de 2014 Es aquella información

que estando en poder o custodia de un sujeto obligado en su calidad de tal, pertenece al ámbito

propio, particular y privado o semiprivado de una persona natural o jurídica por lo que su acceso

podrá ser negado o exceptuado, siempre que se trate de las circunstancias legítimas y necesarias

y los derechos particulares o privados consagrados en el artículo 18 de la ley 1712 de 2014;

Información pública reservada. En los términos de la Ley 1712 de 2014 Es aquella información

que estando en poder o custodia de un sujeto obligado en su calidad de tal, es exceptuada de

acceso a la ciudadanía por daño a intereses públicos y bajo cumplimiento de la totalidad de los

requisitos consagrados en el artículo 19 de la ley

1712 de 2014;

Información Secundaria: De acuerdo con el Modelo Estándar de Control Interno MECI

1000:2005, adoptado mediante la ley 87 de 1993: Elemento de Control, conformado por el conjunto

de datos que se originan y/o procesan al interior de la Entidad Pública, provenientes del

ejercicio de su función. Se obtienen de los diferentes sistemas de información que soportan la

gestión de la Entidad Pública.


El acceso a la información de la PARQUES NACIONALES NATURALES DE COLOMBIA debe

ser autorizado por el responsable del proceso en el que se usa la información.

La información de la PARQUES NACIONALES NATURALES DE COLOMBIA debe servir a los propósitos de la Misión y funciones institucionales, cualquier uso diferente debe ser autorizado formalmente por el responsable del proceso en el que se encuentra la información.

La información de la PARQUES NACIONALES NATURALES DE COLOMBIA se debe

clasificar de acuerdo con los requisitos legales, origen y procesos en los que se utiliza la

información.

Para realizar la clasificación de la información de la PARQUES NACIONALES NATURALES DE COLOMBIA se debe utilizar el modelo de clasificación aprobado por el Sistema de gestión de seguridad de la información de la PARQUES NACIONALES NATURALES DE COLOMBIA.

Toda la información administrativa de la PARQUES NACIONALES NATURALES DE COLOMBIA debe identificar su origen siguiendo los requerimientos del Modelo Estándar de Control Interno del Estado Colombiano: Información Primaria e Información Secundaria.

Toda la información de la PARQUES NACIONALES NATURALES DE COLOMBIA de acuerdo con su nivel de acceso y uso autorizado debe ser clasificada de acuerdo con las categorías adoptadas por el Estado Colombiano: Información con carácter reservado, información de carácter privado, Información pública y datos abiertos. Ver definiciones.

Toda información de la PARQUES NACIONALES NATURALES DE COLOMBIA de acuerdo con su contenido debe ser clasificada de acuerdo con las categorías adoptadas por el Estado Colombiano: Datos Personales, Datos Institucionales, Datos de Carácter Privado.

En cumplimiento de la Ley 1712 de 2014, la información institucional clasificada como pública

es pública, no puede ser reservada o limitada sino por disposición constitucional o legal.

En cumplimiento de la Ley 178 de 28 de diciembre de 1994, Convenio de Paris para la protección de la propiedad Industrial, se considera como información de carácter privado el secreto industrial y el secreto comercial Ver Definiciones



La información con carácter reservado y la información de carácter privado no deben ser divulgadas a personas o procesos que no estén formalmente autorizados por el responsable de la información o del respectivo procesos

La información de la PARQUES NACIONALES NATURALES DE COLOMBIA no debe ser utilizada para propósitos diferentes al cumplimiento de la misión y funciones de la PARQUES NACIONALES NATURALES DE COLOMBIA


Los responsables de cada proceso de la PARQUES NACIONALES NATURALES DE COLOMBIA deben aplicar el modelo de clasificación de la Información aprobado por el Sistema de gestión de seguridad de la información de la PARQUES NACIONALES NATURALES DE COLOMBIA.

De acuerdo con el nivel de clasificación que reciba cada tipo de información el responsable

del proceso debe definir las personas o procesos que tendrán acceso a la información

De acuerdo con el nivel de clasificación de que reciba la información el responsable del proceso debe seleccionar los mecanismos de protección de acceso a la información que reduzcan los riesgos de pérdida de confidencialidad de la información


La política de clasificación de la información debe ser revisada cada seis meses o cuando se



A 8.2.1 Clasificación de la Información


A 8.1.1 Inventario de Activos

A 8.1.2 Propiedad de los Activos

A 8.1.3 Uso Aceptable de los Activos

A 13.2.4 Acuerdos de Confidencialidad o de no Divulgación

A 8.2.2 Etiquetado de la Información

A 8.2.3 Manejo de activos


No aplica


Modelo de clasificación de la Información de la PARQUES NACIONALES NATURALES DE COLOMBIA

01/10/201

01/10/2015


28. Politica para la gestion de vulnerabildades sobre los componentes de la infraestructura tecnologica

28.1. Alcance

La política de gestión de vulnerabilidades aplica sobre todos los dispositivos de la infraestructura

tecnológica de la PARQUES NACIONALES NATURALES DE COLOMBIA así mismo como

configuraciones, software y/o servicios instalados sobre los mismos.

28.2. Objetivo

Definir los lineamientos para la identificación, análisis y remediación de las

vulnerabilidades en los componentes de la infraestructura tecnológica de la PARQUES



Decreto 1377 de 2013 “Protección de Datos, decreto por el cual se reglamenta parcialmente la Ley 1581 de 2012”.

Ley 603 de 2000 “Esta ley se refiere a la protección de los derechos de autor en Colombia. Recuerde el software es un activo, además está protegido por el Derecho de Autor y la Ley 603 de 2000 obliga a las empresas a declarar si los problemas de software son o no legales. Ver esta ley”.

Ley estatutaria 1266 del 31 de diciembre de 2008 “Por la cual se dictan las disposiciones generales del Hábeas Data y se regula el manejo de la información contenida en bases de datos personales, en especial la financiera, crediticia, comercial, de servicios y la proveniente de terceros países y se dictan otras disposiciones. Ver esta ley”.

Ley 1273 del 5 de enero de 2009 “Por medio de la cual se modifica el Código Penal, se crea un nuevo bien jurídico tutelado - denominado “de la protección de la información y de los datos”- y se preservan integralmente los sistemas que utilicen las tecnologías de la información y las comunicaciones, entre otras disposiciones. Ver esta ley”.

Ley 1341 del 30 de julio de 2009 “Por la cual se definen los principios y conceptos sobre la sociedad de la información y la organización de las Tecnologías de la Información y las Comunicaciones -TIC-, se crea la Agencia Nacional del Espectro y se dictan otras disposiciones”.

Ley estatutaria 1581 de 2012 “Entró en vigencia la Ley 1581 del 17 de octubre 2012 de PROTECCIÓN DE DATOS PERSONALES, sancionada siguiendo los lineamientos establecidos por el Congreso de la República y la Sentencia C-748 de 2011 de la Corte Constitucional”.

28.4. Definiciones

Sistema de información: Cualquier equipo de cómputo o telecomunicaciones, sistema o subsistema interconectado o no conectado usado para la adquisición, almacenamiento, manipulación, gestión, movimiento, control, despliegue, conmutación, intercambio, transmisión o recepción de voz, datos, vídeo en formas análogas o digitales así como el software, firmware o hardware que forme parte del sistema.

Software: Programa de computador.

Solución de errores conocidos: Serie de pasos previamente establecidos que permiten

resolver un problema en un equipo tecnológico o un Software

Activo: Componente físico o lógico relacionado con la información y sus procesos de tratamiento, y que tiene valor para la empresa. La entidad asigna un valor a cada activo que representa el nivel de importancia que tiene el activo en el proceso del negocio.

Vulnerabilidad: Debilidad o defecto en las Tecnologías de Información que hace que la seguridad (en términos de Confidencialidad, Integridad y Disponibilidad) de un activo sea susceptible de ser comprometida.

Vulnerabilidades Potenciales: Vulnerabilidades potenciales incluyen todas las vulnerabilidades que no podemos confirmar existir. La única manera de verificar la existencia de estas vulnerabilidades sería llevar a cabo una exploración intrusiva en su red, lo que podría resultar en una denegación de servicio. Esto está totalmente en contra de nuestra política.

01/10/2015


Amenaza: Un agente representa una amenaza para un sistema cuando dicho sistema

tiene una vulnerabilidad que un atacante puede explotar para obtener un beneficio.

Riesgo: Probable ocurrencia de que un atacante explote un fallo de seguridad en un activo

determinado, en base a las amenazas existentes y al impacto potencial que representaría para el

negocio de la compañía.

Confidencialidad: Garantía de que únicamente accederán a la información los elementos

autorizados para ello, y que dichos elementos no van a convertir esa información en disponible para

otras entidades.

Integridad: Garantía de que la información únicamente puede ser modificada por elementos

autorizados asegurando métodos de proceso exactos y completos.

Disponibilidad: Garantía de que la información y los activos relacionados deben estar accesibles a elementos autorizados en tiempo, modo y lugar adecuado.


Es requerido que cada uno de los responsables de la plataforma tecnológica tenga un

inventario actualizado de los activos de información.

Para realizar la gestión de vulnerabilidades de la PARQUES NACIONALES NATURALES DE COLOMBIA se debe utilizar el procedimiento de Gestión de vulnerabilidades “PNN_PRO_Gestion_de_Vulnerabilidades”, en el cual se describen todos los pasos para identificar, analizar y remediar los problemas de seguridad asociados.

El responsable o custodio de los activos de información debe identificar previamente el nivel de

riesgo asociado a cada activo.


Las vulnerabilidades identificadas y clasificadas como urgentes y las cuales afectan la confidencialidad, integridad o disponibilidad no deben ser publicadas o conocidas por personal que no haga parte al plan de remediación.

los responsables y/o conocedores de los problemas de seguridad no deben hacer uso malicioso

de los documentos o comunicados de incidentes de seguridad o vulnerabilidades.

28.7. Roles y Responsabilidades

Áreas de infraestructura tecnológica

Garantizar la disponibilidad y funcionalidad de la infraestructura tecnológica objeto del

escaneo de vulnerabilidades.

Aprobar el plan de trabajo y asegurar el cumplimiento de los pre-requisitos para su ejecución.

Solicitar la suspensión de escaneos cuando se detecte alguna falla en el componente.

Informar a Seguridad de la Información la necesidad de la reprogramación de las pruebas con su

debida justificación.

Realizar análisis de riesgos de las vulnerabilidades detectadas.

Elaborar, Reportar, ejecutar (Instalar solución de seguridad) y dar cumplimiento al plan de

remediación para las vulnerabilidades existentes.

Evaluar, justificar y reportar los falsos positivos.

Reportar a Seguridad de la Información las vulnerabilidades solucionadas teniendo en cuenta el

plan de remediación.

Reportar a Seguridad de la información de la incompatibilidad de las soluciones de seguridad

01/10/2015


Seguridad de la información

Identificar la necesidad de iniciar un análisis de vulnerabilidades por:

Solicitudes de la Alta Gerencia o de los custodios de los Activos de Información tecnológicos

Cambio significativo en un componente de infraestructura tecnológica.

Cumplimiento regulatorio.

Preparar el plan de trabajo a ser ejecutado e informar al custodio del componente de

infraestructura tecnológica.

Aprobar el plan para el escaneo de vulnerabilidades.

Determinar los componentes que serán objeto de gestión de vulnerabilidades.

Determinar las acciones necesarias ante posibles incidentes durante la ejecución de escaneos.

Revisar y garantizar el buen funcionamiento de la herramienta de escaneo

Ejecutar el procedimiento para la gestión de vulnerabilidades. Analizar, consolidar, recomendar y generar informes de las vulnerabilidades detectadas.

Hacer seguimiento a los planes de remediación y medidas de control correspondientes

de las vulnerabilidades reportadas.

Mantener actualizado el inventario de los componentes de la infraestructura tecnológica.

COLABORADORES Y TERCERAS PARTES

Cumplir con lo descrito en esta política


La política de gestión de vulnerabilidades debe ser revisada cada seis meses o cuando se



PNN_PRO_Gestion_de_Vulnerabilidades_v1.0


A 12.1 Tratamiento correcto de las

aplicaciones. A 12.2 Controles

Criptográficos

A 12.4 Seguridad de los archivos de sistemas.

12.5.2. Revisión técnica de los cambios en el sistema operativo

A 12.6.1 Control de las vulnerabilidades

técnicas. A 8.2.3 Manejo de activos


No aplica


No aplica

01/10/2015


29. Sistema de clasificacion de riesgos

Introducción.

El sistema de clasificación de riesgos es un elemento básico para el establecimiento de medidas de

seguridad informática. Identifica, además, algunas medidas básicas que deben adoptarse en

cumplimiento de la normativa, de acuerdo con la clasificación de riesgo que se asigne a cada sistema.

Productos importantes que se derivan del mismo son:

Definición de las responsabilidades y roles de cada integrante de la organización, especialmente del

“dueño”, “usuario-administrador de línea” y “desarrollador” con respecto a la clasificación del

riesgo.

Formalización del proceso de identificación y clasificación de riesgos para cada sistema y la

consecuente actualización de tal clasificación.

La estructuración de los riesgos a partir de los aspectos “confiabilidad”, “continuidad” y “confidencialidad”, los cuales a su vez se subdividen de acuerdo con su sensitividad en “críticos”, “sensitivos” y “no sensitivos”.

Para cada relación de aspecto-clase de sensitividad permite identificar y definir medidas de

seguridad específicas.

29.1. Grupo Meta

Todas las dependencias de la PARQUES NACIONALES NATURALES DE COLOMBIA relacionadas

con el desarrollo y administración de los sistemas automatizados (sean de “usuario final” o

desarrollados profesionalmente por funcionarios de la PARQUES NACIONALES NATURALES DE

COLOMBIA o adquiridos externamente)

29.2. Propósito del Sistema de Clasificación de Riesgos

Proveer un punto de referencia para la clasificación de los sistemas de información en producción, así

como los nuevos sistemas que hayan de constituirse, con respecto a la “sensitividad” al riesgo,

con el objeto de determinar medidas de seguridad básica y obligatoria a ser tomadas en cuenta, sin

detrimento de medidas específicas que se estimen prudentes para cada caso particular.


El “dueño” de los sistemas de información es el principal responsable de la correcta clasificación de

riesgo de sus sistemas de información y de hacer revisiones periódicas de esta clasificación.

El desarrollador es conjuntamente responsable de que los sistemas de información en desarrollo

incorporen las medidas de seguridad correspondientes al nivel de clasificación de riesgo establecido.

El usuario-administrador de línea es conjuntamente responsable de la revisión periódica de la

clasificación de riesgo.

29.4. 29.4. Conceptos Básicos

Amenazas:

Son ocurrencias que pueden tener consecuencias desventajosas, o daño para la Institución. Estas consecuencias pueden incluir lo siguiente: un efecto negativo en la confiabilidad, continuidad y confidencialidad del procesamiento automatizado de datos, el cual puede resultar en una perturbación del negocio, en un daño financiero y en una imagen negativa, afectando por consiguiente la posición competitiva del banco.

Las amenazas pueden ocurrir de distintas formas: consciente o inconscientemente, con o sin violencia, causadas por personas o no, llevadas a cabo por el personal o por terceras personas (por ejemplo fraudes por computadoras, “hacking” por computadora, mal funcionamiento de las computadoras, inund aciones, errores inadvertidos, otros)

01/10/2015


Riesgos:

Probabilidad de que una amenaza ocurra, medido por el valor del daño esperado como consecuencia de éste

Medidas de seguridad:

Las medidas de seguridad son criterios que se establecen para limitar la ocurrencia de riesgos, y deben

ser congruentes entre sí. Pueden clasificarse como sigue:

De acuerdo con su objetivo

Medidas para resguardar la confiabilidad

Medidas para resguardar la confidencialidad

Medidas para reguardar su confidencialidad

De acuerdo a su operación

Preventivas (para prever incidentes de seguridad)

Represivas : detectivas y correctivas Las detectivas detectan el incidente y limitan el daño Las correctivas son establecidas para corrección y prevención de repetición

De acuerdo con el tipo:

Técnicas

Físicas: medidas de seguridad física como candados, computadoras físicamente separados, recintos seguros.

Lógicas: medidas de seguridad en sistemas de aplicación, también llamadas medidas de seguridad programadas.

Organizacionales: segregación de funciones, definición de responsabilidades,

lineamientos, procedimientos, contratación.

Sensitividad al riesgo

Considera tres aspectos de seguridad:

Confiabilidad

La sensitividad está determinada de acuerdo con el daño posible para la PARQUES

NACIONALES NATURALES DE COLOMBIA, como resultado de una operación del sistema de

información realizada en forma incorrecta, incompleta, impropia o inoportuna.

01/10/2015


Continuidad.

La sensitividad está determinada de acuerdo al posible daño para la PARQUES NACIONALES

NATURALES DE COLOMBIA, como resultado de la interrupción de la disponibilidad de los sistemas

de información.

Confidencialidad.

La sensitividad está determinada de acuerdo al posible daño para la PARQUES NACIONALES

NATURALES DE COLOMBIA, como resultado del conocimiento no autorizado de datos o información

sensitivos.

Las siguientes clases de sensitividad se han definido para cada uno de los aspectos de sensitividad señalados:

1. Crítica

2. Sensitiva 3. No Sensitiva

Criterios de clasificación

Los criterios de clasificación establecen la relación existente entre cada clase de sensitividad y cada

uno de los aspectos de sensitividad especificados anteriormente.

Criterios de clasificación con respecto a la Confiabilidad

Crítico.

La categoría confiabilidad-crítica incluye los sistemas y subsistemas automatizados utilizados

para iniciar transacciones que pueden resultar en desventajas, problemas significativos y otros para

la PARQUES NACIONALES NATURALES DE COLOMBIA, los cuales no pueden ser reversados o que

pueden revertirse solo con gran dificultad.

Estas desventajas pueden ser:

Que la PARQUES NACIONALES NATURALES DE COLOMBIA adquiera obligaciones no

deseables o emita valores erróneamente.

La actualización no deseada de programas o datos, que pueden repercutir negativamente en la concreción de negocios importantes o comprometer la integridad de los datos debido a que no son correctos, completos y oportunos.

Los siguientes criterios de clasificación son importantes:

Transacciones que pueden ser iniciadas en un corto espacio de tiempo (en forma

manual o automatizada):

Que pueden involucrar montos financieros significativos, individualmente o en conjunto. Que pueden ser rápidamente implementadas de forma automática luego de su iniciación.

Con las que la PARQUES NACIONALES NATURALES DE COLOMBIA debe asumir

de inmediato riesgos u obligaciones externas.

Las tablas de control o seguridad importantes son actualizadas y entran en funcionamiento

de inmediato

01/10/2015


Sensitivo.

La categoría confiabilidad-sensitiva incluye los sistemas y subsistemas automatizados que procesan

las transacciones, las que pueden resultar en desventajas, problemas y otros para la PARQUES


Los siguientes criterios de clasificación son importantes:

Transacciones financieras iniciadas o procesadas, o actualización de tablas de control y

seguridad, los cuales no implican un nivel de riesgo tan significativo para ser consideradas como críticas, porque: El monto o riesgo está limitado.

Entre el momento de la iniciación e implementación hay oportunidad para detectar y

reversar errores o datos no exactos.

Las consecuencias no trascienden de la PARQUES NACIONALES NATURALES DE

COLOMBIA y pueden ser reversadas.

No sensitivo.

La categoría confiabilidad-no sensitiva incluye los sistemas y subsistemas que no califican dentro

de las dos categorías anteriores y que no son críticos desde el punto de vista de seguridad.

La siguiente tabla resume las variables de clasificación para los sistemas clasificados como críticos y

sensitivos desde el punto de vista de Confiabilidad.

01/10/2015


30. Bibliografía

Congreso de la República de Colombia, Constitución Política de Colombia 1991

Congreso de la República de Colombia, Ley 1581 de 2012, Por la cual se dictan disposiciones generales para la protección de datos personales.

ICONTEC, Norma técnica Colombiana NTC ISO/IEC 27001, Sistemas de gestión de seguridad de la información.

ISC2, Guía Oficial de certificación en seguridad CISSP

República de Colombia, Norma MECI 1000:2005, Modelo Estándar de Control Interno

Políticas de seguridad de la información...Parques Nacionales Naturales de Colombia Calle 74 No....

Documents

Transcript of Políticas de seguridad de la información...Parques Nacionales Naturales de Colombia Calle 74 No....