Scribd Logo
Upload

Welcome to Scribd!

  • Politica Seguridad Informacion

    Uploaded by

    Jaime Arango
    36 views10 pages

    Copyright

    © Attribution Non-Commercial (BY-NC)

    Available Formats

    PDF, TXT or read online from Scribd

    Did you find this document useful?

    Is this content inappropriate?

    Report this Document

    Copyright:

    Attribution Non-Commercial (BY-NC)
    Download as PDF, TXT or read online from Scribd
    Flag for inappropriate content
    36 views10 pages

    Politica Seguridad Informacion

    Uploaded by

    Jaime Arango

    Copyright:

    Attribution Non-Commercial (BY-NC)
    Download as PDF, TXT or read online from Scribd
    Flag for inappropriate content
    of 10

    POLITICA GENERAL DE SEGURIDAD DE LA INFORMACIN

    Poltica Corporativa de Seguridad de la Informacin


    En ICETEX la informacin es un activo fundamental para la prestacin de sus servicios y la toma de decisiones eficientes, razn por la cual existe un compromiso expreso de proteccin de sus propiedades ms significativas como parte de una estrategia orientada a la continuidad del negocio, la administracin de riesgos y la consolidacin de una cultura de seguridad. Consciente de sus necesidades actuales, ICETEX implementa un modelo de gestin de seguridad de la informacin como la herramienta que permite identificar y minimizar los riesgos a los cuales se expone la informacin, ayuda a la reduccin de costos operativos y financieros, establece una cultura de seguridad y garantiza el cumplimiento de los requerimientos legales, contractuales, regulatorios y de negocio vigentes. El proceso de anlisis de riesgos de los activos de informacin es el soporte para el desarrollo de las Polticas de Seguridad de la Informacin y de los controles y objetivos de control seleccionados para obtener los niveles de proteccin esperados en ICETEX; este proceso ser liderado de manera permanente por el Oficial de Seguridad de la Informacin. Esta poltica ser revisada con regularidad como parte del proceso de revisin gerencial, o cuando se identifiquen cambios en el negocio, su estructura, sus objetivos o alguna condicin que afecten la poltica, para asegurar que sigue siendo adecuada y ajustada a los requerimientos identificados.

    Polticas generales de seguridad de la informacin


    ICETEX ha establecido las siguientes Polticas Generales de Seguridad de la Informacin, las cuales representan la visin de la Institucin en cuanto a la proteccin de sus activos de Informacin: 1. Existir un Comit de Seguridad de la Informacin, que ser el responsable del mantenimiento, revisin y mejora del Sistema de Gestin de Seguridad de la Informacin de ICETEX. 2. Los activos de informacin de ICETEX, sern identificados y clasificados para establecer los mecanismos de proteccin necesarios. 3. ICETEX definir e implantar controles para proteger la informacin contra violaciones de autenticidad, accesos no autorizados, la perdida de integridad y que garanticen la disponibilidad requerida por los clientes y usuarios de los servicios ofrecidos por la Entidad. 4. Todos los funcionarios y/o contratistas sern responsables de proteger la informacin a la cual accedan y procesen, para evitar su prdida, alteracin, destruccin o uso indebido. 5. Se realizarn auditoras y controles peridicos sobre el modelo de gestin de Seguridad de la Informacin de ICETEX. 6. nicamente se permitir el uso de software autorizado que haya sido adquirido legalmente por la Institucin. 7. Es responsabilidad de todos los funcionarios y contratistas de ICETEX reportar los Incidentes de Seguridad, eventos sospechosos y el mal uso de los recursos que identifique.
    Instituto Colombiano de Crdito Educativo y Estudios Tcnicos en el Exterior

    Lnea de atencin al usuario en Bogot: 4173535 y Nacional: 01900 331 3777 www.icetex.gov.co
    Carrera 3 No. 18 32. Bogot, D. C., Colombia
    PBX: 382 16 70

    8. Las violaciones a las Polticas y Controles de Seguridad de la Informacin sern reportadas, registradas y monitoreadas. 9. ICETEX contar con un Plan de Continuidad del Negocio que asegure la continuidad de las operaciones, ante la ocurrencia de eventos no previstos o desastres naturales. Adicionalmente ICETEX cuenta con polticas especficas y un conjunto de estndares y procedimientos que soportan la poltica corporativa.

    Acuerdos de confidencialidad
    [ISO/IEC 27001:2005 A.6.1.5] Todos los funcionarios de ICETEX y/o terceros deben aceptar los acuerdos de confidencialidad definidos por la Institucin, los cuales reflejan los compromisos de proteccin y buen uso de la informacin de acuerdo con los criterios establecidos en ella. Para el caso de contratistas, los respectivos contratos deben incluir una clusula de confidencialidad, de igual manera cuando se permita el acceso a la informacin y/o a los recursos de ICETEX a personas o entidades externas. Estos acuerdos deben aceptarse por cada uno de ellos como parte del proceso de contratacin, razn por la cual dicha clusula y/o acuerdo de confidencialidad hace parte integral de cada uno de los contratos.

    Riesgos relacionados con terceros


    [ISO/IEC 27001:2005 A.6.2.2] ICETEX identifica los posibles riesgos que pueden generar el acceso, procesamiento, comunicacin o gestin de la informacin y la infraestructura para su procesamiento por parte de los terceros, con el fin de establecer los mecanismos de control necesarios para que la seguridad se mantenga. Los controles que se establezcan como necesarios a partir del anlisis de riesgos, deben ser comunicados y aceptados por el tercero mediante la firma de acuerdos, previamente a la entrega de los accesos requeridos.

    Uso adecuado de los activos


    [ISO/IEC 27001:2005 A.7.1.3] [Acuerdos 047 y 056 de 2000 Archivo General de la Nacin] El acceso a los documentos fsicos y digitales estar determinado por las normas relacionadas con el acceso y las restricciones a los documentos pblicos, a la competencia del rea o dependencia especfica y a los permisos y niveles de acceso de los funcionarios y contratistas determinadas por los Jefes de rea o Dependencia. Para la consulta de documentos cargados en el software de Gestin Documental Mercurio se establecern privilegios de acceso a los funcionarios y/o contratistas de acuerdo con el desarrollo de sus funciones y competencias. Dichos privilegios sern establecidos por el Jefe o Director del rea, quien comunicar al Grupo encargado de la administracin del software el listado con los funcionarios y sus privilegios. Todos los funcionarios y terceros que manipulen informacin en el desarrollo de sus funciones debern firmar un acuerdo de confidencialidad de la informacin, donde individualmente se comprometan a no divulgar, usar o explotar la informacin confidencial a la que tengan acceso, respetando los niveles establecidos para la clasificacin de la informacin; y que cualquier violacin a lo establecido en este pargrafo ser considerado como un incidente de seguridad.
    Instituto Colombiano de Crdito Educativo y Estudios Tcnicos en el Exterior

    Lnea de atencin al usuario en Bogot: 4173535 y Nacional: 01900 331 3777 www.icetex.gov.co
    Carrera 3 No. 18 32. Bogot, D. C., Colombia
    PBX: 382 16 70

    Acceso a Internet El internet es una herramienta de trabajo que permite navegar en muchos otros sitios relacionados o no con las actividades propias del negocio de ICETEX, por lo cual el uso adecuado de este recurso se debe controlar, verificar y monitorear, considerando, para todos los casos, los siguientes lineamientos:

    a) No est permitido:
    El acceso a pginas relacionadas con pornografa, drogas, alcohol, webproxys, hacking y/o cualquier otra pgina que vaya en contra de la tica moral, las leyes vigentes o polticas aqu establecidas. El acceso y el uso de servicios interactivos o mensajera instantnea como Facebook, Kazaa, MSN Messenger, Yahoo, Skype, Net2phone y otros similares, que tengan como objetivo crear comunidades para intercambiar informacin, o bien para fines diferentes a las actividades propias del negocio de ICETEX. El intercambio no autorizado de informacin de propiedad de ICETEX, de sus clientes y/o de sus funcionarios, con terceros. La descarga, uso, intercambio y/o instalacin de juegos, msica, pelculas, protectores y fondos de pantalla, software de libre distribucin, informacin y/o productos que de alguna forma atenten contra la propiedad intelectual de sus autores, o que contengan archivos ejecutables y/o herramientas que atenten contra la integridad, disponibilidad y/o confidencialidad de la infraestructura tecnolgica (hacking), entre otros. La descarga, uso, intercambio y/o instalacin de informacin audiovisual (videos e imgenes) utilizando sitios pblicos en Internet debe ser autorizada por el Jefe respectivo y la Direccin de Tecnologa, o a quienes ellos deleguen de forma explcita para esta funcin, asociando los procedimientos y controles necesarios para el monitoreo y aseguramiento del buen uso del recurso.

    b) ICETEX debe realizar monitoreo permanente de tiempos de navegacin y pginas


    visitadas por parte de los funcionarios y/o terceros. As mismo, puede inspeccionar, registrar y evaluar las actividades realizadas durante la navegacin, de acuerdo a la legislacin nacional vigente.

    c) Cada uno de los usuarios es responsable de dar un uso adecuado a este recurso y en
    ningn momento puede ser usado para realizar prcticas ilcitas o mal intencionadas que atenten contra terceros, la legislacin vigente y los lineamientos de seguridad de la informacin, entre otros.

    d) Los funcionarios y terceros, al igual que los empleados o subcontratistas de estos, no


    pueden asumir en nombre de ICETEX, posiciones personales en encuestas de opinin, foros u otros medios similares.

    e) El uso de Internet no considerado dentro de las restricciones anteriores, es permitido


    siempre y cuando se realice de manera tica, razonable, responsable, no abusiva y sin afectar la productividad ni la proteccin de la informacin de ICETEX. Correo electrnico Los funcionarios y terceros autorizados a quienes ICETEX les asigne una cuenta de correo debern seguir los siguientes lineamientos:
    Instituto Colombiano de Crdito Educativo y Estudios Tcnicos en el Exterior

    Lnea de atencin al usuario en Bogot: 4173535 y Nacional: 01900 331 3777 www.icetex.gov.co
    Carrera 3 No. 18 32. Bogot, D. C., Colombia
    PBX: 382 16 70

    a) La cuenta de correo electrnico debe ser usada para el desempeo de las funciones
    asignadas dentro del ICETEX, as mismo podr ser utilizada para uso personal, siempre y cuando se realice de manera tica, razonable, responsable, no abusiva y sin afectar la productividad.

    b) Los mensajes y la informacin contenida en los buzones de correo son propiedad del
    ICETEX y cada usuario, como responsable de su buzn, debe mantener solamente los mensajes relacionados con el desarrollo de sus funciones.

    c) El tamao de los buzones de correo es determinado por la Direccin de Tecnologa de


    acuerdo con las necesidades de cada usuario y previa autorizacin del Jefe de la dependencia correspondiente.

    d) El tamao de envo y recepcin de mensajes, sus contenidos y dems caractersticas


    propios de estos debern ser definidos e implementados por la Direccin de Tecnologa.

    e) No es permitido:
    Enviar cadenas de correo, mensajes con contenido religioso, poltico, racista, sexista, pornogrfico, publicitario no corporativo o cualquier otro tipo de mensajes que atenten contra la dignidad y la productividad de las personas o el normal desempeo del servicio de correo electrnico en la Institucin, mensajes mal intencionados que puedan afectar los sistemas internos o de terceros, mensajes que vayan en contra de las leyes, la moral y las buenas costumbres y mensajes que inciten a realizar prcticas ilcitas o promuevan actividades ilegales. Utilizar la direccin de correo electrnico de ICETEX como punto de contacto en comunidades interactivas de contacto social, tales como facebook y/o myspace, entre otras, o cualquier otro sitio que no tenga que ver con las actividades laborales. El envo de archivos que contengan extensiones ejecutables, bajo ninguna circunstancia. El envo de archivos de msica y videos. En caso de requerir hacer un envo de este tipo de archivos deber ser autorizado por la direccin respectiva y la Direccin de Tecnologa.

    f) El envo de informacin corporativa debe ser realizado exclusivamente desde la cuenta de


    correo que ICETEX proporciona. De igual manera, las cuentas de correo genricas no se deben emplear para uso personal.

    g) El envo masivo de mensajes publicitarios corporativos deber contar con la aprobacin de


    la Oficina Asesora de Comunicaciones y la autorizacin de la Direccin de Tecnologa. Adems, para terceros se deber incluir un mensaje que le indique al destinatario como ser eliminado de la lista de distribucin. Si una dependencia debe, por alguna circunstancia, realizar envo de correo masivo, de manera frecuente, este debe ser enviado a travs de una cuenta de correo electrnico a nombre de la dependencia respectiva y/o Servicio habilitado para tal fin y no a travs de cuentas de correo electrnico asignadas a un usuario particular.

    h) Toda informacin de ICETEX generada con los diferentes programas computacionales (Ej.
    Office, Project, Access, Wordpad, etc.), que requiera ser enviada fuera de la Entidad, y que por sus caractersticas de confidencialidad e integridad deba ser protegida, debe estar en formatos no editables, utilizando las caractersticas de seguridad que brindan las herramientas proporcionadas por la Direccin de Tecnologa. La informacin puede ser
    Instituto Colombiano de Crdito Educativo y Estudios Tcnicos en el Exterior

    Lnea de atencin al usuario en Bogot: 4173535 y Nacional: 01900 331 3777 www.icetex.gov.co
    Carrera 3 No. 18 32. Bogot, D. C., Colombia
    PBX: 382 16 70

    enviada en el formato original bajo la responsabilidad del usuario y nicamente cuando el receptor requiera hacer modificaciones a dicha informacin.

    i)

    Todos los mensajes enviados deben respetar el estndar de formato e imagen corporativa definido por ICETEX y deben conservar en todos los casos el mensaje legal corporativo de confidencialidad. Recursos tecnolgicos

    El uso adecuado de los recursos tecnolgicos asignados por ICETEX a sus funcionarios y/o terceros se reglamenta bajo los siguientes lineamientos:

    a) La instalacin de cualquier tipo de software o hardware en los equipos de cmputo de


    ICETEX es responsabilidad de la Direccin de Tecnologa, y por tanto son los nicos autorizados para realizar esta labor. As mismo, los medios de instalacin de software deben ser los proporcionados por e ICETEX a travs de esta Direccin.

    b) Los usuarios no deben realizar cambios en las estaciones de trabajo relacionados con la
    configuracin del equipo, tales como conexiones de red, usuarios locales de la mquina, papel tapiz y protector de pantalla corporativo, entre otros. Estos cambios pueden ser realizados nicamente por la Direccin de Tecnologa.

    c) La Direccin de Tecnologa debe definir y actualizar, de manera peridica, la lista de


    software y aplicaciones autorizadas que se encuentran permitidas para ser instaladas en las estaciones de trabajo de los usuarios. As mismo, realizar el control y verificacin de cumplimiento del licenciamiento del respectivo software y aplicaciones asociadas.

    d) nicamente los funcionarios y terceros autorizados por la Direccin de Tecnologa, previa


    solicitud escrita por parte de la dependencia que lo requiera, pueden conectarse a la red inalmbrica de ICETEX.

    e) La conexin a redes inalmbricas externas para usuarios con equipos porttiles que estn
    fuera de la oficina y que requieran establecer una conexin a la infraestructura tecnolgica de ICETEX, deben utilizar una conexin bajo los esquemas y herramientas de seguridad autorizados y establecidos por la Direccin de Tecnologa.

    f) Slo personal autorizado puede realizar actividades de administracin remota de


    dispositivos, equipos o servidores de la infraestructura de procesamiento de informacin de ICETEX; las conexiones establecidas para este fin, deben utilizar los esquemas y herramientas de seguridad y administracin definidos por la Direccin de Tecnologa.

    g) La sincronizacin de dispositivos mviles, tales como PDAs, smartphones, celulares u


    otros dispositivos electrnicos sobre los que se puedan realizar intercambios de informacin con cualquier recurso de la Organizacin, debe estar autorizado de forma explcita por la dependencia respectiva, en conjunto con la Direccin de Tecnologa y podr llevarse a cabo slo en dispositivos provistos por la organizacin, para tal fin.

    Control de acceso fsico


    [ISO/IEC 27001:2005 A.9.1] Todas las reas destinadas al procesamiento o almacenamiento de informacin sensible, as como aquellas en las que se encuentren los equipos y dems infraestructura de soporte a los sistemas de informacin y comunicaciones, se consideran reas de acceso restringido. En consecuencia, deben contar con medidas de control de acceso fsico en el permetro tales que puedan ser
    Instituto Colombiano de Crdito Educativo y Estudios Tcnicos en el Exterior

    Lnea de atencin al usuario en Bogot: 4173535 y Nacional: 01900 331 3777 www.icetex.gov.co
    Carrera 3 No. 18 32. Bogot, D. C., Colombia
    PBX: 382 16 70

    auditadas, as como con procedimientos de seguridad operacionales que permitan proteger la informacin, el software y el hardware de daos intencionales o accidentales. De igual forma, los centros de cmputo, cableado y cuartos tcnicos de las oficinas deben contar con mecanismos que permitan garantizar que se cumplen los requerimientos ambientales (temperatura, humedad, etc.), especificados por los fabricantes de los equipos que albergan y que pueden responder de manera adecuada ante incidentes como incendios e inundaciones.

    Proteccin y ubicacin de los equipos


    [ISO/IEC 27001:2005 A.9.2] Los equipos que hacen parte de la infraestructura tecnolgica de ICETEX tales como, servidores, equipos de comunicaciones y seguridad electrnica, centros de cableado, UPS, subestaciones elctricas, aires acondicionados, plantas telefnicas, as como estaciones de trabajo y dispositivos de almacenamiento y/o comunicacin mvil que contengan y/o brinden servicios de soporte a la informacin crtica de las dependencias, deben ser ubicados y protegidos adecuadamente para prevenir la prdida, dao, robo o acceso no autorizado de los mismos. De igual manera, se debe adoptar los controles necesarios para mantener los equipos alejados de sitios que puedan tener riesgo de amenazas potenciales como fuego, explosivos, agua, polvo, vibracin, interferencia electromagntica y vandalismo, entre otros. Los funcionarios y terceros, incluyendo sus empleados o subcontratistas, que tengan acceso a los equipos que componen la infraestructura tecnolgica de ICETEX no pueden fumar, beber o consumir algn tipo de alimento cerca de los equipos. ICETEX mediante mecanismos adecuados monitorear las condiciones ambientales de las zonas donde se encuentren los equipos (Centros de Cmputo).

    Segregacin de funciones
    [ISO/IEC 27001:2005 A.10.1.3] Toda tarea en la cual los funcionarios tengan acceso a la infraestructura tecnolgica y a los sistemas de informacin, debe contar con una definicin clara de los roles y responsabilidades, as como del nivel de acceso y los privilegios correspondientes, con el fin de reducir y evitar el uso no autorizado o modificacin sobre los activos de informacin de la organizacin. En concordancia: Todos los sistemas de disponibilidad crtica o media de la Institucin, deben implementar las reglas de acceso de tal forma que haya segregacin de funciones entre quien administre, opere, mantenga, audite y, en general, tenga la posibilidad de acceder a los sistemas de informacin, as como entre quien otorga el privilegio y quien lo utiliza. Los mdulos ejecutables nunca debern ser trasladados directamente de las libreras de pruebas a las libreras de produccin sin que previamente sean compilados por el rea asignada para tal efecto, que en ningn momento deber ser el rea de desarrollo ni la de produccin. El nivel de sper usuario de los sistemas debe tener un control dual, de tal forma que exista una supervisin a las actividades realizadas por el administrador del sistema. Deben estar claramente segregadas las funciones de soporte tcnico, planificadores y operadores. 6

    Instituto Colombiano de Crdito Educativo y Estudios Tcnicos en el Exterior

    Lnea de atencin al usuario en Bogot: 4173535 y Nacional: 01900 331 3777 www.icetex.gov.co
    Carrera 3 No. 18 32. Bogot, D. C., Colombia
    PBX: 382 16 70

    Proteccin contra software malicioso


    [ISO/IEC 27001:2005 A.10.4] ICETEX establece que todos los recursos informticos deben estar protegidos mediante herramientas y software de seguridad como antivirus, antispam, antispyware y otras aplicaciones que brindan proteccin contra cdigo malicioso y prevencin del ingreso del mismo a la red institucional, en donde se cuente con los controles adecuados para detectar, prevenir y recuperar posibles fallos causados por cdigo mvil y malicioso. Ser responsabilidad de la Direccin de Tecnologa autorizar el uso de las herramientas y asegurar que estas y el software de seguridad no sean deshabilitados bajo ninguna circunstancia, as como de su actualizacin permanente. As mismo, ICETEX define los siguientes lineamientos:

    a) No est permitido:
    La desinstalacin y/o desactivacin de software y herramientas de seguridad avaladas previamente por ICETEX. Escribir, generar, compilar, copiar, propagar, ejecutar o intentar introducir cualquier cdigo de programacin diseado para auto replicarse, daar o afectar el desempeo de cualquier dispositivo o infraestructura tecnolgica. Utilizar medios de almacenamiento fsico o virtual que no sean de carcter corporativo. El uso de cdigo mvil. ste slo podr ser utilizado si opera de acuerdo con las polticas y normas de seguridad definidas y debidamente autorizado por la Direccin de Tecnologa.

    Copias de respaldo
    [ISO/IEC 27001:2005 A.10.5] ICETEX debe asegurar que la informacin con cierto nivel de clasificacin, definida en conjunto por la Direccin de Tecnologa y las dependencias responsables de la misma, contenida en la plataforma tecnolgica de la Institucin, como servidores, dispositivos de red para almacenamiento de informacin, estaciones de trabajo, archivos de configuracin de dispositivos de red y seguridad, entre otros, sea peridicamente resguardada mediante mecanismos y controles adecuados que garanticen su identificacin, proteccin, integridad y disponibilidad. Adicionalmente, se deber establecer un plan de restauracin de copias de seguridad que sern probados a intervalos regulares con el fin de asegurar que son confiables en caso de emergencia y retenidas por un periodo de tiempo determinado. La Direccin de Tecnologa establecer procedimientos explcitos de resguardo y recuperacin de la informacin que incluyan especificaciones acerca del traslado, frecuencia, identificacin y definir conjuntamente con las dependencias los perodos de retencin de la misma. Adicionalmente, debe disponer de los recursos necesarios para permitir la identificacin relacionada de los medios de almacenamiento, la informacin contenida en ellos y la ubicacin fsica de los mismos para permitir un rpido y eficiente acceso a los medios que contienen la informacin resguardada. Los medios magnticos que contienen la informacin crtica deben ser almacenados en otra ubicacin diferente a las instalaciones donde se encuentra dispuesta. El sitio externo donde se resguardan dichas copias, debe tener los controles de seguridad adecuados, cumplir con mximas medidas de proteccin y seguridad fsica apropiados.

    Gestin de medios removibles


    [ISO/IEC 27001:2005 A.10.7]

    Instituto Colombiano de Crdito Educativo y Estudios Tcnicos en el Exterior

    Lnea de atencin al usuario en Bogot: 4173535 y Nacional: 01900 331 3777 www.icetex.gov.co
    Carrera 3 No. 18 32. Bogot, D. C., Colombia
    PBX: 382 16 70

    El uso de medios de almacenamiento removibles (ejemplo: CDs, DVDs, USBs, memorias flash, discos duros externos, Ipods, celulares, cintas) sobre la infraestructura para el procesamiento de la informacin de ICETEX, estar autorizado para aquellos funcionarios cuyo perfil del cargo y funciones lo requiera. La Direccin de Tecnologa es responsable de implementar los controles necesarios para asegurar que en los sistemas de informacin de ICETEX slo los funcionarios autorizados pueden hacer uso de los medios de almacenamiento removibles. As mismo, el funcionario se compromete a asegurar fsica y lgicamente el dispositivo a fin de no poner en riesgo la informacin de ICETEX que ste contiene.

    Intercambio de informacin
    [ISO/IEC 27001:2005 A.10.8] ICETEX firmar acuerdos de confidencialidad con los funcionarios, clientes y terceros que por diferentes razones requieran conocer o intercambiar informacin restringida o confidencial de la Institucin. En estos acuerdos quedarn especificadas las responsabilidades para el intercambio de la informacin para cada una de las partes y se debern firmar antes de permitir el acceso o uso de dicha informacin. Todo funcionario de ICETEX es responsable por proteger la confidencialidad e integridad de la informacin y debe tener especial cuidado en el uso de los diferentes medios para el intercambio de informacin que puedan generar una divulgacin o modificacin no autorizada. Los propietarios de la informacin que se requiere intercambiar son responsables de definir los niveles y perfiles de autorizacin para acceso, modificacin y eliminacin de la misma y los custodios de esta informacin son responsables de implementar los controles que garanticen el cumplimiento de los criterios de confidencialidad, integridad, disponibilidad y requeridos.

    Control de acceso lgico


    [ISO/IEC 27001:2005 A.11.1] El acceso a plataformas, aplicaciones, servicios y en general cualquier recurso de informacin de ICETEX debe ser asignado de acuerdo a la identificacin previa de requerimientos de seguridad y del negocio que se definan por las diferentes dependencias de la Institucin, as como normas legales o leyes aplicables a la proteccin de acceso a la informacin presente en los sistemas de informacin. Los responsables de la administracin de la infraestructura tecnolgica de ICETEX asignan los accesos a plataformas, usuarios y segmentos de red de acuerdo a procesos formales de autorizacin los cuales deben ser revisados de manera peridica por la Oficina de Control Interno de ICETEX. La autorizacin para el acceso a los sistemas de informacin debe ser definida y aprobada por la dependencia propietaria de la informacin, o quien sta defina, y se debe otorgar de acuerdo con el nivel de clasificacin de la informacin identificada, segn la cual se deben determinar los controles y privilegios de acceso que se pueden otorgar a los funcionarios y terceros e implementada por la Direccin de Tecnologa. Cualquier usuario interno o externo que requiera acceso remoto a la red y a la infraestructura de procesamiento de informacin de ICETEX, sea por Internet, acceso telefnico o por otro medio, siempre debe estar autenticado y sus conexiones debern utilizar cifrado de datos.

    Gestin de contraseas de usuario


    [ISO/IEC 27001:2005 A.11.2.3]
    Instituto Colombiano de Crdito Educativo y Estudios Tcnicos en el Exterior

    Lnea de atencin al usuario en Bogot: 4173535 y Nacional: 01900 331 3777 www.icetex.gov.co
    Carrera 3 No. 18 32. Bogot, D. C., Colombia
    PBX: 382 16 70

    Todos los recursos de informacin crticos del ICETEX tienen asignados los privilegios de acceso de usuarios con base en los roles y perfiles que cada funcionario requiera para el desarrollo de sus funciones, definidos y aprobados por las reas de negocio y administrados por la Direccin de Tecnologa. Todo funcionario o tercero que requiera tener acceso a los sistemas de informacin del ICETEX debe estar debidamente autorizado y debe acceder a dichos sistemas haciendo uso como mnimo de un usuario (ID) y contrasea (password) asignado por la organizacin. El funcionario debe ser responsable por el buen uso de las credenciales de acceso asignadas.

    Escritorio y pantalla limpia


    [ISO/IEC 27001:2005 A.11.2.4] Con el fin de evitar prdidas, daos o accesos no autorizados a la informacin, todos los funcionarios de ICETEX deben mantener la informacin restringida o confidencial bajo llave cuando sus puestos de trabajo se encuentren desatendidos o en horas no laborales. Esto incluye: documentos impresos, CDs, dispositivos de almacenamiento USB y medios removibles en general. Adicionalmente, se requiere que la informacin sensible que se enva a las impresoras sea recogida manera inmediata. Todos los usuarios son responsables de bloquear la sesin de su estacin de trabajo en el momento en que se retiren del puesto de trabajo, la cual se podr desbloquear slo con la contrasea del usuario. Cuando finalicen sus actividades, se deben cerrar todas las aplicaciones y dejar los equipos apagados. Todas las estaciones de trabajo debern usar el papel tapiz y el protector de pantalla corporativo, el cual se activar automticamente despus de cinco (5) minutos de inactividad y se podr desbloquear nicamente con la contrasea del usuario.

    Segregacin de redes
    [ISO/IEC 27001:2005 A.11.4.5] La plataforma tecnolgica de ICETEX que soporta los sistemas de Informacin debe estar separada en segmentos de red fsicos y lgicos e independientes de los segmentos de red de usuarios, de conexiones con redes con terceros y del servicio de acceso a Internet. La divisin de estos segmentos debe ser realizada por medio de dispositivos perimetrales e internos de enrutamiento y de seguridad si as se requiere. La Direccin de Tecnologa es el rea encargada de establecer el permetro de seguridad necesario para proteger dichos segmentos, de acuerdo con el nivel de criticidad del flujo de la informacin transmitida. ICETEX establece mecanismos de identificacin automtica de equipos en la red, como medio de autenticacin de conexiones, desde segmentos de red especficos hacia las plataformas donde operan los sistemas de informacin de la Organizacin. Es responsabilidad de los administradores de recursos tecnolgicos garantizar que los puertos fsicos y lgicos de diagnstico y configuracin de plataformas que soporten sistemas de informacin deban estar siempre restringidos y monitoreados con el fin de prevenir accesos no autorizados.

    Identificacin de requerimientos de seguridad


    [ISO/IEC 27001:2005 A.12.1.1] La inclusin de un nuevo producto de hardware, software, aplicativo, desarrollo interno o externo, los cambios y/o actualizaciones a los sistemas existentes en ICETEX, deben estar acompaados de la identificacin, anlisis, documentacin y aprobacin de los requerimientos de seguridad de la Instituto Colombiano de Crdito Educativo y Estudios Tcnicos en el Exterior 9
    Lnea de atencin al usuario en Bogot: 4173535 y Nacional: 01900 331 3777 www.icetex.gov.co
    Carrera 3 No. 18 32. Bogot, D. C., Colombia
    PBX: 382 16 70

    informacin, labor que debe ser responsabilidad de la Direccin de Tecnologa y las dependencias propietarias del sistema en cuestin. Los requerimientos de seguridad de la informacin identificados, obligaciones derivadas de las leyes de propiedad intelectual y derechos de autor deben ser establecidos en los acuerdos contractuales que se realicen entre ICETEX y cualquier proveedor de productos y/o servicios asociados a la infraestructura de procesamiento de informacin. Es responsabilidad de la Direccin de Tecnologa garantizar la definicin y cumplimiento de los requerimientos de seguridad de la Informacin y en conjunto con la Secretaria General establecer estos aspectos con las obligaciones contractuales especificas.

    Instituto Colombiano de Crdito Educativo y Estudios Tcnicos en el Exterior

    10

    Lnea de atencin al usuario en Bogot: 4173535 y Nacional: 01900 331 3777 www.icetex.gov.co
    Carrera 3 No. 18 32. Bogot, D. C., Colombia
    PBX: 382 16 70

    You might also like