Professional Documents
Culture Documents
Lnea de atencin al usuario en Bogot: 4173535 y Nacional: 01900 331 3777 www.icetex.gov.co
Carrera 3 No. 18 32. Bogot, D. C., Colombia
PBX: 382 16 70
8. Las violaciones a las Polticas y Controles de Seguridad de la Informacin sern reportadas, registradas y monitoreadas. 9. ICETEX contar con un Plan de Continuidad del Negocio que asegure la continuidad de las operaciones, ante la ocurrencia de eventos no previstos o desastres naturales. Adicionalmente ICETEX cuenta con polticas especficas y un conjunto de estndares y procedimientos que soportan la poltica corporativa.
Acuerdos de confidencialidad
[ISO/IEC 27001:2005 A.6.1.5] Todos los funcionarios de ICETEX y/o terceros deben aceptar los acuerdos de confidencialidad definidos por la Institucin, los cuales reflejan los compromisos de proteccin y buen uso de la informacin de acuerdo con los criterios establecidos en ella. Para el caso de contratistas, los respectivos contratos deben incluir una clusula de confidencialidad, de igual manera cuando se permita el acceso a la informacin y/o a los recursos de ICETEX a personas o entidades externas. Estos acuerdos deben aceptarse por cada uno de ellos como parte del proceso de contratacin, razn por la cual dicha clusula y/o acuerdo de confidencialidad hace parte integral de cada uno de los contratos.
Lnea de atencin al usuario en Bogot: 4173535 y Nacional: 01900 331 3777 www.icetex.gov.co
Carrera 3 No. 18 32. Bogot, D. C., Colombia
PBX: 382 16 70
Acceso a Internet El internet es una herramienta de trabajo que permite navegar en muchos otros sitios relacionados o no con las actividades propias del negocio de ICETEX, por lo cual el uso adecuado de este recurso se debe controlar, verificar y monitorear, considerando, para todos los casos, los siguientes lineamientos:
a) No est permitido:
El acceso a pginas relacionadas con pornografa, drogas, alcohol, webproxys, hacking y/o cualquier otra pgina que vaya en contra de la tica moral, las leyes vigentes o polticas aqu establecidas. El acceso y el uso de servicios interactivos o mensajera instantnea como Facebook, Kazaa, MSN Messenger, Yahoo, Skype, Net2phone y otros similares, que tengan como objetivo crear comunidades para intercambiar informacin, o bien para fines diferentes a las actividades propias del negocio de ICETEX. El intercambio no autorizado de informacin de propiedad de ICETEX, de sus clientes y/o de sus funcionarios, con terceros. La descarga, uso, intercambio y/o instalacin de juegos, msica, pelculas, protectores y fondos de pantalla, software de libre distribucin, informacin y/o productos que de alguna forma atenten contra la propiedad intelectual de sus autores, o que contengan archivos ejecutables y/o herramientas que atenten contra la integridad, disponibilidad y/o confidencialidad de la infraestructura tecnolgica (hacking), entre otros. La descarga, uso, intercambio y/o instalacin de informacin audiovisual (videos e imgenes) utilizando sitios pblicos en Internet debe ser autorizada por el Jefe respectivo y la Direccin de Tecnologa, o a quienes ellos deleguen de forma explcita para esta funcin, asociando los procedimientos y controles necesarios para el monitoreo y aseguramiento del buen uso del recurso.
c) Cada uno de los usuarios es responsable de dar un uso adecuado a este recurso y en
ningn momento puede ser usado para realizar prcticas ilcitas o mal intencionadas que atenten contra terceros, la legislacin vigente y los lineamientos de seguridad de la informacin, entre otros.
Lnea de atencin al usuario en Bogot: 4173535 y Nacional: 01900 331 3777 www.icetex.gov.co
Carrera 3 No. 18 32. Bogot, D. C., Colombia
PBX: 382 16 70
a) La cuenta de correo electrnico debe ser usada para el desempeo de las funciones
asignadas dentro del ICETEX, as mismo podr ser utilizada para uso personal, siempre y cuando se realice de manera tica, razonable, responsable, no abusiva y sin afectar la productividad.
b) Los mensajes y la informacin contenida en los buzones de correo son propiedad del
ICETEX y cada usuario, como responsable de su buzn, debe mantener solamente los mensajes relacionados con el desarrollo de sus funciones.
e) No es permitido:
Enviar cadenas de correo, mensajes con contenido religioso, poltico, racista, sexista, pornogrfico, publicitario no corporativo o cualquier otro tipo de mensajes que atenten contra la dignidad y la productividad de las personas o el normal desempeo del servicio de correo electrnico en la Institucin, mensajes mal intencionados que puedan afectar los sistemas internos o de terceros, mensajes que vayan en contra de las leyes, la moral y las buenas costumbres y mensajes que inciten a realizar prcticas ilcitas o promuevan actividades ilegales. Utilizar la direccin de correo electrnico de ICETEX como punto de contacto en comunidades interactivas de contacto social, tales como facebook y/o myspace, entre otras, o cualquier otro sitio que no tenga que ver con las actividades laborales. El envo de archivos que contengan extensiones ejecutables, bajo ninguna circunstancia. El envo de archivos de msica y videos. En caso de requerir hacer un envo de este tipo de archivos deber ser autorizado por la direccin respectiva y la Direccin de Tecnologa.
h) Toda informacin de ICETEX generada con los diferentes programas computacionales (Ej.
Office, Project, Access, Wordpad, etc.), que requiera ser enviada fuera de la Entidad, y que por sus caractersticas de confidencialidad e integridad deba ser protegida, debe estar en formatos no editables, utilizando las caractersticas de seguridad que brindan las herramientas proporcionadas por la Direccin de Tecnologa. La informacin puede ser
Instituto Colombiano de Crdito Educativo y Estudios Tcnicos en el Exterior
Lnea de atencin al usuario en Bogot: 4173535 y Nacional: 01900 331 3777 www.icetex.gov.co
Carrera 3 No. 18 32. Bogot, D. C., Colombia
PBX: 382 16 70
enviada en el formato original bajo la responsabilidad del usuario y nicamente cuando el receptor requiera hacer modificaciones a dicha informacin.
i)
Todos los mensajes enviados deben respetar el estndar de formato e imagen corporativa definido por ICETEX y deben conservar en todos los casos el mensaje legal corporativo de confidencialidad. Recursos tecnolgicos
El uso adecuado de los recursos tecnolgicos asignados por ICETEX a sus funcionarios y/o terceros se reglamenta bajo los siguientes lineamientos:
b) Los usuarios no deben realizar cambios en las estaciones de trabajo relacionados con la
configuracin del equipo, tales como conexiones de red, usuarios locales de la mquina, papel tapiz y protector de pantalla corporativo, entre otros. Estos cambios pueden ser realizados nicamente por la Direccin de Tecnologa.
e) La conexin a redes inalmbricas externas para usuarios con equipos porttiles que estn
fuera de la oficina y que requieran establecer una conexin a la infraestructura tecnolgica de ICETEX, deben utilizar una conexin bajo los esquemas y herramientas de seguridad autorizados y establecidos por la Direccin de Tecnologa.
Lnea de atencin al usuario en Bogot: 4173535 y Nacional: 01900 331 3777 www.icetex.gov.co
Carrera 3 No. 18 32. Bogot, D. C., Colombia
PBX: 382 16 70
auditadas, as como con procedimientos de seguridad operacionales que permitan proteger la informacin, el software y el hardware de daos intencionales o accidentales. De igual forma, los centros de cmputo, cableado y cuartos tcnicos de las oficinas deben contar con mecanismos que permitan garantizar que se cumplen los requerimientos ambientales (temperatura, humedad, etc.), especificados por los fabricantes de los equipos que albergan y que pueden responder de manera adecuada ante incidentes como incendios e inundaciones.
Segregacin de funciones
[ISO/IEC 27001:2005 A.10.1.3] Toda tarea en la cual los funcionarios tengan acceso a la infraestructura tecnolgica y a los sistemas de informacin, debe contar con una definicin clara de los roles y responsabilidades, as como del nivel de acceso y los privilegios correspondientes, con el fin de reducir y evitar el uso no autorizado o modificacin sobre los activos de informacin de la organizacin. En concordancia: Todos los sistemas de disponibilidad crtica o media de la Institucin, deben implementar las reglas de acceso de tal forma que haya segregacin de funciones entre quien administre, opere, mantenga, audite y, en general, tenga la posibilidad de acceder a los sistemas de informacin, as como entre quien otorga el privilegio y quien lo utiliza. Los mdulos ejecutables nunca debern ser trasladados directamente de las libreras de pruebas a las libreras de produccin sin que previamente sean compilados por el rea asignada para tal efecto, que en ningn momento deber ser el rea de desarrollo ni la de produccin. El nivel de sper usuario de los sistemas debe tener un control dual, de tal forma que exista una supervisin a las actividades realizadas por el administrador del sistema. Deben estar claramente segregadas las funciones de soporte tcnico, planificadores y operadores. 6
Lnea de atencin al usuario en Bogot: 4173535 y Nacional: 01900 331 3777 www.icetex.gov.co
Carrera 3 No. 18 32. Bogot, D. C., Colombia
PBX: 382 16 70
a) No est permitido:
La desinstalacin y/o desactivacin de software y herramientas de seguridad avaladas previamente por ICETEX. Escribir, generar, compilar, copiar, propagar, ejecutar o intentar introducir cualquier cdigo de programacin diseado para auto replicarse, daar o afectar el desempeo de cualquier dispositivo o infraestructura tecnolgica. Utilizar medios de almacenamiento fsico o virtual que no sean de carcter corporativo. El uso de cdigo mvil. ste slo podr ser utilizado si opera de acuerdo con las polticas y normas de seguridad definidas y debidamente autorizado por la Direccin de Tecnologa.
Copias de respaldo
[ISO/IEC 27001:2005 A.10.5] ICETEX debe asegurar que la informacin con cierto nivel de clasificacin, definida en conjunto por la Direccin de Tecnologa y las dependencias responsables de la misma, contenida en la plataforma tecnolgica de la Institucin, como servidores, dispositivos de red para almacenamiento de informacin, estaciones de trabajo, archivos de configuracin de dispositivos de red y seguridad, entre otros, sea peridicamente resguardada mediante mecanismos y controles adecuados que garanticen su identificacin, proteccin, integridad y disponibilidad. Adicionalmente, se deber establecer un plan de restauracin de copias de seguridad que sern probados a intervalos regulares con el fin de asegurar que son confiables en caso de emergencia y retenidas por un periodo de tiempo determinado. La Direccin de Tecnologa establecer procedimientos explcitos de resguardo y recuperacin de la informacin que incluyan especificaciones acerca del traslado, frecuencia, identificacin y definir conjuntamente con las dependencias los perodos de retencin de la misma. Adicionalmente, debe disponer de los recursos necesarios para permitir la identificacin relacionada de los medios de almacenamiento, la informacin contenida en ellos y la ubicacin fsica de los mismos para permitir un rpido y eficiente acceso a los medios que contienen la informacin resguardada. Los medios magnticos que contienen la informacin crtica deben ser almacenados en otra ubicacin diferente a las instalaciones donde se encuentra dispuesta. El sitio externo donde se resguardan dichas copias, debe tener los controles de seguridad adecuados, cumplir con mximas medidas de proteccin y seguridad fsica apropiados.
Lnea de atencin al usuario en Bogot: 4173535 y Nacional: 01900 331 3777 www.icetex.gov.co
Carrera 3 No. 18 32. Bogot, D. C., Colombia
PBX: 382 16 70
El uso de medios de almacenamiento removibles (ejemplo: CDs, DVDs, USBs, memorias flash, discos duros externos, Ipods, celulares, cintas) sobre la infraestructura para el procesamiento de la informacin de ICETEX, estar autorizado para aquellos funcionarios cuyo perfil del cargo y funciones lo requiera. La Direccin de Tecnologa es responsable de implementar los controles necesarios para asegurar que en los sistemas de informacin de ICETEX slo los funcionarios autorizados pueden hacer uso de los medios de almacenamiento removibles. As mismo, el funcionario se compromete a asegurar fsica y lgicamente el dispositivo a fin de no poner en riesgo la informacin de ICETEX que ste contiene.
Intercambio de informacin
[ISO/IEC 27001:2005 A.10.8] ICETEX firmar acuerdos de confidencialidad con los funcionarios, clientes y terceros que por diferentes razones requieran conocer o intercambiar informacin restringida o confidencial de la Institucin. En estos acuerdos quedarn especificadas las responsabilidades para el intercambio de la informacin para cada una de las partes y se debern firmar antes de permitir el acceso o uso de dicha informacin. Todo funcionario de ICETEX es responsable por proteger la confidencialidad e integridad de la informacin y debe tener especial cuidado en el uso de los diferentes medios para el intercambio de informacin que puedan generar una divulgacin o modificacin no autorizada. Los propietarios de la informacin que se requiere intercambiar son responsables de definir los niveles y perfiles de autorizacin para acceso, modificacin y eliminacin de la misma y los custodios de esta informacin son responsables de implementar los controles que garanticen el cumplimiento de los criterios de confidencialidad, integridad, disponibilidad y requeridos.
Lnea de atencin al usuario en Bogot: 4173535 y Nacional: 01900 331 3777 www.icetex.gov.co
Carrera 3 No. 18 32. Bogot, D. C., Colombia
PBX: 382 16 70
Todos los recursos de informacin crticos del ICETEX tienen asignados los privilegios de acceso de usuarios con base en los roles y perfiles que cada funcionario requiera para el desarrollo de sus funciones, definidos y aprobados por las reas de negocio y administrados por la Direccin de Tecnologa. Todo funcionario o tercero que requiera tener acceso a los sistemas de informacin del ICETEX debe estar debidamente autorizado y debe acceder a dichos sistemas haciendo uso como mnimo de un usuario (ID) y contrasea (password) asignado por la organizacin. El funcionario debe ser responsable por el buen uso de las credenciales de acceso asignadas.
Segregacin de redes
[ISO/IEC 27001:2005 A.11.4.5] La plataforma tecnolgica de ICETEX que soporta los sistemas de Informacin debe estar separada en segmentos de red fsicos y lgicos e independientes de los segmentos de red de usuarios, de conexiones con redes con terceros y del servicio de acceso a Internet. La divisin de estos segmentos debe ser realizada por medio de dispositivos perimetrales e internos de enrutamiento y de seguridad si as se requiere. La Direccin de Tecnologa es el rea encargada de establecer el permetro de seguridad necesario para proteger dichos segmentos, de acuerdo con el nivel de criticidad del flujo de la informacin transmitida. ICETEX establece mecanismos de identificacin automtica de equipos en la red, como medio de autenticacin de conexiones, desde segmentos de red especficos hacia las plataformas donde operan los sistemas de informacin de la Organizacin. Es responsabilidad de los administradores de recursos tecnolgicos garantizar que los puertos fsicos y lgicos de diagnstico y configuracin de plataformas que soporten sistemas de informacin deban estar siempre restringidos y monitoreados con el fin de prevenir accesos no autorizados.
informacin, labor que debe ser responsabilidad de la Direccin de Tecnologa y las dependencias propietarias del sistema en cuestin. Los requerimientos de seguridad de la informacin identificados, obligaciones derivadas de las leyes de propiedad intelectual y derechos de autor deben ser establecidos en los acuerdos contractuales que se realicen entre ICETEX y cualquier proveedor de productos y/o servicios asociados a la infraestructura de procesamiento de informacin. Es responsabilidad de la Direccin de Tecnologa garantizar la definicin y cumplimiento de los requerimientos de seguridad de la Informacin y en conjunto con la Secretaria General establecer estos aspectos con las obligaciones contractuales especificas.
10
Lnea de atencin al usuario en Bogot: 4173535 y Nacional: 01900 331 3777 www.icetex.gov.co
Carrera 3 No. 18 32. Bogot, D. C., Colombia
PBX: 382 16 70