Professional Documents
Culture Documents
general de seguridad y
privacidad de la informacin.
Gua No. 2
HISTORIA
PG
HISTORIA ............................................................................................................................................2
Tabla de contenido ...............................................................................................................................3
1. DERECHOS DE AUTOR .............................................................................................................4
2. AUDIENCIA ..................................................................................................................................5
3. INTRODUCCIN .........................................................................................................................6
4. PROPSITO ................................................................................................................................7
5. GLOSARIO...................................................................................................................................8
6. POLTICA GENERAL DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIN .....................9
7. FASES DE IMPLEMENTACIN DE POLTICAS DE SEGURIDAD DE LA INFORMACIN .. 14
8. RECOMENDACIONES PARA LA REDACCION DE UNA POLITICA DE SEGURIDAD DE LA
INFORMACIN ................................................................................................................................. 16
9. POLITICAS ESPECFICAS RECOMENDADAS PARA LA IMPLEMENTACIN DE
CONTROLES DE SEGURIDAD DE LA INFORMACIN ................................................................. 17
9.1 ORGANIZACIN DE LA SEGURIDAD DE LA INFORMACIN ................................................ 17
9.2 GESTION DE ACTIVOS ............................................................................................................. 17
9.3 CONTROL DE ACCESO ............................................................................................................ 19
9.4 NO REPUDIO ............................................................................................................................. 20
9.5 PRIVACIDAD Y CONFIDENCIALIDAD ...................................................................................... 20
9.6 INTEGRIDAD .............................................................................................................................. 22
9.7 DISPONIBILIDAD DEL SERVICIO E INFORMACIN ............................................................... 22
9.8 REGISTRO Y AUDITORA ......................................................................................................... 23
9.9 GESTION DE INCIDENTES DE SEGURIDAD DE LA INFORMACIN: ................................... 24
9.10 CAPACITACIN Y SENSIBILIZACIN EN SEGURIDAD DE LA INFORMACIN: ................ 24
1. DERECHOS DE AUTOR
Este documento est elaborado para las entidades pblicas de orden nacional,
entidades pblicas del orden territorial y entidades privadas que deseen una gua
para implementar las polticas planteadas en el Modelo de Seguridad de la
Informacin, as como proveedores de servicios de Gobierno en Lnea y terceros
que deseen adoptar el Modelo de Seguridad y Privacidad de la Informacin en el
marco de la Estrategia de Gobierno en Lnea.
3. INTRODUCCIN
Es as como, teniendo en cuenta la importancia que tiene que la entidad defina las
necesidades de sus grupos de inters, y la valoracin de los controles precisos
para mantener la seguridad de la informacin, se debe establecer una poltica que
tenga en cuenta el marco general del funcionamiento de la entidad, sus objetivos
institucionales, sus procesos misionales, y que este adaptada a las condiciones
especficas y particulares de cada una segn corresponda para que sea aprobada
y guiada por la Direccin.
De esta forma, una buena poltica es concisa, fcil de leer y comprender, flexible y
fcil de hacer cumplir para todos aquellos dentro del alcance sin excepcin. Son
cortas, y enmarcan los principios que guan las actividades dentro de la entidad.
4. PROPSITO
El siguiente documento es un formato que puede ser utilizado como plantilla para la
elaboracin de la poltica general de seguridad y privacidad de informacin para las
entidades pblicas, como parte del Modelo de Seguridad y Privacidad de la
Informacin de la estrategia de Gobierno en Lnea, segn lo establecido en el
Decreto 1078 de 2015.
5. GLOSARIO
Estndar: Regla que especifica una accin o respuesta que se debe seguir a una
situacin dada. Los estndares son orientaciones obligatorias que buscan hacer
cumplir las polticas. Los estndares son diseados para promover la
implementacin de las polticas de alto nivel de la entidad antes de crear nuevas
polticas.
Gua: Una gua es una declaracin general utilizada para recomendar o sugerir un
enfoque para implementar polticas, estndares buenas prcticas. Las guas son
esencialmente, recomendaciones que deben considerarse al implementar la
seguridad. Aunque no son obligatorias, sern seguidas a menos que existan
argumentos documentados y aprobados para no hacerlo.
De acuerdo con lo anterior, esta poltica aplica a la Entidad segn como se defina
en el alcance, sus funcionarios, terceros, aprendices, practicantes, proveedores
y la ciudadana en general, teniendo en cuenta que los principios sobre los que
se basa el desarrollo de las acciones o toma de decisiones alrededor del SGSI
estarn determinadas por las siguientes premisas:
Dentro de las temticas que se tocan en este punto se encuentran por ejemplo la
gestin de activos, seguridad fsica y ambiental, control de accesos, etc. Para
abordar este punto es necesario remitirse a la Gua de polticas especficas de
seguridad y privacidad de la informacin y mencionar aquellas que la Entidad haya
establecido como necesarias y primordiales. De esta forma se presenta el siguiente
ejemplo:
Para las entidades es importante contar con polticas de seguridad ya que son ellas
quienes guiaran el comportamiento personal y profesional de los funcionarios,
contratistas o terceros sobre la informacin obtenida, generada o procesada por la
entidad, as mismo las polticas permitirn que la entidad trabaje bajo las mejores
prcticas de seguridad y cumpla con los requisitos legales a los cuales est obligada
a cumplir la entidad.
EJEMPLO:
Este grupo de polticas deben hacer referencia a todas aquellas directrices mediante
las cuales se indica a los funcionarios los lmites y procedimientos frente a la
identificacin, uso, administracin y responsabilidad frente a los activos de
Informacin, las polticas relacionadas con gestin de activos deben contemplar
como mnimo:
Este grupo de polticas deben hacer referencia a todas aquellas directrices mediante
las cuales la Entidad determina los mecanismos de proteccin, los lmites y
procedimientos frente a la administracin y responsabilidad, relacionados con los
accesos a la informacin, sin importar si estos accesos sean electrnicos o fsicos;
las polticas relacionadas con el control de acceso deben contemplar como mnimo:
1. mbito de aplicacin
2. Excepcin al mbito de aplicacin de las polticas de tratamiento de
datos personales
3. Principios del tratamiento de datos personales:
Principio de la Legalidad: El tratamiento de datos personales debe estar
sujeto a lo establecido en la normatividad vigente.
Principio de finalidad: Indicar la finalidad del tratamiento de datos personales,
la cual debe ser informada al titular.
Principio de libertad: El tratamiento slo puede hacerse con el consentimiento
previo, expreso e informado del titular de los datos.
Principio de veracidad o calidad: La informacin a tratar debe ser veraz,
completa, exacta, actualizada, comprobable y comprensible.
Principio de transparencia: Garantizar al titular de los datos el derecho a
obtener informacin que le concierna del encargado del tratamiento.
Principio de acceso y circulacin restringida: El tratamiento slo podr
hacerse por personas autorizadas por el titular o por personas previstas en
la normatividad vigente.
Principio de seguridad: La informacin sujeta a tratamiento, se debe manejar
con las medidas tcnicas, humanas y administrativas que sean necesarias
para garantizar la seguridad evitando su adulteracin, prdida, consulta, uso
o acceso no autorizado o fraudulento
Principio de confidencialidad: Todas las personas que participen en el
Tratamiento de Datos Personales deben garantizar la reserva de dicha
informacin.
4. Derechos de los titulares: La poltica debe indicar los derechos de los
titulares de los datos, tales como:
Conocer, actualizar y rectificar sus datos personales.
Solicitar la prueba de su autorizacin para el tratamiento de sus datos
personales.
Ser informado respecto del uso que se le da a sus datos personales.
Revocar la autorizacin y/o solicitar la supresin de sus datos personales de
las bases de datos o archivos cuando el titular lo considere, siempre y cuando
no se encuentren vigentes con el Banco los servicios o productos que dieron
origen a dicha autorizacin.
Presentar quejas ante la entidad administrativa encargada de la proteccin
de los datos personales.
5. Autorizacin del titular: La poltica debe indicar cmo obtener autorizacin
del titular para el tratamiento de sus datos personales, as como los casos en
los cuales no se requiere autorizacin del titular.
6. Deberes de los responsables del Tratamiento: La poltica debe indicar
cuales son los deberes de los responsables y/o encargados del tratamiento
de los datos personales.
Poltica de controles criptogrficos: Esta poltica deber especificar como
se asegura la confidencialidad y autenticidad de la informacin que circula o
se genera a travs de los diferentes sistemas de informacin.
La poltica de confidencialidad, debe contener un compromiso o acuerdo de
confidencialidad, por medio del cual todo funcionario, contratista y/o tercero
vinculado a la Entidad, deber firmar un compromiso de no divulgar la informacin
interna y externa que conozca de la Entidad, as como la relacionada con las
funciones que desempea en la misma. La firma del acuerdo implica que la
informacin conocida por todo funcionario, contratista y/o tercero, bajo ninguna
circunstancia deber ser revelada por ningn medio electrnico, verbal, escrito u
otro, ni total ni parcialmente, sin contar con previa autorizacin.
La poltica de integridad debe ser conocida y aceptada por todos los funcionarios,
contratistas y/o terceros que hagan parte de la Entidad, la cual se refiere al manejo
ntegro e integral de la informacin tanto interna como externa, conocida o
administradas por los mismos.
De esta manera, toda informacin verbal, fsica o electrnica, debe ser adoptada,
procesada y entregada o transmitida integralmente, coherentemente,
exclusivamente a las personas correspondientes y a travs de los medios
correspondientes, sin modificaciones ni alteraciones, salvo que as lo determinen
las personas autorizadas y/o responsables de dicha informacin. En el caso de
vinculacin contractual, el Compromiso de administracin y manejo integro e
integral de la informacin interna y externa har parte de las clusulas del respectivo
contrato, bajo la denominacin de Clusula de integridad de la informacin.
La Entidad deber contar con un plan de continuidad del negocio con el fin de
asegurar, recuperar o restablecer la disponibilidad de los procesos que soportan el
Sistema de Gestin de Seguridad de la Informacin y procesos misionales de la
Entidad, ante el evento de un incidente de seguridad de la informacin.