Elaboracin de la poltica

general de seguridad y
privacidad de la informacin.

Gua No. 2
 HISTORIA

VERSIN FECHA CAMBIOS INTRODUCIDOS

1.0.0 11/05/2016 Versin inicial del documento
 TABLA DE CONTENIDO

PG

HISTORIA ............................................................................................................................................2
Tabla de contenido ...............................................................................................................................3
1. DERECHOS DE AUTOR .............................................................................................................4
2. AUDIENCIA ..................................................................................................................................5
3. INTRODUCCIN .........................................................................................................................6
4. PROPSITO ................................................................................................................................7
5. GLOSARIO...................................................................................................................................8
6. POLTICA GENERAL DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIN .....................9
7. FASES DE IMPLEMENTACIN DE POLTICAS DE SEGURIDAD DE LA INFORMACIN .. 14
8. RECOMENDACIONES PARA LA REDACCION DE UNA POLITICA DE SEGURIDAD DE LA
INFORMACIN ................................................................................................................................. 16
9. POLITICAS ESPECFICAS RECOMENDADAS PARA LA IMPLEMENTACIN DE
CONTROLES DE SEGURIDAD DE LA INFORMACIN ................................................................. 17
9.1 ORGANIZACIN DE LA SEGURIDAD DE LA INFORMACIN ................................................ 17
9.2 GESTION DE ACTIVOS ............................................................................................................. 17
9.3 CONTROL DE ACCESO ............................................................................................................ 19
9.4 NO REPUDIO ............................................................................................................................. 20
9.5 PRIVACIDAD Y CONFIDENCIALIDAD ...................................................................................... 20
9.6 INTEGRIDAD .............................................................................................................................. 22
9.7 DISPONIBILIDAD DEL SERVICIO E INFORMACIN ............................................................... 22
9.8 REGISTRO Y AUDITORA ......................................................................................................... 23
9.9 GESTION DE INCIDENTES DE SEGURIDAD DE LA INFORMACIN: ................................... 24
9.10 CAPACITACIN Y SENSIBILIZACIN EN SEGURIDAD DE LA INFORMACIN: ................ 24
 1. DERECHOS DE AUTOR

Todas las referencias a los documentos del Modelo de Seguridad y Privacidad de

la Informacin son derechos reservados por parte del Ministerio de Tecnologas de
la Informacin y las Comunicaciones, por medio de la Estrategia de Gobierno en
lnea.

Todas las referencias a las polticas, definiciones o contenido relacionado,

publicadas en la norma tcnica colombiana NTC ISO/IEC 27001:2013, as como a
los anexos son derechos reservados por parte de ISO/ICONTEC.
 2. AUDIENCIA

Este documento est elaborado para las entidades pblicas de orden nacional,
entidades pblicas del orden territorial y entidades privadas que deseen una gua
para implementar las polticas planteadas en el Modelo de Seguridad de la
Informacin, as como proveedores de servicios de Gobierno en Lnea y terceros
que deseen adoptar el Modelo de Seguridad y Privacidad de la Informacin en el
marco de la Estrategia de Gobierno en Lnea.
 3. INTRODUCCIN

La poltica de alto nivel o poltica general, aborda la necesidad de la implementacin

de un sistema de gestin de seguridad de la informacin (SGSI) planteado desde
la descripcin del quin, qu, por qu, cundo y cmo, en torno al desarrollo de la
implementacin del SGSI.

Es as como, teniendo en cuenta la importancia que tiene que la entidad defina las
necesidades de sus grupos de inters, y la valoracin de los controles precisos
para mantener la seguridad de la informacin, se debe establecer una poltica que
tenga en cuenta el marco general del funcionamiento de la entidad, sus objetivos
institucionales, sus procesos misionales, y que este adaptada a las condiciones
especficas y particulares de cada una segn corresponda para que sea aprobada
y guiada por la Direccin.

De esta forma, una buena poltica es concisa, fcil de leer y comprender, flexible y
fcil de hacer cumplir para todos aquellos dentro del alcance sin excepcin. Son
cortas, y enmarcan los principios que guan las actividades dentro de la entidad.
 4. PROPSITO

El siguiente documento es un formato que puede ser utilizado como plantilla para la
elaboracin de la poltica general de seguridad y privacidad de informacin para las
entidades pblicas, como parte del Modelo de Seguridad y Privacidad de la
Informacin de la estrategia de Gobierno en Lnea, segn lo establecido en el
Decreto 1078 de 2015.
 5. GLOSARIO

Poltica: Declaracin de alto nivel que describe la posicin de la entidad sobre un

tema especfico.

Estndar: Regla que especifica una accin o respuesta que se debe seguir a una
situacin dada. Los estndares son orientaciones obligatorias que buscan hacer
cumplir las polticas. Los estndares son diseados para promover la
implementacin de las polticas de alto nivel de la entidad antes de crear nuevas
polticas.

Mejor Prctica: Una regla de seguridad especfica o una plataforma que es

aceptada, a travs de la industria al proporcionar el enfoque ms efectivo a una
implementacin de seguridad concreta. Las mejores prcticas son establecidas
para asegurar que las caractersticas de seguridad de los sistemas utilizados con
regularidad estn configurados y administrados de manera uniforme, garantizando
un nivel consistente de seguridad a travs de la entidad.

Gua: Una gua es una declaracin general utilizada para recomendar o sugerir un
enfoque para implementar polticas, estndares buenas prcticas. Las guas son
esencialmente, recomendaciones que deben considerarse al implementar la
seguridad. Aunque no son obligatorias, sern seguidas a menos que existan
argumentos documentados y aprobados para no hacerlo.

Procedimiento: Los procedimientos, definen especficamente como las polticas,

estndares, mejores prcticas y guas que sern implementadas en una situacin
dada. Los procedimientos son independientes de la tecnologa o de los procesos
y se refieren a las plataformas, aplicaciones o procesos especficos. Son utilizados
para delinear los pasos que deben ser seguidos por una dependencia para
implementar la seguridad relacionada con dicho proceso o sistema especfico.
Generalmente los procedimientos son desarrollados, implementados y
supervisados por el dueo del proceso o del sistema, los procedimientos seguirn
las polticas de la entidad, los estndares, las mejores prcticas y las guas tan cerca
como les sea posible, y a la vez se ajustaran a los requerimientos procedimentales
o tcnicos establecidos dentro del a dependencia donde ellos se aplican.
 6. POLTICA GENERAL DE SEGURIDAD Y PRIVACIDAD DE LA
INFORMACIN

De manera genrica a continuacin se entrega un texto gua para la elaboracin de

la poltica general de seguridad de la informacin, este puede ser base del desarrollo
de dicho documento ya que contempla los principios bsicos a tener en cuenta en
su elaboracin dentro de la planeacin del sistema de gestin de seguridad de la
informacin en una entidad.

La direccin de NOMBRE DE LA ENTIDAD, entendiendo la importancia de una

adecuada gestin de la informacin, se ha comprometido con la implementacin
de un sistema de gestin de seguridad de la informacin buscando establecer un
marco de confianza en el ejercicio de sus deberes con el Estado y los ciudadanos,
todo enmarcado en el estricto cumplimiento de las leyes y en concordancia con
la misin y visin de la entidad.

Para NOMBRE DE LA ENTIDAD, la proteccin de la informacin busca la

disminucin del impacto generado sobre sus activos, por los riesgos identificados
de manera sistemtica con objeto de mantener un nivel de exposicin que
permita responder por la integridad, confidencialidad y la disponibilidad de la
misma, acorde con las necesidades de los diferentes grupos de inters
identificados.

De acuerdo con lo anterior, esta poltica aplica a la Entidad segn como se defina
en el alcance, sus funcionarios, terceros, aprendices, practicantes, proveedores
y la ciudadana en general, teniendo en cuenta que los principios sobre los que
se basa el desarrollo de las acciones o toma de decisiones alrededor del SGSI
estarn determinadas por las siguientes premisas:

Minimizar el riesgo en las funciones ms importantes de la entidad.

Cumplir con los principios de seguridad de la informacin.
Cumplir con los principios de la funcin administrativa.
Mantener la confianza de sus clientes, socios y empleados.
Apoyar la innovacin tecnolgica.
Proteger los activos tecnolgicos.
Establecer las polticas, procedimientos e instructivos en materia de
seguridad de la informacin.
 Fortalecer la cultura de seguridad de la informacin en los funcionarios,
terceros, aprendices, practicantes y clientes de NOMBRE DE LA
ENTIDAD
Garantizar la continuidad del negocio frente a incidentes.
NOMBRE DE LA ENTIDAD ha decidido definir, implementar, operar y
mejorar de forma continua un Sistema de Gestin de Seguridad de la
Informacin, soportado en lineamientos claros alineados a las
necesidades del negocio, y a los requerimientos regulatorios.

Finalmente es de gran ayuda incluir la descripcin general de otras polticas

relevantes para el cumplimiento de los Objetivos planteados dentro del proyecto del
SGSI ya que stas son el apoyo sobre el cual se desarrolla; stas deben ser
descritas de forma sencilla, puntual y muy efectiva.

Dentro de las temticas que se tocan en este punto se encuentran por ejemplo la
gestin de activos, seguridad fsica y ambiental, control de accesos, etc. Para
abordar este punto es necesario remitirse a la Gua de polticas especficas de
seguridad y privacidad de la informacin y mencionar aquellas que la Entidad haya
establecido como necesarias y primordiales. De esta forma se presenta el siguiente
ejemplo:

A continuacin se establecen 12 principios de seguridad que soportan el SGSI

de NOMBRE DE LA ENTIDAD:
Las responsabilidades frente a la seguridad de la informacin sern definidas,
compartidas, publicadas y aceptadas por cada uno de los empleados,
proveedores, socios de negocio o terceros.

NOMBRE DE LA ENTIDAD proteger la informacin generada, procesada o

resguardada por los procesos de negocio, su infraestructura tecnolgica y activos
del riesgo que se genera de los accesos otorgados a terceros (ej.: proveedores
o clientes), o como resultado de un servicio interno en outsourcing.

NOMBRE DE LA ENTIDAD proteger la informacin creada, procesada,

transmitida o resguardada por sus procesos de negocio, con el fin de minimizar
impactos financieros, operativos o legales debido a un uso incorrecto de esta.
Para ello es fundamental la aplicacin de controles de acuerdo con la clasificacin
de la informacin de su propiedad o en custodia.
 NOMBRE DE LA ENTIDAD proteger su informacin de las amenazas
originadas por parte del personal.

NOMBRE DE LA ENTIDAD proteger las instalaciones de procesamiento y

la infraestructura tecnolgica que soporta sus procesos crticos.

NOMBRE DE LA ENTIDAD controlar la operacin de sus procesos de

negocio garantizando la seguridad de los recursos tecnolgicos y las redes de
datos.

NOMBRE DE LA ENTIDAD implementar control de acceso a la informacin,

sistemas y recursos de red.

NOMBRE DE LA ENTIDAD garantizar que la seguridad sea parte integral del

ciclo de vida de los sistemas de informacin.

NOMBRE DE LA ENTIDAD garantizar a travs de una adecuada gestin de

los eventos de seguridad y las debilidades asociadas con los sistemas de
informacin una mejora efectiva de su modelo de seguridad.

NOMBRE DE LA ENTIDAD garantizar la disponibilidad de sus procesos de

negocio y la continuidad de su operacin basada en el impacto que pueden
generar los eventos.

NOMBRE DE LA ENTIDAD garantizar el cumplimiento de las obligaciones

legales, regulatorias y contractuales establecidas.

Formato #2 de Poltica de Seguridad y Privacidad de la Informacin

El siguiente documento es un formato de poltica de Seguridad y Privacidad de la

Informacin
La Poltica de Seguridad y Privacidad de la Informacin es la declaracin general
que representa la posicin de la administracin de _NOMBRE DE LA ENTIDAD con
respecto a la proteccin de los activos de informacin (los funcionarios, contratistas,
terceros. la informacin, los procesos, las tecnologas de informacin incluido el
hardware y el software), que soportan los procesos de la Entidad y apoyan la
implementacin del Sistema de Gestin de Seguridad de la Informacin, por medio
de la generacin y publicacin de sus polticas, procedimientos e instructivos, as
como de la asignacin de responsabilidades generales y especficas para la gestin
de la seguridad de la informacin.
NOMBRE DE LA ENTIDAD, para asegurar la direccin estratgica de la Entidad,
establece la compatibilidad de la poltica de seguridad de la informacin y los
objetivos de seguridad de la informacin, estos ltimos correspondientes a:

Minimizar el riesgo de los procesos misionales de la entidad.

Cumplir con los principios de seguridad de la informacin.

Cumplir con los principios de la funcin administrativa.

Mantener la confianza de los funcionarios, contratistas y terceros.

Apoyar la innovacin tecnolgica.

Implementar el sistema de gestin de seguridad de la informacin.

Proteger los activos de informacin.

Establecer las polticas, procedimientos e instructivos en materia de

seguridad de la informacin.

Fortalecer la cultura de seguridad de la informacin en los funcionarios,

terceros, aprendices, practicantes y clientes del NOMBRE DE LA ENTIDAD

Garantizar la continuidad del negocio frente a incidentes.

Alcance/Aplicabilidad

Esta poltica aplica a toda la entidad, sus funcionarios, contratistas y terceros

del NOMBRE DE LA ENTIDAD y la ciudadana en general.
Nivel de cumplimiento

Todas las personas cubiertas por el alcance y aplicabilidad debern dar

cumplimiento un 100% de la poltica.
A continuacin se establecen las 12 polticas de seguridad que soportan el SGSI de
NOMBRE DE LA ENTIDAD:

NOMBRE DE LA ENTIDAD ha decidido definir, implementar, operar y

mejorar de forma continua un Sistema de Gestin de Seguridad de la
Informacin, soportado en lineamientos claros alineados a las necesidades
del negocio, y a los requerimientos regulatorios que le aplican a su
naturaleza.
 Las responsabilidades frente a la seguridad de la informacin sern
definidas, compartidas, publicadas y aceptadas por cada uno de los
empleados, contratistas o terceros.
NOMBRE DE LA ENTIDAD proteger la informacin generada, procesada
o resguardada por los procesos de negocio y activos de informacin que
hacen parte de los mismos.
NOMBRE DE LA ENTIDAD proteger la informacin creada, procesada,
transmitida o resguardada por sus procesos de negocio, con el fin de
minimizar impactos financieros, operativos o legales debido a un uso
incorrecto de esta. Para ello es fundamental la aplicacin de controles de
acuerdo con la clasificacin de la informacin de su propiedad o en custodia.
NOMBRE DE LA ENTIDAD proteger su informacin de las amenazas
originadas por parte del personal.
NOMBRE DE LA ENTIDAD proteger las instalaciones de procesamiento
y la infraestructura tecnolgica que soporta sus procesos crticos.
NOMBRE DE LA ENTIDAD controlar la operacin de sus procesos de
negocio garantizando la seguridad de los recursos tecnolgicos y las redes
de datos.
NOMBRE DE LA ENTIDAD implementar control de acceso a la
informacin, sistemas y recursos de red.
NOMBRE DE LA ENTIDAD garantizar que la seguridad sea parte integral
del ciclo de vida de los sistemas de informacin.
NOMBRE DE LA ENTIDAD garantizar a travs de una adecuada gestin de
los eventos de seguridad y las debilidades asociadas con los sistemas de
informacin una mejora efectiva de su modelo de seguridad.
NOMBRE DE LA ENTIDAD garantizar la disponibilidad de sus procesos
de negocio y la continuidad de su operacin basado en el impacto que
pueden generar los eventos.
NOMBRE DE LA ENTIDAD garantizar el cumplimiento de las obligaciones
legales, regulatorias y contractuales establecidas.
El incumplimiento a la poltica de Seguridad y Privacidad de la Informacin, traer
consigo, las consecuencias legales que apliquen a la normativa de la Entidad,
incluyendo lo establecido en las normas que competen al Gobierno nacional y
territorial en cuanto a Seguridad y Privacidad de la Informacin se refiere.
 7. FASES DE IMPLEMENTACIN DE POLTICAS DE SEGURIDAD DE LA
INFORMACIN

Para realizar una correcta implementacin de polticas de seguridad de la

informacin, es necesario cumplir con una serie de fases que se sugieren en este
documento, las cuales tienen como objetivo que la entidad desarrolle, apruebe,
implemente y socialice e interiorice las polticas para un uso efectivo por parte de
todos los funcionarios, contratistas y/o terceros de la entidad.

IMPORTANCIA DE LAS POLITICAS DE SEGURIDAD DE LA INFORMACIN

Para las entidades es importante contar con polticas de seguridad ya que son ellas
quienes guiaran el comportamiento personal y profesional de los funcionarios,
contratistas o terceros sobre la informacin obtenida, generada o procesada por la
entidad, as mismo las polticas permitirn que la entidad trabaje bajo las mejores
prcticas de seguridad y cumpla con los requisitos legales a los cuales est obligada
a cumplir la entidad.

FASES DE IMPLEMENTACIN DE LAS POLITICAS DE SEGURIDAD DE

INFORMACIN

1. Desarrollo de las polticas: En esta fase la Entidad debe responsabilizar las

reas para la creacin de las polticas, estructurarlas, escribirlas, revisarlas y
aprobarlas; por lo cual para llevar a buen trmino esta fase se requiere que se
realicen actividades de verificacin e investigacin de los siguientes aspectos:

Justificacin de la creacin de poltica: Debe identificarse el por qu la

Entidad requiere la creacin de la poltica de seguridad de informacin y
determinar el control al cual hace referencia su implementacin.
Alcance: Debe determinarse el alcance, A qu poblacin, reas, procesos
o departamentos aplica la poltica?, Quin debe cumplir la poltica?
Roles y Responsabilidades: Se debe definir los responsables y los roles
para la implementacin, aplicacin, seguimiento y autorizaciones de la
poltica.
Revisin de la poltica: Es la actividad mediante la cual la poltica una vez
haya sido redactada pasa a un procedimiento de evaluacin por parte de
otros individuos o grupo de individuos que evalen la aplicabilidad, la
redaccin y se realizan sugerencias sobre el desarrollo y creacin de la
misma.
Aprobacin de la Poltica: Se debe determinar al interior de la entidad la
persona o rol de la alta direccin que tiene la competencia de formalizar las
polticas de seguridad de la informacin mediante la firma y publicacin de
 las mismas. Es importante que la Alta Gerencia de la Entidad muestre
inters y apoyo en la implementacin de dichas polticas.

2. Cumplimiento: Fase mediante la cual todas aquellas polticas escritas

deben estar implementadas y relacionadas a los controles de seguridad
de la Informacin, esto con el fin de que exista consistencia entre lo
escrito en las polticas versus los controles de seguridad implementados
y documentados.

3. Comunicacin: Fase mediante la cual se da a conocer las polticas a los

funcionarios, contratistas y/o terceros de la Entidad. Esta fase es muy
importante toda vez que del conocimiento del contenido de las polticas
depende gran parte del cumplimiento de las mismas; esta fase de la
implementacin tambin permitir obtener retroalimentacin de la
efectividad de las polticas, permitiendo as realizar excepciones,
correcciones y ajustes pertinentes. Todos los funcionarios contratistas
y/o terceros de la entidad debe conocer la existencia de las polticas, la
obligatoriedad de su cumplimiento y la ubicacin fsica de tal documento
o documentos, para que sean consultados en el momento que se
requieran.

4. Monitoreo: Es importante que las polticas sean monitoreadas para

determinar la efectividad y cumplimiento de las mismas, deben crearse
mecanismos ejemplo indicadores para verificar de forma peridica y con
evidencias que la poltica funciona y si debe o no ajustarse.

5. Mantenimiento: Esta fase es la encargada de asegurar que la poltica se

encuentra actualizada, integra y que contiene los ajustes necesarios y
obtenidos de las retroalimentaciones.

6. Retiro: Fase mediante la cual se hace eliminacin de una poltica de

seguridad en cuanto esta ha cumplido su finalidad o la poltica ya no es
necesaria en la Entidad. Esta es la ltima fase para completar el ciclo de
vida de las polticas de seguridad y requiere que este retiro sea
documentado con el objetivo de tener referencias y antecedentes sobre
el tema.
 8. RECOMENDACIONES PARA LA REDACCION DE UNA POLITICA DE
SEGURIDAD DE LA INFORMACIN

A continuacin se presenta una serie de recomendaciones para realizar redaccin

de polticas de seguridad y privacidad de la informacin en la Entidad:

La poltica debe tener como parte de su texto la declaracin en la cual se

indica qu es lo que se desea hacer?, qu regula la poltica?, cul es la
directriz que deben seguir los funcionarios, contratistas y/o terceros?, todo
esto alineado con la estrategia de la organizacin.
Alinearse con el alcance del Modelo de Seguridad y Privacidad de la
Informacin.
Debe especificarse a quin (es) va dirigida la poltica, se debe identificar
fcilmente quien (es) deben cumplir la poltica.
En los casos que aplique se hace referencia de la regulacin mediante la cual
se soporta la poltica.
En caso que aplique la poltica debe indicar las excepciones a la misma y a
quienes les aplica la excepcin.
Datos de las personas o roles de la entidad que pueden brindar informacin
sobre la poltica.
Nombre, rol o responsable de quien autoriza la poltica.
Describir los pasos y procedimientos para realizar ajustes a la poltica.
Explicacin de las consecuencias que se pueden tener en caso de que un
funcionario, contratista o tercero incumpla la poltica.
Fecha que inicia la vigencia de la poltica.

Es importante aclarar que una poltica NO es un estndar, es decir, no debe indicar

como se ejecutar ninguna labor o control de manera especfica, NO indica
tecnologas especficas de uso. Son declaraciones muy generales y de alto nivel
que plasman un objetivo a cumplir por parte de la organizacin.

EJEMPLO:

Con el fin de garantizar la disponibilidad, integridad y confidencialidad de la

informacin, NOMBRE DE LA COMPAA, emplear y distribuir equipos con los
controles criptogrficos en toda la organizacin, conforme se establece en el
PROCEDIMIENTO XYZ123.
9. POLITICAS ESPECFICAS RECOMENDADAS PARA LA IMPLEMENTACIN
DE CONTROLES DE SEGURIDAD DE LA INFORMACIN

En este documento presenta algunas recomendaciones de polticas de seguridad

de la informacin para el Modelo de Seguridad y privacidad de la Informacin para
las Entidades del Estado. Este conjunto de recomendaciones no es exhaustivo, se
aconseja que cada Entidad genere sus documentaciones propias dependiendo de
sus caractersticas particulares, sus activos de informacin, sus procesos y los
servicios de informacin que pueda prestar. A continuacin se agruparan las
polticas con el objetivo de hacer una implementacin transversal de Seguridad de
la Informacin en la Entidad.
9.1 ORGANIZACIN DE LA SEGURIDAD DE LA INFORMACIN

Esta poltica tiene como finalidad establecer el comit directivo de la seguridad de

la informacin. Debe tener los siguientes elementos:

Quines conforman el comit directivo de seguridad de la informacin?

Objetivos: Se deben especificar los objetivos del comit como por ejemplo
el mejoramiento continuo de los programas o las distintas actividades que se
realizarn en dichos comits, verificacin de avance de los distintos
proyectos, la revisin del documento de la poltica de seguridad etc
Cumplimiento: Debe establecerse que dicho comit verifique el
cumplimiento de las polticas.

9.2 GESTION DE ACTIVOS

Este grupo de polticas deben hacer referencia a todas aquellas directrices mediante
las cuales se indica a los funcionarios los lmites y procedimientos frente a la
identificacin, uso, administracin y responsabilidad frente a los activos de
Informacin, las polticas relacionadas con gestin de activos deben contemplar
como mnimo:

Identificacin de Activos: Esta poltica debe determinar la periodicidad con

la cual se va a realizar al interior de la Entidad la identificacin y/o
actualizacin del inventario de Activos de Informacin, la poltica debe
determinar el responsable de realizar la actividad, se debe determinar bajo
que instrumento se va a realizar la actividad, dicho instrumento debe permitir
identificar el propietario del activo de informacin.
 Clasificacin de Activos: La Entidad debe determinar la clasificacin de los
activos de informacin de acuerdo a la criticidad, sensibilidad y reserva de la
misma. En la elaboracin de esta poltica debe tenerse en cuenta las leyes
y normatividades actuales que afecten a la Entidad, algunos ejemplos: Ley
1581 de 2012, Decreto 1377 de 2013, Ley 1712 de 2014, Decreto 103 de
2015, entre otras que puedan aplicar de acuerdo a la naturaleza de la
entidad.
Etiquetado de la Informacin: Esta poltica debe determinar el mecanismo,
responsable y obligatoriedad para el etiquetado o rotulacin de Activos.
Devolucin de los Activos: Esta poltica debe determinar el instrumento y
responsable del cumplimiento, mediante el cual se genera obligatoriedad
para que los funcionarios, contratistas y/o terceros realicen la entrega de
activos fsicos y de la informacin una vez finalizado el empleo, acuerdo o
contrato que se tenga con la Entidad.
Gestin de medios removibles: Esta poltica debe contemplar los usos y
permisos que tienen los usuarios y/o funcionarios de la Entidad frente a los
medios removibles, entendiendo como medio removible a todos aquellos
dispositivos electrnicos que almacenan informacin y pueden ser extrados
de los computadores. Esta poltica debe describir detenidamente en qu
casos se autoriza y en los que no, el uso de medios removibles y los
procedimientos en los cuales se determinen las autorizaciones;
adicionalmente debe describir el responsable de las autorizaciones y
responsabilidades de aquellas personas que tienen autorizacin para el uso
del dicho medio de almacenamiento. El uso de medios removibles en la
entidad deben ir alineados a las clasificaciones de activos dispuestas en la
poltica de Clasificacin de Activos.
Disposicin de los activos: Esta poltica debe determinar la obligatoriedad
para la construccin y cumplimiento de un procedimiento mediante el cual se
realice de forma segura y correcta la eliminacin, retiro, traslado o re uso
cuando ya no se requieran los activos. Esta poltica debe determinar la toma
de backup de los activos evitando as el acceso o borrado no autorizado de
la informacin, la poltica debe indicar quien es el responsable de emitir las
correspondientes autorizaciones y debe aplicar tanto para medios removibles
como activos de procesamiento y/o almacenamiento de informacin.
Dispositivos mviles: Esta poltica debe determinar los funcionarios,
contratistas o terceros que pueden tener acceso a las redes inalmbricas,
quines pueden realizar instalacin de chats corporativos y/o correos
electrnicos de la entidad mediante el uso de este tipo de dispositivos,
adicionalmente debe describir las responsabilidades que deben tener los
funcionarios, contratistas o terceros frente al uso de la informacin
almacenada en los dispositivos mviles as como como los controles de
seguridad que la entidad utilizar para proteger, mitigar, supervisar y
 monitorear los riesgos asociados al acceso y divulgacin no autorizada de la
informacin.

9.3 CONTROL DE ACCESO

Este grupo de polticas deben hacer referencia a todas aquellas directrices mediante
las cuales la Entidad determina los mecanismos de proteccin, los lmites y
procedimientos frente a la administracin y responsabilidad, relacionados con los
accesos a la informacin, sin importar si estos accesos sean electrnicos o fsicos;
las polticas relacionadas con el control de acceso deben contemplar como mnimo:

Control de acceso con usuario y contrasea: Se debe elaborar una

poltica sobre control de acceso a redes, aplicaciones, y/o sistemas de
informacin de la entidad, mediante la cual se determinen los responsables
y los procedimientos formales de autorizacin de creacin, modificacin,
suspensin o eliminacin de usuarios (ID) y contraseas. La poltica debe
enunciar las responsabilidades que los funcionarios, contratistas o terceros
tienen al contar con un usuario o contrasea de la entidad, se debe estipular
que los usuarios (ID) y contraseas son personales e intransferibles y no
deben prestarse, ni compartirse. La entidad debe establecer que por cada
funcionario, contratista o tercero debe tenerse un usuario y una contrasea
para el acceso.
Suministro del control de acceso: Esta poltica debe determinar los
procedimientos formales y directrices que se deben construir para la gestin
de asignacin, modificacin, revisin o revocacin de derechos y/o privilegios
a cada uno de los usuarios (ID) creados, tambin deben tenerse en cuenta
en esta poltica los casos especiales como lo son usuarios (ID) con privilegios
superiores utilizados para la administracin de infraestructura, aplicaciones y
sistemas de informacin de la entidad.
Gestin de Contraseas: Esta poltica debe definir los lineamientos
mnimos en cuanto a calidad que deben tener las contraseas para ser
utilizadas como mecanismo de autenticacin en los accesos a la red,
aplicaciones y/o sistemas de informacin de la entidad. Esta poltica debe
indicar a los funcionarios, contratistas y/o terceros los parmetros mnimos
para que una contrasea sea considera como fuerte, gestin de cambio de
contrasea, debe determinar que los accesos a la red, las aplicaciones y
sistemas de informacin deben requerir un usuario (ID) y una contrasea
fuerte para que realice la correspondiente autenticacin y acceso a la
informacin de forma segura.
Permetros de Seguridad: La poltica debe definir los permetros fsicos de
seguridad donde se encuentra informacin crtica, sensible o se realice
almacenamiento y/o procesamiento de informacin a los cuales los
 funcionarios, contratistas o terceros, tienen acceso y a cuales no, la poltica
debe definir los responsables de autorizar o no ingresos a las reas
delimitadas como de acceso restringido.
reas de Carga: La poltica debe definir las condiciones e instalaciones
fsicas en las cuales se va a realizar despacho y carga de paquetes fsicos
para bodegas o espacios definidos de carga, esto con el fin de evitar el
acceso no autorizado a otras reas de la entidad. Esta poltica debe
determinar el seguimiento que se debe realizar para garantizar el
cumplimiento de dicha poltica y sus correspondientes responsables.
9.4 NO REPUDIO

La poltica de seguridad y privacidad comprende la capacidad de no repudio con el

fin de que los usuarios eviten haber realizado alguna accin.

La poltica deber incluir mnimo los siguientes aspectos:

Trazabilidad: La poltica har que por medio de la trazabilidad de las

acciones se haga seguimiento a la creacin, origen, recepcin, entrega de
informacin y otros.
Retencin: La poltica debe incluir el periodo de retencin o almacenamiento
de las acciones realizadas por los usuarios, el cual deber ser informado a
los funcionarios, contratistas y/o terceros de la Entidad.
Auditora: La poltica incluir la realizacin de auditoras continuas, como
procedimiento para asegurarse que las partes implicadas nieguen haber
realizado una accin.
Intercambio electrnico de informacin: La poltica incluir en los casos
que aplique, que los servicios de intercambio electrnico de informacin son
garanta de no repudio.

9.5 PRIVACIDAD Y CONFIDENCIALIDAD

Esta poltica debe contener una descripcin de las polticas de tratamiento y

proteccin de datos personales que deben ser aplicados, conforme a lo establecido
en la normatividad vigente. La poltica de privacidad debe contener como mnimo lo
siguiente:

1. mbito de aplicacin
2. Excepcin al mbito de aplicacin de las polticas de tratamiento de
datos personales
3. Principios del tratamiento de datos personales:
 Principio de la Legalidad: El tratamiento de datos personales debe estar
sujeto a lo establecido en la normatividad vigente.
Principio de finalidad: Indicar la finalidad del tratamiento de datos personales,
la cual debe ser informada al titular.
Principio de libertad: El tratamiento slo puede hacerse con el consentimiento
previo, expreso e informado del titular de los datos.
Principio de veracidad o calidad: La informacin a tratar debe ser veraz,
completa, exacta, actualizada, comprobable y comprensible.
Principio de transparencia: Garantizar al titular de los datos el derecho a
obtener informacin que le concierna del encargado del tratamiento.
Principio de acceso y circulacin restringida: El tratamiento slo podr
hacerse por personas autorizadas por el titular o por personas previstas en
la normatividad vigente.
Principio de seguridad: La informacin sujeta a tratamiento, se debe manejar
con las medidas tcnicas, humanas y administrativas que sean necesarias
para garantizar la seguridad evitando su adulteracin, prdida, consulta, uso
o acceso no autorizado o fraudulento
Principio de confidencialidad: Todas las personas que participen en el
Tratamiento de Datos Personales deben garantizar la reserva de dicha
informacin.
4. Derechos de los titulares: La poltica debe indicar los derechos de los
titulares de los datos, tales como:
Conocer, actualizar y rectificar sus datos personales.
Solicitar la prueba de su autorizacin para el tratamiento de sus datos
personales.
Ser informado respecto del uso que se le da a sus datos personales.
Revocar la autorizacin y/o solicitar la supresin de sus datos personales de
las bases de datos o archivos cuando el titular lo considere, siempre y cuando
no se encuentren vigentes con el Banco los servicios o productos que dieron
origen a dicha autorizacin.
Presentar quejas ante la entidad administrativa encargada de la proteccin
de los datos personales.
5. Autorizacin del titular: La poltica debe indicar cmo obtener autorizacin
del titular para el tratamiento de sus datos personales, as como los casos en
los cuales no se requiere autorizacin del titular.
6. Deberes de los responsables del Tratamiento: La poltica debe indicar
cuales son los deberes de los responsables y/o encargados del tratamiento
de los datos personales.
Poltica de controles criptogrficos: Esta poltica deber especificar como
se asegura la confidencialidad y autenticidad de la informacin que circula o
se genera a travs de los diferentes sistemas de informacin.
La poltica de confidencialidad, debe contener un compromiso o acuerdo de
confidencialidad, por medio del cual todo funcionario, contratista y/o tercero
vinculado a la Entidad, deber firmar un compromiso de no divulgar la informacin
interna y externa que conozca de la Entidad, as como la relacionada con las
funciones que desempea en la misma. La firma del acuerdo implica que la
informacin conocida por todo funcionario, contratista y/o tercero, bajo ninguna
circunstancia deber ser revelada por ningn medio electrnico, verbal, escrito u
otro, ni total ni parcialmente, sin contar con previa autorizacin.

La poltica deber indicar desde cuando se firma el acuerdo de confidencialidad, as

como la vigencia del mismo.
9.6 INTEGRIDAD

La poltica de integridad debe ser conocida y aceptada por todos los funcionarios,
contratistas y/o terceros que hagan parte de la Entidad, la cual se refiere al manejo
ntegro e integral de la informacin tanto interna como externa, conocida o
administradas por los mismos.

De esta manera, toda informacin verbal, fsica o electrnica, debe ser adoptada,
procesada y entregada o transmitida integralmente, coherentemente,
exclusivamente a las personas correspondientes y a travs de los medios
correspondientes, sin modificaciones ni alteraciones, salvo que as lo determinen
las personas autorizadas y/o responsables de dicha informacin. En el caso de
vinculacin contractual, el Compromiso de administracin y manejo integro e
integral de la informacin interna y externa har parte de las clusulas del respectivo
contrato, bajo la denominacin de Clusula de integridad de la informacin.

La poltica de integridad, deber establecer asimismo la vigencia de la misma

acorde al tipo de vinculacin del personal al cual aplica el cumplimiento.
9.7 DISPONIBILIDAD DEL SERVICIO E INFORMACIN

La Entidad deber contar con un plan de continuidad del negocio con el fin de
asegurar, recuperar o restablecer la disponibilidad de los procesos que soportan el
Sistema de Gestin de Seguridad de la Informacin y procesos misionales de la
Entidad, ante el evento de un incidente de seguridad de la informacin.

La poltica de disponibilidad debe incluir como mnimo los siguientes aspectos:

Niveles de disponibilidad: Esta poltica debe velar por el cumplimiento de

los niveles de disponibilidad de servicios e informacin acordados con
clientes, proveedores y/o terceros en funcin de las necesidades de la
 Entidad, los acuerdos de nivel de servicios ofrecidos y evaluaciones de
riesgos.
Planes de recuperacin: La poltica debe incluir los planes de recuperacin
que incluyan las necesidades de disponibilidad del negocio.
Interrupciones: La poltica debe velar por la gestin de interrupciones de
mantenimiento de los servicios que afecten la disponibilidad del mismo.
Acuerdos de Nivel de servicio: Tener en cuenta los acuerdos de niveles de
servicios (ANS) en las interrupciones del servicio.
Segregacin de ambientes: Esta poltica debe establecer la segregacin de
ambientes para minimizar los riesgos de puesta en funcionamiento de
cambios y nuevos desarrollos con el fin de minimizar el impacto de la
indisponibilidad del servicio durante las fases de desarrollo, pruebas y
produccin.
Gestin de Cambios: La poltica debe incluir gestin de cambios para que
los pasos a produccin afecten mnimamente la disponibilidad y se realicen
bajo condiciones controladas.
9.8 REGISTRO Y AUDITORA

Esta poltica vela por el mantenimiento de las evidencias de las actividades y

acciones que afectan los activos de informacin.

Esta poltica deber contener:

Responsabilidad: Incluir la responsabilidad de la Oficina de Control Interno

y similares, acerca de la responsabilidad de llevar a cabo las auditoras
peridicas a los sistemas y actividades relacionadas a la gestin de activos
de informacin, as como la responsabilidad de dicha Oficina de informar los
resultados de las auditoras.
Almacenamiento de registros: La poltica debe incluir el almacenamiento
de los registros de las copias de seguridad en la base de datos
correspondiente y el correcto funcionamiento de las mismas. Los registros de
auditora deben incluir toda la informacin registro y monitoreo de eventos de
seguridad.
Normatividad: La poltica de auditora debe velar porque las mismas sean
realizadas acorde a la normatividad y requerimientos legales aplicables a la
naturaleza de la Entidad.
Garanta cumplimiento: La poltica de auditora debe garantizar la
evaluacin de los controles, la eficiencia de los sistemas, el cumplimiento de
las polticas y procedimientos de la Entidad; as como recomendar las
deficiencias detectadas.
Periodicidad: La poltica debe determinar la revisin peridica de los niveles
de riesgos a los cuales est expuesta la Entidad, lo cual se logra a travs de
 auditoras peridicas alineada a los objetivos estratgicos y gestin de
procesos de la Entidad.

9.9 GESTION DE INCIDENTES DE SEGURIDAD DE LA INFORMACIN:

La entidad deber documentar una poltica general de gestin de eventos,

incidentes y vulnerabilidades de seguridad de la informacin. Debe ir dirigida a todos
los usuarios que tienen un acceso autorizado a cualquier sistema de informacin.

La poltica debe contemplar para su elaboracin los siguientes parmetros:

Debe estar aprobada por la alta direccin, certificando as el compromiso con

el proceso.
Visin General: Qu se debe reportar? A quin debe reportarse?, Qu
medios pueden emplearse para hacer el reporte?
Definir Responsables: Se deben mencionar de manera muy general
quienes sern los responsables de gestionar los eventos.
Actividades: Explicar de manera general en que consiste el proceso de
gestin de incidentes desde el reporte hasta la resolucin.
Documentacin: Se debe hacer referencia sobre la documentacin del
esquema de gestin y los procedimientos.
Descripcin Del Equipo Que Manejar Los Incidentes: Se debe indicar
como est compuesta la estructura general para la gestin de incidentes y
vulnerabilidades de seguridad.
Aspectos Legales: Deben citarse los aspectos legales que se deben tener
en cuenta o los cuales debe darse cumplimiento.

9.10 CAPACITACIN Y SENSIBILIZACIN EN SEGURIDAD DE LA

INFORMACIN:

Esta poltica se centra en la formacin del personal en temas relacionados con la

seguridad de la informacin, cuya finalidad es disminuir las vulnerabilidades y
amenazas relacionadas con el recurso humano.

Dicha poltica debe contener los siguientes parmetros.

El compromiso de la alta direccin en destinar los recursos suficientes para

desarrollar los programas.
Quines debern ser entrenados? Quines debern ser sensibilizados?
La obligacin de los usuarios a asistir a los eventos o cursos de capacitacin.
 Revisin peridica de resultados de capacitaciones para mejoramiento de los
procesos.
Definir los roles y responsabilidades de quienes disearan los programa,
quienes los comunicarn.
Documentacin sobre planes de estudio y desarrollo de los programas.
Compromisos y obligaciones por parte del personal capacitado.
Contener polticas adicionales relacionadas directamente con el debido
comportamiento de los usuarios usuarios como las siguientes:
o Poltica De Escritorio Limpio
o Poltica De Uso Aceptable
o tica Empresarial.