· Web viewEn caso que se utilice transporte o servicios de mensajería para los medios físicos...

MANUAL DE POLÍTICAS DE SEGURIDAD DIGITAL DE LA SUPERINTENDENCIA FINANCIERA DE

COLOMBIA

Diciembre 2019

TABLA DE CONTENIDONOTA DE CONFIDENCIALIDAD. El presente documento es de uso exclusivo de la Superintendencia Financiera de Colombia, por lo tanto se prohíbe su reproducción total o parcial sin autorización previa.

1. ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN................................................................................6

1.1. ORGANIZACIÓN INTERNA.......................................................................................................................................61.1.1. Roles y responsabilidades para la Seguridad de la Información.............................................................61.1.2. Separación de deberes...........................................................................................................................61.1.3. Contactos con las autoridades...............................................................................................................61.1.4. Contacto con grupos de interés especial................................................................................................61.1.5. Seguridad de la información en la gestión de proyectos........................................................................6

1.2. DISPOSITIVOS MOVILES Y TELETRABAJO.........................................................................................................71.2.1. Política para dispositivos móviles...........................................................................................................71.2.2. Teletrabajo.............................................................................................................................................8

2. SEGURIDAD DE LOS RECURSOS HUMANOS......................................................................................................8

2.1. ANTES DE ASUMIR EL EMPLEO..........................................................................................................................82.1.1. Selección................................................................................................................................................92.1.2. Términos y Condiciones Laborales..........................................................................................................9

2.2. DURANTE LA EJECUCION DEL EMPLEO...............................................................................................................92.2.1. Responsabilidades de la dirección de la SFC...........................................................................................92.2.2. Toma de conciencia, Educación y formación sobre la Seguridad de la Información.............................102.2.3. Proceso disciplinario.............................................................................................................................10

2.3. TERMINACIÓN Y CAMBIO DE EMPLEO................................................................................................................102.3.1. Terminación o cambio de responsabilidades de empleo......................................................................10

3. GESTIÓN DE ACTIVOS.................................................................................................................................... 10

3.1. RESPONSABILIDAD POR LOS ACTIVOS.....................................................................................................................113.1.1. Inventario de activos............................................................................................................................113.1.2. Propiedad de los activos.......................................................................................................................113.1.3. Uso aceptable de los activos................................................................................................................113.1.4. Devolución de activos...........................................................................................................................11

3.2. CLASIFICACIÓN DE LA INFORMACIÓN......................................................................................................................113.2.1. Clasificación de Información................................................................................................................113.2.2. Etiquetado y manejo de la Información...............................................................................................123.2.3. Manejo de activos................................................................................................................................12

3.3. MANEJO DE MEDIOS.....................................................................................................................................123.3.1. Gestión de medios removibles..............................................................................................................133.3.2. Disposición de los medios.....................................................................................................................133.3.3. Transferencia de medios físicos............................................................................................................13

4. CONTROL DE ACCESO.................................................................................................................................... 13

4.1. REQUISITO DE LA SFC PARA EL CONTROL DE ACCESO...................................................................................134.1.1. Política de Control de acceso................................................................................................................144.1.2. Acceso a redes y a servicios de red.......................................................................................................14

4.2. GESTIÓN DEL ACCESO DE USUARIOS.......................................................................................................................144.2.1. Registro y cancelación de usuarios.......................................................................................................144.2.2. Suministro de acceso de usuarios.........................................................................................................144.2.3. Gestión de derechos de acceso privilegiado.........................................................................................144.2.4. Gestión de información de autenticación secreta de usuarios.............................................................154.2.5. Revisión de derechos de acceso a usuario............................................................................................16

NOTA DE CONFIDENCIALIDAD. El presente documento es de uso exclusivo de la Superintendencia Financiera de Colombia, por lo tanto se prohíbe su reproducción total o parcial sin autorización previa.

4.2.6. Retiro, suspensión o ajuste de los derechos de acceso.........................................................................164.3. RESPONSABILIDADES DE LOS USUARIOS..................................................................................................................16

4.3.1. Uso de información de autenticación secreta (contraseña).................................................................164.4. CONTROL DE ACCESO A SISTEMAS Y APLICACIONES....................................................................................................17

4.4.1. Restricción de acceso a la información.................................................................................................174.4.2. Procedimiento de ingreso seguro.........................................................................................................174.4.3. Sistemas de gestión de contraseñas.....................................................................................................174.4.4. Uso de programas utilitarios privilegiados...........................................................................................174.4.5. Control de acceso a códigos fuente de programas...............................................................................17

5. CRIPTOGRAFÍA.............................................................................................................................................. 18

5.1. CONTROLES CRIPTOGRÁFICOS...............................................................................................................................185.1.1. Políticas sobre el uso de controles criptográficos.................................................................................185.1.2. Gestión de llaves..................................................................................................................................18

6. SEGURIDAD FISICA Y DEL ENTORNO.............................................................................................................. 19

6.1. ÁREAS SEGURAS................................................................................................................................................196.1.1. Perímetro de Seguridad Física..............................................................................................................196.1.2. Controles de Acceso Físicos..................................................................................................................196.1.3. Seguridad de oficinas, recintos e instalaciones....................................................................................206.1.4. Protección contra amenazas externas y ambientales..........................................................................206.1.5. Trabajo en áreas seguras.....................................................................................................................20

6.2. EQUIPOS..........................................................................................................................................................216.2.1. Ubicación y protección de los equipos..................................................................................................216.2.2. Servicios de Suministros.......................................................................................................................216.2.3. Seguridad del cableado........................................................................................................................216.2.4. Mantenimiento de los equipos.............................................................................................................216.2.5. Retiro de activos...................................................................................................................................226.2.6. Seguridad de los equipos fuera de las instalaciones de la entidad.......................................................226.2.7. Disposición segura o reutilización de equipos......................................................................................226.2.8. Equipo de usuario desatendido............................................................................................................236.2.9. Política de escritorio despejado y pantalla despejada..........................................................................23

7. SEGURIDAD DE LAS OPERACIONES................................................................................................................ 23

7.1. PROCEDIMIENTOS OPERACIONALES Y RESPONSABILIDADES..........................................................................................237.1.1. Procedimientos de operación documentados......................................................................................247.1.2. Gestión del cambio...............................................................................................................................247.1.3. Gestión de Capacidad..........................................................................................................................247.1.4. Separación de los ambientes de desarrollo, pruebas y operación........................................................24

7.2. PROTECCIÓN CONTRA CÓDIGOS MALICIOSOS...........................................................................................................247.2.1. Controles contra código malicioso.......................................................................................................24

7.3. COPIAS DE RESPALDO...................................................................................................................................257.3.1. Respaldo de Información......................................................................................................................25

7.4. REGISTRO Y SEGUIMIENTO...........................................................................................................................257.4.1. Registro de eventos..............................................................................................................................257.4.2. Protección de la información de los registros.......................................................................................257.4.3. Registros de administradores y operador.............................................................................................267.4.4. Sincronización de relojes......................................................................................................................26


7.5. CONTROL DE SOFTWARE OPERACIONAL......................................................................................................267.5.1. Instalación de software en sistemas operativos...................................................................................26

7.6. GESTIÓN DE LA VULNERABILIDAD TÉCNICA..............................................................................................................267.6.1. Gestión de vulnerabilidades técnicas...................................................................................................267.6.2. Restricciones sobre la instalación de software.....................................................................................27

7.7. CONSIDERACIONES SOBRE AUDITORIAS DE SISTEMAS DE INFORMACION.........................................................................277.7.1. Controles de auditoria de sistemas de información.............................................................................27

8. SEGURIDAD DE LAS COMUNICACIONES.........................................................................................................27

8.1. GESTION DE LA SEGURIDAD DE LAS REDES...................................................................................................278.1.1. Controles de las redes..........................................................................................................................278.1.2. Seguridad de los servicios de red..........................................................................................................288.1.2.1....................................................................................................................................... Internet.

288.1.2.2........................................................................................................................................ Intranet

298.1.3. Separación en las redes........................................................................................................................30

8.2. TRANSFERENCIA DE INFORMACION..............................................................................................................308.2.1. Políticas y procedimientos para el intercambio de la información.......................................................308.2.2. Acuerdos sobre transferencia de información......................................................................................318.2.3. Mensajería electrónica.........................................................................................................................328.2.4. Acuerdos de confidencialidad o de no divulgación...............................................................................33

9. ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS.....................................................................33

9.1. REQUISITOS DE SEGURIDAD DE LOS SISTEMAS DE INFORMCIÓN.................................................................339.1.1. Análisis y especificación de requisitos de seguridad de la información................................................349.1.2. Seguridad de servicios de las aplicaciones en redes publicas...............................................................349.1.3. Protección de transacciones de los servicios de las aplicaciones..........................................................34

9.2. SEGURIDAD EN LOS PROCESOS DE DESARROLLO Y SOPORTE........................................................................................359.2.1. Política de desarrollo seguro................................................................................................................359.2.2. Procedimientos de control de cambios en sistemas.............................................................................359.2.3. Revisión técnica de las aplicaciones después de cambios en la plataforma de operación....................359.2.4. Restricciones en los cambios a los paquetes de software.....................................................................359.2.5. Principios de construcción de sistemas seguros...................................................................................369.2.6. Ambiente de desarrollo seguro............................................................................................................369.2.7. Desarrollo contratado externamente...................................................................................................369.2.8. Pruebas de seguridad de sistemas.......................................................................................................379.2.9. Prueba de aceptación de sistemas.......................................................................................................37

9.3. DATOS DE PRUEBA.............................................................................................................................................379.3.1. Protección de datos de prueba.............................................................................................................37

10. RELACIONES CON LOS PROVEEDORES............................................................................................................37

10.1. SEGURIDAD DE LA INFORMACION EN LAS RELACIONES CON LOS PROVEEDORES...............................................................3710.1.1. Política de seguridad de la información para las relaciones con proveedores......................................37

10.1.2. TRATAMIENTO DE LA SEGURIDAD DENTRO DE LOS ACUERDOS CON PROVEEDORES...........................................................3710.1.3. Cadena de suministro de tecnología de información y comunicación..................................................38

10.2. GESTION DE LA PRESTACION DE SERVICIOS DE PROVEEDORES......................................................................................3810.2.1. Seguimiento y revisión de los servicios de los proveedores Controles de las redes...............................38


10.2.2. Gestión de cambios en los servicios de proveedores............................................................................38

11. GESTION DE INCIDENTES DE SEGURIDAD DE LA INFORMACION.....................................................................38

11.1. GESTIÓN DE INCIDENTES Y MEJORAS EN LA SEGURIDAD DE LA INFORMACION.................................................................3811.1.1. Responsabilidades y procedimientos....................................................................................................3811.1.2. Reporte de eventos de seguridad de la información............................................................................3911.1.3. Reporte de debilidades de seguridad de la información.......................................................................3911.1.4. Evaluación de eventos de seguridad de la información y decisiones sobre ellos..................................3911.1.5. Respuesta a incidentes de seguridad de la información.......................................................................3911.1.6. Aprendizaje obtenido de los incidentes de seguridad de la información..............................................4011.1.7. Recolección de evidencia......................................................................................................................40

12. CUMPLIMIENTO............................................................................................................................................ 40

12.1. CUMPLIMIENTO DE LOS REQUISITOS LEGALES Y CONTRACTUALES.................................................................4012.1.1. Derechos de propiedad intelectual.......................................................................................................4012.1.2. Protección de registros.........................................................................................................................4112.1.3. Privacidad y protección de información de datos personales...............................................................4112.1.4. Reglamentación de los controles criptográficos...................................................................................42

12.2. REVISIONES DE LA SEGURIDAD DE LA INFORMACIÓN..................................................................................................4212.2.1. Revisión independiente de la seguridad de la información..................................................................4212.2.2. Cumplimiento con las políticas y normas de seguridad........................................................................4212.2.3. Revisión del cumplimiento técnico.......................................................................................................42

13. ANEXOS........................................................................................................................................................ 44

14. HISTORIAL DE CAMBIOS................................................................................................................................ 44


MANUALE-MN-PLA-07

Versión 1

POLÍTICAS DE SEGURIDAD DIGITAL Página 6 de 46

1. ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN.

1.1. ORGANIZACIÓN INTERNA.

Objetivo. Define la administración de la seguridad dentro de la organización (roles, compromisos, autorizaciones, acuerdos, manejo con terceros)

1.1.1. Roles y responsabilidades para la Seguridad de la Información

Los roles y responsabilidades relacionadas con las Políticas de Seguridad de la Información se establecen teniendo en cuenta la jerarquía y niveles para la toma de decisiones, los roles y responsabilidades para la seguridad de la información se encuentran definidos en la Política General de Seguridad de la Información.

1.1.2. Separación de deberes.

La SFC definirá una estructura orgánica y con base a esta se especifican las diferentes áreas organizacionales, con el fin de reducir las posibilidades de modificaciones no autorizadas, no intencionales o el uso indebido de los activos de la entidad.

1.1.3. Contactos con las autoridades

El Equipo de Seguridad de la Información debe identificar los organismos externos que ejerzan autoridad en lo relacionado con los aspectos de seguridad de la información para que en ejercicio del deber de colaboración entre entidades previsto por la Constitución Política de Colombia logre la colaboración pertinente para el logro de los objetivos de investigación a que hubiere lugar.

1.1.4. Contacto con grupos de interés especial

La SFC deberá fomentar la participación activa del equipo de seguridad en foros, seminarios que ayuden a la constante actualización en temas de seguridad y estar informados de los últimos acontecimientos relacionados con seguridad informática.

1.1.5. Seguridad de la información en la gestión de proyectos.

Cada desarrollo de un proyecto que se lleve a cabo en la SFC debe garantizar la protección de la información en las diferentes etapas del proyecto.

MANUALE-MN-PLA-07

Versión 1


1.2. DISPOSITIVOS MOVILES Y TELETRABAJO

Objetivo: Garantizar la seguridad del teletrabajo y el uso de dispositivos móviles.

1.2.1. Política para dispositivos móviles

La SFC pondrá a disposición de funcionarios dispositivos móviles los cuales deberán contar con mecanismos de seguridad, bloqueo y destrucción de la información en caso de pérdida o robo y ser asegurados tanto física como lógicamente para su correcto funcionamiento.

La SFC permite el uso de dispositivos móviles personales para el acceso a la red de la entidad, para lo cual la Dirección de Tecnología dispondrá los controles necesarios para garantizar la seguridad de la información que sea transmitida, almacenada o procesada en los mismos.

Política para dispositivos móviles asignados por la Entidad:

Todos los dispositivos deben tener configurada una contraseña, para acceder a las funciones del mismo.

El propietario de cada dispositivo es responsable de mantener actualizadas las aplicaciones y el sistema operativo.

No se permite la instalación de aplicaciones de fuentes desconocidas. Abstenerse de ejecutar cualquier procedimiento que permita evitar la

seguridad de los dispositivos móviles para modificar su funcionamiento o instalar aplicaciones de fuentes desconocidas.

La información contenida en estos dispositivos es de propiedad de la Entidad. Los funcionarios deben evitar la conexión a redes inalámbricas públicas. Todo dispositivo móvil debe estar debidamente inventariado y registrado

según lo establecido por el proceso de gestión de recursos físicos. Se debe configurar el bloqueo automático del dispositivo después de un

tiempo mínimo de 1 minuto de inactividad del usuario. La copia de la información contenida en el dispositivo es de total

responsabilidad del funcionario. Reportar los eventos de seguridad de la información que se presenten con los

dispositivos móviles, siguiendo el procedimiento de Gestión de Incidentes. En caso de pérdida reportar al Equipo de seguridad de la información en la

Dirección de tecnología y al Grupo de almacén e inventarios tan pronto como ocurra el evento.

Política para dispositivos móviles personales:

La Dirección de tecnología dispondrá de una red inalámbrica para los funcionarios.

MANUALE-MN-PLA-07

Versión 1


El acceso a la red se debe realizar con el usuario y contraseña asignado por la entidad al funcionario.

Los funcionarios que configuren el correo en un dispositivo móvil personal, estarán obligados a definir una contraseña para acceder a las funciones del dispositivo.

1.2.2. Teletrabajo

La SFC establecerá mecanismos para cumplir con lo dispuesto por el gobierno nacional a través de sus diferentes entes para el correcto desempeño de los funcionarios que adopten esta práctica.

Los equipos remotos de trabajo deberán tener las medidas de seguridad establecidas por el (área encargada) con el fin de asegurar el cumplimiento de los principios y políticas en materia de seguridad. Así mismo, cuando se realice acceso remoto a plataformas o servidores de la SFC tales accesos deberán contar o cumplir con las siguientes medidas de seguridad:

Cumplir con las políticas y lineamientos establecidos por la Entidad en cabeza de la Subdirección de Talento Humano.

Toda conexión remota para tele-trabajar se debe realizar por el mecanismo seguro ofrecido por la Dirección de Tecnología.

Únicamente, se puede utilizar los equipos suministrados por la Superintendencia Financiera.

No se permite el uso del equipo asignado para Tele-trabajo en actividades distintas a las funciones de tele-trabajo.

La información clasificada sólo se debe guardar en la carpeta cifrada o en los servidores centrales de la Superintendencia Financiera

El equipo debe tener activos los programas de seguridad, control remoto y de navegación instalados por la Dirección de Tecnología.

El funcionario es responsable de aceptar y permitir la instalación de las actualizaciones para el equipo asignado.

2. SEGURIDAD DE LOS RECURSOS HUMANOS.

2.1. ANTES DE ASUMIR EL EMPLEO.

Objetivo. Asegurar que el personal que se vincule a la Entidad, los estudiantes que realicen prácticas universitarias y los contratistas que pretendan establecer una relación contractual con la SFC, sea el más idóneo y comprenda su responsabilidad frente a la seguridad de la información de la Entidad.

MANUALE-MN-PLA-07

Versión 1


2.1.1. Selección.

Para la selección del personal se aplica el procedimiento de “Selección” establecido en el proceso de Gestión de Talento Humano, a través del cual se verifica el cumplimiento de los requisitos para la provisión de los empleos con el personal más idóneo para desarrollar sus funciones en la Superintendencia Financiera de Colombia.

2.1.2. Términos y Condiciones Laborales

Al momento de la vinculación a la Entidad y luego de conocer el Manual sobre Políticas de Seguridad de la Información, el funcionario suscribe el Acta de Compromiso y Confidencialidad en la cual se manifiesta conocer las Políticas de Seguridad de la Información de la Entidad, comprometiéndose a cumplirlas en todas sus actuaciones, mientras mantengan la condición de funcionario de la Superintendencia Financiera de Colombia y durante el tiempo que sea necesario después de su retiro de la Entidad.

Para el desarrollo de las actividades asignadas a los estudiantes que realizan prácticas universitarias, se aplican los controles de acceso a la información mediante la restricción de permisos a los sistemas de la Entidad.

El personal contratista suscribirá, como parte de los documentos de formalización del contrato respectivo, el Acuerdo de Confidencialidad respecto a la información a la cual tenga acceso para la ejecución del objeto del mismo.

2.2. DURANTE LA EJECUCION DEL EMPLEO

Objetivo. Adelantar acciones para incrementar la toma de conciencia de los funcionarios y personal externo de la Superintendencia Financiera de Colombia respecto a la responsabilidad por el uso y manejo de la información, a la que tiene o pudiera tener acceso, durante su permanencia en la Entidad.

2.2.1. Responsabilidades de la dirección de la SFC.

Las directivas de la SFC exigirán que todo funcionario o tercero que tenga acceso a los activos de información, cumplan las políticas y los procedimientos de seguridad de la información establecidos por la Entidad.

Es deber de todos los destinatarios y demás custodiar y cuidar la documentación e información que por razón de sus funciones conserve bajo su cuidado o a la cual tenga acceso, e impedir la sustracción, destrucción, ocultamiento o utilización indebida1.

2.2.2. Toma de conciencia, Educación y formación sobre la Seguridad de la Información

1 Numeral 5, Artículo 34 de la Ley 734 de 2002, Código Disciplinario Único

MANUALE-MN-PLA-07

Versión 1


La SFC a través de la Subdirección de Talento Humano, el Grupo de Comunicaciones, la Dirección de Tecnología y el Equipo de Seguridad de la Información, establece las estrategias de sensibilización y formación al inicio de la vinculación y de forma periódica, por lo menos una vez al año, en procura de que todos los funcionarios, consultores, contratistas y terceras partes involucrados conozcan e interioricen las políticas de Seguridad de la Información, utilizando todos los medios a su alcance.

2.2.3. Proceso disciplinario

Todo incidente de seguridad contra los activos de información de la SFC que implique un eventual incumplimiento de deberes o violación a las prohibiciones establecidas en las disposiciones vigentes sobre políticas de seguridad de la información consagradas en este manual debe ser informado a la Oficina de Control Disciplinario para que dentro del marco de sus funciones y competencias establezca la posible comisión de una falta disciplinaria.

En el caso de incumplimiento de deberes o violación a las prohibiciones establecidas en las disposiciones vigentes sobre políticas de seguridad de la información consagradas en este manual por parte de un contratista, se debe informar al grupo de contratos para que aplique el incumplimiento a las cláusulas definidas en el contrato.

2.3. TERMINACIÓN Y CAMBIO DE EMPLEO

Objetivo. Proteger los intereses de la Superintendencia Financiera de Colombia con ocasión de situaciones administrativas que modifiquen la situación laboral de los funcionarios, esto es, traslado o reubicación, cambio de funciones o retiro de la entidad.

En el caso de los contratistas, garantizar la protección de la información una vez finaliza la relación contractual.

2.3.1. Terminación o cambio de responsabilidades de empleo

Para el retiro del personal se aplica el procedimiento de “retiro de servicio” establecido en el proceso de Gestión de Talento Humano, por medio del cual se especifica las responsabilidades y deberes que permanecen después de la terminación o cambio de empleo.

De acuerdo a la modalidad de vinculación de personal de la entidad, el proceso de Gestión de Talento Humano y/o Gestión Contractual debe reportar a la dirección de tecnología el retiro del funcionarios o contratista para revocar los derechos de accesos a los diferentes sistemas de información.

MANUALE-MN-PLA-07

Versión 1


3. GESTIÓN DE ACTIVOS.

3.1. RESPONSABILIDAD POR LOS ACTIVOS.

Objetivo. Establecer y mantener la protección apropiada de los activos de la entidad.

3.1.1. Inventario de activos.

Los activos deben ser identificados, administrados, controlados y monitoreados para protegerlos de manera adecuada y de su uso indebido siguiendo el proceso establecido por el Equipo de Seguridad de la Información.

El inventario debe permanecer actualizado ante cualquier modificación de la información registrada y revisado periódicamente acorde al procedimiento “Gestión de activos de información”.

3.1.2. Propiedad de los activos

Los activos de información son propiedad de la SFC o se encuentran bajo su responsabilidad o custodia y son manejados por el personal de las diferentes dependencias.

3.1.3. Uso aceptable de los activos

La SFC a través de este documento establece reglas para el uso adecuado de los activos de información tales como: Internet, correo electrónico, dispositivos móviles, información física, información digital, software, hardware e intangibles.

3.1.4. Devolución de activos

Los activos asignados a los funcionarios, consultores, contratistas y terceras partes que finalizan su relación con la entidad deben ser reintegrados y formalizados según lo establecido por la SFC.

3.2. CLASIFICACIÓN DE LA INFORMACIÓN

Objetivo. Asegurar que la información recibe un nivel apropiado de protección, de acuerdo con su importancia para la organización.

MANUALE-MN-PLA-07

Versión 1


3.2.1. Clasificación de Información

El proceso de clasificación es fundamental para cumplir con las políticas de seguridad de la información dispuestas por la SFC. Esta política también combina dos principios básicos del control de acceso. Para la información más crítica, se utiliza el principio de “necesidad de saber2”, y para la menos sensitiva, el principio de “necesidad de retención.

Toda la información al interior de la SFC se debe clasificar según lo establecido en la Ley 1712 de 2014 y demás decretos reglamentarios que se expidan, así:

Información Pública: Es toda información que un sujeto obligado genere, obtenga, adquiera, o controle en su calidad de tal.

Información Pública Clasificada: Es aquella información que estando en poder o custodia de un sujeto obligado en su calidad de tal, pertenece al ámbito propio, particular y privado o semiprivado de una persona natural o jurídica por lo que su acceso podrá ser negado o exceptuado, siempre que se trate de las circunstancias legítimas y necesarias y los derechos particulares o privados consagrados en el artículo 18 de la Ley 1712 de 2014.

Información Pública Reservada: Es aquella información que estando en poder o custodia de un sujeto obligado en su calidad de tal, es exceptuada de acceso a la ciudadanía por daño a intereses públicos y bajo cumplimiento de la totalidad de los requisitos consagrados en el artículo 19 de la Ley 1712 de 2014.

La clasificación de la información de la SFC debe ser realizada por los responsables de la información, de acuerdo con la metodología definida por la Oficina Asesora de Planeación.

3.2.2. Etiquetado y manejo de la Información

La SFC desarrolla procedimientos adecuados para el etiquetado de la información según su clasificación, para de esta forma se identifiquen los medios.

3.2.3. Manejo de activos

El manejo de los activos se realizará acorde a lo establecido en la presente política, a su nivel de clasificación y a lo definido por los responsables a quienes se asignen estos.

2 Principio “Necesidad de saber”: la información será utilizada exclusivamente cuando se necesite saber y sea comprobada esta necesidad.

MANUALE-MN-PLA-07

Versión 1


3.3. MANEJO DE MEDIOS

Objetivo. Evitar la divulgación, la modificación, el retiro o la destrucción no autorizada de información almacenada en los medios.

3.3.1. Gestión de medios removibles

Se restringe el uso de cualquier medio de almacenamiento como USB, DVD, CD, Flash card, discos externos que se utilice con este propósito y se conecten a un PC o al rede de la SFC.

a. En casos de excepción, se deberá solicitar la autorización al director de tecnología siguiendo el procedimiento de solicitud uso medios extraíbles definido en el SGI para autorización permanente o temporal.

3.3.2. Disposición de los medios

La SFC establece un procedimiento adecuado y seguro para eliminar o destruir los medios que contengan información de la SFC que ya no se requieran.

3.3.3. Transferencia de medios físicos

a. El transito físico de información debe realizarse con las medidas de protección que garanticen que no va a ser extraviada, duplicada, alterada o destruida.

b. Toda información se debe enviar por canales de comunicación seguros disponibles por la SFC.

c. La información que físicamente deba ser movilizada debe estar debidamente identificada para su trazabilidad.

d. En caso que se utilice transporte o servicios de mensajería para los medios físicos se debe adoptar controles para proteger el contenido contra cualquier daño físico y que estén acordes con las especificaciones del fabricante, como factores ambientales y asegurar que se identifica adecuadamente al funcionario de la empresa transportadora responsable de la recepción y/o entrega del medio de almacenamiento.

MANUALE-MN-PLA-07

Versión 1


4. CONTROL DE ACCESO

4.1. REQUISITO DE LA SFC PARA EL CONTROL DE ACCESO.

Objetivo. Define el control físico o lógico de los accesos a las áreas de procesamiento de Información.

4.1.1. Política de Control de acceso

La SFC define controles para prevenir el acceso no autorizado a los sistemas de información para garantizar la Seguridad de la Información.

4.1.2. Acceso a redes y a servicios de red

a. Los usuarios se conectan a la red teniendo acceso únicamente a los servicios y recursos necesarios para la ejecución de sus funciones.

b. Si un usuario desea que se habilite un servicio de red que no esté incluido en su perfil el jefe inmediato debe colocar un servicio de mesa de ayuda para que sea evaluado y autorizado.

4.2. GESTIÓN DEL ACCESO DE USUARIOS

4.2.1. Registro y cancelación de usuarios

a. Para la administración de cuentas de usuarios se tiene definido un procedimiento que establece la creación, modificación de permisos e inactivación de cuentas de usuarios.

b. Se debe realizar un control periódico de las cuentas de usuario con la finalidad de mantener activas solo las cuentas que deben estar vigentes.

4.2.2. Suministro de acceso de usuarios

La SFC suministrará los permisos a los sistemas de información, de acuerdo con lo establecido por el proceso de Gestión de Tecnología y con la clasificación de información a la cual se solicite el acceso.

MANUALE-MN-PLA-07

Versión 1


4.2.3. Gestión de derechos de acceso privilegiado

a. La SFC aplica el principio de menor privilegio posible3, que consiste en que sólo se otorgan los permisos necesarios para la ejecución de las funciones.

b. El responsable de la información define los niveles de acceso correspondientes a los sistemas de información.

c. Para los casos en que aplique, los administradores de los sistemas de información deben tener dos cuentas de usuario. Uno de acceso privilegiado (super-usuario/root), para tareas especiales, y el otro con el que se lleve a cabo el trabajo diario de menor perfil.

d. El usuario administrador de los diferentes sistemas de información de la SFC debe permanecer bajo custodia del área responsable de la aplicación.

e. Se deben crear usuarios con roles de administrador asignados a un funcionario con el fin de facilitar la identificación del dueño del mismo.

f. Los usuarios que se encuentren creados por defecto en las aplicaciones, deben ser deshabilitados o eliminados.

g. El propietario de los sistemas de información es el responsable de autorizar la creación y asignación de usuario privilegiados en los sistemas de su propiedad.

h. Se debe mantener un listado actualizado de las cuentas de los administradores de las plataformas o aplicaciones.

4.2.4. Gestión de información de autenticación secreta de usuarios.

a. Cada funcionario contará con un usuario y contraseña para acceso al dominio de la SFC.

b. Después de tres (3) intentos fallidos de ingreso a los sistemas de información de la SFC, la contraseña se bloqueará y se tendrá que abrir un caso con la mesa de ayuda para poder restablecerla.

c. La contraseña debe cumplir con los siguientes requerimientos de complejidad de contraseña fuerte:

1. Contener mínimo 8 caracteres2. Contener mínimo una letra Mayúscula3. Contener mínimo una letra minúscula4. Contener mínimo un número5. Recomendable contener mínimo un carácter especial

3 Los privilegios a los usuarios se deben asignar de acuerdo a sus funciones a realizar y sobre la base de “sólo lo que necesitan saber.

MANUALE-MN-PLA-07

Versión 1


d. Todos los usuarios deberán cambiar la contraseña cada treinta días (30) en caso de que no se realice el cambio la contraseña se bloqueará y se tendrá que abrir un caso con la mesa de ayuda para poder restablecerla.

e. La contraseña no debe ser comunicada por ningún motivo a otra persona.

f. Los funcionarios son responsables de todas las actividades llevadas a cabo con su identificador de usuario.

g. Garantizar que los usuarios cambien las contraseñas iniciales que les han sido asignadas la primera vez que ingresan al sistema. Las contraseñas provisionales, que se asignan cuando los usuarios olvidan su contraseña, sólo debe suministrarse una vez identificado el usuario.

4.2.5. Revisión de derechos de acceso a usuario

a. La Dirección de Tecnología debe revisar de manera anual los derechos de acceso de los usuarios y modificar o reasignar los mismos, de acuerdo con la información suministrada por la Subdirección de Talento Humano y con lo definido en el procedimiento del SGI.

4.2.6. Retiro, suspensión o ajuste de los derechos de acceso

Los permisos otorgados a los funcionarios, supernumerarios, terceros y demás para acceder a los activos asociados a la infraestructura tecnológica de la SFC, se retirarán una vez sea informada la novedad por parte de la Subdirección de Talento Humano, en el momento de la terminación del vínculo laboral cualquiera sea su naturaleza, o supervisor del tercero respectivamente.

La Subdirección de Talento Humano deberá solicitar a la Dirección de Tecnología, deshabilitar el usuario del funcionario que presente una novedad mayor a 5 días calendario, indicando el tiempo de duración de la novedad.

4.3. RESPONSABILIDADES DE LOS USUARIOS.

Objetivo: Hacer que los usuarios rindan cuentas por la salvaguarda de su información de autenticación.

4.3.1. Uso de información de autenticación secreta (contraseña)

a. Los usuarios deben adquirir una buena cultura en la selección de las contraseñas, con la finalidad de garantizar la validación y su autenticación en los sistemas informáticos de la SFC.

MANUALE-MN-PLA-07

Versión 1


b. Si los usuarios necesitan acceder a múltiples servicios o plataformas y se requiere que se ingrese con la misma contraseña, se notificará a los mismos que pueden utilizar una única contraseña para todos los servicios que brinden un nivel adecuado de protección.

c. Los usuarios deben cumplir con las normas de seguridad implementadas para la selección y el uso de las contraseñas.

d. Los usuarios deben cambiar las contraseñas cada vez que el sistema se lo solicite y no reutilizar o reciclar viejas contraseñas.

e. Los usuarios deben evitar llevar un registro de su contraseña en papel, en un archivo de software o en un dispositivo portátil, a menos que se puede almacenar en forma segura y que el método de almacenamiento haya sido aprobado por Resiliencia Operacional.

4.4. Control de acceso a sistemas y aplicaciones

Objetivo: Evitar el acceso no autorizado a sistemas y aplicaciones.

4.4.1. Restricción de acceso a la información

Los sistemas de información deben permitir configuraciones de perfiles de usuarios con el fin de restringir el acceso a las funciones del sistema.

4.4.2. Procedimiento de ingreso seguro.

La Dirección de Tecnología, junto con el Equipo de Seguridad de la Información, realiza una evaluación de riesgos a fin de determinar el método adecuado para el acceso a los sistemas de información.

4.4.3. Sistemas de gestión de contraseñas.

Las herramientas o utilidades de administración de contraseñas de los sistemas de información deben estar configuradas para que las mismas cumplan con las características de complejidad y longitud definida en este manual.

4.4.4. Uso de programas utilitarios privilegiados

La instalación y uso de programas que puedan saltar los controles establecidos no están permitidos, en caso de excepción se debe contar con la autorización escrita de la Dirección de Tecnología.

MANUALE-MN-PLA-07

Versión 1


4.4.5. Control de acceso a códigos fuente de programas.

Proteger y asegurar los códigos fuentes de las aplicaciones y de esta forma prevenir la introducción de una funcionalidad no-autorizada o cambios no-intencionados, luego:

a. Se deben mantener los códigos fuentes de los programas en lugares diferentes a los sistemas en producción.

b. Debe existir una librería de aplicaciones donde se almacena la última versión de los programas fuente, con las debidas restricciones de acceso, desde donde los desarrolladores toman la versión del programa fuente a ser modificado para garantizar la integridad de los mismos.

c. Se deben conservar históricamente las versiones de los programas fuente de acuerdo con las normas vigentes sobre este tema.

5. CRIPTOGRAFÍA.

5.1. CONTROLES CRIPTOGRÁFICOS.

Objetivo: Asegurar el uso apropiado y eficaz de la criptografía para proteger la confidencialidad, la autenticidad y/o la integridad de la Información.

5.1.1. Políticas sobre el uso de controles criptográficos.

a. Todo sistema que almacene claves para control de acceso no pueden estar en texto plano, se deben considerar algoritmos de cifrado actuales teniendo en cuenta los criterios de confidencialidad, integridad, autenticidad y no repudio.

b. La información no pública que se transmita por los diferentes canales de comunicación debe ir cifrada.

5.1.2. Gestión de llaves

Dentro del ejercicio de las funciones de inspección, vigilancia y control de las actividades financiera, bursátil y aseguradora, la SFC cuenta con el apoyo de Certificados digitales para el intercambio de información, por lo tanto:

a. Cada funcionario al que se le asigne un Certificado digital de función pública es responsable de su uso y deberá responder por sus actos sean administrativos o de reporte de información.

b. Definir el protocolo para activar y recibir los Certificados de función pública y su distribución a los usuarios autorizados.

c. Revocar los Certificados cuando se han puesto en peligro o cuando se retira un funcionario de la SFC.

MANUALE-MN-PLA-07

Versión 1


d. Definir criterios de sitio, identificación, responsable y procedimientos para destruirlos los Certificados.

e. Mantener registros de auditoría de las actividades de gestión de llaves.

f. Se debe verificar periódicamente los algoritmos y longitudes de llave, para que estén actualizados.

g. Todas las claves serán protegidas contra modificación y destrucción, y las claves secretas y privadas serán protegidas contra copia o divulgación no autorizada.

6. SEGURIDAD FISICA Y DEL ENTORNO.

6.1. ÁREAS SEGURAS

Objetivo. Establece los procedimientos de control para el acceso físico a las instalaciones de la SFC y a su información.

6.1.1. Perímetro de Seguridad Física

La SFC a través de la Subdirección administrativa, definirá y utilizará perímetros de seguridad tales como paredes y puertas de acceso controladas con el fin de proteger las áreas de acceso a la Entidad y aquellas que contienen información que puedan poner en riesgo la seguridad de la SFC y medios de procesamiento de información.

Se consideran áreas restringidas las siguientes:

Despacho del Superintendente Financiero. Tableros de distribución eléctrica regulada, plantas eléctricas y UPS. Strip Telefónico. Área de archivo de hojas de vida. Centro de Cómputo y Centros de Cableado. Archivo central de la SFC. Centro de monitoreo de mercado. Grupo de Tesorería. Área de archivo de Funciones Jurisdiccionales. Grupo de Cobro Coactivo. Área de archivo de la Oficina de Control Disciplinario. Grupo de Correspondencia.

6.1.2. Controles de Acceso Físicos

a. Todo funcionario de la SFC debe portar en un lugar visible el carné que lo acredita como tal, el cual es expedido por la Subdirección de Talento Humanos y será exigido por los vigilantes al momento de ingresar al edificio.

MANUALE-MN-PLA-07

Versión 1


b. Todo funcionario y contratista que para ejercer sus funciones deba estar en las instalaciones, debe estar inscrito en el sistema de control de acceso establecido por la Entidad.

c. Las puertas de acceso a las áreas de procesamiento, administración o almacenamiento de información reservada deben permanecer cerradas en todo momento, y el ingreso a las mismas debe estar limitado sólo al personal autorizado.

d. Los ingresos a áreas restringidas deben contar con controles de acceso apropiados para asegurar que sólo se permite el ingreso a personal autorizado.

e. Toda persona que ingrese a alguna área restringida de la entidad se compromete a dar cumplimiento a los registros y procedimientos de control establecidos por la SFC para el área involucrada.

f. La subdirección administrativa debe hacer una revisión periódica del estado de la edificación de la SFC para detectar daños en las puertas, cerraduras, ventanas, techos, paredes, pisos, aires acondicionados, cielos rasos, pisos falsos entre otros y definir un plan de mantenimiento para corregir las fallas.

g. Todo visitante debe estar debidamente registrado en el sistema de control de acceso

6.1.3. Seguridad de oficinas, recintos e instalaciones.

La Subdirección Administrativa y Financiera a través del Grupo de Servicios Administrativos establece procedimientos de medidas de seguridad para:

Porte de Carnet Control de ingreso y salida de funcionarios y personal autorizado. Control de ingreso en días no laborales Medidas de seguridad dentro del edificio Medidas de seguridad en el Grupo de Tesorería y Centro de Cómputo Medidas de seguridad en el Archivo Central Medidas de seguridad en la Biblioteca de la Entidad Medidas de seguridad en el Grupo de Correspondencia Medidas de seguridad a cargo del personal de vigilancia

6.1.4. Protección contra amenazas externas y ambientales

a. Se deben mantener las condiciones físicas y ambientales óptimas recomendadas para protección de las áreas de procesamiento de información, así como controles automáticos para prevenir amenazas de incendios, inundaciones, aumentos de temperatura o humedad.

b. Registrar en video las actividades en áreas públicas dentro de los confines del mismo edificio tales como las puertas de acceso a zonas restringidas y

MANUALE-MN-PLA-07

Versión 1


las áreas de manipulación de información reservada, mediante el uso de un circuito cerrado de televisión (CCTV), con el fin de mantener un control de seguridad.

6.1.5. Trabajo en áreas seguras.

a. Los funcionarios deben estar al tanto de las actividades dentro del área restringida sólo de acuerdo con las funciones que desarrolle.

b. Se debe supervisar el trabajo en áreas restringidas para mitigar oportunidades de actividades maliciosas.

c. Las áreas restringidas vacías deben estar cerradas físicamente bajo llave y deben ser inspeccionadas periódicamente.

d. El uso de equipos fotográficos, de vídeo, audio o cualquier otro de grabación, (como cámaras en equipos móviles), debe estar debidamente autorizado por el Grupo de Comunicaciones de la Entidad.

6.1.6. Áreas de despacho y carga

a. La Subdirección Administrativa debe controlar los puntos de acceso tales como áreas de despacho y de carga, y otros puntos en donde pueden entrar personas no autorizadas, igualmente debe mantener aisladas las instalaciones de procesamiento de información para evitar el acceso no autorizado.

b. El material que ingresa se debe inspeccionar y examinar para prevenir la presencia de explosivos, químicos u otros materiales peligrosos, antes de que se retiren del área de despacho y carga.

6.2. EQUIPOS.

Objetivo: Prevenir la perdida, daño, robo o compromiso de activos, y la interrupción de las operaciones de la organización.

6.2.1. Ubicación y protección de los equipos

Los equipos de procesamiento de información y comunicaciones deben estar ubicados en áreas restringidas que cuenten con medidas para prevenir inundaciones, robos, interferencias electromagnéticas, fuego, humo y demás amenazas que puedan interferir con su correcto funcionamiento.

6.2.2. Servicios de Suministros

MANUALE-MN-PLA-07

Versión 1


La SFC a través de la Subdirección Administrativa establece los requisitos para que el servicio público de electricidad sea adecuado para el sistema de respaldo.

La Subdirección Administrativa debe realizar inspecciones y pruebas regulares a los servicios de respaldo de energía para asegurar su adecuado funcionamiento y para reducir cualquier riesgo de falla.

6.2.3. Seguridad del cableado

El cableado de la energía y el de las telecomunicaciones deben ser protegidos contra la interceptación o daño.

Se deben considerar los siguientes lineamientos para el cableado:

a. Las líneas de energía y telecomunicaciones que van a los medios de procesamiento de información, deben contar con medidas de protección adecuada.

b. El cableado de la red de comunicaciones debe estar protegido contra interceptaciones no autorizadas, por ejemplo, utilizando un tubo que sirva como escudo o inhibiendo las rutas a través de áreas públicas.

c. Los cables de energía deben estar separados de los cables de comunicaciones para asegurar la calidad en las comunicaciones.

d. Se deben utilizar estándares para la identificación y etiquetado de cables y equipos con el fin de minimizar errores en la manipulación, como un empalme accidental de los cables de red equivocados.

6.2.4. Mantenimiento de los equipos.

A todos los equipos de cómputo, servidores, software, aplicativos, bases de datos, equipos de comunicaciones y equipos de soporte se les debe realizar mantenimiento preventivo periódico con el fin de que la probabilidad de fallas sea baja teniendo en cuenta los siguientes lineamientos:

a. Sólo el personal autorizado puede llevar a cabo las reparaciones y el mantenimiento de los equipos.

b. La dirección te tecnología debe comunicar previamente a los funcionarios de la entidad el mantenimiento a realizar indicando empresa responsable del mantenimiento, nombre de las personas que realizaran el mantenimiento, horarios, fechas, y la demás información que permita identificar claramente quien ejecutara la actividad.

c. Se deben mantener registros de todas las fallas y todo mantenimiento preventivo y correctivo.

MANUALE-MN-PLA-07

Versión 1


d. Se deben implementar los controles adecuados para el mantenimiento y protección de la información teniendo en cuenta si dicho mantenimiento es realizado localmente o fuera de las instalaciones de la SFC.

e. Toda actividad de mantenimiento debe ser programa y autorizada por el comité de cambios de la Dirección de Tecnología para evitar o prevenir indisponibilidad del servicio.

6.2.5. Retiro de activos.

a. Todo activo de información debe ser asignado a quien lo vaya a utilizar, sea Hardware o Software y de esta manera solamente podrá ser retirado con autorización del funcionario a quien está asignado.

b. No todos los funcionarios están autorizados para retirar los equipos portátiles de las instalaciones de la Entidad, solamente aquellos que cuentan con una debida autorización según lo establecido en el procedimiento de Gestión de Recursos Físicos

6.2.6. Seguridad de los equipos fuera de las instalaciones de la entidad.

Se deben establecer medidas de seguridad adecuadas para los equipos fuera de las instalaciones teniendo en cuenta los diferentes riesgos a los que se exponen. A continuación, se presentan algunas medidas:

a. Cifrado seguro de la información residente en el disco duro.

b. Mantener cuidado especial en los aeropuertos, restaurantes y centros comerciales, entre otros, y nunca dejar el equipo desatendido.

c. Ningún equipo portátil de computación (PCs portátiles, Tableta, Smartphone, etc.) debe registrarse como equipaje de viaje. Estos deben llevarse como equipaje de mano.

6.2.7. Disposición segura o reutilización de equipos

Cuando se necesite reutilizar un equipo, trasladar, dar de baja o donar, se debe eliminar toda información que contenga, utilizando técnicas de borrado seguro de la información con las herramientas y procedimientos que la SFC disponga.

6.2.8. Equipo de usuario desatendido.

Los usuarios deberán garantizar que los equipos desatendidos sean protegidos adecuadamente para lo cual:

MANUALE-MN-PLA-07

Versión 1


a. En las estaciones de trabajo se habilita el control automático de bloqueo con contraseña para las sesiones que permanecen más de cinco (5) minutos inactivos. Sin embargo, cada usuario debe bloquear su estación en el momento de ausentarse de su sitio trabajo.

b. Concluir las sesiones activas al finalizar las tareas, a menos que puedan protegerse mediante un mecanismo de bloqueo adecuado, por ejemplo, un protector de pantalla protegido por contraseña.

6.2.9. Política de escritorio despejado y pantalla despejada

Los funcionaros que tengan asignados puestos de trabajo deben adoptar la cultura de “escritorio despejado” que consiste en:

a. Escritorios despejados en horas no laborales. Por fuera del horario laboral, los funcionarios deben limpiar sus escritorios y áreas de trabajo de cualquier información que puedan afectar la seguridad de la SFC, y además deben asegurar en forma apropiada esta información utilizando controles ya sean físicos o lógicos.

b. Escritorios despejados en horas habituales de trabajo. A menos que la información se esté utilizando por personal autorizado, los escritorios deben estar absolutamente limpios durante horas laborales y toda la información debe estar asegurada en forma adecuada.

c. En los puestos de trabajo solo deben permanecer los documentos y elementos necesarios para la realización de las labores.

d. Los documentos que contengan información que puedan poner en riesgo la seguridad de la SFC y que deban ser desechados deberán ser destruidos previamente haciendo uso de herramientas de destrucción de papel.

7. SEGURIDAD DE LAS OPERACIONES

Objetivo. Establece la forma de operar en las áreas de procesamiento de información (actividades operativas y concernientes a la plataforma tecnológica).

7.1. PROCEDIMIENTOS OPERACIONALES Y RESPONSABILIDADES

MANUALE-MN-PLA-07

Versión 1


Objetivo: Asegurar las operaciones correctas y seguras de las instalaciones de procesamiento de información.

7.1.1. Procedimientos de operación documentados

La Dirección de Tecnología debe mantener debidamente actualizada la documentación referente a la operación de tecnología de la SFC.

7.1.2. Gestión del cambio

Todo cambio en la infraestructura tecnológica será realizado bajo los lineamientos establecidos en el procedimiento de Gestión de Cambios de TI que hace parte del SGI

El comité deberá estar conformado mínimo por un representante de: Grupo de plataforma de TI, Dirección de Tecnología, Subdirección de sistemas de información, Resiliencia Operacional y del proceso de la entidad que se vea afectado con el cambio a efectuar.

7.1.3. Gestión de Capacidad

La Dirección de Tecnología debe velar por que los recursos de tecnología sean óptimos, hacer ajustes y proyectar la capacidad futura para garantizar el buen funcionamiento de los sistemas de la entidad.

7.1.4. Separación de los ambientes de desarrollo, pruebas y operación

La Dirección de Tecnología debe disponer al menos para las aplicaciones críticas de ambientes computarizados de desarrollo, pruebas y de producción, estos deben ser independientes para garantizar una adecuada administración, operación, control y seguridad. Los desarrollos y/o modificaciones hechas a los aplicativos no deberán pasarse al ambiente de producción hasta tanto sean aprobados por los usuarios finales. Dichas modificaciones deben conservar como mínimo las seguridades que estén en operación o su equivalente.

La Dirección de Tecnología debe implementar mecanismos para asegurar que los datos usados en los ambientes de pruebas y desarrollo no sean los de producción

MANUALE-MN-PLA-07

Versión 1


7.2. PROTECCIÓN CONTRA CÓDIGOS MALICIOSOS.

7.2.1. Controles contra código malicioso.

a. La SFC deberá contar con herramientas de detección, prevención y recuperación contra códigos maliciosos.

b. Los funcionarios de la SFC deberán tener en cuenta las mejores prácticas de uso del Antivirus corporativo.

c. La mesa de ayuda de servicios que hace parte de la Dirección de Tecnología debe estar atenta ante cualquier anormalidad que se presente y tomar medidas o escalar el incidente frente a la presencia de código malicioso en las redes de la SFC. (conforme al procedimiento para Atención de Incidentes de Seguridad)

Es responsabilidad de la Dirección de Tecnología, a través del Equipo de Seguridad de la Información, mantener actualizadas y con contratos vigentes las herramientas de la plataforma de seguridad.

7.3. COPIAS DE RESPALDO

7.3.1. Respaldo de Información

a. Es responsabilidad de cada funcionario definir la información a ser respaldada y seguir lo establecido en la Guía para realizar copias de respaldo de información almacenada en el PC o portátiles dentro del SGI”.

b. Es responsabilidad de la Dirección de Tecnología garantizar los recursos necesarios para las copias de respaldo, y la restauración de la información que le permita atender requerimientos de la Entidad o de terceros.

c. Las copias de respaldo de los sistemas de computación y redes deben ser almacenadas en un sitio externo a la Entidad, bajo condiciones ambientales y de seguridad apropiadas.

d. Las copias de respaldo se deben probar periódicamente para garantizar su funcionalidad y mantener mecanismo para garantizar su integridad.

7.4. REGISTRO Y SEGUIMIENTO

7.4.1. Registro de eventos

La SFC, a través de la Dirección de Tecnología, deberá habilitar los registros de eventos en los Sistemas de Información, con el fin de facilitar el monitoreo de control de acceso.

MANUALE-MN-PLA-07

Versión 1


El monitoreo se debe realizar durante un período de tiempo definido para analizar el comportamiento de la seguridad y ayudar en investigaciones forenses.

7.4.2. Protección de la información de los registros

Los registros de auditoría deben ser respaldados y almacenados en un sitio seguro con acceso únicamente al Equipo de Seguridad de la Información y los responsables de la Dirección de Tecnología.

Cuando sea necesario realizar una investigación utilizando los registros de auditoría deberá utilizarse una copia, preservando la integridad del original.

7.4.3. Registros de administradores y operador

Las actividades realizadas por los administradores y operadores en la infraestructura tecnológica de la SFC deben quedar almacenadas en el registro de auditoría o eventos.

7.4.4. Sincronización de relojes

Se deben sincronizar los relojes de los sistemas de información de la SFC, de acuerdo con la hora oficial suministrada por la Superintendencia de Industria y Comercio.

7.5. CONTROL DE SOFTWARE OPERACIONAL

Objetivo. Asegurar la integridad de los sistemas operacionales.

7.5.1. Instalación de software en sistemas operativos

La instalación y uso de programas que puedan saltar los controles establecidos no están permitidos, en caso de excepción se debe contar con la autorización escrita de la Dirección de Tecnología.

7.6. GESTIÓN DE LA VULNERABILIDAD TÉCNICA.

7.6.1. Gestión de vulnerabilidades técnicas

MANUALE-MN-PLA-07

Versión 1


a. Se debe definir un procedimiento de control de vulnerabilidades para tomar acciones oportunas y responsables para cerrarlas en una línea de tiempo según el riesgo potencial de cada vulnerabilidad.

b. Las herramientas usadas en el análisis de vulnerabilidades deberán estar homologadas por el CVE (Common Vulnerabilities and Exposures) y actualizadas a la fecha de su utilización

c. La SFC realizará como mínimo una vez al año una prueba de vulnerabilidad y penetración a los equipos críticos en la realización de transacciones. Sin embargo, cuando se realicen cambios en la plataforma que afecte la seguridad, se realizará una prueba adicional.

d. Se debe revisar la ejecución del cierre de vulnerabilidades e informar los resultados al Director de Tecnología.

7.6.2. Restricciones sobre la instalación de software

Los funcionarios de la SFC podrán pedir a través de la herramienta SuperIT la instalación de Software que requieran por motivos laborales siempre y cuando este software no vaya en contra de derechos de autor y licenciamiento.

7.7. CONSIDERACIONES SOBRE AUDITORIAS DE SISTEMAS DE INFORMACION

Objetivo. Minimizar el impacto de las actividades de auditoría sobre los sistemas operacionales.

7.7.1. Controles de auditoria de sistemas de información

a. Se debe establecer una planeación para evaluar los sistemas de información y mitigar riesgos en la interrupción de la operación.

b. Las actividades de auditoría de verificación de configuraciones de los sistemas operativos deben ser de tipo no intrusivo y su realización debe ser debidamente planificada con el dueño de la información.

c. El administrador del sistema debe validar los procedimientos automáticos de verificación y garantizar que son solo de lectura y de ninguna forma son de escritura.

d. Debe existir una autorización escrita por parte del Director de Tecnología para realizar la actividad dentro de la ventana de tiempo autorizada.

MANUALE-MN-PLA-07

Versión 1


8. SEGURIDAD DE LAS COMUNICACIONES

8.1. GESTION DE LA SEGURIDAD DE LAS REDES.

Objetivo: Asegurar la protección de la información en las redes, y sus Instalaciones de procesamiento de información de soporte

8.1.1. Controles de las redes.

La Dirección de Tecnología es responsable de mantener y controlar adecuadamente el nivel de seguridad en la red y de la información que fluye a través de la misma. Para ello debe considerar:

a. Mecanismos de autenticación a la red tanto cableada como inalámbrica de la entidad con el objetivo verificar la identidad de cada usuario que se conecta.

b. El acceso a los servicios cloud de la Entidad, deben tener habilitado el doble factor de autenticación para todas las cuentas de los funcionarios y contratistas.

c. Monitorear periódicamente la red para poder detectar, prevenir y recuperarse ante cualquier amenaza.

d. Implementar mecanismos de control perimetral como: Firewall, IPS, Filtrado de contenido y Antispam, entre otros para la seguridad de la red de la SFC.

e. Las conexiones entre la red de la SFC y redes externas deben ser protegidas por un dispositivo de seguridad que contenga las políticas apropiadas para filtrar el tráfico permitido entre dichas redes

f. Se deben establecer mecanismos de seguridad física en los centros de cableado.

g. Se debe segmentar la red de tal forma que se mantenga independencia entre los usuarios y los sistemas de información.

8.1.2. Seguridad de los servicios de red

8.1.2.1. Internet.

a. Los accesos a Internet pueden ser monitoreados por el personal autorizado de la Dirección de Tecnología conforme a sus funciones. Con base en estos seguimientos se deben mantener actualizadas las

MANUALE-MN-PLA-07

Versión 1


restricciones de acceso a sitios de alto riesgo y el control del tiempo de navegación de los funcionarios.

b. Sólo los funcionarios de la Dirección de Tecnología, dependiendo de las funciones del cargo, están autorizados para descargar software, principalmente para mantener las últimas versiones de programas adquiridos por la Entidad (Upgrade).

c. Todas las conexiones a Internet se deben realizar a través de la red de área local de la SFC. Para otros casos se requiere la aprobación escrita del Equipo de Seguridad de la Información.

d. Es deber de cada funcionario adoptar las medidas de protección que permita salvaguardar la identidad asignada.

e. El mal uso del servicio puede acarrear consecuencias tales como la cancelación temporal del acceso y en algunos casos la suspensión definitiva de la misma, sin perjuicio de las medidas disciplinarias o legales a que hubiere lugar.

f. Los mensajes que se envíen vía internet serán de completa responsabilidad del usuario emisor y en todo caso deberán tener en cuenta los principios de prudencia, responsabilidad y protección de la información. Se asume que en ningún momento estos mensajes podrán emplearse en contra de los intereses de personas individuales, así como de ninguna otra institución.

g. Los funcionarios deben utilizar solo las herramientas de mensajería instantánea suministrada por la Dirección de Tecnología.

h. Es deber de cada funcionario hacer un uso adecuado de internet absteniéndose de acceder a publicaciones de sexo, pornografía, hacking, violencia, terrorismo, música, películas, juegos, racismo, aborto y promociones. En caso de excepción deberá estar autorizado por escrito por la Dirección de Tecnología.

i. El acceso a redes sociales y streaming media se restringe con cuota de tiempo de dos (2) hora al día, en caso de excepción deberá estar autorizado por escrito por la Dirección de Tecnología.

8.1.2.2. Intranet

a. La publicación de información en la página Web de la SFC debe estar autorizada por el área responsable (dueña) de dicha información, quien debe velar por la integridad y vigencia de la misma. La información que se publique en la página Web e Intranet debe cumplir con los estándares establecidos en el Manual de Imagen Corporativa, los cuales han sido definidos por el Grupo de Comunicaciones.

MANUALE-MN-PLA-07

Versión 1


b. Se debe dejar rastro de la información publicada en la página Web de la SFC, de tal forma que se garantice la identificación plena de los cambios realizados y sus responsables.

c. En los computadores de terceros se configurará la dirección IP que debe ser asignada de acuerdo a la conexión que se va a utilizar, si es red LAN asignarla de acuerdo a la VLAN del punto de red o configurar el acceso a la red inalámbrica.

d. La SFC debe implementar los mecanismos de seguridad necesarios para brindar una comunicación segura.

e. La SFC implementará mecanismos que reduzcan la posibilidad de que la información que circule en la red pueda ser capturada.

f. El acceso remoto a los aplicativos, bases de datos, de la SFC debe realizarse de forma segura con autorización previa por parte del jefe del área, aplicando los permisos de acceso.

8.1.3. Separación en las redes

Los servicios de información, usuarios y sistemas de información deben ubicarse en diferentes segmentos de la red.

a. En la separación de las redes se debe tener en cuenta el valor y la clasificación de la información almacenada o procesada en la red, niveles de confianza o sistemas de misión crítica y prioritaria, para así reducir el riesgo de la materialización del incidente.

b. Debe existir una separación entre las redes públicas y privadas.

c. La red de la SFC debe contar con una segmentación lógica y física que permita aislar tráfico e identificar rápidamente un dispositivo.

8.2. TRANSFERENCIA DE INFORMACION.

La transferencia de datos tiene lugar cuando el responsable y/o encargado del Tratamiento de datos personales, ubicado en Colombia, envía la información o los datos personales a un receptor, que a su vez es responsable del Tratamiento y se encuentra dentro o fuera del país.Así mismo, podrá incluir información que no necesariamente sea de carácter personal que por sus condiciones, importancia o sensibilidad debe cumplir con lo previsto en la presente política.

MANUALE-MN-PLA-07

Versión 1


8.2.1. Políticas y procedimientos para el intercambio de la información

a. Se deben establecer normas, procedimientos y controles para proteger el intercambio de información a través de cualquier medio.

b. Ningún funcionario puede transmitir o enviar información reservada de la SFC o de sus entidades supervisadas, en dispositivos de almacenamiento o equipos portátiles que no cuenten con los mecanismos de seguridad que garanticen la confidencialidad e integridad de la información, los cuales deben haber sido implementados por la Dirección de Tecnología, a través del Equipo de Seguridad. En tal sentido, dicha información debe ser cifrada.

c. Para el envío de información impresa pública y reservada se debe cumplir con lo establecido en el Proceso de Gestión Documental.

d. La SFC debe generar información confiable, que soporte la toma de decisiones, que garantice la transparencia de sus actuaciones, que permita la rendición de cuentas a la comunidad y la atención de las necesidades de los grupos de interés (MECI4). Los jefes de cada dependencia son los responsables de garantizar la integridad de la información.

e. Cada funcionario debe asegurarse de no dejar información que puedan poner en riesgo la seguridad de la SFC en medios impresos como: fotocopiadoras, impresoras o máquinas de fax.

f. La SFC debe contar con mecanismos de cifrado fuerte para el envío y recepción de información que puedan poner en riesgo la seguridad de la SFC con terceros.

8.2.2. Acuerdos sobre transferencia de información

Los acuerdos para el intercambio de información buscan mantener la seguridad de la información que se traslada entre la SFC y terceros. Es necesario que se utilicen técnicas de cifrado fuerte (3DES, AES, a manera de ejemplo), en especial si se trata de información que puedan poner en riesgo la seguridad de la SFC.

Los acuerdos deben garantizar un uso y transporte seguro de la información.

Para el transporte de información fuera de las instalaciones de la SFC, se deben considerar los siguientes aspectos:

4 MECI: Modelo Estándar de Control Interno – Decreto 1599 de 2005

MANUALE-MN-PLA-07

Versión 1


a. La empresa contratada debe llevar un registro en línea de los activos transportados y garantizar la existencia de seguridad física y ambiental en sus sistemas de transporte.

b. Los sistemas de transporte deben tener mecanismos que permitan ubicarlos durante todo su recorrido.

c. Debe tratarse de empresas con experiencia y de excelente acreditación por parte de sus clientes

Cuando se requiera conectar la red o los sistemas de información de la SFC con otra entidad, o con otros sistemas de información, esta solicitud debe ser aprobada por escrito por la Dirección de Tecnología. Antes de la aprobación se deberá realizar un análisis de los posibles riesgos de ciberseguridad asociados a conexión.

8.2.3. Mensajería electrónica

La información que se envíe o reciba por medio de mensajes electrónicos debe estar protegida y se debe tener en cuenta los siguientes lineamientos:

d. El acceso a los buzones de correo electrónico debe estar controlado por contraseña.

e. Los correos electrónicos de remitentes desconocidos, sospechoso o cuyo mensaje no tenga relación con las actividades de la SFC deben ser tratados con precaución y reportados al Equipo de Seguridad, en especial cuando contienen archivos anexos.

f. La asignación de cuentas de correo electrónico a terceros (proveedores, entes de control externo, consultores, pasantes, entre otros), debe hacerse por medio de una autorización expresa por el jefe del área.

g. La información de la SFC clasificada no debe ser transmitida por correo electrónico diferente al de la SFC. En caso de excepción debe aprobarse por escrito por el responsable de la Información, tomando medidas especiales de protección tales como cifrado fuerte.

h. Los funcionarios que hagan uso de las cuentas de correos asignadas deben abstenerse de:

Transmitir o recibir información que promueva filiación política, propósitos comerciales privados y originar o distribuir cadenas de mensajes (spam).

Remitir mensajes discriminatorios por razones de raza, creencias, color, género, religión, limitaciones físicas u orientación sexual.

Descargar o distribuir material pornográfico.

MANUALE-MN-PLA-07

Versión 1


Realizar suscripción con la cuenta de correo institucional a listas de distribución de amigos, grupos, publicidad, mercadeo o ventas de bienes o servicios ofrecidos por internet

Enviar material de trabajo a correos personales.

Enviar correos masivos sin contar con la debida autorización.

Usar el correo para propósitos fuera del trabajo.

Enviar material de trabajo a correos personales

i. Las cuentas de correo electrónico asignadas a cada uno de los funcionarios son una herramienta de trabajo de propiedad de la SFC, por lo tanto, dentro de sus obligaciones legales y de diligencia, se podrán monitorear y consultar cuando la Entidad lo considere pertinente, para efectos tales como disciplinarios o judiciales. El monitoreo y consulta sólo podrá ser realizado por funcionarios que, en razón de sus funciones, tengan asignada esta tarea, previa autorización escrita de su superior.

j. Todo mensaje de correo electrónico debe incluir siempre al final del mismo la renuncia de responsabilidad (Disclaimer) adoptada por la SFC para todos los correos salientes, así:

“Antes de imprimir este mensaje piense bien si es necesario hacerlo. El cuidado del medio ambiente es responsabilidad de todos.

Este mensaje y sus anexos pueden contener información pública reservada o clasificada que interesa solamente a su destinatario. Si llegó a usted por error, debe borrarlo totalmente de su sistema, notificar de tal hecho al remitente y abstenerse en todo caso de divulgarlo, reproducirlo o utilizarlo. Se advierte igualmente que las opiniones contenidas en este mensaje o sus archivos no necesariamente coinciden con el criterio institucional de la Superintendencia Financiera de Colombia.

This message and any attachment may contain confidential information and is intended only for the use of the individual or entity to whom they are addressed. If you are not the named addressee you should not disseminate, distribute, use or copy this e-mail. Please notify the sender immediately if you have received this message by mistake and delete it from your system. Please note that any views or opinions presented in this e-mail are solely those of the author and do not necessarily represent those of the Superintendencia Financiera de Colombia.”

k. Todo mensaje debe utilizar los estándares institucionales definidos para los correos electrónicos de la SFC, como el fondo, logos, tipo de letra y gráficos.

MANUALE-MN-PLA-07

Versión 1


l. Cada funcionario es responsable por los mensajes que son enviados con su cuenta de correo electrónico.

8.2.4. Acuerdos de confidencialidad o de no divulgación.

Todos los funcionarios, consultores, contratistas y terceras partes que presten sus servicios a la SFC y cuyas labores involucren el manejo de la información, deben conocer, entender, aceptar y firmar el acta de compromiso de confidencialidad correspondiente.

9. ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS

9.1. REQUISITOS DE SEGURIDAD DE LOS SISTEMAS DE INFORMCIÓN.

Objetivo: Asegurar la protección de la información en las redes, y sus Instalaciones de procesamiento de información de soporte

9.1.1. Análisis y especificación de requisitos de seguridad de la información

En la fase de inicio de desarrollo de sistemas de información, así como en el proceso de evaluación de programas paquetes (software), se especifican los requerimientos funcionales y los requerimientos de seguridad y control. Para determinar y avalar dichos requerimientos se cuenta con la participación de los propietarios o dueños de los activos, el Equipo de Seguridad de la Información, el Director de Tecnología y terceros cuando sea necesario.

9.1.2. Seguridad de servicios de las aplicaciones en redes publicas

La SFC protegerá sus sistemas de información a través de las siguientes acciones:

a. Identificar los funcionarios, consultores, contratistas y terceras partes que pueden tener acceso a información de la SFC y establecer los sitios desde donde se puede tener acceso, tanto de forma física como lógica.

b. Toda información que ingrese a los sistemas de producción de la SFC debe ser objeto de verificaciones razonables. Para reducir la probabilidad de ingreso erróneo de datos, fallas de cálculo y procesamiento, todos los procedimientos para el manejo de información deben contener controles de validación aprobados por los responsables de la información, tales como: totales de control, conciliaciones, captura

MANUALE-MN-PLA-07

Versión 1


de datos parametrizada, control de consecutivos, control de omisiones, control de duplicados, verificación paralela, entre otros.

c. La información que se publica deberá estar completa y ser auténtica.

d. La Dirección de Tecnología debe contar con un inventario de las aplicaciones expuestas al público.

e. Todas las aplicaciones web que se expongan al público, deben publicarse usando protocolos seguros y empleando certificados digitales expedidos por una entidad certificadora avalada por la Superintendencia de Industria y Comercio.

9.1.3. Protección de transacciones de los servicios de las aplicaciones

Las transacciones realizadas a través de los sistemas de Información de la SFC deben:

a. Utilizar certificados digitales por parte de cada uno de los participantes en la transacción cuando sea pertinente.

b. Garantizar la integridad, autenticidad, confidencialidad de la transacción.

c. Utilizar técnicas de cifrado fuertes.

d. Los detalles de la transacción deben ser almacenados con la protección adecuada y fuera de cualquier entorno accesible públicamente.

9.2. SEGURIDAD EN LOS PROCESOS DE DESARROLLO Y SOPORTE.

Objetivo: Asegurar de que la seguridad de la información esté diseñada e implementada dentro del ciclo de vida de desarrollo de los sistemas de información.

9.2.1. Política de desarrollo seguro

La SFC a través de la Dirección de Tecnología velará porque el desarrollo de sistemas de información sea internos o externos cumplan con los requisitos y requerimientos de seguridad con las buenas prácticas para el desarrollo seguro de aplicaciones.

9.2.2. Procedimientos de control de cambios en sistemas

MANUALE-MN-PLA-07

Versión 1


a. La SFC debe controlar la implementación de los cambios mediante el uso de procedimientos formales para el control del cambio definidos en el SGI

b. La actualización y modificación de código fuente sólo se deben realizar después de haber recibido la autorización escrita por parte del Director de Tecnología y/o Subdirector de Sistemas de Información.

c. Se debe manejar un registro de control de cambios y de auditoría para todas las modificaciones y actualizaciones.

d. Asegurar que la programación de los cambios en el sistema operativo sea provista con tiempo para permitir realizar las pruebas y revisiones apropiadas antes de la implementación

9.2.3. Revisión técnica de las aplicaciones después de cambios en la plataforma de operación

Cuando se realizan cambios en los sistemas operativos, el responsable de la aplicación o sistema de información debe realizar las pruebas necesarias dar por escrito la aprobación de éstos, para que no exista un impacto adverso en la operatividad y seguridad de los datos.

9.2.4. Restricciones en los cambios a los paquetes de software

a. Los paquetes de software suministrados por terceros deben ser supervisados y se les debe dar seguimiento tanto en su fase de instalación como en su mantenimiento, para asegurarse del uso correcto del cumplimiento con los requisitos de seguridad y del cumplimiento de la relación laboral.

Cuando se realice el mantenimiento se deberá cumplir con lo dispuesto en esta política para evitar el acceso a la información o firmar los documentos requeridos para que se proteja la confidencialidad y seguridad de la información.

b. Es necesario realizar contratos de soporte con el fabricante o proveedor de Software con el fin de proporcionar una adecuada prestación del servicio y recibir cambios y actualizaciones de nuevas versiones.

9.2.5. Principios de construcción de sistemas seguros

La Dirección de tecnología debe establecer un procedimiento o guía que permita desarrollar software seguro para la entidad.

MANUALE-MN-PLA-07

Versión 1


9.2.6. Ambiente de desarrollo seguro

La dirección de tecnología debe suministrar un ambiente seguro para el desarrollo de sistemas de información.

9.2.7. Desarrollo contratado externamente

El desarrollo contratado con terceros debe ser verificado, monitoreado y supervisado por el o los funcionarios asignados cuyos colaboradores acogen las siguientes medidas:

a. Definir acuerdos sobre licencias, documentación, propiedad de los códigos y derechos de propiedad intelectual.

b. Incluir contractualmente las pólizas de cumplimiento y calidad del trabajo realizado.

c. Incluir derechos contractuales para auditar la calidad y exactitud del trabajo realizado.

d. Los terceros deben cumplir con las políticas de seguridad de la información y deben cumplir con los requerimientos del presente documento.

e. Realizar pruebas de vulnerabilidades antes de la instalación.

f. Exigir el cumplimiento de la política de desarrollo seguro definido por la Dirección de Tecnología.

9.2.8. Pruebas de seguridad de sistemas

Durante la fase de pruebas a los sistemas de información, el equipo de seguridad y la Dirección de Tecnología, deben realizar pruebas de seguridad a los sistemas, con el fin de minimizar los riesgos de fallas de seguridad en producción.

9.2.9. Prueba de aceptación de sistemas

Se establecerán procedimientos con el fin de realizar las pruebas razonables según las especificaciones del diseño correspondientes a los sistemas de información antes de su salida a producción.

MANUALE-MN-PLA-07

Versión 1


9.3. DATOS DE PRUEBA

Objetivo: Asegurar la protección de los datos usados para pruebas.

9.3.1. Protección de datos de prueba

La información utilizada para realizar prueba a los sistemas en desarrollo deberá contar con las suficientes medidas de seguridad de tal modo que no permita ser afectada tanto en su integridad como en su confidencialidad.

10. RELACIONES CON LOS PROVEEDORES

10.1. SEGURIDAD DE LA INFORMACION EN LAS RELACIONES CON LOS PROVEEDORES.

Objetivo: Asegurar la protección de los activos de la organización que sean accesibles por los proveedores

10.1.1. Política de seguridad de la información para las relaciones con proveedores

La SFC velará por que los acuerdos con proveedores se desarrollen dentro de las normas y requerimientos acordados en los contratos establecidos de forma transparente y eficaz para la protección de la información de la entidad.

Los proveedores y contratista que tengan alguna relaciona contractual con la SFC debe cumplir con los principios, normas de seguridad y controles establecidos por la entidad.

Se deben definir acuerdos de niveles de servicios con el fin de establecer las características de calidad y las garantías de servicios adquirido.

10.1.2. Tratamiento de la seguridad dentro de los acuerdos con proveedores

La SFC establecerá condiciones y se firmaran contratos con proveedores y sobre estos se deben contemplar acuerdos de confidencialidad de la información para el acceso a los activos de información.

Realizar un análisis de riesgo de ciberseguridad y seguridad de la información a los servicios prestados por el proveedor con el objeto de identificar posibles

MANUALE-MN-PLA-07

Versión 1


vulnerabilidades que puedan afectar la disponibilidad del servicio, la continuidad operativa de la entidad o que pueda afectar la imagen institucional. En el proceso contractual se deben establecer las condiciones sobre controles y requisitos de seguridad de la información para asegurar que se cumplan y se tengan claro las responsabilidades entre las partes.

10.1.3. Cadena de suministro de tecnología de información y comunicación

Los acuerdos que regulan el acceso a los activos de información de la SFC por parte de terceros deben incluir la aceptación de la Política de Seguridad de la Información y el compromiso de confidencialidad e integridad de la información con tercero estipulados por la SFC dentro de los contratos.

10.2. GESTION DE LA PRESTACION DE SERVICIOS DE PROVEEDORES.

Objetivo: Mantener el nivel acordado de seguridad de la información y de prestación del servicio en línea con los acuerdos con los proveedores

10.2.1. Seguimiento y revisión de los servicios de los proveedores Controles de las redes.

Los funcionarios responsables por la supervisión de contratos de servicios prestados por terceros deben validar la prestación del servicio de acuerdo al certificado e informe de cumplimiento ejecución contractual.

Los acuerdos de niveles de servicios definidos con los proveedores deben ser revisados trimestralmente para verificar su cumplimiento.

10.2.2. Gestión de cambios en los servicios de proveedores

Los cambios en la infraestructura tecnológica que sean realizados por terceros deben contar con el aval del supervisor y por ende se deben cumplir con lo establecido en la gestión de cambios definidos por la entidad.

MANUALE-MN-PLA-07

Versión 1


11. GESTION DE INCIDENTES DE CIBERSEGURIDAD Y SEGURIDAD DE LA INFORMACION

11.1. GESTIÓN DE INCIDENTES Y MEJORAS EN LA CIBERSEGURIAD Y SEGURIDAD DE LA INFORMACION.

Objetivo: Asegurar un enfoque coherente y eficaz para la gestión de incidentes de ciberseguridad y seguridad de la información, incluida la comunicación sobre eventos de seguridad y debilidades.

11.1.1. Responsabilidades y procedimientos

Se deben establecer canales de fácil acceso y que estén disponibles para quien desea reportar una debilidad.

El procedimiento para el tratamiento de Incidentes de ciberseguridad y seguridad de la Información debe ser revisado periódicamente por la Dirección de Tecnología, para identificar cambios y ajustes que sean necesarios que garanticen la eficacia de la respuesta ante los incidentes de Seguridad de la Información.

11.1.2. Reporte de eventos de ciberseguridad y seguridad de la información

Un incidente de ciberseguridad o seguridad de la información es una situación o evento que atenta contra la confidencialidad, integridad, disponibilidad de la información y los recursos tecnológicos, entre otros aspectos, como, por ejemplo, accesos no autorizados, alteración de información, borrado de información, violación de datos personales, alteración de la imagen de la página de la entidad, entre otros.

La Dirección de Tecnología establece un procedimiento por medio del cual los funcionarios pueden informar cualquier suceso y/o anomalía que estén en contra las políticas de la ciberseguridad y Seguridad de la Información.

Todo incidente asociado a la infraestructura critica de la Entidad, debe ser reportado a los entes competentes.

11.1.3. Reporte de debilidades de ciberseguridad y seguridad de la información

La seguridad es de todos y todos deben colaborar para informar y aconsejar en caso de que se encuentre una debilidad que atente contra la Seguridad de la Información.

La Dirección de Tecnología, a través del Equipo de Seguridad de la Información establecerá mecanismos para que los funcionarios conozcan las implicaciones técnicas, disciplinarias y legales que se pueden presentar en caso de que logre aprovechar una debilidad en los activos de información.

MANUALE-MN-PLA-07

Versión 1


11.1.4. Evaluación de eventos de ciberseguridad, seguridad de la información y decisiones sobre ellos

Los eventos de ciberseguridad y seguridad de la información deben ser evaluados y de ahí tomar decisiones si un evento se materializo en incidente y tomar las acciones para su tratamiento.

11.1.5. Respuesta a incidentes de seguridad de la información.

La Dirección de Tecnología establecerán un procedimiento oportuno para documentar y formalizar un incidente de ciberseguridad y seguridad de la información.

11.1.6. Aprendizaje obtenido de los incidentes de ciberseguridad y seguridad de la información.

La Dirección de Tecnología debe establecer y mantener.

a. Todo incidente de ciberseguridad y seguridad de la Información debe ser documentado, clasificado y categorizado adecuadamente con el fin de identificar fácilmente si corresponde a un incidente de ciberseguridad o de seguridad de la información y para asegurar su adecuado tratamiento

b. Documentar las lecciones aprendidas del incidente.

c. Se deben mantener indicadores de gestión y reportes de incidentes para la toma de decisiones y para disminuir el impacto o la probabilidad de ocurrencia.

d. Se deben desarrollar actividades de control y corrección de incidentes que conlleven a un nivel de cultura aceptable

11.1.7. Recolección de evidencia

Cuando un incidente de ciberseguridad o seguridad de la información requiera la recolección de evidencias para una investigación de cualquier naturaleza o que eventualmente pueda constituir un delito, la SFC deberá hacer uso de las herramientas, procedimientos y protocolos para garantizar la cadena de custodia para remitir la información a la autoridad competente y preservar la autenticidad de la posible prueba.

MANUALE-MN-PLA-07

Versión 1


12. CUMPLIMIENTO

12.1. CUMPLIMIENTO DE LOS REQUISITOS LEGALES Y CONTRACTUALES.

Objetivo: Evitar el incumplimiento de las obligaciones legales, estatutarias, de reglamentación o contractuales relacionadas con seguridad de la información, y de cualquier requisito de seguridad

12.1.1. Derechos de propiedad intelectual

a. Todos los derechos de propiedad intelectual de los productos desarrollados o modificados por los funcionarios son de propiedad exclusiva de la SFC.

b. No se permite duplicar material patentado sin la autorización escrita del propietario.

c. Todo el software de la Entidad debe estar debidamente licenciado (Ley 44 de 1993).

d. Todos los funcionarios deben cumplir con las normas de derechos de autor que regulan la materia.

e. Solo el personal autorizado puede instalar programas de software en los computadores de la Entidad. Esta función es exclusiva del personal de Mesa de Ayuda.

f. Los funcionarios, consultores, contratistas y terceras partes, no pueden por ningún motivo descargar o almacenar archivos de música, fotos, videos, o material sujeto a propiedad intelectual en los equipos de la Entidad

12.1.2. Protección de registros

a. La información confidencial debe permanecer en custodia por los términos estipulados en las tablas de retención documental previstas en el Proceso de Gestión Documental.

b. Los Sistemas de Información deben estar protegidos contra la pérdida, manipulación y alteración.

12.1.3. Privacidad y protección de información de datos personales

a. Todos los funcionarios, consultores, contratistas y terceras partes deberán conocer las restricciones al tratamiento de los datos y de la información respecto a la cual tengan conocimiento con motivo del ejercicio de sus

MANUALE-MN-PLA-07

Versión 1


funciones, guardando los lineamientos correspondientes de acuerdo con la Ley 158, el Decreto 1377 de 2013 y las instrucciones que la SFC imparta al respecto.

b. Se debe informar al funcionario o tercero cuando se haga uso de dispositivos electrónicos de monitoreo, como la utilización de circuito cerrado de televisión o grabación de conversaciones telefónicas.

c. Se debe especificar el propósito para el cual se recolecta la información de los funcionarios, consultores, contratistas, terceras partes o ciudadanos, y se deber para tal efecto, tener en cuenta las pautas que la SFC imparta.

d. Se debe implementar los controles necesarios para garantizar que la información clasificada de los funcionarios, consultores, contratistas, terceras partes o ciudadanos no sea divulgada ni alterada sin el debido consentimiento del propietario, siguiendo los parámetros establecidos por la SFC en materia de la Ley 1581 de 2012 y Decreto 1377 de 2013.

e. La información de funcionarios, consultores, contratistas, terceras partes o ciudadanos no puede ser utilizada con propósitos diferentes a los autorizados por el propietario (Habeas Data).

f. El titular de la información que administre la SFC en sus archivos, bases de datos y demás, tiene el derecho a conocer, actualizar, rectificar sus datos, de exigir que la información sea custodiada y guardada correctamente y a ejercer los demás derechos de que trata el artículo 8 de la Ley 1581 y las instrucciones que sobre el particular expida la SFC.

12.1.4. Reglamentación de los controles criptográficos

a. La SFC velará porque los controles criptográficos utilizados al interior de la Entidad cumplan los acuerdos y reglamentos pertinentes y estén acordes con la legislación colombiana cuando sea pertinente.

b. Al utilizar firmas digitales, se deberá considerar lo dispuesto por la Ley 527 de 1999, Ley 962 de 2005, Ley 1437 de 2011, Decreto 1747 de 2000 y Acuerdo PSAA06-3334 de 2006.

12.2. REVISIONES DE LA SEGURIDAD DE LA INFORMACIÓN

Objetivo: Asegurar que la seguridad de la información se implemente y opere de acuerdo con las políticas y procedimientos organizacionales.

MANUALE-MN-PLA-07

Versión 1


12.2.1. Revisión independiente de la seguridad de la información

Las políticas, normas, controles y procedimientos en general de seguridad de la información deben ser revisados y evaluados cada año o cuando ocurran cambios significativos, con el objeto de verificar su cumplimiento y eficacia.

12.2.2. Cumplimiento con las políticas y normas de seguridad

La Alta Dirección junto con los jefes de área de la SFC son responsables para que sus subordinados conozcan, acepten y cumplan las políticas de seguridad de la información y procedimientos, guías y manuales definidos por la Entidad para preservar la confidencialidad, integridad y disponibilidad de los activos de información.

12.2.3. Revisión del cumplimiento técnico

El Director de Tecnología junto con el Equipo de Seguridad de la Información deben evaluar anualmente el cumplimiento de las políticas de seguridad de la información, la eficiencia de los controles procedimentales y/o técnicos implementados y los niveles de riesgo presentes.

El Director de Tecnología junto con el Equipo de Seguridad de la Información debe velar para que tanto las herramientas como los resultados de auditorías sean protegidas para impedir el acceso, divulgación y alteración no autorizada.

MANUALE-MN-PLA-07

Versión 1


13. ANEXOS

Anexo 1. Términos y definiciones.

Anexo 2. Normas aplicables a la Seguridad de la Información.

Anexo 3. Política de Tratamiento de Datos Personales.

14. HISTORIAL DE CAMBIOS

Fecha Versión Cambios04 Diciembre

20191 El documento base se denominaba A-MN-GTI-006 Política

de Seguridad de la Información SFC v4 y pertenecía al proceso de Gestión de Tecnología. Al crearse el subproceso de Resiliencia Operacional del proceso de Planeación, la política cambia de nombre a Políticas de Seguridad Digital y su código cambia a E-MN-PLA-07 Adicionalmente, el documento fue revisado y actualizado en su totalidad.

· Web viewEn caso que se utilice transporte o servicios de mensajería para los medios físicos...

Documents

Transcript of · Web viewEn caso que se utilice transporte o servicios de mensajería para los medios físicos...