Lineamiento Seguridad Informática
Anuncio
Código:L-TE PROCESO: MANTENIMIENTO Y SOPORTE TIC LINEAMIENTO: SEGURIDAD INFORMATICA Versión:0 Fecha: 17/09/2015 Página: 1 de 23 Contenido 1 OBJETIVO GENERAL ........................................................................................................................................ 2 2 OBJETIVOS ESPECÍFICOS ................................................................................................................................. 2 3 ALCANCE......................................................................................................................................................... 3 4 VIGENCIA. ....................................................................................................................................................... 3 6 JUSTIFICACIÓN................................................................................................................................................ 5 7 ANTECEDENTES .............................................................................................................................................. 5 8 NORMATIVIDAD ............................................................................................................................................. 6 9 ÁREAS O EJES TEMÁTICOS DEL LINEAMIENTO O POLÍTICA INTERNA. .............................................................. 6 9.1 9.2 9.3 9.4 9.5 9.6 9.7 9.8 9.9 9.10 9.11 POLÍTICA DE SEGURIDAD ...................................................................................................................................... 7 ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN............................................................................................. 7 GESTIÓN DE ACTIVOS ........................................................................................................................................... 8 SEGURIDAD DE LOS RECURSOS HUMANOS ............................................................................................................... 9 SEGURIDAD FÍSICA Y DEL ENTORNO ...................................................................................................................... 10 GESTIÓN DE COMUNICACIONES Y OPERACIONES ..................................................................................................... 12 CONTROL DE ACCESO ......................................................................................................................................... 16 ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE INFORMACIÓN .......................................................... 18 GESTIÓN DE INCIDENTES DE LA SEGURIDAD DE LA INFORMACIÓN ............................................................................... 20 GESTIÓN DE LA CONTINUIDAD ............................................................................................................................. 20 CUMPLIMIENTO ................................................................................................................................................ 21 10 EVALUACIÓN DEL LINEAMIENTO O POLÍTICA INTERNA. ............................................................................ 22 11 RESPONSABILIDADES Y COMPETENCIAS. .................................................................................................. 22 12 ADMINISTRACIÓN DEL LINEAMIENTO. ...................................................................................................... 22 Cra. 7 No. 32-16 Ciudadela San Martín Teléfono 327 97 97 www.integracionsocial.gov.co Información Línea 195 F-L-002 Código:L-TE PROCESO: MANTENIMIENTO Y SOPORTE TIC LINEAMIENTO: SEGURIDAD INFORMATICA Versión:0 Fecha: 17/09/2015 Página: 2 de 23 1 OBJETIVO GENERAL Definir, adoptar y legitimar los lineamientos, directrices y controles de seguridad informática necesarios para proteger los activos de información institucional de la Secretaría Distrital de Integración Social, brindando a los servidores y servidoras públicas, contratistas y terceros con acceso autorizado, la orientación en el buen uso de los sistemas y servicios informáticos, así como de los activos de Infraestructura Tecnológica – IT, que soportan la operación informática y que apoyan el cumplimiento de la misionalidad de la entidad. 2 OBJETIVOS ESPECÍFICOS Establecer los lineamientos, directrices, controles y en general la intención de la Subsecretaría, Direcciones y Subdirecciones Técnicas y Locales desde el Comité de Seguridad de la Información, sobre el uso apropiado de los sistemas y servicios informáticos, que garantice la protección de la información institucional. Definir la responsabilidad en la definición, operación, seguimiento y mejora de las políticas institucionales relacionadas con la seguridad de la información en la entidad, al Comité de Seguridad de la Información –CSI- creado al interior de la entidad a través de la Resolución 1564 de 2010. Orientar a los servidores y servidoras públicas, contratistas y terceros, sobre la responsabilidad el buen manejo de los activos de información e infraestructura tecnológica. Definir aspectos tenidos en cuenta por la entidad, relacionados con el talento humano y su responsabilidad en el uso de la información institucional, antes durante y en la terminación del vínculo laboral. Establecer directrices para la protección física de los activos de IT de la entidad. Establecer responsabilidades, controles y lineamientos en procura de proteger los sistemas y servicios informáticos por medio de los cuales se procesa la información institucional, que garanticen la operación informática de la entidad. Establecer directrices para la protección lógica de los activos de IT de la entidad y fomentar la conciencia alrededor de la importancia en el aseguramiento de la información institucional, la cual debe ser adoptada como una cultura organizacional. Cra. 7 No. 32-16 Ciudadela San Martín Teléfono 327 97 97 www.integracionsocial.gov.co Información Línea 195 F-L-002 Código:L-TE PROCESO: MANTENIMIENTO Y SOPORTE TIC LINEAMIENTO: SEGURIDAD INFORMATICA Versión:0 Fecha: 17/09/2015 Página: 3 de 23 Establecer parámetros que deben ser seguidos por los equipos funcionales de la Subdirección de Investigación e Información, que garanticen que la seguridad es parte integral de los sistemas y servicios informáticos misionales y administrativos en la SDIS. Brindar a los usuarios una alternativa de información sobre conductas que se consideren por fuera de lo establecido en las normas de seguridad, o relacionados con eventos que afecten los activos de información y de Infraestructura tecnológica de la entidad. Por medio del establecimiento de un instrumento para el reporte y manejo de los incidentes de seguridad informática al interior de la SDIS. Describir la responsabilidad del Comité de Seguridad de la Información en el establecimiento, operación, seguimiento y mejora del plan de contingencia informático, así como la responsabilidad de los equipos funcionales de la SII para garantizar la completitud del plan. 3 ALCANCE Los controles de seguridad Informática se aplicarán a todos los activos de Infraestructura Tecnológica TI (Data Center, microinformática, networking, AP) y a todos los activos de información, (Bases de Datos, Aplicaciones, Servicios Informáticos SIRBE), generando una cultura de seguridad a través de la implementación de la presente Política, a fin de proteger la información institucional contra daño, pérdida, sustracción, modificación accidental o intencional, describiendo el uso apropiado de los sistemas y servicios informáticos, así como de los activos de tecnologías de información y comunicaciones, dispuestos por la Secretaría Distrital de Integración Social, a los servidores y servidoras públicas, contratistas y terceros para el cumplimiento de sus funciones. Las medidas de control relacionadas con la seguridad informática, adoptadas por la entidad, en cumplimiento de las disposiciones legales tanto distritales como nacionales, y las dispuestas por el CSI, son de obligatorio cumplimiento por parte de los usuarios de los sistemas y servicios informáticos de la entidad, quienes son responsables de garantizar la protección de los activos de información institucional. Para salvaguardar la información institucional como activo de información institucional digital, el CSI gestionará y dispondrá los recursos informáticos necesarios para su clasificación, valoración, custodia y respaldo, a través de la Subdirección de Investigación e Información. 4 VIGENCIA. La presente Política de Seguridad Informática rige a partir de la fecha de su aprobación por el CSI y deroga la anterior de 2012. Cra. 7 No. 32-16 Ciudadela San Martín Teléfono 327 97 97 www.integracionsocial.gov.co Información Línea 195 F-L-002 Código:L-TE PROCESO: MANTENIMIENTO Y SOPORTE TIC LINEAMIENTO: SEGURIDAD INFORMATICA Versión:0 Fecha: 17/09/2015 Página: 4 de 23 5 MARCO CONCEPTUAL Serán aplicadas para la presente política de Seguridad de la Información, definiciones: las siguientes Información institucional: Corresponde a todo dato creado, procesado, adquirido, modificado, y/o almacenado utilizando o no los sistemas informáticos de la Secretaría Distrital de Integración Social y para la cual se adoptan directrices con el fin de garantizar su Integridad, Confidencialidad y Disponibilidad, integrando: Información Confidencial: Toda información institucional destinada al cumplimiento de los objetivos de la entidad de carácter reservada que debe ser conocida únicamente al interior de la entidad con la debida autorización y limitación de uso a terceros, o cuya restricción a terceros se encuentre reglamentada según sentencia de la corte T – 729 de 2002. Información Pública: Hace referencia a la información institucional destinada al cumplimiento de los objetivos de la entidad, y además se constituye en fuente de información y consulta de terceros. Cuando la información se haya obtenido sin hacer uso de un servicio o sistema informático de la entidad, y cuyo origen sea el producto o resultado de un contrato, convenio u otra figura contractual, será considerada como activo de información Institucional, siempre que se encuentre en cualquier formato digital accesible. Activos de información institucional digital: Son bienes intangibles de la entidad que se pueden catalogar como la información digital contenida en los sistemas informáticos misionales y administrativos de la entidad, que apoyan el cumplimiento de los objetivos de la SDIS. Evento informático: Es la presencia identificada de un estado del sistema informático y/o servicio informático y/o de la infraestructura de comunicaciones, que indica un posible incumplimiento de la política de seguridad y/o una falla de controles informáticos, o una situación desconocida que impacte la seguridad de la información institucional digital. Usuario del sistema: Funcionario, servidor público, contratista o tercero que hace uso autorizado de los recursos tecnológicos, sistemas y servicios informáticos de la entidad. Rol: Definición que da alcance al uso de las funcionalidades de los servicios y/o sistemas informáticos misionales y administrativos. Cra. 7 No. 32-16 Ciudadela San Martín Teléfono 327 97 97 www.integracionsocial.gov.co Información Línea 195 F-L-002 Código:L-TE PROCESO: MANTENIMIENTO Y SOPORTE TIC LINEAMIENTO: SEGURIDAD INFORMATICA Versión:0 Fecha: 17/09/2015 Página: 5 de 23 Sistema Informático: Conjunto de partes que funcionan relacionándose entre sí con un objetivo preciso. Sus partes son: hardware, software y las personas que lo usan. Servicio informático: Es un sistema informático orientado a proveer acciones específicas asociadas al manejo automatizado de la información digital que satisfacen las necesidades de comunicación de los usuarios del sistema, por ejemplo SIRBE, acceso a Internet, Correo electrónico, Antivirus, Mesa de Ayuda, entre otras. 6 JUSTIFICACIÓN Los sistemas y servicios informáticos misionales y administrativos y la información creada, procesada y almacenada en ellos, se consolida como una herramienta esencial que apoya el cumplimiento de la misionalidad de la SDIS, la cual requiere de la implementación del Sistema de Gestión de Seguridad de la Información, que garantice la protección de estos activos. Para la Secretaria Distrital de Integración Social es importante adoptar los lineamientos, controles y directrices que permitan el aseguramiento de los activos información institucional. En ese sentido y alineado con las directrices de la Comisión Distrital de Sistemas se desarrolló la presente política de uso apropiado de los sistemas y servicios informáticos misionales y administrativos, con base en los 11 dominios de control de la norma internacional NTC – ISO/IEC 27001, los cuales se desarrollan en el presente documento que busca brindar orientación a los servidores y servidoras públicas, contratistas y terceros, en el uso de los activos de tecnologías de información y comunicaciones. 7 ANTECEDENTES La definición, implementación, operación, mantenimiento y mejora de un Subsistema de Gestión de Seguridad de la Información al interior de la SDIS, inicio a finales de 2010 con la creación del Comité de Seguridad de la Información –CSI-. La resolución 1564 de Diciembre de 2010 “Por la cual se crea el Comité de Seguridad de la Información CSI de la Secretaria Distrital de Integración Social y se definen sus funciones”, define la conformación del comité y roles de sus integrantes, definiendo la Presidencia al Director de Análisis y Diseño Estratégico y la secretaria Técnica a la Subdirección de Investigación e Información, la que será responsable de la implementación de los controles de seguridad informática que garanticen la protección de la información institucional, socializar y divulgar los temas relacionados con la seguridad y realizar mantenimiento y mejora del SGSI. En desarrollo de las actividades del Comité de Seguridad de la Información en la vigencia 2012, se definió, socializó y aprobó en sesión del 23 de Mayo de 2012, la primera versión de la Política de Seguridad Informática, con el objetivo de definir, adoptar y legitimar los lineamentos, directrices, controles y políticas de seguridad informática para proteger y salvaguardar la Cra. 7 No. 32-16 Ciudadela San Martín Teléfono 327 97 97 www.integracionsocial.gov.co Información Línea 195 F-L-002 Código:L-TE PROCESO: MANTENIMIENTO Y SOPORTE TIC LINEAMIENTO: SEGURIDAD INFORMATICA Versión:0 Fecha: 17/09/2015 Página: 6 de 23 autenticidad, integridad, disponibilidad y confidencialidad de la información institucional de la secretaria distrital de integración social, brindando a los usuarios la orientación en el buen uso de los sistemas y servicios informáticos que apoyan la misionalidad de la SDIS, estableciendo como punto de partida la seguridad informática en la entidad. 8 NORMATIVIDAD NTC/IEC ISO 27001: Tecnologías de la Información. Técnicas de Seguridad. Sistemas de Gestión de Seguridad de la Información (SGSI). Requisitos. NTC/IEC ISO 27002: Tecnologías de la Información. Técnicas de Seguridad. Código de Práctica para la Gestión de la Seguridad de la Información RESOLUCIÓN 305 DE 2008: Por la cual se expiden políticas públicas para las entidades, organismos y órganos de control del Distrito Capital, en materia de Tecnologías de la Información y Comunicaciones respecto a la planeación, seguridad, democratización, calidad, racionalización del gasto, conectividad, infraestructura de Datos Espaciales y Software Libre. Resolución 1564 de 30 de diciembre de 2010. “Por la cual se crea el Comité de Seguridad de la Información CSI de la SDIS y se definen sus funciones”. Resolución 1551 de 28 de Diciembre de 2007. “Por la cual se reglamentan los Sistemas de Información de la Secretaria Distrital de Integración Social”, en cuanto a los roles y responsabilidades en el uso de los sistemas de información. Ley 1273 del 5 de Enero de 2009, por medio de la cual se modifica el código penal, se crea un nuevo bien jurídico tutelado – denominado "De la protección de la información y los datos" y se preservan integralmente los sistemas que utilicen las tecnologías de la información y las comunicaciones. Artículo 192, 194 y 195 de la LEY 599 DE 2000 y la ley 527 de 1999 Por medio de los cual se define y reglamenta el acceso y uso de los mensajes de datos, del comercio electrónico y de las firmas digitales, y se establecen las entidades de certificación y se dictan otras disposiciones. 9 ÁREAS O EJES TEMÁTICOS DEL LINEAMIENTO O POLÍTICA INTERNA. En el marco de la Norma Técnica Internacional ISO 27001, la SII desarrolla la política de seguridad, basada en los once dominios que establece esta norma, los cuales se describen a continuación: Cra. 7 No. 32-16 Ciudadela San Martín Teléfono 327 97 97 www.integracionsocial.gov.co Información Línea 195 F-L-002 Código:L-TE PROCESO: MANTENIMIENTO Y SOPORTE TIC LINEAMIENTO: SEGURIDAD INFORMATICA Versión:0 Fecha: 17/09/2015 Página: 7 de 23 9.1 Política de seguridad Busca establecer los lineamientos, directrices, controles y en general la intención de la Subsecretaría, Direcciones y Subdirecciones Técnicas y Locales desde el Comité de Seguridad de la Información, sobre el uso apropiado de los sistemas y servicios informáticos, que garantice la protección de la información institucional. Este dominio busca mejorar la seguridad de los activos de información; hace un llamado para que todas las personas vinculadas con la entidad asuman la responsabilidad en el cumplimiento de las políticas, normas, procedimientos y estándares vigentes respecto a la seguridad de la información. La presente Política estará disponible para consulta de todos las servidoras y servidores públicos, contratistas y terceros, en la intranet institucional. 9.2 Organización de la seguridad de la información Con el objetivo de definir la responsabilidad en la definición, operación, seguimiento y mejora de las políticas institucionales relacionadas con la seguridad de la información en la entidad, se cuenta con el Comité de Seguridad de la Información –CSI- creado al interior de la entidad a través de la resolución 1564 de 2010, y se establecen roles para gestionar la organización de la seguridad de la información en la SDIS. Se establece la responsabilidad en el aseguramiento, guarda y custodia de la información alojada en los sistemas y servicios informáticos misionales y administrativos, a la Subdirección de Investigación e información. Se establece que la SII ejercerá la secretaría técnica del CSI y tendrá la responsabilidad de implementar, mantener, hacer seguimiento, operar y mejorar los controles informáticos, definidos por el Comité, y los demás necesarios para garantizar la protección de los activos de información institucional digital, así como coordinar las acciones relacionadas con la seguridad de la información. ACCESO A FUNCIONALIDAD: La Subsecretaria, Directores, Jefes de Oficina, Subdirectores técnicos y locales, establecerán la necesidad del uso de la funcionalidad de los servicios y sistemas informáticos de la entidad, autorizando a los funcionarios, funcionarias, servidoras y servidores públicos, contratistas y terceros que según la naturaleza de sus funciones o competencias, requieran tener acceso a la Información institucional, informando oportunamente a la Subdirección de Investigación e Información a través del documento institucional vigente Formato de solicitud de Creación de Usuarios y Asignación de Perfiles. Cra. 7 No. 32-16 Ciudadela San Martín Teléfono 327 97 97 www.integracionsocial.gov.co Información Línea 195 F-L-002 Código:L-TE PROCESO: MANTENIMIENTO Y SOPORTE TIC LINEAMIENTO: SEGURIDAD INFORMATICA Versión:0 Fecha: 17/09/2015 Página: 8 de 23 Los funcionarios, servidoras y servidores públicos, Contratistas y Terceros con acceso autorizado al uso de los servicios y/o sistemas informáticos, deben cumplir con todas las políticas sobre el manejo de la información institucional emitidas por la entidad y demás disposiciones legales vigentes, relacionadas con cláusulas contractuales y acuerdos de confidencialidad, so pena de investigación disciplinaria, civil y/o penal. Los funcionarios, servidoras y servidores públicos, Contratistas y Terceros con acceso autorizado al uso de los servicios y/o sistemas informáticos, serán considerados usuarios del sistema, y tienen la responsabilidad de actualizarse en temas relacionados con la Gestión de la Seguridad de la Información adoptados y socializados a través de la gestión del Comité de Seguridad de la Información - CSI. SOPORTE Y MANTENIMIENTO DE TIC. El soporte y mantenimiento de los activos de Infraestructura Tecnológica que soportan la operación informática de la entidad, su funcionamiento, disponibilidad y actualización es responsabilidad de la SII. TERMINAL SERVER: El equipo funcional de IT debe garantizar el acceso a los sistemas y servicios informáticos a través de la plataforma Terminal Server, para lo cual designara a un Administrador el cual tiene la responsabilidad de realizar seguimiento y monitoreo al desempeño de la solución. En caso de requerirse el administrador podrá realizar reinstalación de los servidores sin que esto genere la obligación de contar con copias de respaldo de la información almacenada localmente por los usuarios. GESTION DE RECURSOS: El CSI debe gestionar los recursos humanos, técnicos y financieros necesarios para ejecutar el plan de soporte y mantenimiento de los activos tecnológicos de la entidad, a través de la SII. PROTECCION: La protección de la información digital se instrumentará a través de los procesos y procedimientos del Sistema Integrado de Gestión - SIG diseñados para soportar y mantener las Tecnologías de Información y Comunicaciones - TIC y a las políticas, directrices, lineamientos y Planes diseñados y aprobados por el Comité de Seguridad de la Información CSI de la Entidad. SOCIALIZACION: Es responsabilidad de la SII y la Oficina Asesora de Comunicaciones la oportuna socialización de la presente Política de Seguridad Informática. 9.3 Gestión de activos El presente dominio busca orientar a los servidores y servidoras públicas, contratistas y terceros, sobre la responsabilidad en el buen manejo de los activos de información e infraestructura tecnológica. Cra. 7 No. 32-16 Ciudadela San Martín Teléfono 327 97 97 www.integracionsocial.gov.co Información Línea 195 F-L-002 Código:L-TE PROCESO: MANTENIMIENTO Y SOPORTE TIC LINEAMIENTO: SEGURIDAD INFORMATICA Versión:0 Fecha: 17/09/2015 Página: 9 de 23 PROPIEDAD INTELECTUAL: La información creada, procesada o modificada haciendo uso de los sistemas y servicios informáticos proporcionados por la SDIS a los usuarios del sistema, para el cumplimiento de sus labores contractuales, son y permanecen como propiedad de la Secretaria Distrital de Integración social, y no debe ser copiada, expuesta, sustraída o revelada a terceros salvo previa autorización escrita del Director de Análisis y Diseño Estratégico. Para salvaguardar la información institucional como activo de información institucional digital, el CSI gestionará y dispondrá los recursos informáticos necesarios para su clasificación, valoración, custodia y respaldo, a través de la Subdirección de Investigación e Información. ACTIVOS DE TECNOLOGIA DE INFORMACION Y COMUNICACIONES: Todos los activos de infraestructura tecnológica y de comunicaciones de la Secretaria Distrital de Integración Social dispuesta a los funcionarios, funcionarias, servidoras y servidores públicos, contratistas y terceros, hacen parte del inventario general de la entidad y son asignados oficialmente a los usuarios del sistema, en cumplimiento del documento institucional vigente. Los usuarios autorizados son responsables por el manejo que den a los activos que les sean asignados para el cumplimiento de su labor, procurando un uso adecuado a fin de lograr y mantener los niveles apropiados de protección de los mismos. La Dirección de Análisis y Diseño a través de la Subdirección de Investigación e Información es responsable de la protección de los activos de información y comunicaciones del centro de datos de la SDIS, asignando al equipo funcional de infraestructura tecnológica la administración de los sistemas y servicios informáticos que soportan la operación tecnológica de la entidad, de acuerdo con el documento institucional vigente Administración IT. El CSI gestionará el establecimiento de una metodología para la valoración de activos de información la cual se instrumentará a través de la SII. La Subdirección de Investigación e Información es responsable de realizar copias de respaldo (Backups) de la información institucional contenida en las bases de datos misionales y administrativas, asignando un identificador al medio de almacenamiento, a través del equipo funcional de Infraestructura Tecnológica, en cumplimiento del documento institucional vigente. Protocolo Generación De Backup a la Información Misional y Administrativa. 9.4 Seguridad de los recursos humanos A través del presente dominio se desarrollan aspectos tenidos en cuenta por la entidad relacionados con el talento humano y su responsabilidad en el uso de la información institucional, antes durante y en la terminación del vínculo laboral. Cra. 7 No. 32-16 Ciudadela San Martín Teléfono 327 97 97 www.integracionsocial.gov.co Información Línea 195 F-L-002 Código:L-TE PROCESO: MANTENIMIENTO Y SOPORTE TIC LINEAMIENTO: SEGURIDAD INFORMATICA Versión:0 Fecha: 17/09/2015 Página: 10 de 23 Registro de proponentes -RP: Todos los procesos de selección de personal en la SDIS, se realizan a través de la plataforma Registro Único de Proponentes, estableciendo las competencias y perfiles de los posibles servidores, servidoras, contratistas y terceros. La SDIS establece roles y responsabilidades en los procesos contractuales, considerando la necesidad a suplir en desarrollo de procesos contractuales de recursos humanos. Dentro de los procesos contractuales se definen claramente cláusulas de confidencialidad y manejo de la información institucional. La Subdirección de Investigación e Información tienen la responsabilidad de seleccionar el recurso humano relacionado con las tecnologías de Información y comunicaciones y establecerá el uso de funcionalidad de acuerdo con los equipos funcionales que la integran. La Subdirección de Investigación e Información realizan seguimiento al cumplimiento de las obligaciones contractuales a los contratistas y terceros a través de la plataforma IOPS, y emitirá concepto favorable o no, del desempeño y manejo apropiado de los activos de información institucional. Los usuarios de los sistemas y servicios informáticos deben dar estricto cumplimiento a las disposiciones relacionadas con la seguridad de la información. El CSI gestionara los recursos necesarios para socializar los temas relacionados con la seguridad de la información al interior de la entidad. Es responsabilidad de los usuarios del sistema, hacer entrega oportuna de la información creada, procesada, modificada o actualizada, en cumplimiento de las obligaciones laborales o contractuales, al jefe inmediato. Los usuarios deben tramitar la entrega de los activos e IT asignados dando cumplimiento al procedimiento de Traslado de Bienes propiedad, planta y equipo. Las cuentas de usuario se deshabilitaran automáticamente, una vez terminado el plazo pactado para la vinculación laboral, según lo establecido en el formato de creación y gestión de usuarios. 9.5 Seguridad física y del entorno A través de este dominio se establecen directrices para la protección física de los activos de IT de la entidad. El CSI gestionará, de ser necesario, los recursos necesarios para garantizar la protección de los activos de información y activos de IT que soportan la operación informática de la entidad. DATA CENTER: El aseguramiento físico de los sistemas y medios de procesamiento de Información se encuentran centralizados en el Centro de Datos ubicado en el nivel central. La Cra. 7 No. 32-16 Ciudadela San Martín Teléfono 327 97 97 www.integracionsocial.gov.co Información Línea 195 F-L-002 Código:L-TE PROCESO: MANTENIMIENTO Y SOPORTE TIC LINEAMIENTO: SEGURIDAD INFORMATICA Versión:0 Fecha: 17/09/2015 Página: 11 de 23 administración de acceso es responsabilidad del equipo funcional de Infraestructura tecnológica de la SII. El acceso al centro de datos se encuentra protegido por seguridad biométrica de reconocimiento de huella, siendo responsable el líder del equipo funcional de IT de la autenticación de usuarios autorizados. CENTROS DE CABLEADO: El equipo funcional de IT de la SII es responsable de la protección de los activos de información y comunicaciones ubicados en los centros de cableado, los cuales cuentan con puertas de seguridad protegidas con llave única. La asignación de administración de los centros de cableado se realizara en cumplimiento del documento institucional vigente Administración IT. El equipo de IT debe realizar monitoreo y seguimiento de los acceso permitidos al Centro de Datos, registrando en bitácora oficial el motivo de acceso. Los usuarios de los sistemas y servicios informáticos no deben intentar acceder a las áreas protegidas con controles de seguridad. El aseguramiento de los equipos de cómputo y periféricos dispuestos por la SDIS, es responsabilidad de la empresa de vigilancia, la cual debe evitar pérdida o robo de los activos de TI. La Subdirección de Investigación e Información es la única autorizada para realizar entrega de equipos de cómputo y soluciones de IT, a los diferentes proyectos de la entidad. Todos los cambios de ubicación de los activos de TI, deben ser informados oportunamente a la SII. Sólo el personal autorizado por la SII puede llevar a cabo cualquier tipo de mantenimiento tanto del hardware como del software y de la configuración de acceso a la red, teniendo en cuenta las políticas establecidas. La SII avalara el plan de mantenimiento preventivo y correctivo presentado anualmente por el equipo funcional de soporte técnico, y realizará seguimiento a la ejecución del mismo. La Secretaría Distrital de Integración Social no se hará responsable de mantenimiento, soporte o licenciamiento de los equipos o software que no hacen parte del Inventario oficial de la entidad, y que sean utilizados dentro de las instalaciones de la Secretaría. Los usuarios autorizados para hacer uso de los activos de TI fuera de las diferentes instalaciones de la SDIS, deben cumplir con los lineamientos de seguridad establecidos en la presente política, y son responsables por el manejo que den a los mismos informando oportunamente a la SII de daño, pérdida o robo. La eliminación de medios de instalación, medios digitales con licenciamiento, así como la baja de activos de TI se hará por medio de la Oficina de Apoyo Logístico, en cumplimiento del Cra. 7 No. 32-16 Ciudadela San Martín Teléfono 327 97 97 www.integracionsocial.gov.co Información Línea 195 F-L-002 Código:L-TE PROCESO: MANTENIMIENTO Y SOPORTE TIC LINEAMIENTO: SEGURIDAD INFORMATICA Versión:0 Fecha: 17/09/2015 Página: 12 de 23 Proceso de Gestión de Bienes y Servicios Procedimiento de traslado de bienes propiedad, planta y equipo. USO DEL COMPUTADOR: La Secretaría Distrital de Integración Social a través de la SII hará la entrega oficial del equipo de cómputo en funcionamiento, con el respectivo software instalado, de acuerdo con la actividad del usuario. En el evento en que un usuario sea trasladado del Área, es responsabilidad de éste avisar al equipo de soporte técnico de la SII para realizar el movimiento de los equipos tecnológicos asignados, de ser requerido, o emitir concepto técnico del estado de los activos en caso de que el equipo sea asignado a otro usuario. 9.6 Gestión de comunicaciones y operaciones Dentro del presente dominio se establecen responsabilidades, controles y lineamientos en procura de proteger los sistemas y servicios informáticos por medio de los cuales se procesa la información institucional, que garanticen la operación informática de la entidad. La Subdirección de Investigación e Información es responsable por la documentación que asegura el correcto funcionamiento de los sistemas y servicios informáticos que apoyan el cumplimiento de la misionalidad de la entidad, a través de los equipos funcionales. Es responsabilidad de la SII realizar seguimiento al versionamiento y completitud de la documentación, así como de garantizar la protección de dichos activos. El equipo funcional de Factoría de Software, es responsable de la generación de la documentación relacionada con la gestión y operación de las aplicaciones misionales y administrativas. El equipo funcional de procesamiento de información es responsable de la generación y actualización de los procesos relacionados con la extracción y manejo de la información de las bases de datos misionales. El equipo funcional de Infraestructura Tecnológica es responsable de garantizar la disponibilidad de la plataforma tecnológica que soporta la operación informática. Es responsabilidad de los administradores de los sistemas y servicios informáticos relacionados con la IT, mantener actualizados y debidamente versionados los documentos necesarios para garantizar la continuidad en la operación informática. El equipo de IT realizara las copias de respaldo de los activos de información relacionados con la gestión de la operación informática. GESTIÓN DEL CAMBIO: Los equipos funcionales de procesamiento de información, factoría de software y componente geográfico, deberán informar al equipo de IT, los cambios en las aplicaciones misionales y administrativas, a través del documento institucional vigente. (Puesta en producción, cambios y afinamiento de ambientes). Es responsabilidad de cada equipo funcional la plena identificación de los requerimientos de IT, que eviten traumatismos en la Cra. 7 No. 32-16 Ciudadela San Martín Teléfono 327 97 97 www.integracionsocial.gov.co Información Línea 195 F-L-002 Código:L-TE PROCESO: MANTENIMIENTO Y SOPORTE TIC LINEAMIENTO: SEGURIDAD INFORMATICA Versión:0 Fecha: 17/09/2015 Página: 13 de 23 actualización de los servicios informáticos, así como la actualización de la documentación requerida para la correcta operación informática. El equipo funcional de IT es responsable de garantizar la disponibilidad de los ambientes de pruebas y desarrollo, de acuerdo a requerimientos de los equipos funcionales, en cumplimiento del documento institucional vigente. (Puesta en producción, cambios y afinamiento de ambientes). PLATAFORMA DE SEGURIDAD: Es responsabilidad del equipo de IT la administración de la plataforma de seguridad que busca mantener niveles apropiados de seguridad de los activos de IT que soportan la operación informática. Los activos se encuentran protegidos por la plataforma tecnológica que incluye Antivirus y Seguridad perimetral tipo UTM. Es responsabilidad del administrador de la plataforma tecnológica, el seguimiento a terceros relacionados con los servicios informáticos de la plataforma de seguridad. RED DE DATOS: La Secretaria Distrital de Integración Social es responsable de suministrar y administrar la infraestructura de Datos y Comunicaciones necesaria para el cumplimiento de su gestión, y podrá a través de La Subdirección de Investigación e Información realizar monitoreo y seguimiento de las comunicaciones electrónicas, hasta donde sea permitido por las disposiciones legales, procurando respetar la autonomía y privacidad del usuario El monitoreo, seguimiento y control efectuado sobre las comunicaciones, tiene como finalidad prevenir y detectar el uso no autorizado de la infraestructura de comunicaciones con propósitos que incumplan los lineamientos, directrices y políticas dispuestas por el CSI, y cualquier otro documento o disposición legal vigente. El usuario autenticado en la red de datos de la SDIS, renuncia a los derechos de privacidad respecto al uso de la información. Los usuarios de los equipos de cómputo de la Secretaria Distrital de Integración Social no deben por ningún motivo desarrollar, distribuir, instalar o ejecutar software malicioso que afecte el normal funcionamiento y/o cause cualquier tipo de daño a los activos de infraestructura tecnológica. Los usuarios de la red de datos no deberán intentar acceder a la configuración de los activos de IT, o intentar acceder a información considerada confidencial que esta almacenada en bases de datos o cualquier otro medio digital. En el evento en que un usuario requiera ingresar un equipo de cómputo ajeno a la entidad a la red de datos, debe solicitar a la SII las credenciales de acceso previo concepto técnico de la viabilidad sobre el activo tecnológico. REDES INALAMBRICAS: El crecimiento de la red de datos institucional a través de dispositivos de conexión inalámbrica, debe ser avalado por la SII. De ser requerida la Cra. 7 No. 32-16 Ciudadela San Martín Teléfono 327 97 97 www.integracionsocial.gov.co Información Línea 195 F-L-002 Código:L-TE PROCESO: MANTENIMIENTO Y SOPORTE TIC LINEAMIENTO: SEGURIDAD INFORMATICA Versión:0 Fecha: 17/09/2015 Página: 14 de 23 implementación de activos de IT que permiten ampliar la conectividad, estos activos deben ser compatibles con la IT implementada en el Centro de Datos, y deben contar con los controles informáticos necesarios para garantizar la seguridad de la red institucional. La red inalámbrica WiFi, debe contar con niveles de protección que garanticen el acceso únicamente a los usuarios autorizados. La administración de las contraseñas de acceso a los dispositivos inalámbricos es responsabilidad de los equipos funcionales de IT y ST, quienes son responsables de la autenticación de usuarios en la plataforma, así como de acceso a los sistemas y servicios informáticos. La implementación de dispositivos de acceso inalámbrico debe ser controlada y autorizada por la SII, con el propósito de garantizar la protección de los activos de información institucional. Al momento de implementar redes inalámbricas, se debe verificar que se encuentren en VLAN´s diferentes a las configuradas, por piso para el nivel central y por unidad operativa. El equipo funcional de IT debe suministrar el direccionamiento IP para cada uno de los puntos de acceso inalámbrico existentes en la red. Es responsabilidad de los equipos de IT y ST, contar con una bitácora que permita establecer claramente la ubicación y características principales de administración y gestión de los dispositivos de conexión. Los usuarios que requieran conectividad a la red inalámbrica institucional, contaran con una red denominada “Invitados”, que provee servicios de acceso internet, únicamente. La SII establecerá las categorías de acceso a internet, controlando especialmente el acceso masivo a redes sociales, que impacten en el desempeño del canal de internet. CORREO ELECTRONICO INSTITUCIONAL: La creación de una cuenta de correo electrónico institucional debe ser autorizada por la Subsecretaria, Directores, Jefes de Oficina, Subdirectores técnicos y locales a la cual pertenezca cada usuario; para dicho proceso se debe diligenciar el Formato de Gestión y Creación de Usuarios y Asignación de Perfiles el cual se encuentra en los documentos asociados del Proceso Mantenimiento y Soporte TIC. Dicho formato valida la asignación de perfiles o roles que el usuario desarrollara dentro de la Secretaria Distrital de Integración Social. Los usuarios del correo electrónico institucional con el dominio @sdis.gov.co son los únicos responsables de realizar el backup a sus cuentas según lo crean pertinente respecto a la periodicidad y al tipo de información que desean salvaguardar, también son responsables del aseguramiento, guarda y custodia de la información contenida en el backup. El usuario debe seguir el proceso definido en el documento institucional vigente Protocolo sobre el uso del Correo Electrónico Institucional. Los usuarios del correo electrónico institucional con el dominio @sdis.gov.co ya sean funcionarios o contratistas, que se desvinculen de la entidad o se les termine su contrato, deben entregar en medio digital o magnético al supervisor inmediato la información o backups realizados en el desarrollo del objeto de su contrato. Cra. 7 No. 32-16 Ciudadela San Martín Teléfono 327 97 97 www.integracionsocial.gov.co Información Línea 195 F-L-002 Código:L-TE PROCESO: MANTENIMIENTO Y SOPORTE TIC LINEAMIENTO: SEGURIDAD INFORMATICA Versión:0 Fecha: 17/09/2015 Página: 15 de 23 La dirección del correo electrónico para cada usuario en la Secretaria Distrital de Integración Social tendrá la misma nomenclatura utilizada para la creación de usuarios en el dominio Las contraseñas para los correos electrónicos institucionales de los usuarios previamente autorizados, se encontraran sincronizadas con el Directorio Activo esto con el fin de que cada cuenta se encuentre protegida. Es responsabilidad de cada usuario mantener su contraseña de forma segura y no revelarla ya que la misma es personal e intransferible. Los usuarios son responsables de informar cualquier inconveniente que se presente con su cuenta de correo institucional a través de los medios de soporte que tiene a disposición la Secretaria Distrital de Integración Social. Los Administradores de la plataforma de Google Apps son los encargados de crear, modificar, eliminar y salvaguardar la información de las cuentas de correo electrónico que tiene a cargo teniendo presente que la información que se maneja es de alta confidencialidad e impacto para la Secretaria Distrital de Integración Social. La plataforma de correo institucional cuenta con el aseguramiento de las comunicaciones electrónicas suministrado por el proveedor de la plataforma. Se establecerán los controles en el manejo de la plataforma, en la presente política y en el documento institucional vigente. (Administración y uso del correo electrónico) La configuración de acceso fuera de las instalaciones de la entidad, en desarrollo de directrices institucionales como el Teletrabajo, Atención a Emergencias y manejo de dispositivos móviles, a los sistemas de información misionales y administrativos, se realizaran a través de la SII, previa autorización formal del jefe de área, estableciendo las responsabilidades de los usuarios autorizados. Es responsabilidad de los usuarios autorizados cumplir con las políticas, lineamientos y controles de seguridad dispuestos por la entidad, principalmente en el manejo y confidencialidad de la información. Los administradores de los activos de infraestructura tecnológica que soportan la operación informática, son responsables de su correcto funcionamiento. La SII dispondrá de los recursos tecnológicos necesarios para realizar seguimiento y monitoreo continuo. Se establece la Administración de las bases de datos misionales y de gestión, en el equipo funcional de IT de la SII. Es responsabilidad del administrador de la plataforma de Bases de Datos, hacer seguimiento y monitoreo que permita establecer intentos de acceso no autorizados, cambios en los esquemas no autorizados, violaciones a los parámetros de seguridad de usuarios, bloqueo de la plataforma y en general los aspectos relacionados con la disponibilidad de los servicios informáticos. Cra. 7 No. 32-16 Ciudadela San Martín Teléfono 327 97 97 www.integracionsocial.gov.co Información Línea 195 F-L-002 Código:L-TE PROCESO: MANTENIMIENTO Y SOPORTE TIC LINEAMIENTO: SEGURIDAD INFORMATICA Versión:0 Fecha: 17/09/2015 Página: 16 de 23 La SII implementara los controles de seguridad tendientes a garantizar la disponibilidad e integridad de la información contenida en las bases de datos, a través del equipo funcional de IT, que permitan realizar seguimiento y monitoreo continuo. El administrador de la plataforma de bases de datos es responsable por el aseguramiento de la información institucional digital, alojada en las bases de datos misionales y administrativas. 9.7 Control de acceso A través de este dominio se establecen directrices para la protección lógica de los activos de IT de la entidad. El dominio busca también fomentar la conciencia alrededor de la importancia en el aseguramiento de la información institucional, la cual debe ser adoptada como una cultura organizacional. ACCESO AUTORIZADO: La SII en cumplimiento del documento institucional vigente para la gestión y creación de usuarios, establecerá los niveles de protección de la Información institucional digital, de acuerdo los roles y responsabilidades asignados a los usuarios del sistema, permitiendo el acceso a los servicios y sistemas informáticos través de la asignación de un identificador y contraseña inicial, previa autorización formal del jefe de área. La gestión de privilegios de acceso de los usuarios a los servicios de red, es responsabilidad directa de los jefes de área que soliciten, a través del formato de creación y gestión de usuarios el acceso a servicios informáticos específicos. Los usuarios del sistema son responsables por el uso de la información a la cual se otorga acceso. CREACION DE USUARIOS: Es responsabilidad del equipo funcional de Infraestructura Tecnológica de la Subdirección de Investigación e Información, efectuar la creación de Usuarios y la asignación de una contraseña que cumpla con niveles de seguridad previamente establecidos en el documento institucional vigente, con el fin de autorizar y garantizar el acceso de los usuarios a los sistemas informáticos de acuerdo a perfiles, roles y responsabilidades previamente definidas. El usuario del sistema debe ser consciente que la contraseña es de uso personal e intransferible y es responsable por el manejo adecuado que dé a la misma, la cual no deberá ser revelada, divulgada o expuesta por ningún motivo, evitando exponer a los sistemas informáticos de abuso intencional o accidental, cualquier acción que sea llevada a cabo bajo esta circunstancia no exime al funcionario de la responsabilidad por algún tipo de daño, perdida, modificación, sustracción o eliminación de información sensible para la entidad. CONTRASEÑAS DE ACCESO A APLICACIONES MISIONALES: La asignación de contraseñas para el acceso y uso de las aplicaciones misionales estará en cabeza de la Subdirección de Investigación e Información previa autorización formal del jefe de área. El usuario del sistema con acceso a estas aplicaciones es responsable por los cambios que se Cra. 7 No. 32-16 Ciudadela San Martín Teléfono 327 97 97 www.integracionsocial.gov.co Información Línea 195 F-L-002 Código:L-TE PROCESO: MANTENIMIENTO Y SOPORTE TIC LINEAMIENTO: SEGURIDAD INFORMATICA Versión:0 Fecha: 17/09/2015 Página: 17 de 23 generen bajo su autenticación. Es responsabilidad de los Directores y Subdirectores de las diferentes dependencias informar oportunamente a la SII la creación, modificación y eliminación de las cuentas de usuarios. La Subdirección de Investigación e Información, podrá realizar seguimiento a la autenticación de usuarios en la red de datos institucional. A través del Directorio Activos el equipo funcional de IT, por medio del administrador de la plataforma, deberá registrar el acceso a los equipos de cómputo de la entidad. SISTEMA DE INFORMACION MISIONAL SIRBE: El uso de los sistemas de información misional está regido por la resolución 1551 de 2007. Es responsabilidad de los jefes de área que autorizan el uso de las herramientas informáticas y de los usuarios autorizados el cumplimiento de lo dispuesto en dicha resolución. Los roles para el manejo del aplicativo están descritos en el documento PERFILES DE USUARIO, del equipo funcional de factoría de software. DIRECTORIO ACTIVO: Todos los equipos de cómputo de la entidad deben estar registrados en el Directorio Activo. El acceso a la red de datos cuenta con un control inicial que consiste en la administración centralizada a través del Directorio Activo institucional. Es responsabilidad del equipo funcional de IT la administración del recurso. Los equipos que requieran ser ingresados, deben cumplir con el protocolo de Denominación, en cumplimiento del documento institucional vigente. La creación de equipos en el Directorio Activo requiere contar con privilegios de administrador. Los permisos de acceso a la plataforma tecnológica, están ligados a la vigencia de la vinculación laboral, información que es extraída de la herramienta informática Software de Contratación. Es responsabilidad del administrador del Directorio Activo, verificar la información que permita implementar el control de caducidad de la cuenta. SEGURIDAD DE LOS ACTIVOS DE TI: Los activos de información institucional y de IT de la entidad están protegidos por una plataforma de seguridad que incluye un firewall para el control de acceso lógico a la plataforma tecnológica, administrada por el equipo funcional de IT, quien es responsable de su actualización y correcto funcionamiento, así como de la configuración de acceso a servicios de red específicos. Los permisos de acceso a los segmentos de la red como ambiente de pruebas, DMZ, LAN, Wirelless, Internet, deben ser tramitados formalmente ante la subdirección de Investigación e Información, estableciendo claramente la necesidad y el uso de funcionalidad. SESION DE USUARIO: Es responsabilidad de los usuarios garantizar la protección de la información institucional a la cual tienen acceso, a través de los privilegios de autenticación, asegurándose de no dejar las sesiones de trabajo desatendidas, para esto deben ser realizar el bloqueo o cierre de sesión, al momento de finalizar una actividad que requiera su uso. Las Cra. 7 No. 32-16 Ciudadela San Martín Teléfono 327 97 97 www.integracionsocial.gov.co Información Línea 195 F-L-002 Código:L-TE PROCESO: MANTENIMIENTO Y SOPORTE TIC LINEAMIENTO: SEGURIDAD INFORMATICA Versión:0 Fecha: 17/09/2015 Página: 18 de 23 sesiones de Terminal Server que se detecten en estado de inactividad, se cerraran automáticamente. USO DE INTERNET: El comité de Seguridad de la Información, podrá, a disposición regular y supervisar el uso de Internet bloqueando el acceso a sitios web que sean considerados inapropiados o que contengan contenidos pornográficos, sexistas, racistas, difamatorios u ofensivos, a través de la implementación de los controles informáticos necesarios. La SII garantizara la navegación en internet sin restricciones en los casos en que los usuarios lo requieran, previa autorización formal del jefe de área, a través del procedimiento institucional vigente. Los usuarios de Internet no deben descargar, copiar, poseer y distribuir material de Internet salvo autorización expresa de la Subdirección de Investigación e Información previa verificación de los derechos de autor y licenciamiento. Los usuarios de Internet, deben abstenerse de descargar, copiar, distribuir, reproducir software que esté protegido por derechos de propiedad intelectual. Los equipos funcionales de soporte técnico y factoría de software, así como los integrantes de la Oficina Asesora de Comunicaciones cuentan con privilegios de navegación y descarga de material destinado a la ejecución de las obligaciones contractuales, y son responsables por el uso que den al servicio informático. La actualización de privilegios de navegación debe ser solicitada a la Subdirección de Investigación e Información. La configuración de acceso fuera de las instalaciones de la entidad a los sistemas de información misional y administrativa, se realizaran a través de la SII (numeral 9.19), haciendo uso exclusivo de las herramientas informáticas dispuestas por la Subdirección. La entidad no aprueba el uso de herramientas de acceso remoto, los usuarios del sistema que hagan uso de herramientas informáticas son responsables de las implicaciones disciplinarias, penales y civiles que se deriven del uso de las mismas. 9.8 Adquisición, desarrollo y mantenimiento de sistemas de información El desarrollo, mantenimiento o actualización de software establece en el presente dominio, parámetros que deben ser seguidos por los equipos funcionales de la Subdirección de Investigación e información, que garanticen que la seguridad es parte integral de los sistemas y servicios informáticos misionales y administrativos en la SDIS. El Equipo de Factoría de Software acompañado del Equipo de Infraestructura serán los encargados de garantizar los niveles de integridad, confidencialidad y autenticidad de los Sistemas de Información utilizados o desarrollados en la Secretaria Distrital de Integración Social. Cra. 7 No. 32-16 Ciudadela San Martín Teléfono 327 97 97 www.integracionsocial.gov.co Información Línea 195 F-L-002 Código:L-TE PROCESO: MANTENIMIENTO Y SOPORTE TIC LINEAMIENTO: SEGURIDAD INFORMATICA Versión:0 Fecha: 17/09/2015 Página: 19 de 23 Todo requerimiento o solicitud para la creación de un nuevo software o actualización de los Sistemas de Información en la entidad, debe ser canalizada a través del Equipo de Factoría de Software el cual validará la información recopilada en los formatos asociados al Proceso Mantenimiento y Soporte TIC (Formato Solicitud de Cambios, Ajustes y/o Creación de Nuevo Software), con el fin de dar viabilidad al requerimiento o solicitud. En el proceso de levantamiento de información para los requerimientos o solicitudes de nuevo software o actualización, el Equipo de Factoría de Software asignará un analista sistemas el cual será el encargado de acompañar al área solicitante en el proceso diligenciamiento y definición de información relevante para el desarrollo (Formato Solicitud Cambios, Ajustes y/o Creación de Nuevo Software). un de de de El analista de sistemas asignado para realizar el proceso de levantamiento de información de los requerimientos o solicitudes de nuevo software o actualización, será el encargado de asignar tareas y validaciones plasmadas en el Formato Historia de Usuario, así como de garantizar que se cumplan en los tiempos estipulados. El Equipo de Factoría de Software después de validar la información recopilada en los formatos anteriormente mencionados, informará a las áreas involucradas cual es el estado de su solicitud haciendo uso de los medios de comunicación institucionales. Si después de validar la información recopilada el Equipo de Factoría de Software determina que el requerimiento debe ser desarrollado por un tercero, debe supervisar y monitorear el desarrollo según lo estipulado en el contrato pactado. El Equipo de Factoría de Software debe remitir la documentación recopilada, analizada y procesada al grupo desarrollador, para que así pueda iniciar y avanzar en el desarrollo, según se haya determinado. El grupo desarrollador asignado por la Unidad de Factoría de Software para cada proyecto prioriza y asigna las tareas a desarrollar según carga laboral o demás desarrollos que se estén implementando. El Equipo de Factoría de Software debe informar al Equipo de Infraestructura Tecnológica con anterioridad, cuales son los permisos que necesitaría el grupo desarrollador en cada proyecto. Esto con el fin de validar usuarios, contraseñas y asignación de derechos de acceso a los sistemas, datos y servicios de información en la Secretaría Distrital de Integración Social. El equipo desarrollador debe informar al Equipo de Infraestructura Tecnológica la ubicación física donde estarán almacenados los archivos de código fuente y bases de datos; adicionalmente en los ambientes de desarrollo, pruebas y producción que datos se utilizarán con el fin de mitigar la pérdida de información la cual puede ser crítica para la Secretaria Distrital de Integración Social. Cra. 7 No. 32-16 Ciudadela San Martín Teléfono 327 97 97 www.integracionsocial.gov.co Información Línea 195 F-L-002 Código:L-TE PROCESO: MANTENIMIENTO Y SOPORTE TIC LINEAMIENTO: SEGURIDAD INFORMATICA Versión:0 Fecha: 17/09/2015 Página: 20 de 23 El grupo desarrollador en cabeza del Equipo de Factoría de Software debe entregar respectivamente la ficha técnica del aplicativo, Instructivo de instalación o despliegue y Manual de Usuario de cada desarrollo. El Equipo de Factoría de Software debe informar con anterioridad al Equipo de IT si se va a realizar algún mantenimiento, actualización o implementación de cambios a los aplicativos en producción. El Equipo de Factoría de Software será el responsable de los Backups correspondientes a los Sistemas de Información a su cargo informando al Equipo de Infraestructura Tecnológica, los ficheros, carpetas, archivos sobre los cuales se debe aplicar la política de Backup institucional. 9.9 Gestión de incidentes de la seguridad de la información El presente dominio busca brindar a los usuarios una alternativa de información sobre conductas que se consideren por fuera de lo establecido en las normas de seguridad, o relacionados con eventos que afecten los activos de información y de Infraestructura tecnológica de la entidad. Por medio del establecimiento de un instrumento para el reporte y manejo de los incidentes de seguridad informática al interior de la SDIS. Los incidentes relacionados con la Seguridad de la Información, deben ser informados a la Subdirección de Investigación e Información, a través del documento controlado vigente, FORMATO Y EL INSTRUCTIVO DE INCIDENTES. La administración del formato estará en cabeza del equipo funcional de infraestructura tecnológica, quien es responsable de dar trámite al incidente. Los incidentes de seguridad que involucren terceros relacionados con los activos de IT, serán atendidos por el equipo funcional de Infraestructura tecnológica, con base en los acuerdos de niveles de servicio asociados al servicio informático. El Plan de contingencias cuenta con la información referente a los terceros con los cuales la entidad tiene establecido vínculo contractual. Es responsabilidad de cada uno de los equipos funcionales de la SII verificar que el formato esté debidamente actualizado. El equipo de IT deberá documentar los procedimientos ejecutados en desarrollo de atención de incidentes de seguridad, que minimicen los riesgos de pérdida o daño de los activos de información y de IT, frente a posibles eventos futuros. 9.10 Gestión de la continuidad Cra. 7 No. 32-16 Ciudadela San Martín Teléfono 327 97 97 www.integracionsocial.gov.co Información Línea 195 F-L-002 Código:L-TE PROCESO: MANTENIMIENTO Y SOPORTE TIC LINEAMIENTO: SEGURIDAD INFORMATICA Versión:0 Fecha: 17/09/2015 Página: 21 de 23 El dominio sobre la Gestión de la Continuidad describe la responsabilidad del Comité de Seguridad de la Información en el establecimiento, operación, seguimiento y mejora del plan de contingencia informático, así como la responsabilidad de los equipos funcionales de la SII para garantizar la completitud del plan. El Comité de Seguridad de la Información, es responsable de la validación de la existencia del Plan de Contingencia Informático que garantice la recuperación de la operación informática frente a la posible materialización de los, y realizará una actualización anual, en desarrollo de las acciones del plan de acción del comité. La SII es responsable de la operación del plan de contingencia informático, así como de la revisión de los anexos que lo conforman. Es responsabilidad de los equipos funcionales garantizar la completitud de los documentos que soportan la operación informática de la entidad. El equipo de IT tecnológica es responsable de la programación de los simulacros de restauración de los sistemas y servicios informáticos, según lo estipulado en el plan de contingencia. Los simulacros de restauración deben ser debidamente documentados y revisados para medir la efectividad de los componentes del plan. El equipo de IT tecnológica debe realizar una revisión, y de ser necesario, actualizar trimestralmente el mapa de riesgos informático. El Comité de Seguridad de la Información, gestionará los recursos humanos, tecnológicos y financieros necesarios para garantizar la existencia de un Plan de Continuidad que garantice la prestación de la operación de los servicios informáticos críticos. 9.11 Cumplimiento El cumplimiento de la normatividad vigente, las disposiciones legales Nacionales y Distritales, y los lineamientos y directrices definidas por el comité de seguridad de la información, se reglamenta en el presente dominio de la norma técnica internacional, y ofrece a los usuarios de los sistemas y servicios informáticos la posibilidad de contar con un marco de referencia que evite incurrir en conductas que originen faltas a la seguridad de la información. Facultase a la Subdirección de Investigación e Información para hacer seguimiento, monitoreo y control sobre el uso de los sistemas informáticos por parte del talento humano de la entidad, y la aplicación de las políticas de seguridad de la información dispuestas en la presente política y demás disposiciones legales vigentes y reglamentarias sobre la materia. Es obligación de todos los funcionarios, servidoras y servidores públicos, Contratistas y Terceros con acceso autorizado los servicios y sistemas informáticos, cumplir con todas las políticas y disposiciones de seguridad informática adoptadas por la entidad. Cra. 7 No. 32-16 Ciudadela San Martín Teléfono 327 97 97 www.integracionsocial.gov.co Información Línea 195 F-L-002 Código:L-TE PROCESO: MANTENIMIENTO Y SOPORTE TIC LINEAMIENTO: SEGURIDAD INFORMATICA Versión:0 Fecha: 17/09/2015 Página: 22 de 23 Todo usuario que incurra en delitos informáticos contemplados en la ley 1273 de 2009, será objeto de investigación técnica por parte de la Subdirección de Investigación e Información, quienes notificaran los resultados de la investigación a la oficina de asuntos disciplinarios para la posible apertura formal de la investigación disciplinaria, el cual podrá ser sancionado de acuerdo con las disposiciones legales vigentes. El desarrollo de la investigación técnica, disciplinaria u otra a que haya lugar, no exime al contratista, servidor público o tercero, del cumplimiento de sus obligaciones o funciones. Acción de no repudio. El contratista, servidor público o tercero que por descuido o que de alguna manera exponga, revele, divulgue o distribuya a terceros su contraseña, equipo, activos de infraestructura tecnológica o información confidencial bajo su responsabilidad, no estará exento de la responsabilidad de los eventos que bajo esta circunstancia se realicen en contra de la seguridad informática de la entidad. 10 EVALUACIÓN DEL LINEAMIENTO O POLÍTICA INTERNA. El Comité de Seguridad de la Información, en cumplimiento del artículo 3, de la resolución 1564 de 2010, Funciones del Comité, numeral 14. “Implementar el mantenimiento y seguimiento de la política de seguridad de la información…”, es responsable de atender las recomendaciones de la Subdirección de Investigación e Información y demás áreas de la entidad, relacionadas con los aspectos de seguridad de la información que deban ser incluidos, modificados o eliminados de la política, en desarrollo del plan de acción. 11 RESPONSABILIDADES Y COMPETENCIAS. Éstas serán las responsabilidades establecidas para la ejecución y evaluación de la política de seguridad informática Verificación de la ejecución: La Subdirección de Investigación e Información podrá realizar seguimiento al cumplimiento de los controles y lineamientos de seguridad informática por parte de los usuarios de los sistemas y servicios informáticos institucionales. La Subdirección de Investigación e Información deberá realizar auditorias internas a la política de seguridad informática para validar su funcionalidad, teniendo en cuenta cambios relacionados con las tecnologías de información y comunicaciones al interior de la entidad. Es responsabilidad del Comité de Seguridad de la Información actualizar la política de seguridad informática. 12 ADMINISTRACIÓN DEL LINEAMIENTO. Cra. 7 No. 32-16 Ciudadela San Martín Teléfono 327 97 97 www.integracionsocial.gov.co Información Línea 195 F-L-002 Código:L-TE PROCESO: MANTENIMIENTO Y SOPORTE TIC Versión:0 LINEAMIENTO: SEGURIDAD INFORMATICA Fecha: 17/09/2015 Página: 23 de 23 La administración del lineamiento seguridad informática, estará a cargo de la Subdirección de investigación e Información una vez aprobados los cambios, ajustes o actualizaciones por el Comité de Seguridad de la Información y aprobación del Sistema Integrado de Gestión. ELABORO NOMBRE CARGO REVISO Yamel Orlando Martínez Balaguera Maria del Socorro Artunduaga Rodriguez Virginia Alemán Casas Contratistas Ingenieros de la Subdirección de Investigación e Información. Subdirectora Información de Investigación APROBO Carlos Vladimir Cobo Ramírez e Director de Análisis y Diseño Estratégico Líder del Proceso de Mantenimiento y Soporte de Tic Cra. 7 No. 32-16 Ciudadela San Martín Teléfono 327 97 97 www.integracionsocial.gov.co Información Línea 195 F-L-002
