BUSCAR
ÍNDICE
COLPENSIONES: DOCUMENTO 40
LINEAMIENTOS Y ESTÁNDARES DEL GOBIERNO Y GESTIÓN DE TI
1. OBJETIVO
Asegurar el cumplimiento de la regulación, los lineamientos y estándares de TI por parte de los trabajadores, contratistas y terceros que presten sus servicios, la alineación con el modelo integrado de gestión, los procesos y los esquemas de gobernabilidad, bajo los cuales pueda monitorear, evaluar y dirigir las TI, mediante la gestión, seguimiento y evaluación de proyectos.
2. ALCANCE
Aplica para toda la Gerencia de Tecnologías de Información en todos aquellos aspectos que involucren a las Tecnologías de Información y Comunicaciones en COLPENSIONES. Todos los integrantes de TI tienen el compromiso de cumplir las políticas y lineamientos del Gobierno de TI, así como, de reportar las desviaciones a estas que sean detectadas.
Tiene como cobertura todos los recursos humanos, financieros, tecnológicos y procedimentales disponibles en COLPENSIONES, así como también todos los procesos organizacionales y los modelos de gestión institucionales implementados en la entidad.
3. DEFINICIONES
Acceso: Permiso otorgado a los usuarios para acceder a un área, recurso, sistema o aplicación. Dentro de su ciclo de vida se encuentran las siguientes actividades: definición de privilegios de acceso, asignación técnica del acceso, revisión periódica de los privilegios de acceso definidos y concedidos, actualización y borrado.
Activos de información y Ciberseguridad: Recursos del sistema de información o relacionados con éste, necesarios para que Colpensiones funcione correctamente y alcance los objetivos propuestos por su dirección. Se pueden estructurar en seis categorías: Personal (funcionarios, terceros y clientes), la información en cualquiera que sea su medio (oral, escrita, magnética, digital), la organización correspondiente a los procesos de Colpensiones, el hardware (equipos de cómputo centrales y locales, equipos de comunicaciones entre otros sin limitarse solo a los anteriores), el software (programas aplicativos en general y sistemas operacionales entre otros sin limitarse a solo a los anteriores) y red (redes de comunicación y redes eléctricas).
Activos de información críticos: Todos los activos de información que fueron clasificados como
“Información Confidencial o Sensible” o “Información Restringida”.
Acuerdo de nivel de servicio: Compromiso realizado entre dos partes (proveedor y cliente) con respecto a las características en que se espera que un servicio sea provisto. Determina expectativas y límites definiendo el objetivo del servicio, prácticas operacionales, delimitación de responsabilidades, marcos de tiempo y políticas de gestión.
Aplicación: Conjunto integrado de elementos de software que proveen soporte para la realización de una o varias funciones y procesos de negocio.
Arquitectura: La estructura de un Sistema o un Servicio TI, incluyendo las Relaciones de sus Componentes y del ambiente en el que se encuentran. La Arquitectura también incluye los Estándares y las Guías que dirigen el diseño y evolución del Sistema.
Arquitectura de datos: Es el conjunto de actividades requeridas para entender las necesidades de información del negocio y diseñarlas en bases de datos que permitan su uso efectivo y confiable.
ASVS(OWASP):... “El estándar de verificación de seguridad en aplicaciones es una lista de requerimientos de seguridad o pruebas que pueden ser utilizadas por arquitectos, desarrolladores, testers, profesionales de seguridad e incluso consumidores, para definir tan segura es una aplicación.”
Bodega de datos: Repositorio de información integrada, histórica, detallada y relacionada, perteneciente a una organización e implementada para servir como memoria histórica que dé soporte a la toma de decisiones e inteligencia de negocios.
Calidad de datos: Es el aseguramiento de que los datos son adecuados para el uso que se le va a dar.
Cadena de Custodia: Procedimiento controlado que se aplica a los indicios materiales relacionados con el delito, desde su localización hasta su valoración por los encargados de su análisis, normalmente peritos, y que tiene fin no viciar el manejo que de ellos se haga y así evitar alteraciones, sustituciones, contaminaciones o destrucciones.
Canal: Medio de acceso físico o virtual empleado por el usuario final para tener acceso a los servicios ofrecidos por Colpensiones. Ejemplos: Punto de Atención al Ciudadano -PAC, Call Center, Portal Web, Aplicación móvil.
CDA: Centro de datos Alterno, Lugar en donde se procesa la información de una entidad cuando no es posible hacerlo en el CDP, independientemente de ser de su propiedad o de un tercero.
CDP: Centro de Datos Principal, Lugar en donde se concentran los recursos necesarios para el procesamiento de la información de una entidad, independientemente de ser de su propiedad o de un tercero.
Ciclo de vida de aplicación: Conjunto de las fases por las cuales pasa una aplicación durante toda su existencia. Puede incluir análisis, diseño, construcción, prueba, transición a producción, producción, baja.
Clasificación de la información: Es la asignación de un nivel de sensibilidad de la información cuando se están creando, corrigiendo, almacenando o transmitiendo. La clasificación de la información determina el grado en que necesita ser controlada y asegurada.
Confidencialidad: Es la característica o condición que especifica que la divulgación de información solo debe corresponder a individuos, entidades o procesos autorizados.
CSS (Cascading Style Sheets o su traducción al español como Hojas de Estilo Heredables) es regulado por W3C cuenta con una herramienta que permite realizar validaciones de las plantillas de estilos usadas de modo que se permite verificar el cumplimiento del estándar. El validador de CSS se encuentra en la dirección http://jigsaw.w3.org/css-validator/
Custodio: Es la persona o área encargada de administrar y hacer efectivos los controles de seguridad que el propietario de la información ha definido. Responsables por implementar (a nivel técnico) los controles requeridos para proteger los activos de información, con base en el nivel de clasificación asignado por el dueño correspondiente.
Derecho de Acceso: Son los privilegios que se le asignan a un usuario sobre la información (Por ejemplo: escritura, lectura, almacenamiento, ejecución o borrado).
Disponibilidad: es la característica, cualidad o condición de acceso a la información y a los sistemas por personas autorizadas en el momento que así lo requieran.
Dato: Información dispuesta de manera adecuada para su manejo por parte de un computador.
Dato público: Es el dato que no sea privado o sensible. Son considerados datos públicos, entre otros, los datos relativos al estado civil de las personas, a su profesión u oficio ya su calidad de comerciante o de servidor público. Por su naturaleza, los datos públicos pueden estar contenidos, entre otros, en registros públicos, documentos públicos, gacetas y boletines oficiales y sentencias judiciales debidamente ejecutoriadas que no estén sometidas a reserva.
Datos sensibles: Se entiende por datos sensibles aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como aquello~ que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición, así como los datos relativos a la salud, a la vida sexual, y los datos biométricos.
Enmascaramiento: Proceso por medio del cual la información sensible es reemplazada completa o parcialmente para proteger su confidencialidad. Para el paso de datos productivos a ambientes de pruebas se puede por ejemplo reemplazar los dígitos intermedios de una cédula o un NIT con un dígito preestablecido, evitando así que se conozca el número real.
Hardening: Proceso por medio del cual se configura un sistema o componente tecnológico para reducir las vulnerabilidades derivadas de malas prácticas de instalación, configuración o administración.
HTML (Hypertext markup language o Lenguaje De Marcas De Hipertexto) es un estándar abierto y libre que es regulado por la W3C por lo que deben adoptarse los estándares que defina Colpensiones. W3C HTML5.
Información: La información es un conjunto organizado de datos procesados, que constituyen un mensaje que cambia el estado de conocimiento del sujeto o sistema que recibe dicho mensaje.
Integridad: La información debe ser precisa, coherente y completa desde su creación hasta su destrucción. Garantiza que la información y los métodos de procesamiento se conserven precisos y completos.
Lenguaje SQL: El lenguaje estructurado de consulta (SQL) es un lenguaje declarativo de acceso a bases de datos relacionales. Es un estándar utilizado ampliamente utilizado en los manejadores de bases de datos.
Movilidad: Es una estrategia organizacional para que los funcionarios, servidores o terceros tengan acceso a los recursos tecnológicos y a la información necesaria para el desarrollo de sus actividades contractuales o laborales, desde el lugar en donde sea más producto. Generalmente implica que los usuarios no tienen sitios o puestos fijos de trabajo, sino que se pueden mover entre instalaciones de la organización, sitios de proveedores o incluso lugares abiertos (como pozos petroleros) en caso de ser necesario.
NAC (Network Access Control): Es una tecnología que permite controlar de forma muy granular los dispositivos que pueden acceder a la red.
OWASP (Open Web Application Security Project): El Proyecto Abierto de Seguridad en Aplicaciones Web (OWASP por sus siglas en inglés) es una comunidad abierta dedicada a permitir que las organizaciones desarrollen, adquieran y mantengan aplicaciones y APIs en las que se pueda confiar.
Política: Orientación o directriz que rige la actuación de una persona o entidad en un asunto o campo determinado, y se deriva directamente de los principios que rigen el entorno.
Principio: Proposición que es base, razón fundamental o directriz de alto nivel relacionada con un tema. Norma o idea fundamental que rige el pensamiento o la conducta respecto a un tema.
Propietario del Activo de Información y Ciberseguridad: Es: Es la persona, proceso, grupo que tiene la responsabilidad de definir quienes tienen acceso y que pueden hacer con la información y de determinar cuáles son los requisitos para salvaguardarla. El término 'El dueño o propietario' no significa que la persona en realidad tenga cualquier derecho de (propiedad) al activo.
Proyecto: Conjunto de actividades a ejecutar en un tiempo determinado con una combinación de recursos humanos, físicos, financieros que tienen costos definidos, orientado a producir un resultado específico predefinido.
Recursos tecnológicos: bases de datos, aplicaciones, redes, servicios web y directorios de archivos compartidos.
Script: Guión, archivo de órdenes o archivo de procesamiento por lotes, que contiene instrucciones a ser ejecutadas en un sistema.
Zona desmilitarizada o DMZ: Es una red local que se ubica entre la red interna de una organización y una red externa, generalmente Internet. El objetivo de una DMZ es que las conexiones desde la red interna y la externa a la DMZ estén permitidas, mientras que las conexiones desde la DMZ sólo se permitan a la red externa, es decir: los equipos locales (hosts) en la DMZ no pueden conectar con la red interna.
Sistema Informático: Es un sistema que permite o hacen parte los ordenadores y redes de comunicación electrónica, así como los datos electrónicos almacenados, procesados, recuperados o transmitidos por los mismos para su operación, uso, protección y mantenimiento.
4. DESCRIPCIÓN DEL DOCUMENTO
El presente documento establece las políticas, lineamientos y estándares de Tecnología de la Información las cuales deben ser adoptadas por todos los trabajadores, contratistas y terceros que presten sus servicios o tengan algún tipo de relación con la empresa; estas se encuentran enfocadas al cumplimiento de la normatividad legal Colombiana vigente, los lineamientos del Ministerio de Tecnologías de la Información y las Comunicaciones de Colombia y a las buenas prácticas de gobierno y gestión de Tecnologías de la Información.
5. POLÍTICAS, LINEAMIENTOS Y ESTANDARES DEL GOBIERNO DE TI
El gobierno de TI está regido por principios, políticas, lineamientos y estándares de TI los cuales son impartidos para tener una guía clara a cumplir en la parte operativa.
Ilustración 1Lineamientos de TI para COLPENSIONES.
Las políticas corresponden a las directivas o declaraciones operativas que la organización de TI debe seguir para apoyar adecuadamente los objetivos estratégicos del negocio.
La construcción de los políticas, lineamientos y estándares de TI se alinean con la arquitectura empresarial de Colpensiones y conforme a los dominios de negocio, información y datos, sistemas de información, servicios tecnológicos y seguridad que permitirán la gobernabilidad y gestión de TI en Colpensiones.
Ilustración 2 Dominios de Arquitectura Empresarial de Colpensiones
6. POLITICAS DE TECNOLOGIAS DE LA INFORMACION QUE DEBEN SER ADOPTADAS EN EL MARCO DEL GOBIERNO Y GESTION DE TECNOLOGIA
A continuación, se relacionan lineamientos y estándares para la alineación en todos los niveles del Gobierno de TI de COLPENSIONES (operacional, táctico y estratégico), mediante el uso de herramientas, tecnologías y métodos aplicables que faciliten la gestión de sus principales componentes.
Lineamientos Específicos
1. La Vicepresidencia de Planeación y Tecnologías de la Información debe mantener actualizadas las políticas de TI a la realidad tecnológica de la entidad de tal manera que mantengan su propósito como marco de referencia para la toma de decisiones de TI.
2. La Vicepresidencia de Planeación y Tecnología verificará el cumplimiento de la Política de Gobierno TI a través de instrumentos que incluyan lineamientos, estándares, métricas e indicadores a nivel interno y externo de la entidad.
3. Dentro de los estándares, políticas y procesos a tener en cuenta se relaciona: el Marco de Referencia de Arquitectura Empresarial del Estado, la Política de Gobierno Digital, el Plan Nacional de Desarrollo, el Modelo Integrado de Planeación y Gestión, el Modelo de Seguridad y Privacidad de la Información – MSPI, el Sistema Integrado de Gestión, el título 17 de la parte 2 del libro 2 del Decreto 1078 de 2015, que establece los lineamientos para la prestación de los servicios ciudadanos digitales, y para permitir el acceso a la administración pública a través de medios electrónicos.
4. Se debe revisar anualmente o por demanda la alineación del gobierno de TI, el plan estratégico de Tecnologías de la Información - PETI con las directivas presidenciales, políticas de gobierno digital y plan nacional de desarrollo.
5. La definición del gobierno de TI se debe evaluar anualmente. En caso de ser necesarias modificaciones deberán ser revisadas desde la Vicepresidencia de Planeación y Tecnologías de la Información y elevadas para su aprobación a la instancia requerida.
6. Se debe garantizar que el proyecto o iniciativa a desarrollar tiene como finalidad la solución de una problemática o necesidad concreta, realiza análisis de datos e información para entender las necesidades, busca la aplicación de métodos o herramientas de innovación e implementa lineamientos y buenas prácticas para lograr que la inversión en tecnología sea efectiva.
7. Todo proyecto que haga uso de TIC debe incorporar a los usuarios en todas sus etapas, así como garantizar que desde su diseño sean concebidos digitalmente y a lo largo de su ejecución, cumplir permanentemente con los requisitos los cuales pueden ser; interoperabilidad, seguridad, accesibilidad y usabilidad, apertura, acceso a través de diferentes dispositivos y un esquema de conocimiento, uso y apropiación para un óptimo funcionamiento digital.
8. Toda evaluación de una solución tecnológica debe contar con el aval del equipo de Arquitectura de TI basado en el Diseño Conceptual.
9. Las decisiones estratégicas de TI deben cumplir con el esquema de decisiones propuesto la cual debe ser aprobada por el Comité de la Demanda de Soluciones Tecnológicas, evaluada por la Gerencia de Tecnologías de la Información, validada por el equipo de Arquitectura Empresarial.
10. Ningún proyecto de TI podrá implementarse en la entidad sin la orientación tecnológica de la Vicepresidencia de Planeación y Tecnologías de la Información.
11. Todo proyecto de TI o estratégico de negocio con componentes de TI, debe contar con la revisión y viabilidad técnica de la Vicepresidencia de Planeación y Tecnologías de la Información, y tener definido su líder de negocio del proyecto, el cual estará acompañando todo el proceso desde la conceptualización, análisis, desarrollo, pruebas, puesta en producción, capacitación y posterior administración y mantenimiento.
12. Todo proyecto estratégico que apruebe el Comité de la Demanda de Soluciones Tecnológicas de COLPENSIONES se incluirá dentro del Plan Estratégico de Tecnología de la Información con identidad propia, objetivo, alcance, duración, responsables, recursos asignados y orden de prioridad.
13. Todo proyecto que haga uso de TIC, debe ser diseñado para que desde el principio garantice interoperabilidad, seguridad y privacidad de la información, accesibilidad, usabilidad, apertura y ubicuidad, teniendo en cuenta las necesidades y características de los usuarios.
14. Todo proyecto que busque hacer mejoras o ajustes a los sistemas existentes, deberán incorporar estos atributos de acuerdo a la infraestructura tecnológica de la entidad y el nivel de avance en la implementación del Marco de Arquitectura, el Modelo de Seguridad y privacidad de la información y el Modelo de Servicios Ciudadanos Digitales.
15. Los nuevos proyectos deberán cumplir y poder aplicar las políticas de Seguridad de la Información de COLPENSIONES.
16. Propender por la adquisición de recursos informáticos con elevado grado de penetración en el mercado y adecuado soporte técnico local por parte del proveedor.
17. La infraestructura, en lo posible, deberá adquirirse con base en tecnologías que se adhieran a estándares de industria con el fin de no depender de un único proveedor.
18. La adquisición de tecnología debe estar acorde con las necesidades de la entidad aprovechando al máximo las capacidades de los funcionarios y el presupuesto asignado para esta materia.
19. Todos los procesos de adquisición de recursos y soluciones TI deben ser valorados y aprobados previamente por la Vicepresidencia de Planeación y Tecnologías de la Información garantizando compras eficientes en cumplimiento de la normatividad vigente al respecto.
20. La estructura organizacional responderá al Modelo de procesos de la Entidad, asignando los responsables en los primeros niveles de dicha estructura que aseguren el cumplimiento de los objetivos de los procesos.
21. Se debe garantizar que el proyecto o iniciativa que haga uso de TIC cuente con un conjunto de acciones que permitan una adecuada ejecución, seguimiento y realimentación, de manera que se cumpla con lo planeado y que se satisfagan las necesidades y problemáticas identificadas desde el inicio.
Estándares de TI
1. El modelo de Gobierno de TI bajo la norma técnica para el gobierno corporativo de las tecnologías de la información ISO 38500:2008.
2. Modelo de Gobierno de TI de MINTIC -Guía del dominio de Gobierno de TI.
3. La documentación requerida en las aplicaciones y procesos de TI bajo la norma técnica de gestión de calidad ISO/IEC 9000:2015.
4. Norma técnica para la práctica de controles de seguridad de la información ISO 27002:2013.
5. Norma técnica de la administración de riesgos ISO/IEC 31000.
6. Los servicios de TI se basan en la buena práctica ITIL V3.0.
7. La administración de proyectos se basa en la metodología de gestión de proyectos de la entidad.
8. El diseño de procesos se diagrama en la herramienta Bizagi Modeler.
7. POLÍTICAS, LINEAMIENTOS Y ESTÁNDARES DEL DOMINIO DE SERVICIOS TECNOLOGÍCOS
Las políticas, lineamientos y estándares permiten apoyar a la Gerencia de Tecnologías de la Información en la definición y diseño de la arquitectura de la infraestructura tecnológica que se requiere para soportar los Sistemas de Información y el portafolio de servicios.
Política No 1. En todos los incrementos de tecnología se debe garantizar la disponibilidad de los servicios soportados por TI.
Objetivo: Implementar los activos de tecnología, con alta disponibilidad, para garantizar la continuidad de los servicios productivos soportados por TI.
Alcance:
Inicia: Identificación de activos de tecnología que soportan los procesos críticos de Colpensiones. Incluye: Implementar mecanismos de alta disponibilidad de los activos de TI.
Finaliza: Aplicación de pruebas de continuidad de los activos de TI.
Lineamientos Específicos y Estándares
1. Se debe contar con un controlador de distribución de aplicaciones que permitan equilibrar las cargas.
a. BIG-IP F5
2. Se debe contar con Plataforma de virtualización a nivel de Centros de Datos, para procesadores X86
a. ESX 6.5 VMware (Windows X86 y Linux X86)
3. Se debe contar con Plataforma de virtualización a nivel de Centros de Datos, para procesadores RISC
a. VIO Server (AIX, IOS, Linux On Power)
4. Se deben tener sistemas de replicación
a. MIMIX (DB2)
b. Replication Server (Sybase)
c. Global Mirror (SQL)
5. El CDA debe estar separado del CDP, previendo que un mismo acontecimiento no afectará de manera simultánea la operación del CDP y el CDA.
a. Circular externa 026 de 2016[1].
b. ANEXO 14.1 Manual del DRP de la PARTE I Sistema de Gestión de la Continuidad del Negocio[2]
6. Las oficinas de Colpensiones que cuenten con una sola impresora operativa, deberán contar con una impresora adicional (impresora de backup), que permitirá la continuidad del servicio en caso de falla de una impresora multifuncional.
7. Los enlaces de comunicaciones en Colpensiones contarán como mínimo con los niveles de disponibilidad que se indican a continuación:
a. 99.6% para las sedes que solo cuentan con un canal de comunicaciones.
b. 99.96% para para las sedes que tienen un canal principal y un canal de backup.
8. Se debe contar con un esquema en alta disponibilidad a nivel de controlador para la red inalámbrica de Colpensiones.
9. Se debe contar con una solución de telefonía IP que proporcione una disponibilidad mínima del 99.9%
10. Las sedes centrales de la entidad contarán con una arquitectura de swicth core en alta disponibilidad.
Política No 2. Se debe cumplir la normatividad sobre protección de derechos de autor.
Objetivo: Instalar software en los equipos tecnológicos, adquiridos por Colpensiones, cumpliendo con la normatividad de derechos de autor.
Alcance
Inicia: Solicitud de instalación aprobada.
Incluye: Verificación de adquisición de licenciamiento adquirido por medios contractuales y/o autorizados.
Finaliza: Instalación de software autorizado.
Lineamientos Específicos y Estándares para sistemas operativos.
1. Implementar los sistemas operativos autorizados.
a. Windows 2016 0 Superior (64 bits)
b. Linux Red Hat 7.X o Superior (64 bits)
c. Linux On Power (64 bits).
2. Implementar los motores de bases de datos autorizados:
a. SQL Server 2008/2012/2016 - Windows Server 2016
b. Sybase 15.7 - AIX 7.1
Política No 3. Se debe controlar la diversidad técnica que permita soportar los servicios con los que cuenta Colpensiones.
Política No 4. Se debe realizar la subdivisión de recursos tecnológicos agrupados por los activos de red, recursos, aplicaciones y lógicas, que permiten una adecuada administración, operación y seguridad de los recursos tecnológicos.
Objetivo: Agrupar los activos de red, recursos y aplicaciones, en agrupaciones lógicas, que permiten una adecuada administración, operación y seguridad de los recursos tecnológicos.
Alcance
Inicia: Definir zonas de red.
Incluye: Asignación de direccionamiento IP dependiendo del rol del activo de red.
Finaliza: Asignación de permisos de red para la zona solicitada.
Lineamientos específicos y estándares.
1. Se debe tener segmentación de red acorde al servicio específico que prestan los activos de infraestructura
a. DMZ --> dar servicios a la red externa a la vez que protegen la red interna en el caso de que unos intrusos.
b. Aplicaciones --> Servidores que tiene implementadas aplicaciones
c. Bases de Datos --> Servidores que prestan servicios de Bases de Datos
d. Servicios de Red --> Servidores de autenticación y de impresión
e. File Server --> Servidores de almacenamiento de archivos".
f. Telefonía --> Equipos de telefonía de cada una de las sedes de Colpensiones
g. Sistemas de Turnos --> Dispositivos que gestionan la atención al ciudadano en cada una de las sedes de Colpensiones.
h. NAC --> Segmentos de red para administrar el control de acceso en la red.
i. Gestión --> Segmento de red para la gestión de equipos de redes.
j. WIFI --> Segmento de red destinado para la red(es) inalámbrica(s) de Colpensiones
k. Impresión --> Equipos que prestan el servicio de Impresión.
l. CCTV --> Equipos que prestan el servicio de circuito cerrado de televisión.
m. Proveedores --> segmento de red destinado para la conexión de los equipos de proveedores que prestan servicios en las instalaciones de Colpensiones.
Política No 5. Capacidad de los Servicios Tecnológicos - La dirección de Tecnologías debe velar por la prestación de los servicios de TI, identificando las capacidades actuales de los Servicios Tecnológicos y proyectando las capacidades futuras requeridas para un óptimo funcionamiento.
Objetivo: Asegurar las capacidades de infraestructura de TI para cumplir los requerimientos organizacionales mediante la comprensión de cómo los servicios informáticos utilizan dichas capacidades de infraestructura de TI.
Alcance:
Inicia: Identificación de las capacidades de infraestructura actuales. Incluye: Implementar la medición de los componentes de infraestructura. Finaliza: Proyectando las capacidades futuras de infraestructura de TI
Lineamientos Específicos y Estándares
1- Todos los componentes incluidos en el plan de capacidad deben adoptar lo establecido en el subproceso de gestión de la capacidad.
2- Toda la gestión de la capacidad se debe realizar mediante herramientas que permitan automatizar el procesamiento de los datos.
3- Todos los contratos con terceros deben adoptar lo establecido en el subproceso de gestión de la capacidad.
8. POLÍTICAS, LINEAMIENTOS Y ESTÁNDARES DEL DOMINIO DE SISTEMAS DE INFORMACION
La arquitectura de sistemas de información proporciona un marco para las aplicaciones individuales que se deben implementar, sus interacciones y sus relaciones con los procesos de negocios centrales de la organización.
8.1. Políticas del dominio de sistemas de información.
Política No 1: Se deben establecer los lineamientos que permitan la implementación de los sistemas de información.
Objetivo: Establecer lineamientos organizacionales asociados a los principios definidos para los Sistemas de Información de forma que una vez tomadas las decisiones de arquitectura se cuente con una guía sobre cómo enmarcar la implementación de los componentes que hacen parte de dichas arquitecturas.
Alcance: Esta política es aplicable al diseño, construcción y adquisición de los componentes de aplicación que hagan parte del catálogo de aplicaciones de la entidad.
Inicia: Con la generación de un Diseño conceptual entregado para planteamiento de solución a desarrollar.
Incluye: Aplicación para proyectos nuevos o que se encuentren en proceso de reestructuración, es de obligatorio cumplimiento.
Finaliza: con la implementación de las aplicaciones y el cumplimiento de los lineamientos estos avalados por el macro proceso Gestión de las Tecnologías de la Información encargada de velar el cumplimiento de los mismos.
Lineamientos Específicos
Partiendo de los principios establecidos para el dominio de aplicaciones, se establecieron los siguientes lineamientos:
1. El ciclo de vida de cualquier componente desarrollado a la medida deberá realizarse en el siguiente orden de ambientes: desarrollo, integración, producción, para el paso a producción se debe cumplir con la certificación de pruebas respectivas entre ambientes.
2. La seguridad de la conexión a la base de datos deberá ser hecha en la aplicación y no deberá depender de permisos específicos a usuarios en la base de datos, siempre deberán ser usados usuarios de servicio de la base de datos.
3. El diseño de la aplicación deberá permitir la promoción de la aplicación del ambiente de prueba al ambiente de producción, sin la necesidad de tener que modificar la misma.
4. La aplicación debe ser independiente a los datos y debe permitir conectarse a la base de datos sin realizar modificaciones, facilitando su portabilidad.
5. Se deben colocar los nombres de dominios (DNS) y no se incluirán las direcciones IP en los desarrollos.
6. Todos los datos de configuración deben estar en archivos de configuración independientes o módulos que permitan la parametrización y no estarán contenidos en el código fuente para el acceso a la Base de Datos.
7. Las aplicaciones deben permitir la instalación sencilla y clara de todos sus componentes en todos los ambientes, sin necesidad de parches o adicionales para lograr su correcta implementación, esta debe contener las guías respectivas que permitan tal función, sin hacer compleja la labor de puesta en producción como finalidad.
8. Se deben instalar los componentes estrictamente necesarios para la funcionalidad solicitada en el requerimiento del Negocio. No se deben instalar componentes que no se requieren utilizar.
9. Inhabilitar o eliminar una aplicación debe ser sencillo. El proceso debe quitar suficientes elementos para inhabilitar todas las funciones de la aplicación, sean visibles o no, sin afectar otras aplicaciones. Una vez que se haya inhabilitado o eliminado una aplicación, esta no debe permanecer activa ni debe volver a habilitarse más adelante de forma automática o a través de otra aplicación.
10. Todos los procesos de instalación deben tener un proceso de rollback y dicho proceso debe ser probado en ambiente de QA, como requisito previo para paso a producción en los casos que aplique.
11. Se debe utilizar un software de control de versiones con un repositorio único en Colpensiones. los códigos que se generen para pruebas deberán ser respaldados en este repositorio.
12. Colpensiones mediante la aplicación del proceso formal de Validaciones y Pruebas enmarcado en el macro proceso de Implementación y Entrega del Servicio, que se encuentra disponible en la aplicación: https://colpensiones.isotools.org/, ejecuta diferentes actividades encaminadas a desarrollar aplicaciones o funcionalidades a la medida para Colpensiones, que cuenten con los atributos de calidad necesarios. En cumplimiento a este proceso se deben ejecutar entre otras las siguientes acciones:
- Crear el plan de pruebas correspondiente, en el que se define principalmente el alcance de la prueba, estrategia, ambientación, recursos y cronograma.
- Diseñar los casos de prueba necesarios para cubrir la funcionalidad objeto de pruebas.
- Ejecutar los casos de pruebas en ambientes pre-productivos.
- Obtener la certificación de usuario en el ambiente de QA.
- Documentar resultados.
13. Colpensiones, dispone de 3 ambientes pre-productivos, en los cuales se han de ejecutar diferentes tipos de pruebas así:
- Ambiente de desarrollo de Software: Pruebas unitarias o de Componentes
- Ambiente de Integración: Pruebas no funcionales (rendimiento y vulnerabilidad), pruebas de integración y pruebas de sistema.
- Ambiente de QA: Pruebas de aceptación de usuario
- Para los despliegues en producción de los componentes compilados o ejecutables se toman versiones probadas y aceptadas del ambiente de QA.
14. El mapeo objeto-relacional (en inglés Object-Relational Mapping, ORM) es un método de programación usado para convertir datos entre el sistema de tipos y la utilización de bases de datos relacionales como motor de persistencia. Se debe aclarar que el sistema de tipos es la clasificación de valores y expresiones de un dato, utilizado en un lenguaje de programación orientado a objetos.
15. Los proyectos de tecnología estratégicos de Colpensiones deben contemplar un tiempo de utilidad promedio de 10 años, en concordancia con el ciclo de evolución de la tecnología.
16. Los proyectos de tecnología estratégicos de Colpensiones deben considerar el costo total del ciclo de vida del sistema, entre el 60% y 80% es costo de mantenimiento.
17. En la construcción o adquisición de software para Colpensiones, su arquitectura y diseño debe buscar su evolución vía extensión y no vía modificación.
18. Los entregables de Arquitectura indispensables en las soluciones de tecnología de Colpensiones son: Motivadores de negocio, requerimientos funcionales, requerimientos no funcionales, atributos de calidad, documentación de arquitectura y documentación de diseño.
19. Toda Aplicación construida o adquirida por Colpensiones debe usar y ser orientada por estándares (de preferencia abiertos),
20. Toda aplicación desarrollada a la medida para Colpensiones debe tener un diseño previo y dicho diseño debe ser documentado y validado antes de su implementación.
21. Las aplicaciones comerciales no deben incorporar desarrollos a la medida, estos deben contemplarse en aplicativos o módulos adicionales.
22. Para iniciar su ciclo productivo cada aplicación debe cumplir con los Requisitos de control de cambios vigentes en Colpensiones.
23. Cada aplicación que entre en producción debe ser registrada en el repositorio de Arquitectura de Colpensiones en todos sus dominios interfaces de información masiva deben implementarse usando los activos de integración de datos con que cuenta Colpensiones o con otros de la misma naturaleza que se deban adquirir.
24. Los procesos de Negocio que involucran interacción humana o transacciones de larga duración deben implementarse en el gestor de Procesos de Negocio con que cuenta Colpensiones.
25. Los reportes de negocio a partir de bases de datos estructuradas se deben generar con herramientas especializadas en ETL y Reportes de Colpensiones.
a. Estándar - reporte operativo: Herramienta SQL reporting services (reportes operativos que retorna un conjunto de datos y generación de filtros simples).
b. Reporte táctico: Herramienta Microestrategy - Son tableros de control con indicadores y gráficos.
c. Reporte estratégico: Herramienta SAS son reportes con implementación de analítica avanzada, análisis multivariado, inteligencia empresarial, gestión de datos y análisis predictivo.
26. Cuando el uso de los datos requierán de niveles de almacenamiento y procesamiento de grandes volúmenes de datos en tiempos reducidos o cuando se requiera conformar un modelo de inteligencia de negocios será conveniente el uso de la bodega de Colpensiones.
27. Todo desarrollo de software que se construya para COLPENSIONES deberá contar con el registro los derechos de autor y patrimoniales a nombre de COLPENSIONES ante la Dirección Nacional de Derechos de Autor – DNDA.
28. La totalidad de las consideraciones con respecto a los derechos de autor deberán ceñirse y aplicarse de acuerdo a la legislación colombiana.
29. Los portales web de Colpensiones expuestos a ciudadanos y entidades externas, deberán cumplir con la política descrita en el documento “MANUAL DE GOBIERNO DIGITAL. Implementación de la Política de Gobierno Digital. Decreto 1008 de 2018 (Compilado en el Decreto 1078 de 2015, capítulo 1, título 9, parte 2, libro 2)”, específicamente lo contenido en las secciones “2.1.4. Simplificación de la Interacción Digital entre los Ciudadanos y el Estado” y “5.7 Anexo 7 – Estándares, Lineamientos y Mecanismos de Validación para la integración al Portal Único del Estado Colombiano”.[3]
30. Todo nuevo servicio web que exponga Colpensiones a entidades públicas externas, deberá cumplir con la política descrita en el documento “Guía de Uso del Lenguaje Común de Intercambio de Información y Conceptos Generales. Julio de 2019”, específicamente lo contenido en la sección “5 Haciendo Uso del Lenguaje Común de Intercambio de Información[4]”.
Estándares de Aplicaciones
Uso de lenguajes de desarrollo y Codificación Web: PHP 7.0 o versiones,.NET framework
4.7 C# o superior, Java 8 o superior, Javascript 3 o superior, Html5, CSS.
Uso de lenguajes para mobile: Xamarin, IONIC
Sistema de control de versiones: Serena Versión 7.15
Categoría Bases de Datos: Mapeo objeto-relacional (ORM) y Motor de Persistencia SQL 2016 o superior y Sybase 15.
Generación de Reportes:Microestrategy, Reporting services, SAS, cabe aclarar que los sistemas de información deberán generar los reportes básicos de su propio ámbito y las herramientas de reporteador serán usadas para ejecuciones que requieren un complejidad para el cruce de información, obtención de la misma o un volumen alto de registros.
Versiones de aplicaciones de gestión de data:
- Microestrategy versión 10.11
- Reporting services 2016
- Bodega Terada 5.4
- SAS 9.4 M6
Lenguaje SQL: Uso del lenguaje estructurado de consulta (SQL), lenguaje declarativo de acceso a bases de datos relacionales. Es un estándar utilizado ampliamente los diferentes manejadores de bases de datos, con esto se da aplicabilidad al principio Neutralidad Tecnológica, es posible que se haga necesario usar extensiones del Lenguaje SQL propias de los manejadores de bases de datos existentes con fines de cumplir con las expectativas y necesidades de los procesos de negocio.
Categoría Páginas Web: HTML 5. Actualmente la W3C cuenta con un validador de HTML que certifican el cumplimiento del estándar. El validador de HTML se encuentra en la dirección http://validator.w3.org/.
BPMs Bizagi 11: (versión actual 9 en actualización)
- El uso de Bizagi debe hacerse basado en la especialidad y foco la cual está orientada a la ejecución y automatización de procesos y/o flujos de trabajo lo cual nos induce a que directamente no sea base de datos definitiva para almacenar de información propia de negocio o de trabajo sino de sus procesos o flujos de trabajo, los lineamientos a aplicar es que para datos de trabajo o negocio se utilice una base de datos de manera independiente para dicha labor.
- No se debe utilizar Bizagi para hacer reportes de datos de negocio. Para ello debe utilizarse las herramientas autorizadas por Colpensiones para elaborar reportes, tales como Microsoft SQL Server Reporting Services.
- No se debe utilizar Bizagi para realizar cálculos de negocio o lógica de negocio. Para ello debe utilizarse una aplicación aparte.
- No se debe utilizar Bizagi como motor de reglas de negocio. Para ello debe utilizarse el BRMS de Tibco.
Política No 2. Se deben cumplir los lineamientos asociados al uso de la arquitectura que permitan la integración de las aplicaciones de negocio.
Objetivo: Establecer lineamientos organizacionales asociados al uso de la Arquitectura de Referencia SOA y sus habilitadores tecnológicos, como son el bus de servicios empresarial, y el motor de reglas de negocio para garantizar la eficiencia en la integración de las aplicaciones de negocio.
Alcance: Esta política es aplicable al diseño y construcción de la integración entre aplicaciones de negocio, a nivel interno de Colpensiones y externo.
Lineamientos y estándares de Integración
Dentro de la Arquitectura SOA, el bus de servicios empresariales es un componente tecnológico transversal a la organización, que busca optimizar el uso y adopción de integraciones por medio de servicios, con el cual se logra poner a conversar los sistemas de información y/o bases de datos, llevando la traza de los consumos a servicios. Es aquí donde la adopción de SOA (Service Oriented Architecture), arquitectura orientada a servicios toma su mayor importancia.
La Arquitectura Empresarial tiene que ser flexible a nivel de software con infraestructura global centralizada y estandarizada, extensible y mantenible, de tal modo que se adapte a las exigencias del negocio en constante evolución, debe ser segura para proteger los activos de información, escalable para atender volúmenes superiores de demanda garantizando la calidad de los servicios y estar diseñada de tal manera que garantice una alta disponibilidad de los procesos y servicios de negocio más importantes[5].
Los fundamentos de la arquitectura SOA buscan apalancar los siguientes objetivos:
- Componer de forma eficiente y ágil nuevos servicios de valor al negocio para Colpensiones, a partir de la reutilización de servicios existentes.
- Migrar incrementalmente sistemas de información de Colpensiones hacia nuevas tecnologías a partir de la exposición y consumo de servicios.
- Automatizar de forma eficiente y ágil los procesos de negocio de Colpensiones.
- Habilitar la interoperabilidad entre plataformas y tecnologías heterogéneas de Colpensiones.
A continuación, se relacionan los siguientes lineamientos de la arquitectura SOA que dan cumplimiento a los fundamentos:
Lineamientos Para el Gobierno de Servicios de Integración
1. Se debe contar con un catálogo centralizado de los Servicios de Integración con los que cuenta COLPENSIONES, donde se detalle como mínimo:
a. Nombre del servicio
b. Descripción del servicio
c. Nombre de la operación
d. Descripción de la operación
e. Estado del desarrollo
f. Versión
g. Lugar de exposición
h. Sistemas que lo consumen
i. Fecha de modificación
2. Dicho catálogo debe ser permanentemente actualizado de acuerdo a adiciones, modificaciones, retiro de los servicios, así mismo, si la lista de consumidores de los servicios cambia, adicionando o eliminando de acuerdo a la situación.
Para esto se desarrolla la hoja calculo “Catálogo de Web Services” ubicada en https://docs.google.com/spreadsheets/d/1HoWqDLTFj0coAQFYaapTQo2SSGA7D41HI84qU4iGAe s/edit#gid=194288307 y administrada por la Dirección de Relacionamiento TI.
Lineamientos para clasificación de servicios
Ver sección 3.1 Lineamientos para clasificación de servicios del documento Lineamientos del ESB
- BUS Empresarial de Servicios.
Lineamientos para Integración de Unidades de Negocio
Ver sección 3.2 Lineamientos para integración de unidades de negocio del documento Lineamientos del ESB - BUS Empresarial de Servicios.
Lineamientos de Gobierno SOA
Ver sección 3.3 Lineamientos de Gobierno SOA del documento Lineamientos del ESB - BUS Empresarial de Servicios.
Lineamientos para el diseño de servicios SOA
- Los servicios de integración que se desarrollen a la medida, solo deben tener una operación por servicio.
- Ver sección 3.4 Lineamientos para diseño de servicios SOA del documento Lineamientos del ESB - BUS Empresarial de Servicios.
Lineamientos Para Infraestructura Centralizada y Estandarizada de Servicios SOA
Ver sección 3.5 Lineamientos para infraestructura centralizada y estandarizada del documento Lineamientos del ESB - BUS Empresarial de Servicios.
Lineamientos para hacer uso del ESB
Ver sección 4.1.1 Se debe hacer uso del ESB-BUS del documento Lineamientos del ESB - BUS Empresarial de Servicios.
Lineamientos para no hacer uso del ESB
Ver sección 4.1.2 No se debe hacer uso del ESB-BUS del documento Lineamientos del ESB - BUS Empresarial de Servicios.
Lineamientos del Motor de Reglas
Ver sección 5 Lineamientos del componente BRMS del ESB-BUS del documento Lineamientos del ESB - BUS Empresarial de Servicios.
Estándares Específicos del ESB-BUS Empresarial de Servicios
Los estándares se definen en el documento Lineamientos del ESB - BUS Empresarial de Servicios, en las secciones 4.1.1.1. a 4.1.1.5, 4.1.3 y 6.
El Bus empresarial de servicios de COLPENSIONES debe estar soportado bajo los componentes:
1. TIBCO Business Works versión 6.4.2.
2. TIBCO Enterprise Message Services 8.4.0.
Estándares Específicos del BRMS
El motor de reglas de negocio de COLPENSIONES debe estar soportado bajo el componente TIBCO Business Events versión 5.4.1.
Lineamientos de los Orquestados en HPOO
Los Orquestados en HPOO se deben emplear para:
1. Para lo establecido en el documento "Políticas y lineamientos de desarrollo de orquestados en HPOO" (Se adjunta dicho documento en el acta).
2. Para automatizar ejecuciones de aprovisionamientos repetitivos de infraestructura TI (redes, memoria, disco, etc). Dicho orquestado debe ser lanzado manualmente por parte de un funcionario y no deben incorporar toma de decisiones automáticas.
3. Para lanzar ETLs de forma periódica, haciendo reintentos y envío de notificaciones en caso de encontrar algún error al ejecutar la ETL (red caída, servidor virtual caído, SSIS caído, ETL retorna error, ETL no termina su ejecución en el tiempo de espera máximo configurado, etc). No se deben lanzar las ETLs de forma periódica usando jobs o tareas programadas de SSIS o del sistema operativo, porque no se tendría control de hacer reintentos en caso de falla.
4. Para lanzar un proceso en batch de tipo masivo de forma periódica (diario, semanal, mensual anual, etc), como por ejemplo el cargue de un gran número de documentos en el Gestor Documental.
5. Para orquestar el llamado repetitivo de varios procesos con lógica de negocio dentro de una secuencia de pasos. El orquestado se puede pausar a voluntad para que continúe la ejecución desde alguno de esos pasos. Ejemplo: para primero llamar un ETL que genera un archivo plano dentro de un FTPS de Colpensones, y luego llamar un flujo de GoAnyWhere que tome ese archivo, lo cifre y lo envíe al FTPS de una entidad externa.
Los orquestados en HPOO No se deben emplear para:
1. Generar un archivo plano de una consulta a una base de datos, por solicitud del negocio, sin que antes DRT haya indagado para qué necesitan ese archivo y teniendo en cuenta lo siguiente:
a. Si es una funcionalidad que le falta a la aplicación que utiliza el negocio, se debe levantar el requerimiento para que una fábrica realice el desarrollo.
b. Si es un reporte, no se debe implementar en HPOO sino los Reporteadores especializados de Colpensiones: SQL Server Reporting Services, Microstrategy, o SAS.
c. Si realmente se requiere generar un archivo plano, se debe implementar con un ETL en SQL Server Integration Services.
2. Tener lógica de negocio por dentro del flujo del orquestado. Dicha lógica debe ir dentro de stored procedures, ETLs, web services o scripts aparte.
3. Para lanzar por una única vez algún proceso batch. dicho proceso batch se debe lanzar manualmente por parte de un funcionario.
4. Para cifrar un archivo: El cifrado lo debe hacer otra herramienta, como por ejemplo GoAnyWhere.
9. POLÍTICAS, LINEAMIENTOS Y ESTÁNDARES DEL DOMINIO DE LA INFORMACION Y DATOS
La arquitectura de datos describe la estructura de los recursos de datos lógicos y físicos de una organización y los recursos de administración de datos.
9.1. Política del dominio de Información y datos
Política No 1. Se deben cumplir los estándares y directrices organizacionales, procedimentales y tecnológicos necesarios para el gobierno de datos, adoptando los lineamientos definidos y aplicables a Colpensiones.
Objetivo: Establecer los estándares y directrices organizacionales, procedimentales y tecnológicos necesarios para el gobierno de datos, adoptando los lineamientos definidos en el Marco de Referencia de Arquitectura Empresarial para la gestión de tecnologías de la información en entidades del sector público (Min Tic), y que son aplicables al contexto de COLPENSIONES, organizados a través del modelo de referencia de capacidades institucionales, especialmente aquellas que corresponden a la capacidad de gestionar la información en COLPENSIONES para la toma decisiones y correcta operación de los procesos de negocio.[6]
Alcance: Esta política contempla un conjunto de lineamientos a seguir durante la construcción de las arquitecturas de información, asociados a los principios definidos para este dominio, de tal forma que COLPENSIONES tenga una orientación que le permita establecer pautas que enmarquen la implementación de componentes que ayuden a lograr los objetivos propuestos en la Estrategia de TI.
Lineamientos y estándares del Dominio de Datos
1. El grupo de personas que conformen el Sub-comité de Gobierno de Datos, tienen la responsabilidad de gestionar el Gobierno de Datos y los niveles de servicio en COLPENSIONES[7].
a. La descripción del Sub-comité de Gobierno de Datos está en el documento “ESTÁNDARES Y DIRECTRICES PARA LA GESTIÓN DEL GOBIERNO DE DATOS”, versión 1.0, del 17/06/2019.
2. La información debe cumplir con los estándares de calidad, actualidad, integridad, conformidad, disponibilidad, veracidad y uso efectivo, definido en su correspondiente ámbito y a nivel general en los lineamientos de calidad adoptados por COLPENSIONES y definidos en las políticas de calidad de datos maestros[8].
a. DAMA-DMBOK 2009 / Gestión de Arquitectura de Datos., Gestión de la calidad de datos.
b. Herramienta tecnológica: Trillium Software System versión 15.7.
3. Todos los componentes que hacen parte de la arquitectura empresarial de datos de COLPENSIONES, deben utilizar un lenguaje común en la definición y nombramiento de sus atributos, notaciones y caracterización, que facilite su administración, trazabilidad y auditoría, entendimiento, consumo y reúso en los procesos de gestión por parte de los grupos de interés internos o de terceros[9].
a. DAMA-DMBOK / Gestión de Arquitectura de Datos, Desarrollo de datos.
b. Enterprise Architect versión 12.0.12.15.
c. Herramientas para gestión de metadatos.
d. Gestores nativos de bases de datos de Colpensiones.
4. Las fuentes únicas de información autorizadas por COLPENSIONES son las que se definan como datos maestros y referenciales, aprobados por Sub-Comité de Gobierno de Datos.[10]
a. DAMA-DMBOK 2009 / Gestión de operación de datos, Gestión de seguridad de datos, Gestión de datos maestros y referenciales, Gestión de data warehousing e inteligencia de negocios, Gestión de calidad de datos.
5. COLPENSIONES facilitará el acceso a los servicios de información por parte de los diferentes grupos de interés internos, contemplando características de accesibilidad, seguridad y usabilidad.[11]
a. DAMA-DMBOK / Gestión de operación de datos, Gestión de Gobierno de datos.
b. MicroStrategy varsión 10.4.
c. SAS Enterprise Miner versión 6.1.
d. Microsoft Reporting Services (MSRS) versión 2016.
e. Microsoft Integration Services (MSIS) versión 2016.
f. Gestores nativos de bases de datos de Colpensiones.
6. La administración de documentos y expedientes electrónicos en COLPENSIONES está enmarcada en la Política de Gestión documental, la cual se encuentra bajo la administración del Área de Dirección Documental de la institución[12].
a. Política de Gestión Documental (en construcción).
b. DAMA-DMBOK 2009 /Gestión de contenidos y documentación.
c. IBM FileNet P8 versión 5.0.
10. POLÍTICAS, LINEAMIENTOS Y ESTÁNDARES DEL DOMINIO DE SEGURIDAD
Las políticas específicas y lineamientos relacionados a la Seguridad de la Información y la Ciberseguridad en la entidad, los cuales se encuentran contenidos en el Manual de Políticas y Lineamientos de Seguridad de la Información y Ciberseguridad.
No obstante, a continuación, se definen los lineamientos y estándares orientados a la definición de Arquitectura de la infraestructura tecnológica que se requiere para soportar los Sistemas de Información, portafolio de servicios, respuesta a incidentes de seguridad y demás labores relacionadas.
10.1. Lineamientos del dominio de Seguridad
10.1.1. Lineamientos de Correo Electrónico
10.1.1.1. Lineamiento de Acceso Externo al Correo Electrónico de Colpensiones
El acceso al correo electrónico corporativo debe realizarse desde la red LAN de la entidad, en consecuencia, el acceso externo al correo electrónico corporativo se encuentra restringido.
Sólo podrán acceder externamente al correo las personas que por sus roles y responsabilidades deban hacerlo o si ocupa alguno de los siguientes cargos:
- Presidente
- Jefe de oficina adscrita a la presidencia
- Vicepresidente
- Gerente
- Director regional
- Director
- Subdirector
- Asesor de presidencia
- Asesor de vicepresidencia
Cualquier excepción adicional, debe ser solicitada a través de la mesa de servicios de TI, previo análisis y justificación soportada en las funciones y responsabilidades de los cargos y remitida por el presidente, los vicepresidentes, gerentes, directores regionales y/o jefes de oficina adscrita a la Presidencia, quien autoriza el acceso externo al correo.
Dicha solicitud será evaluada por la Gerencia de Riesgos y Seguridad de la Información quien dará su concepto para que la Gerencia de Tecnologías de la Información proceda a implementar la excepción. En los casos en los que el concepto generado considere riesgos adicionales que deban ser evaluados, el solicitante deberá valorar la aplicación de controles adicionales y decidir si aplica o no la excepción asumiendo los riesgos y consecuencias derivadas de su decisión.
10.1.1.2. Lineamiento de Monitoreo
El servicio de correo electrónico provisto por Colpensiones debe garantizar controles de acceso, de autorización y de monitoreo, los cuales no pueden ser desactivados por ningún usuario, funcionario o colaborador de la entidad, incluso si tiene dentro de sus funciones la administración del servicio corporativo del correo electrónico.
Toda la información enviada o recibida a través del servicio de correo electrónico corporativo, puede ser monitoreada, almacenada y accedida por la Gerencia de Prevención de Fraude de la entidad, según se requiera o se considere pertinente, con el ánimo de garantizar su uso adecuado y la protección de la información de la entidad. El usuario acepta que, al enviar información diferente a la relacionada con el ejercicio de sus funciones, concede autorización a Colpensiones sobre dicha información para monitorearla, almacenarla o revisarla según sus criterios.
10.1.1.3. Lineamiento de Envío de Información Reservada
No se encuentra permitido el envío y recepción de información clasificada como “Reservada” sin la aplicación de controles para su protección, a través del servicio de correo electrónico de Colpensiones.
El envío o recepción de información clasificada como “reservada” debe realizarse a través de los canales y medios seguros dispuestos por Colpensiones y definidos en las Políticas de Seguridad de la Información y Ciberseguridad para Intercambio de información. Además, deberá contar con una justificación de negocio válida, autorización expresa del dueño del activo de información y requerirá que esta información se envíe de manera cifrada de acuerdo con las Políticas de Seguridad de la Información y Ciberseguridad para controles de cifrado de Colpensiones.
La Gerencia de Tecnologías de Información es la responsable de la administración del servicio de correo electrónico e incorporar parámetros para detectar y prevenir la recepción y el envío de mensajes no deseados o con posibles infecciones por software malicioso.
10.1.1.4. Lineamiento de Envío y Reenvío de Información Maliciosa
No se permite enviar archivos o reenviar mensajes con archivos de tipo ejecutable (por ejemplo, con las siguientes extensiones.exe,.pif,.scr,.vbs,.cmd,.com,.bat, jar, entre otros) debido a que este tipo de archivos son frecuentemente utilizados para la propagación de software malicioso.
Colpensiones, a través de la Gerencia de Tecnologías de la Información, o el tercero que disponga para tal fin, debe mantener configurado el servicio de correo electrónico para que realice detección y prevenga el reenvío de mensajes no deseados o con posibles infecciones por software malicioso.
10.1.1.5. Lineamiento de Uso Intransferible de Cuentas
Está prohibido que los usuarios del servicio de correo electrónico corporativo envíen y reciban mensajes a través de cuentas de correo diferentes a las que le hayan sido asignadas.
Las credenciales de acceso al correo electrónico son personales e intransferibles. Para las cuentas de correo electrónico asignadas a grupos, áreas o procesos específicos, el jefe de área o el dueño del proceso será el responsable del uso que a dicha cuenta se le dé por lo que debe tomar las precauciones necesarias al compartir la información de acceso.
10.1.1.6. Lineamiento de Reenvío de Correo Electrónico
No está permitido que los usuarios del servicio de correo electrónico corporativo reenvíen o configuren redirección automática de los mensajes hacia cuentas de correo electrónico externas.
Estándares:
Herramientas: G Suite para el correo, PGP para el cifrado de archivos. Protocolos de comunicación: IMAP Y SMTP
Firma Digital: Llave privada de 2048 bits y Algoritmo SHA256.
10.1.2. Lineamientos para la Gestión de Accesos
10.1.2.1. Lineamiento de Identificación de los Usuarios
Los sistemas de información deben individualizar a los usuarios a través del uso de identificadores únicos por usuario (cuenta de usuario). En ninguna circunstancia las cuentas de usuario deberán ser compartidas, transferidas, y su contraseña revelada.
Debe existir una relación única entre los usuarios y sus identificadores asignados, por lo que los identificadores no podrán ser reasignados o reutilizados.
Los sistemas de información deben utilizar, salvo que existan impedimentos técnicos justificables que impidan la utilización de los identificadores que Colpensiones asigna a cada uno de los servidores, funcionarios y terceros dentro de su sistema de Directorio Activo.
Los lineamientos asociados al nombramiento de identificadores de usuarios se encuentran en el documento Instructivo de creación de usuarios y contraseñas publicado en el SIG.
10.1.2.2. Lineamiento de Autenticación de los Usuarios
Los sistemas de información utilizados en Colpensiones deben realizar procesos de validación de la identidad de los usuarios (autenticación) mediante uno de los siguientes factores:
- Algo que únicamente el usuario sabe: por ejemplo, contraseñas o códigos de acceso.
- Algo que únicamente el usuario posee: por ejemplo, tarjetas de proximidad, elementos físicos como llaves, dispositivos tipo Token o códigos OTP, entre otros.
- Algo que únicamente el usuario es: corresponde a la validación de características físicas o morfológicas del usuario mediante dispositivos biométricos.
La Gerencia de Tecnologías de la información debe analizar e implementar los métodos de autenticación y control de acceso a los sistemas de información, bases de datos y servicios que hacen parte de dichos sistemas.
Los sistemas de información utilizados para la administración de sistemas que soportan los procesos misionales de la entidad, o que por el nivel de riesgo identificado lo requieran, deben implementar múltiples factores de autenticación para la validación de la identidad de los usuarios.
Los sistemas de información deben utilizar en cuanto sea posible la autenticación de usuarios que Colpensiones ha provisto de manera centralizada a través de su sistema de Directorio Activo.
Los sistemas de información deben seguir los lineamientos para la gestión de accesos para el inicio de sesión descritos a continuación:
- Incluir un mensaje de inicio de sesión sobre el uso aceptable del sistema, aplicación o dispositivo y sobre la necesidad de ser un usuario registrado y autorizado para poder acceder al mismo.
- Realizar enmascaramiento de las contraseñas o códigos de acceso al realizar el ingreso al sistema para evitar que sean visualizados en pantalla o en tránsito por la red.
- Configurar las cuentas de usuario para que se bloqueen por un número de intentos de ingreso fallidos para proteger el sistema de ataques de fuerza bruta.
- El proceso de autenticación debe únicamente generar mensajes de error al finalizar el proceso de validación sin dar detalles del fallo. En los casos en los que se requiere más de un factor de autenticación no se debe informar en cada paso el éxito o error de la validación.
- Evitar los mensajes de ayuda durante el ingreso a las aplicaciones que den más información que la que un usuario necesite.
- Configurar el sistema para que el usuario realice cambio de contraseña cuando la use por primera vez.
- Almacenar registros o logs de auditoría de los intentos exitosos y fallidos de ingreso.
- Las sesiones iniciadas de forma simultánea en los aplicativos o plataformas se deben limitar exclusivamente a las necesidades y autorizaciones que le hayan sido asignadas a cada persona.
- Todos los módulos de los sistemas de información deben manejar métodos de validación de las sesiones, con el fin de verificar la autenticidad del usuario, el estado de este y las autorizaciones o permisos.
- Las sesiones de usuario deben tener un parámetro para configurar el tiempo de inactividad del usuario, el cual una vez transcurrido deberá solicitar nuevamente la autenticación del usuario o cerrar la sesión para impedir el acceso no autorizado.
10.1.2.3. Lineamiento de Privilegios de Acceso en la Administración de Recursos Tecnológicos
En Colpensiones se debe garantizar la segregación de responsabilidades entre ambientes tecnológicos, preservando siempre con especial consideración los ambientes productivos. Por tal razón no se permite el acceso de personal encargado del desarrollo de aplicaciones y sistemas de información a los ambientes de producción. En los casos que se haga necesario se debe conceder un acceso por demanda por periodos mínimos de tiempo y se debe garantizar que todas las acciones realizadas por estos usuarios son supervisadas por profesionales encargados de los ambientes productivos.
El acceso a las bases de datos productivas está restringido únicamente a los profesionales que tienen el rol de Administrador de Bases de Datos (DBA por sus siglas en inglés) o Gestor de Accesos en ambientes productivos. Los demás usuarios sólo podrán acceder a la información de las bases de datos a través de las aplicaciones o sistemas de información que se dispongan para tal fin. El acceso a las bases de datos debe ser robustecido con controles de red para impedir el acceso a ellas desde otros dispositivos diferentes a los designados para tal fin.
El acceso al código fuente de las aplicaciones o sistemas de información desarrollados por Colpensiones, o por quien la entidad designe para tal fin, debe ser restringido únicamente al personal encargado de los proyectos de desarrollo, y cualquier acceso u operación sobre el código debe dejar los registros de auditoría necesarios. Ningún usuario que tenga un rol diferente podrá acceder a dicho código fuente ni siquiera en modo consulta o solo lectura.
10.1.2.4. Lineamiento de Registro y Auditoría de Accesos
Los sistemas de información deben dejar registros o logs de auditoría de las actividades de gestión de usuarios y de los ingresos que los usuarios realizan, para tal fin, la Gerencia de Tecnologías de la Información debe definir e implementar el registro de logs de las actividades de los usuarios de acuerdo con lo definido por los propietarios de la información, así como la depuración de estos.
Los registros de los sistemas de información deben ser monitoreados de acuerdo con la criticidad de los activos de información que dichos sistemas protejan.
Los sistemas de información deben mostrar al usuario en cuanto sea posible, la fecha y hora de su último ingreso para facilitar la identificación de posibles incidentes de seguridad relacionados con suplantación y compromiso de credenciales de autenticación.
10.1.2.5. Lineamiento de Gestión del Ciclo de Vida de los Accesos
- La recepción, validación y ejecución de requerimientos de accesos a los recursos tecnológicos administrados por Colpensiones debe realizarse únicamente por el grupo de gestión de accesos de la Gerencia de Tecnologías de la Información.
- La Dirección de Talento Humano debe notificar las novedades de ingreso de servidores, funcionarios, estudiantes en práctica o trabajadores en misión, para que el grupo de accesos realice el aprovisionamiento básico establecido en el Instructivo de Gestión de Accesos.
- La asignación de accesos a las aplicaciones para un servidor o funcionario con un vínculo laboral con la entidad debe darse de acuerdo con la solicitud de acceso del jefe del área y con base en los roles empresariales establecidos para el cargo previa autorización del propietario de la aplicación.
- Para la asignación de accesos a un tercero contratista de la entidad, el supervisor del contrato debe definir y solicitar dicha asignación a través de los canales dispuestos para tal fin, previa autorización del propietario de la aplicación.
- Para la asignación de accesos a un tercero perteneciente a un ente de control o vigilancia, la Gerencia de Planeación Institucional debe definir y solicitar dicha asignación a través de los canales dispuestos para tal fin, previa autorización del propietario de la aplicación.
- El supervisor de contrato o convenio debe acordar con el contratista bajo su administración, el procedimiento para la solicitud de asignación, modificación o retiro de accesos, manteniendo un inventario actualizado de las solicitudes realizadas al proveedor.
- En los casos de reubicación o traslado, cambio de dependencia o de actividad de servidores públicos o trabajadores en misión que ingresen a la planta, la Dirección de Gestión del Talento Humano debe realizar la notificación para que la Vicepresidencia de Seguridad y Riesgos Empresariales encargada de la gestión de accesos remueva los que tenía inicialmente y el jefe del área solicite la asignación de los nuevos accesos requeridos. No se podrán asignar accesos sin antes haber retirado los anteriores. En estos casos se podrá mantener el mismo identificador de usuario (ID) que había sido asignado anteriormente, manteniendo la respectiva trazabilidad de los requerimientos.
- Cuando un usuario ingrese en un periodo cesante, la Dirección de Gestión del Talento Humano debe realizar la notificación para que el área encargada de la gestión de accesos bloquee temporalmente el ingreso del usuario a todos los sistemas a los que tiene acceso. Con respecto a las incapacidades y licencias, estas deben ser reportadas si se superan tres
(3) días calendario, por otro lado, en relación con las novedades de vacaciones, se debe notificar por lo menos un día antes del disfrute de estas.
- El cambio de accesos o la suspensión de estos para los usuarios de terceros surtirá el mismo trámite descrito anteriormente salvo que la notificación debe ser reportada por parte del supervisor del contrato o el responsable del convenio.
- El cambio de accesos o la suspensión de estos para los usuarios de terceros pertenecientes a entidades de control y vigilancia surtirá el mismo trámite descrito anteriormente salvo que la notificación debe ser reportada por parte de la Gerencia de Planeación Institucional.
- Cuando un servidor, trabajador en misión, aprendiz SENA o practicante se retira de la entidad, la Dirección de Gestión del Talento Humano debe realizar la notificación para que el área encargada de la gestión de accesos retire todos los accesos del usuario, indicado la fecha y hora de la inactivación.
- El usuario deberá informar la novedad a su jefe directo y realizar la entrega del cargo o de su puesto, incluyendo toda la información, procedimientos, actividades que realizaba y lo relacionado con las aplicaciones y accesos a carpetas compartidas, que le habían sido asignados en el desempeño de sus funciones, actividades o labores. El jefe por su parte es responsable de verificar que los accesos que ya no hacen parte de su dependencia sean comunicados de acuerdo con el Instructivo de Gestión de Accesos para que sean inactivados por el área correspondiente.
- Cuando un tercero se retira de su entidad o finaliza la Prestación del servicio, el supervisor del contrato o convenio debe realizar la notificación para que el área encargada de la gestión de accesos retire todos los accesos del usuario.
- Cuando un tercero perteneciente a una entidad de control y vigilancia, la Gerencia de Planeación Institucional debe realizar la notificación para que el área encargada de la gestión de accesos retire todos los accesos del usuario.
- Cuando funcionarios o servidores de Colpensiones requieran acceso a aplicaciones o sistemas de información administrados por proveedores, se debe coordinar con el proveedor el respectivo responsable autorizado de solicitar accesos, acorde con el Instructivo de Gestión de Accesos, garantizando la centralización de los requerimientos y el reporte oportuno de las novedades de personal. Los responsables autorizados deberán mantener un inventario actualizado de las solicitudes realizadas al proveedor y los accesos concedidos.
- Para todos los casos, el solicitante debe diligenciar la información completa y legible contenida en el formulario de solicitud de gestión de accesos en la herramienta definida para tal fin.
10.1.2.6. Lineamiento de Gestión de Usuarios Privilegiados
- El acceso de usuarios con permisos de administración o que brinden soporte remoto, de las aplicaciones, sistemas de información y dispositivos de almacenamiento, procesamiento y transferencia de información debe estar restringido únicamente a los servidores, colaboradores y terceros que lo requieren como parte de sus funciones contractuales o laborales.
- Las cuentas privilegiadas del sistema tales como administrador, root, sysadmin, admin, etc., no deberán ser usadas de forma directa, en caso de requerir utilizar sus funciones deberán ser invocadas por medio de las cuentas asignadas a cada servidor, colaborador y tercero a través de las características de cada sistema, siempre y cuando este lo permita.
- Los usuarios privilegiados deben ser asignados al menor número de funcionarios y servidores que lo requieran, garantizando la individualización y trazabilidad de todas las acciones realizadas.
- Cada sistema de información, aplicación, dispositivo de almacenamiento, procesamiento y transferencia de información debe tener un usuario privilegiado bajo custodia para garantizar que nunca se pierde la posibilidad de realizar administración. Cuando no se puedan crear varios usuarios privilegiados, se debe mantener el usuario privilegiado bajo custodia o en control compartido.
- Los sistemas de control de accesos deben dejar registro de todas las actividades realizadas por los usuarios privilegiados los cuales deben ser monitoreados por la Gerencia de Prevención de Fraude.
- Los usuarios privilegiados deben tener control de máximo número de sesiones o restricciones de sesiones concurrentes.
10.1.2.7. Lineamiento de Gestión de Usuarios de Servicio
La creación de usuarios de servicio se permite en Colpensiones en los siguientes casos:
- Cuando existen aplicaciones o servicios que requieren utilizar autenticación para la ejecución de procesos o tareas automáticas sin intervención humana.
- Cuando para la administración o configuración de un sistema o una aplicación se requiere un usuario con privilegios específicos.
- Cuando un sistema de control, monitoreo o seguridad requiere autenticarse en otros componentes para garantizar su funcionamiento o estado.
Los usuarios de servicio deben ser asignados a servidores, funcionarios o proveedores que lo requieran como parte de sus funciones contractuales o laborales y justificados por los casos definidos anteriormente.
Las credenciales de autenticación de los usuarios de servicio deben mantenerse en custodia dual por colaboradores de planta de la Gerencia de Tecnologías de la Información y de la Gerencia de Riesgos y Seguridad de la Información. Los lineamientos asociados a las contraseñas se encuentran en el documento Instructivo de creación de usuarios y contraseñas publicado en el SIG.
10.1.2.8. Lineamiento de Almacenamiento de Contraseñas para Procesos Automáticos y Aplicaciones
Para los casos en que es necesario almacenar contraseñas para que sean utilizadas por aplicaciones o procesos automáticos, no es permitido almacenarlas en archivos de configuración en texto claro, ni registrarlas al interior de los códigos fuentes de las aplicaciones.
Siempre que se requiera almacenar una contraseña esta deberá ser almacenada de forma cifrada con un algoritmo de cifrado fuerte.
Estándares
Herramientas: Directorio Activo, OTP
Protocolos de comunicación: LDAP y Webservices, los anteriores sobre comunicaciones cifradas.
10.1.3. Lineamientos para Intercambio de Archivos con Externos
10.1.3.1. Lineamientos para el Intercambio de Información de Manera Estándar
A través de canal de comunicaciones: El Externo debe proveer un dispositivo de seguridad perimetral a nivel de redes de comunicaciones (Firewall. Gateway de VPN entre otros) para establecer el canal VPN Site-to-Site, un servidor que soporte FTP con protocolo seguro (FTPS, SFTP entre otros), la entidad externa debe generar notificación al área interesada con el acuse del éxito de la operación o con los errores encontrados, acordes a los ANS establecidos.
Transportar archivos desde Colpensiones hacia entidad externa: Desarrollar flujo con el MFT que esté utilizando Colpensiones, tome los datos desde una carpeta compartida de Colpensiones, genere un archivo Hash y los cifre con un algoritmo y llave fuerte mínima 2048 bytes o superior. Finalmente, los deje en una carpeta del FTP con protocolo seguro (FTPS, SFTP entre otros), en un servidor del Externo.
Transportar archivos desde entidad externa hacia Colpensiones: Desarrollar flujo con el MFT que esté utilizando Colpensiones, tome los datos desde una carpeta FTP con protocolo seguro (FTPS, SFTP entre otros). Dichos archivos deben estar cifrados con un algoritmo y llave fuerte mínima 2048 bytes o superior y estar acompañados de un archivo Hash. Después es verificado el archivo Hash. Finalmente se coloca en una carpeta compartida donde la entidad pueda accederlos.
10.1.3.2. Lineamientos para la entrega de información a través de medios magnéticos
El proveedor debe entregar la unidad de almacenamiento externa (disco duro, USB entre otros) el cual solo debe contener la información a intercambiar, debe tener cifrado robusto, velocidad 3.0 o superior, Filesystem ExFat, NTFS con su copia de respaldo. Para los casos que aplique se debe manejar una Cadena de custodia. Se debe generar un inventario con el hash de los archivos dentro de los discos.
10.1.3.3. Lineamientos para el Intercambio de Archivos de Hasta 10 Mb
Se permite enviarlo adjunto por email público, siempre y cuando los adjuntos vayan cifrados con la llave pública entregada por las partes interesadas y acompañados con el archivo hash correspondiente, para verificar integridad. Nota: Colpensiones máximo recibirá y/o enviará hasta 10 correos para el mismo asunto, finalidad o archivo.
Estándares
- Flujo automático usando MFT que esté utilizando Colpensiones con FTPS/SFTP con protocolo seguro
- Mecanismo manual con FTPS/SFTP con protocolo seguro, sobre VPN Site-to-Site/Client- to-Site y archivo Hash que esté utilizando Colpensiones (SAH1-SHA256) para verificación de integridad.
- Mecanismo manual con FTPS/SFTP con protocolo seguro, archivo Hash y cifrado con llave pública del destinatario y/o firmado con la privada de Colpensiones.
- Disco Duro (HDD) o dispositivo de estado sólido (SSD), cifrado con clave de acceso (características mínimas de contraseñas establecidas por Colpensiones), y con archivo Hash para verificación de integridad de su contenido.
- Email con el archivo adjunto cifrado con llave pública y/o pública del destinatario y/o firmado con la privada de Colpensiones.
10.1.4. Lineamientos para el Ciclo de Vida de Desarrollo Seguro
Colpensiones ha dispuesto canales de comunicación para el intercambio de información con entes externos a la entidad, que permita compartir información de forma segura.
10.1.4.1. Lineamientos en las necesidades del negocio
Colpensiones a través de su rol de relacionador TI, recolectará la información asociada a una necesidad u oportunidad, realizará una propuesta de concepto, un estudio de viabilidad inicial, y finalmente formulará una carta del proyecto para dar inicio al desarrollo de la aplicación.
Es responsabilidad del Relacionador TI con el negocio el cumplimiento de las políticas de las necesidades del negocio.
10.1.4.2. Lineamientos para la Separación de Ambientes
- Colpensiones mantendrá entornos de desarrollo y/o de prueba separados del entorno de producción de sus sistemas empresariales críticos.
- Si hay conectividad con la red de producción, se implementarán controles de acceso para aplicar la separación del ambiente.
- Todo despliegue del código en el entorno producción ser realizará por parte del líder técnico de la Dirección de Sistemas de Información designado.
Es responsabilidad de las áreas de Dirección de infraestructura, Dirección de Sistemas de información y Seguridad informática el cumplimiento de la política de separación de ambientes.
10.1.4.3. Lineamientos para Ciclo de Vida de Desarrollo de Sistemas
- El desarrollo e implementación de software interno y de terceros de Colpensiones utilizará las mejores prácticas reconocidas en la industria del Ciclo de vida del desarrollo de software.
- Para las aplicaciones que manejan datos confidenciales, los controles de seguridad se implementarán durante todo el ciclo de vida del desarrollo y se aplicarán cuando el código actualice las bases de datos.
- Es responsabilidad del área de Dirección de Sistemas de información y Seguridad informática el cumplimiento de la política de separación de ambientes.
Estándares
a. El requerimiento debe contar con:
- Análisis de las necesidades de los usuarios.
- Crear un documento detallado de requisitos funcionales.
- Dividir el sistema, proceso o problema en unidades o módulos discretos y utilizando los diagramas y otras herramientas visuales para analizar la situación o la necesidad.
- Cualquier requisito de seguridad debe ser definido.
b. Diseño conceptual: Los componentes de la aplicación deben planificarse de manera consistente con los datos y la seguridad de la red.
- Esta fase transforma los requisitos en un Documento de Diseño.
- Las funciones y operaciones del sistema o software que se está diseñando se deberán detallar.
- Se debe realizar un análisis de riesgo entre las fases de Requisitos del sistema y Diseño del sistema.
- Se debe realizar una revisión final del diseño para garantizar que el diseño aborde los aspectos prácticos, la eficiencia, el costo, la flexibilidad y la seguridad.
c. Desarrollo: Los desarrolladores deben considerar todas las vulnerabilidades de las aplicaciones (es decir, problemas relacionados con la memoria, privilegios y omisión de acceso, etc.).
d. Revisión de código: Se debe realizar por parte de un desarrollador la revisión de código de todo el software nuevo y modificado, para identificar problemas de seguridad.
- Esta fase implica la transformación de los documentos de diseño detallados en un producto o solución terminados.
- Los desarrolladores de sistemas o software realizan pruebas manuales y automatizadas a nivel de unidad o módulo a lo largo de esta fase. Las consideraciones de seguridad se tienen en cuenta durante las pruebas.
- Un producto de terceros se puede utilizar como un sistema o solución de software si se ajusta mejor a los requisitos del usuario y es más práctico desde una perspectiva presupuestaria y / o de recursos. Sin embargo, se deben seguir todas las siguientes fases, independientemente de si la solución se desarrolló internamente o se compró.
e. Pruebas: La implementación no debe comprometer los controles de seguridad existentes, ni generar nuevas vulnerabilidades.
f. Pruebas de control de calidad: además de las pruebas funcionales y de eficiencia, se deben probar todas las características de seguridad de la aplicación.
g. Documentación: todas las características de la aplicación y la documentación de implementación deben incluir instrucciones sobre las configuraciones de seguridad adecuadas.
h. Producción: la implementación no debe comprometer los controles de seguridad existentes o introducir nuevas vulnerabilidades.
- El paso a producción de una nueva aplicación estará sujeto a una evaluación completa previa a la aprobación de la documentación de control de cambios.
- Las versiones nuevas y la liberación de parches estarán sujetas a un nivel de evaluación apropiado basado en el riesgo de los cambios en la funcionalidad de la aplicación.
i. Pruebas de producción:
El Área de Tecnologías de Información deberá realizar pruebas de funcionamiento y de seguridad a los nuevos sistemas, actualizaciones y/o aplicaciones en ambiente de pruebas, para validar la necesidad y operatividad de estos, previo a la aprobación e implementación.
j. Operación y soporte: Todo el mantenimiento futuro de la aplicación no debe comprometer los controles de seguridad existentes o introducir nuevas vulnerabilidades. Cualquier código nuevo será revisado y probado como se detalla arriba.
Es responsabilidad del área de Dirección de Sistemas de información, Dirección de Infraestructura y Seguridad informática el cumplimiento de la política de separación de ambientes.
10.1.5. Lineamientos para Bases de Datos
10.1.5.1. Lineamientos modificación directa de datos
Todas las solicitudes de modificaciones directas de datos deben realizarse mediante el envío del Formato de Modificación de Información en Bases de Datos vigente a través de la herramienta de gestión de solicitudes definida por Colpensiones.
En dicho formato debe registrarse la justificación de la necesidad de dicha modificación considerando los siguientes aspectos:
- Ausencia de una funcionalidad que soporte el cambio requerido. En dicho evento, las solicitudes deben adjuntar la evidencia de la existencia de un requerimiento hacia la Dirección de Sistemas de Información donde se soliciten nuevas funcionalidades o la modificación a las ya existentes enfocadas a solucionar la causa raíz que origina la modificación de datos a realizar, informando la fecha programada de solución. En caso de que lo anterior no sea viable, se deberá adjuntar el documento que soporta la justificación, funcional y/o técnica detallando al menos la siguiente información:
- La justificación de la no viabilidad de la solicitud del desarrollo.
- El análisis de riesgos que significa mantener la práctica de la modificación directa de datos
- Los controles compensatorios implementados.
- La aceptación del riesgo por parte de la Vicepresidencia o Gerencia dueña de la información.
- Volumen de datos a modificar. En dicho caso, el área funcional debe adjuntar el análisis de cargas de trabajo que implicaría realizar la modificación a través de las funcionalidades de las aplicaciones, el tiempo que esto llevaría de acuerdo con la capacidad del proceso y el plazo establecido para realizar la modificación, señalando las implicaciones de su no cumplimiento. En todo caso, si la modificación masiva de información se realizará de forma recurrente, se debe adjuntar la evidencia de la existencia de un requerimiento hacia la Dirección de Sistemas de Información donde se solicite la funcionalidad para soportar los cambios de información requeridos.
- Plazo en el cual se requiere la modificación de datos: En los casos en los cuales el tiempo requerido para realizar la modificación a través de la funcionalidad de los aplicativos es superior al plazo requerido por el negocio, se debe señalar en la justificación respectiva, las implicaciones del incumplimiento de este plazo. En todo caso si el evento presentado es recurrente, adjuntar la evidencia de la
existencia de un requerimiento hacia la Dirección de Sistemas de Información donde se soliciten nuevas funcionalidades o la modificación a las ya existentes enfocadas a solucionar la causa raíz que origina la modificación de datos a realizar.
10.1.5.2. Lineamientos Segregación de responsabilidades
Toda modificación directa de datos requiere que desde el Área de Infraestructura antes de su ejecución, se realice una copia de seguridad de los datos y objetos de bases de datos que van a ser alterados por la modificación, la cual debe ser siempre restaurada desde los medios provistos por el área de Infraestructura en caso de que se identifique daño, mal funcionamiento o interrupción abrupta del script de modificación ejecutado.
En los casos en que el cumplimiento de esta política no sea viable, se deberá dejar constancia del análisis realizado y de las acciones y controles a realizar en caso de daño, mal funcionamiento o interrupción abrupta del script de modificación ejecutado.
10.1.5.2. Lineamientos en Generales de Adquisición, Desarrollo y mantenimiento de Aplicaciones
Toda modificación directa de datos requiere que desde el Área de Infraestructura antes de su ejecución, se realice una copia de seguridad de los datos y objetos de bases de datos que van a ser alterados por la modificación, la cual debe ser siempre restaurada desde los medios provistos por el área de Infraestructura en caso de que se identifique daño, mal funcionamiento o interrupción abrupta del script de modificación ejecutado.
En los casos en que el cumplimiento de esta política no sea viable, se deberá dejar constancia del análisis realizado y de las acciones y controles a realizar en caso de daño, mal funcionamiento o interrupción abrupta del script de modificación ejecutado
10.1.5.3. Lineamientos en Generales de Adquisición, Desarrollo y mantenimiento de Aplicaciones
Es responsabilidad de los propietarios de la información, realizar las verificaciones respectivas para asegurar que se realizaron las modificaciones en los datos solicitadas, dejando documentada dicha verificación.
Se debe propender por validar el cien por ciento de los cambios solicitados, utilizando para ello las consultas y reportes de los aplicativos. Cuando su volumen no lo permita, se deben establecer muestras representativas de los cambios solicitados para la respectiva verificación.
10.1.5.4. Lineamientos tipos de modificación de datos
En toda modificación de datos, se debe contemplar el impacto de los cambios sobre dichos registros con respecto a otras tablas o bases de datos relacionales con el fin de mantener
la integridad referencial, asegurando que en todo momento dichos datos sean correctos, sin repeticiones innecesarias, o inconsistentes. Es responsabilidad de la Gerencia de Tecnologías de la información, realizar este análisis, dejando debidamente documentado el mismo.
Las modificaciones de datos deben contemplar la categoría de acción desarrollada sobre los mismos, para lo cual se podrán clasificar en:
- Modificación: Solicitud de cambio de información en un registro por otra.
- Eliminación: Solicitud de borrado o supresión un registro.
- Inserción: Solicitud de adición de información de un registro.
10.1.6. Lineamientos para dispositivos para movilidad y acceso remoto
10.1.6.1. Lineamientos para asignación
Los dispositivos móviles propiedad de Colpensiones deben ser asignados y entregados a usuarios específicos que aceptarán y garantizarán su uso adecuado y responderán por ellos de acuerdo con los términos y políticas de uso aceptable definidos.
Es responsabilidad de la Gerencia de Tecnologías de la Información definir los procedimientos y criterios de asignación para la entrega y devolución dispositivos móviles.
10.1.6.2. Lineamientos Inventario y etiquetado
Los dispositivos móviles propiedad de Colpensiones deben estar claramente identificados, inventariados y etiquetados para facilitar su reconocimiento visual.
- Es responsabilidad de la Gerencia de Tecnologías de la Información mantener actualizado el inventario de dispositivos móviles propiedad de Colpensiones, sus características y sus responsables asignados.
- La Gerencia de Tecnologías de la información debe alistar y etiquetar los dispositivos móviles propiedad de Colpensiones antes de su entrega a los usuarios responsables.
10.1.6.3. Lineamientos Almacenamiento cifrado
Los dispositivos móviles propiedad de Colpensiones que puedan llegar a almacenar información clasificada como Pública Clasificada o Pública Reservada, deben contar con controles de cifrado en su almacenamiento con sistemas de autenticación diferentes a los propios de los sistemas operativos utilizados para su funcionamiento.
El sistema de cifrado deberá eliminar la información del dispositivo móvil después de un número determinado de intentos de acceso fallidos para garantizar que no será accedida por usuarios no autorizados.
La Gerencia de Tecnologías de la información debe Instalar y configurar adecuadamente los controles de cifrado de disco.
10.1.6.4. Lineamientos Borrado remoto
Los dispositivos móviles propiedad de Colpensiones que puedan llegar a almacenar información clasificada como Pública clasificada o Pública clasificada, deben contar con controles de borrado o inactivación remota para garantizar la información no será accedida usuarios no autorizados en caso de hurto o pérdida.
Es responsabilidad de la Gerencia de Tecnologías de Información instalar y configurar adecuadamente los controles de borrado o inactivación remota.
10.1.6.5. Lineamientos Controles de acceso
Los dispositivos móviles propiedad de Colpensiones deben tener controles de acceso que garanticen la identificación de los usuarios y limiten el acceso a la información en ellos contenidos de acuerdo con su perfil.
La autenticación debe realizarse preferiblemente contra los sistemas centralizados que Colpensiones defina para tal fin, o ante la imposibilidad de hacerlo, debe garantizarse que los sistemas locales de autenticación cumplan con los parámetros de complejidad de contraseñas definidos en los Lineamientos de creación de usuarios y contraseñas, publicada en la herramienta de gestión documental de Colpensiones en la cual se alojan para consulta de los colaboradores los documentos oficiales de la Entidad.
Los controles de acceso para dispositivos móviles deberán cumplir con las Políticas de Gestión de Accesos definidos en este manual.
Es responsabilidad de la Gerencia de Tecnologías de Información instalar y configurar adecuadamente los controles de restricción de tráfico.
10.1.6.6. Lineamientos Bloqueo automático
Los dispositivos móviles propiedad de Colpensiones deben estar configurados para bloquearse automáticamente después de un tiempo determinado de inactividad.
10.1.6.7. Lineamientos WIFI, Bluetooth, NFC y otras opciones de conectividad
Los dispositivos móviles propiedad de Colpensiones deben mantenerse con las opciones de conectividad Wifi, Bluetooth, NFC y otras tecnologías de conexión remota apagadas. Únicamente deberán encenderse cuando sean estrictamente necesario.
La conexión a redes fuera del control de Colpensiones debe realizarse con todas las precauciones requeridas y bajo la responsabilidad total del usuario.
10.1.6.8. Lineamientos Software antivirus y antimalware
Los dispositivos móviles propiedad de Colpensiones deben contar con controles de protección antivirus y antimalware que tengan soporte y aseguren actualizaciones de firmas periódicamente en tiempos aceptados por la entidad.
El software antivirus y antimalware debe estar configurado para que se actualice automáticamente sin intervención de los usuarios finales.
El software antivirus y antimalware debe estar configurado para realizar análisis periódicos y remediación sin intervención de los usuarios finales.
El software antivirus y antimalware no podrá ser desactivado, desinstalado o inhabilitado por los usuarios finales.
El software de antivirus y antimalware debe cumplir con las Políticas contra Código Malicioso definidos por la Gerencia de Riesgos y Seguridad de la Información.
10.1.7. Lineamientos para las Redes de Colpensiones
10.1.7.1. Lineamientos Segmentación de la Red
La red de Colpensiones debe segmentarse para agrupar componentes o equipos con funciones similares o que necesiten estar en el mismo segmento de red de otros para garantizar su funcionamiento. La segmentación de la red debe permitir identificar, controlar y monitorear el tráfico en toda la red.
Se deben definir diferentes segmentos de red internos por tipo o función y ubicar en ellos equipos con funcionamiento similar que no deban tener acceso directo desde o hacia redes públicas o internet.
Los equipos, dispositivos o componentes que almacenan información “Pública clasificada” o “Pública reservada” deben estar en segmentos internos de red sin conectividad directa a redes públicas o internet.
Los sistemas de información que provean servicios a los usuarios internos deben estar ubicados en redes o segmentos de red específicos de servidores, separados de las redes o segmentos de usuarios y DMZ.
10.1.7.2. Lineamientos DMZ
En las zonas desmilitarizadas o DMZ deben estar ubicados todos los equipos y componentes de la infraestructura de red de Colpensiones que reciban tráfico, peticiones de red o consumo de servicios desde redes públicas o Internet. Los sistemas de información que sean consultados desde redes públicas o Internet deben tener únicamente sus componentes de presentación en estos segmentos desmilitarizados, mientras que los que contienen lógica de negocio y almacenamiento de datos deben estar ubicados en segmentos internos y protegidos de red.
No está permitido ubicar en las zonas desmilitarizadas o DMZ, equipos o componentes de red que almacenen información clasificada como “Pública clasificada” o “Pública Reservada” ni ningún otro sistema de información, equipo o componente que sea únicamente usado desde el interior de la red de Colpensiones.
10.1.7.3. Lineamientos control de tráfico entre segmentos de red
El tráfico entrante y saliente entre segmentos de red debe estar claramente identificado, justificado y controlado. No se permite tráfico de ningún tipo entre dos segmentos de red que no lo requieran.
El tráfico entrante y saliente entre las zonas desmilitarizadas hacia redes públicas o Internet o hacia segmentos de red internos debe estar claramente identificado, justificado y controlado por dispositivos tipo Firewall y preferiblemente con características avanzadas para la detección o prevención de intrusos (IDS o IPS).
Las políticas de firewall deben tener claramente identificadas y documentadas las direcciones de origen y destino, así como los puertos, protocolos o servicios permitidos. No podrán existir políticas de firewall con orígenes, destinos, puertos, protocolos o servicios no determinados o con comodines tipo ANY.
Está prohibida la utilización de dispositivos que hagan conexiones tipo puente o by pass entre zonas de red con distinto nivel de confianza. Todo el tráfico entre diferentes segmentos de red debe ser controlado por dispositivos tipo Firewall.
10.1.7.4. Lineamientos Identificadores de redes inalámbricas (SSID)
Los identificadores de las redes inalámbricas (SSID) deben configurarse de manera oculta y de acuerdo con el estándar de nombramiento y seguridad que defina la Gerencia de Tecnologías de la Información. Se debe garantizar que no se irradian SSID por defecto.
10.1.7.5. Lineamientos Puntos de Acceso inalámbricos (AP)
Los puntos de acceso (AP) a la red inalámbrica se deben instalar en ubicaciones físicas de difícil acceso y manipulación y se deben configurar en segmentos de red específicos para la administración de dichos dispositivos. Deben existir mecanismos que controlen las conexiones entre los APs y otros recursos de red.
Todos los AP instalados en la entidad deben ser aprobados, debidamente configurados e instalados por la Dirección de Infraestructura Tecnológica o por el tercero que ella disponga para tal fin. No está permitida la instalación de AP por parte de funcionarios, servidores o terceros sin la debida aprobación y autorización.
10.1.7.6. Lineamientos Redes AD Hoc
Los equipos de cómputo dotados de acceso inalámbrico deben configurarse para deshabilitar la posibilidad de conexión directa entre estaciones (enlaces Ad Hoc); para esto, la Gerencia de Tecnologías de la Información debe definir las guías de configuración segura que garanticen el cumplimiento de la presente política.
10.1.7.7. Lineamientos Inspecciones a la red
Se debe:
- Definir y mantener guías de configuración segura (hardening) para los
dispositivos de comunicaciones y de red de la entidad.
- Definir, implementar y monitorear los procedimientos y controles de seguridad sobre la red cableada e inalámbrica.
- Monitorear las redes de la entidad para garantizar su disponibilidad, rendimiento
y facilitar la gestión de incidentes sobre ellas.
- Instalar y configurar adecuadamente los controles de restricción de tráfico.
10.1.7.8. Lineamiento de cifrado
Se debe implementar medidas de seguridad para garantizar que el proceso de autenticación y el envío y recepción de tráfico se haga de manera cifrada evitando así comprometer las credenciales de autenticación y la información sensible.
10.1.7.9. Lineamientos conexiones con redes externas, públicas e internet
Cualquier conexión desde redes externas a la red de Colpensiones, debe ser autorizada por la Gerencia de Tecnologías de la Información y debe contar con las medidas de seguridad adecuadas para llevar los riesgos identificados a niveles aceptados por la entidad, incluyendo el cumplimiento de los requerimientos regulatorios aplicables.
Está prohibido conectar a la red de Colpensiones dispositivos móviles propios para conectarse a Internet, por medio de conexiones WIFI, bluetooth, cableadas o de cualquier otro tipo.
El tráfico desde y hacia redes públicas e internet debe preferiblemente ser enviado o recibido por dispositivos o equipos ubicados en zonas de red desmilitarizadas o DMZ.
10.1.7.10. Lineamiento Monitoreo de redes
Las redes de Colpensiones deben ser objeto de monitoreo por parte de la Gerencia de Tecnologías de la Información para garantizar su disponibilidad, rendimiento y facilitar la gestión de incidentes.
Colpensiones debe realizar monitoreo de la navegación en Internet, a través de la Gerencia de Prevención del Fraude, para garantizar su uso racional, identificar nuevas amenazas y mantener las políticas de navegación actualizadas.
El monitoreo de la red y la navegación debe proveer la información que se requiera para apoyar la gestión de incidentes de seguridad de la información y ciberseguridad, y, en caso de ser necesario, tomar las acciones administrativas o legales a las que haya lugar contra los usuarios que realicen actos en contra de los acuerdos contractuales o legales vigentes.
10.1.7.11. Lineamientos Requisitos Mínimos Para Dispositivos Personales Que Se Conectan A Las Redes De Colpensiones
Es responsabilidad de los usuarios que accedan a las redes alámbricas o inalámbricas de Colpensiones contar con el software y las configuraciones de seguridad en su equipo para minimizar el riesgo de ataques al que se pueden ver expuestos. Como mínimo todos los dispositivos que se conecten a la red de Colpensiones por cualquiera de sus medios deben:
- Contar con usuario y contraseña de arranque. La contraseña de acceso al sistema deberá tener una complejidad mínima de: 8 caracteres, mayúsculas y minúsculas, números y caracteres especiales.
- Contar con una herramienta o solución de software antivirus/malware actualizada y activa.
- Mantener al día la instalación de parches y actualizaciones de sistema operativo y de aplicaciones instaladas en el equipo, especialmente las de seguridad.
- Tener activo el protector o bloqueo de pantalla con un tiempo máximo 5 minutos. Para salir de dicho protector se deberá utilizar contraseña.
- Contar con software debidamente licenciado.
- Para el acceso a la red inalámbrica, los equipos deberán soportar el estándar de comunicación 802.11 b/g/n y soportar cifrado WPA2 o superior.
10.1.8. Lineamientos para la Adquisición, Desarrollo y Mantenimiento De Sistemas De Información
10.1.8.1. Lineamientos en Generales de Adquisición, Desarrollo y mantenimiento de Aplicaciones
- Colpensiones debe asegurar que se haga un adecuado análisis y especificación de los requerimientos de seguridad del software desde su diseño, ya sea interno o adquirido, que incluya desde la validación de usuarios y datos de entrada y salida, el procesamiento de información, de acuerdo con la clasificación de los activos.
- Se establecerán los controles necesarios para cifrar la información confidencial con el fin de evitar la posibilidad de una acción indebida por parte de un usuario del sistema. Igualmente, se deberán asegurar los archivos del sistema y mantener un control adecuado de los cambios que puedan presentarse.
- Los datos de prueba usados en los sistemas y/o aplicaciones de Colpensiones considerados de carácter confidencial deben controlarse y protegerse. Se debe mantener un acceso restringido y controlado, haciendo uso de los mecanismos de seguridad para su acceso.
- Si los sistemas de información de prueba están fuera del dominio de Colpensiones, y son controlados por un tercero, se deberá exigir cláusulas de confidencialidad, y deberán implementar los mecanismos de seguridad necesarios para su protección.
- Colpensiones en cualquier momento podrá realizar revisiones o auditorías a terceros que manejen o hagan uso de datos de información confidencial en sus sistemas de prueba, con el fin de garantizar su adecuada protección y podrá exigir el cumplimiento de los mecanismos de seguridad, acorde con la criticidad de la información.
- Se implementarán controles para restringir el acceso al código fuente de las aplicaciones y/o sistemas.
- Los cambios en los sistemas de información de Colpensiones deben ser controlados bajo procedimientos y autorizaciones formales, por los responsables a cargo.
- Los sistemas de información y/o aplicaciones deben ser sometidas a revisiones y pruebas luego de cualquier cambio, para asegurar que no hay impactos adversos en las operaciones o seguridad de la información.
- Colpensiones implementará los controles necesarios para evitar la fuga de información, por cualquiera de sus medios.
- Colpensiones supervisará y monitoreará, los desarrollos contratados externamente, mediante acuerdos, contratos, derechos de propiedad, certificaciones de calidad, pólizas, entre otros.
- Solo los administradores de sistemas de información autorizados por la Vicepresidencia de Planeación y Tecnología podrán realizar la instalación de software licenciado en los equipos de la entidad.
- Antes de la instalación de software en ambientes productivos, el software debe ser probado en ambientes de prueba, garantizando su capacidad de uso, seguridad y compatibilidad con otros programas.
- La Vicepresidencia de Planeación y Tecnología, implementarán controles de restricción sobre los Sistemas Operativos, para evitar que los usuarios no autorizados puedan instalar software.
- No se permitirá la instalación de software, que no haya sido previamente avalado y autorizado por la Vicepresidencia de Planeación y Tecnología, en cumplimento de las normas y regulaciones para su uso.
- Colpensiones deberá obtener información oportuna sobre las vulnerabilidades técnicas de los sistemas de información y/o aplicaciones, y evaluar la exposición a dichas vulnerabilidades y tomar las acciones apropiadas para tratar los riesgos, con el fin de evitar la explotación de estas.
- La Vicepresidencia de Planeación y Tecnología, garantizarán la disposición final de medios de almacenamiento, y software de la entidad para dar de baja apropiadamente la información de Colpensiones.
- Todos los equipos que hagan parte del inventario de Colpensiones deben ser autorizados por la Dirección de Infraestructura de Tecnológica para su retiro, borrado, y/o eliminación.
- Todo equipo de cómputo o medio de almacenamiento que sea retirado del funcionamiento de la entidad y que contenga información o software licenciado, se le debe realizar un borrado seguro de la información contenida o destruirse físicamente antes de darle una nueva destinación.
- La Vicepresidencia de Planeación y Tecnología debe conservar adecuadamente en un sitio seguro el software de instalación, de paquetes, aplicaciones o sistemas operativos que la organización haya descontinuado su uso.
- El periodo de conservación de dicha información deberá estar acorde con la necesidad de Colpensiones para el cumplimiento legal y regulatorio y las necesidades del negocio, en la que se pueda necesitar el software en desuso para recuperar o acceder a información ligada a versiones anteriores de programas.
- Cuando se determine la eliminación definitiva del software en desuso o descontinuado, este deberá ser destruido físicamente si se encuentra en CD's, DVD's, cintas u otros medios o borrados de manera segura para que no se pueda recuperar información contenido en discos duros o dispositivos de almacenamiento
- Una estrategia de retorno (rollback) debe definirse antes que los cambios sean implementados y debidamente autorizados.
- Se debe mantener un registro de auditoría de todas las actualizaciones de programas en producción.
- Las versiones previas del software de aplicación se deben retener como una medida de contingencia.
- El software usado en sistemas en producción debe ser mantenido en un nivel soportado por el proveedor.
- Los desarrollos de software internos o externos deben cumplir con una metodología de desarrollo seguro y certificación la realización de pruebas de vulnerabilidades realizadas por un tercero certificado. (Ver Manual de Políticas Desarrollo).
- Todas las actualizaciones que se apliquen para el software implementado en Colpensiones deben cumplir con el proceso y/o procedimiento de control de cambios.
- Colpensiones debe prevenir errores, pérdida, modificación no autorizada o uso indebido de información en aplicaciones.
- Los datos de entrada en las aplicaciones deben validarse para asegurar que son correctos, no generan errores y prevenir ataques estándar, incluyendo desbordamiento de pila (buffer overflow) e inyección de código (code injection).
- Se deben aplicar controles a las entradas como:
- Entrada dual y otros chequeos de entrada para detectar errores como valores fuera de rango, caracteres inválidos en campos de datos, datos incompletos o faltantes, control de datos no autorizados o inconsistentes.
- Revisión periódica de contenidos de campos clave o archivos de datos para confirmar su validez e integridad.
- Procedimientos para responder a errores de validación.
- Procedimientos para determinar la veracidad de los datos de entrada.
- Crear registros (logs) de las actividades relacionadas con el proceso de entrada de datos.
- Se deben aplicar controles de Procesamiento como:
- El diseño e implementación de aplicaciones debe asegurar que los riesgos de fallas de procesamiento que llevan a pérdida de integridad son minimizados.
Esto incluye:
- El uso de funciones de adición, modificación y borrado para realizar cambios en los datos.
- Procedimientos para prevenir la ejecución de programas fuera de secuencia o cuando falla el procesamiento previo.
- Uso de programas para recuperación de fallas, con el objeto de asegurar el procesamiento correcto de los datos.
- Controles de lote (batch)
- Controles de balanceo como corrida a corrida, totales de archivos actualizados.
- Totales hash de registros y archivos.
- Controles de integridad y autenticidad para datos que se cargan desde computadores remotos o en procesos en lotes.
- Creación de registros (logs) de las actividades relacionadas con el procesamiento de datos.
- Se deben aplicar controles de datos de salida como:
- Chequeos para probar si los datos de salida son razonables.
- Provisión de información suficiente, para que un lector o sistema de procesamiento subsiguiente, determine la exactitud, totalidad, precisión y clasificación de la información.
- Procedimientos para responder a las pruebas de validación de salidas.
- Tener un registro (log) de las actividades del proceso de validación de datos de salida.
10.1.8.2. Lineamientos de Seguridad en los Procesos de Desarrollo y Soporte
Colpensiones mantiene la seguridad de la información, así mismo en las aplicaciones, sistemas de información, recursos tecnológicos que soportan la Compañía.
- La introducción de nuevos sistemas y cambios mayores a sistemas existentes deben cumplir con el procedimiento formal de documentación, especificación, pruebas, control de calidad y gestión de implementación.
- Se debe contar con los controles que se deben tener en cuenta en el proceso de control de cambios:
- Mantener un registro de los niveles de autorización acordados.
- Asegurar que los cambios son propuestos por usuarios autorizados.
- Revisar los controles y los procedimientos de integridad para garantizar que no serán comprometidos por los cambios.
- Identificar todo el software, información, bases de datos y el hardware que requieren modificaciones.
- Garantizar que los usuarios autorizados acepten los cambios antes de la implementación.
- Garantizar que la implementación se lleve a cabo minimizando la discontinuidad de las actividades del negocio.
- Asegurar que la documentación del sistema se actualice cuando se complete el cambio y se archiva o elimina la documentación que no se encuentre actualizada.
- Mantener un control de versiones para todas las actualizaciones de software.
- Mantener pistas de auditoría de todas las solicitudes de cambios.
- Asegurar que la documentación operativa y los procedimientos de usuarios se modifiquen según las necesidades.
- Asegurar una adecuada segregación de funciones (la persona que solicite el cambio y la que apruebe y haga los cambios no sea la misma.
- Ante cambios de criticidad urgente, los procedimientos de control de cambios deben seguirse con las restricciones adecuadas sobre el personal de soporte que ejecute los cambios de programas.
- Se debe certificar que en el proceso de control de cambios en los ambientes de contingencia son actualizados.
- Se debe verificar periódicamente la integridad de los sistemas de contingencia en relación con producción.
10.1.5.2. Lineamientos de las Restricciones Sobre Cambios a Paquetes de Software
- Los paquetes de software suministrados por terceros deben utilizarse sin modificación o limitados a cambios necesarios y estrictamente controlados.
- Cuando se considere esencial modificar un paquete de software, se deben tener en cuenta los siguientes puntos:
- Validar en caso de requerir el consentimiento del proveedor.
- La posibilidad de obtener del proveedor los cambios requeridos como actualizaciones estándar de programas.
- El impacto que se produciría si la organización se hace responsable del mantenimiento y soporte en el futuro del software como resultado de los cambios.
- Si se consideran necesarios los cambios, el software original debe mantenerse y aplicar los cambios a una copia claramente identificada.
- Todos los cambios deben ser completamente probados y documentados, a fin de que puedan ser, si es necesario, nuevamente aplicados en futuras actualizaciones de software.
10.1.5.3. Lineamientos de Manejo de Datos de Prueba
- Los datos de prueba deben ser seleccionados cuidadosamente, protegidos y controlados.
- El uso de bases de datos para propósitos de prueba conteniendo información de carácter confidencial y otra información relevante debe evitarse; sin embargo, de ser requerido para uso para pruebas, el contenido confidencial debe ser removido o modificado y deberá cumplir:
- Identificar y documentar todos los datos confidenciales de los sistemas de información que se usarán en ambientes de prueba.
- El copiado o el uso de estos datos en un sistema de información en etapa de pruebas debe ser aprobado por el propietario de la información.
- Los procesos y/o procedimientos de control de acceso, que aplican a los sistemas de aplicación en producción, deben también aplicarse a los sistemas de aplicación de prueba.
- Debe haber una autorización separada cada vez que la información de producción es copiada para pruebas de aplicación.
- La información de producción debe borrarse del sistema de pruebas inmediatamente después que las pruebas se terminan.
- La copia y el uso de la información de producción debe ser registrada para proveer una pista de auditoría.
- Los datos de prueba no deben ser datos reales. Si los datos son extraídos de los datos reales, se debe usar herramientas de enmascaramiento de los datos, donde sea posible, para proteger los datos confidenciales de Colpensiones de ser divulgados sin necesidad durante una prueba.
Estándares
- OWASP, Aplication Security Verification Standard (ASVS) Version 4.0 [13]
- OWASP, TOP 10 2017 Application Security Risk[14]
10.1.5.4. Lineamientos Enmascarado de datos
- Datos sensibles se refieren al nivel de entidad de dato. Los datos sensibles los deben definir las áreas de negocio, con base en la metodología de Gestión de Activos de Información, de la Vicepresidencia de Seguridad de Riesgos Empresariales. El dueño de cada proceso de negocio define la reserva o clasificación de cada dato sensible:
- Pública: jamás se enmascara.
- Reservada y/o Clasificada: deben ir enmascarados según rol y actividad del usuario que tiene acceso al dato sensible.
- Un activo de Información puede estar compuesto de uno o más Datos sensibles. Lo que genera la necesidad de enmascarar datos es la combinación de datos que permitan la identificación de la información sensible. Ejemplo: el número celular de un ciudadano por si sólo no es dato sensible, pero si se presenta junto con el nombre del ciudadano, ya es sensible.
- Aplicativo o Reporte empleado por una persona:
Todo usuario de las aplicaciones y Reportes de Colpensiones deberá ver enmascarados los datos sensibles de acuerdo con la definición realizada por los dueños de los procesos de negocio, utilizando alguno de los siguientes mecanismos:
- Opción A: Proxy de Enmascarado. Los datos permanecen sin enmascarar en la fuente.
- Opción B: Solución para enmascarar datos en la fuente de información.
Riesgo con opción A y B: Que la aplicación de Colpensiones, o los web services que consume, o los procedimientos almacenados que consume, requieran ajustes para funcionar con la Solución de Enmascarado de datos. Se recomienda mitigar este riesgo con una prueba de concepto en el aplicativo a integrar con la solución de Enmascarado.
Ejemplo:
- Actualmente: Usuario abarajas -> Bizagi -> WS de Capa Media -> Base de datos Sabass
- A futuro:
Opción A: Usuario abarajas -> Bizagi -> Proxy de Enmascarado -> WS de Capa Media -> Base de datos Sabass
Opción B: Usuario abarajas -> Bizagi -> WS de Capa Media -> Base de datos Sabass con Solución de Enmascaramiento.
- Orquestado que genera archivo plano para una persona:
Un funcionario sólo debe tener acceso a esa información por medio de un Reporte, no abriendo el archivo plano directamente. Solo el usuario con permiso para ejecutar dicho reporte podrá ver la información. A dicho reporte le aplica el lineamiento de enmascaramiento "3. Aplicativo o Reporte empleado por una persona".
- La solución de enmascarado también debe estar desplegada en el centro de datos alterno de Colpensiones (DRP). Lo anterior debido a que de no hacerlo, las aplicaciones y reportes podrían presentar errores.
- La solución de enmascarado debe estar desplegada en ambiente productivo en alta disponibilidad.
Recomendaciones:
a. Se recomienda emplear la opción A por ser menos intrusiva que la opción B.
b. La Solución de Enmascarado debe soportar los motores de base de datos de Colpensiones: SQL Server 2008 o superior, Sybase 15.7 o superior, Teradata 14 con Appliance 27000 o superior, Oracle 10G o superior, y DB2 v7r3m0 o superior.
c. La Solución de Enmascarado debe soportar protocolo seguro HTTPS con TLS 1.2 o superior, y WS-Security con tags de usuario y contraseña.
d. La Solución de Enmascarado debe permitir realizar el enmascaramiento en cualquiera de las siguientes capas: fuente de información, proxy durante el transporte, o procesamiento dentro de las aplicaciones, reportes, web services o procedimientos almacenados.
BIBLIOGRAFÍA
- Documento Recomendaciones de Gobierno de TI V2.0 PwC.(2017).
- Documento definición Arquitectura Empresarial V4.0 Documento definición de Arquitectura. PwC.(2015).
- Documento definición AE - Anexo 9 – Gobierno de Información V1,0 Modelo de Gobierno Información y datos para Colpensiones. PwC. (2015)
- G.GOB.01 Guía Técnica - Guía del dominio de Gobierno de TI V1.
- Estandares de industria del dominio de gobierno TIV1.(2014)
- G.INF.06 Guía Técnica - Gobierno del dato. V1. Ministerio de Tecnologías de la Información y las Comunicaciones. (2014).
- G.INF.03 Guía Técnica de Información - Ciclo de vida del dato. V1. Ministerio de Tecnologías de la Información y las Comunicaciones. (2014).
- Guía de Fundamentos para la Gestión de datos, DAMA-DMBOK. DAMA Internacional.(2009).
CONTROL DE CAMBIOS DEL DOCUMENTO
| FECHA | VERSIÓN | MODIFICACIÓN | ELABORÓ | REVISÓ. | APROBÓ. |
| 20-11-2019 | 1 | Inicial | Nombre: Gina Paola Vergel Arévalo. Cargo: Profesional Master 7. Nombre: Omar Fabián Izquierdo Rojas Cargo: Profesional Master 8 Nombre: Cesar Augusto Romano Rodríguez Cargo: Profesional Master 7. Nombre: John Jairo Ardila Romero Cargo: Profesional Master 6. Raúl Trujillo García Cargo: Profesional Julián Mauricio Jaramillo Alfonso Cargo: Profesional Master 7 | Nombre: Javier Francisco Fúneme Arias Cargo: Gerente de Tecnologías de la Información | Nombre: Javier Francisco Fúneme Arias Cargo: Gerente de Tecnologías de la Información |
| 02-12-2020 | 2 | Actualización de logo, código y plantilla oficial | John Alexander Lamprea H Profesional 5 | Nombre: Javier Francisco Fúneme Arias Cargo: Gerente de Tecnologías de la Información | Nombre: Javier Francisco Fúneme Arias Cargo: Gerente de Tecnologías de la Información |
1. https://www.superfinanciera.gov.co/publicacion/10088261
2. Y:\VP_PlaneacionyTI\GTI\DIT\DIT\CONTINUIDAD\01.DRP\01. Tranversal\01. DocumentosBase\01. ManualDRP\01. ManualDRP
3. https://estrategia.gobiernoenlinea.gov.co/623/articles-81473_recurso_1.pdf, Versión 7 de abril 2019. https://estrategia.gobiernoenlinea.gov.co/623/articles-100309_guia_integracion.pdf
4. http://lenguaje.mintic.gov.co/sites/default/files/archivos/guia_de_uso_-_lenguaje_comun.pdf, Versión 3 de Julio 2019
5. Fuente: Lineamientos del ESB - BUS Empresarial de Servicios, versión 3.0, 11/09/2018
6. Documento PwC: Documento definición de Arquitectura Final. Cap. 4.2.2.
7. Lineamientos del Marco de Referencia de Arquitectura Empresarial para la Gestión de TI. MinTIC. Versión 1.1. 11 de mayo de 2017. LI.INF.01, 11.
8. Fuente: Lineamientos del Marco de Referencia de Arquitectura Empresarial para la Gestión de TI. MinTIC. Versión 1.1. 11 de mayo de 2017. LI.INF.02.
9. Fuente: Lineamientos del Marco de Referencia de Arquitectura Empresarial para la Gestión de TI. MinTIC. Versión 1.1. 11 de mayo de 2017. LI.INF.03, 06, 12,14.
10. Fuente: Lineamientos del Marco de Referencia de Arquitectura Empresarial para la Gestión de TI. MinTIC. Versión 1.1. 11 de mayo de 2017. LI.INF.12.
11. Fuente: Lineamientos del Marco de Referencia de Arquitectura Empresarial para la Gestión de TI. MinTIC. Versión 1.1. 11 de mayo de 2017. LI.INF.10
12. Fuente: Lineamientos del Marco de Referencia de Arquitectura Empresarial para la Gestión de TI. MinTIC. Versión 1.1. 11 de mayo de 2017. LI.INF.04
13. OWASP, ASVS V 4.0, https://www.owasp.org/images/8/88/OWASP_Application_Security_Verification_Standard_4.0-en.docx
14. OWASP, TOP 10 2017 Application Security Risk, https://www.owasp.org/index.php/Top_10-2017_Top_10
