BúsquedaBUSCAR
ÍndiceÍNDICE

COLPENSIONES: DOCUMENTO 41

MANUAL

LINEAMIENTOS DESEGURIDAD DE LA INFORMACIÓN Y CIBERSEGURIDAD

ASEGURAMIENTO DE LA GESTIÓN

GESTIÓN DE RIESGOS

Tabla de contenido

CAPÍTULO I PARA EL CORREO ELECTRÓNICO16
1. OBJETIVO16
2. ALCANCE16
3. POLÍTICAS PARA EL CORREO ELECTRÓNICO CORPORATIVO16
3.1. RESERVA DE PRESTACIÓN DEL SERVICIO16
3.2. ACCESO EXTERNO AL CORREO ELECTRÓNICO DE COLPENSIONES16
3.3. ACEPTACIÓN DE LOS TÉRMINOS Y CONDICIONES DEL SERVICIO17
3.4. MONITOREO17
3.5. ENVÍO DE INFORMACIÓN PÚBLICA CLASIFICADA Y RESERVADA17
3.6. TAMAÑO DE LOS BUZONES DE CORREO18
3.7. CIFRADO, FIRMA DIGITAL Y OTRAS CONSIDERACIONES DE SEGURIDAD
18
3.8. CREACIÓN DE CUENTAS DE CORREO ELECTRÓNICO18
3.10. ENVÍO Y REENVÍO DE INFORMACIÓN MALICIOSA20
3.11. OBLIGACIÓN DE REPORTE20
3.12. INFORMACIÓN DEL REMITENTE Y FIRMA21
3.13. USO INTRANSFERIBLE DE CUENTAS21
3.14. REENVÍO DE CORREO ELECTRÓNICO21
4. LINEAMIENTOS DE USO DEL CORREO ELECTRÓNICO CORPORATIVO21
4.1. CUENTAS DE CORREO ELECTRÓNICO CORPORATIVO21
4.1.1. CUENTAS INDIVIDUALES O PERSONALES DE NATURALEZA CORPORATIVA
21
4.1.2. CUENTAS DE ÁREA22
4.1.3. GRUPO O LISTAS22
4.1.4. CUENTAS DE SERVICIO22
4.1.5. OTRAS CUENTAS22
4.3. RECOMENDACIONES Y DEBERES PARA EL ADECUADO USO DEL CORREO ELECTRÓNICO
23
4.4. PROHIBICIONES EN EL USO DEL CORREO ELECTRÓNICO25
CAPÍTULO II PARA LA GESTIÓN DE ACCESOS26
1. OBJETIVO26
2. ALCANCE26
3. POLÍTICAS DE CONTROL DE ACCESOS26
3.1. IDENTIFICACIÓN DE LOS USUARIOS26
3.2. AUTENTICACIÓN DE LOS USUARIOS26
3.3. AUTORIZACIÓN DE ACCESOS27
3.4. CONTROL DE ACCESOS BASADO EN ROLES28
3.5. PRIVILEGIOS DE ACCESO EN LA ADMINISTRACIÓN DE RECURSOS TECNOLÓGICOS
28
3.6. REGISTRO Y AUDITORÍA DE ACCESOS29
3.7. GESTIÓN DEL CICLO DE VIDA DE LOS ACCESOS29
3.8. REVISIÓN PERIÓDICA DE ACCESOS31
3.9. GESTIÓN DE USUARIOS PRIVILEGIADOS31
3.10. GESTIÓN DE USUARIOS DE SERVICIO32
3 11. ALMACENAMIENTO DE CONTRASEÑAS PARA PROCESOS AUTOMÁTICOS Y APLICACIONES
33
CAPÍTULO III PARA MODIFICACIÓN DIRECTA DE DATOS34
1. OBJETIVO34
2. ALCANCE34
3. POLÍTICAS34
3.1. MODIFICACIÓN DIRECTA DE DATOS34
3.1.1. SOLICITUD DE ACCESO PARA REALIZAR MODIFICACIÓN DIRECTA DE DATOS
34
3.1.2. AUTORIZACIÓN DE ACCESO PARA REALIZAR MODIFICACIÓN DIRECTA DE DATOS
35
3.1.3. MODIFICACIONES PERMITIDAS35
3.1.4. SEGREGACIÓN DE RESPONSABILIDADES36
3.1.5. COPIAS DE SEGURIDAD DE LOS DATOS36
3.1.6. TERMINACIÓN DELIBERADA36
3.1.7. VALIDACIÓN DE LA MODIFICACIÓN DE DATOS EN AMBIENTE PRODUCTIVO
36
3.1.8. TRAZABILIDAD DE LA MODIFICACIÓN DIRECTA DE DATOS37
4. LINEAMIENTOS37
4.1. TIPOS DE MODIFICACIÓN DE DATOS37
4.2. EVALUACIÓN DE RIESGOS DE LA MODIFICACIÓN DIRECTA DE LOS DATOS
37
4.3. CONSIDERACIONES TÉCNICAS39
CAPÍTULO IV DISPOSITIVOS PARA MOVILIDAD Y ACCESO REMOTO40
1. OBJETIVO40
2. ALCANCE40
3. POLÍTICAS40
3.1. MOVILIDAD40
3.2. DISPOSITIVOS MÓVILES PROVISTOS POR COLPENSIONES42
3.2.1. ASIGNACIÓN42
3.2.2. INVENTARIADO Y ETIQUETADO42
3.2.3. ALMACENAMIENTO CIFRADO42
3.2.4. BORRADO REMOTO42
3.2.5. CONTROLES DE ACCESO43
3.2.6. BLOQUEO AUTOMÁTICO43
3.2.7. GEOLOCALIZACIÓN43
3.2.8. WIFI, BLUETOOTH, NFC Y OTRAS OPCIONES DE CONECTIVIDAD43
3.2.9. SOFTWARE ANTIVIRUS Y ANTIMALWARE43
3.2.10. INSTALACIÓN DE SOFTWARE44
3.2.11. CONTROL DE NAVEGACIÓN44
3.2.12. FIREWALL LOCAL O DE HOST44
3.2.13. ACTUALIZACIÓN PERIÓDICA44
3.3. POLÍTICAS DE SEGURIDAD PARA ACCESO REMOTO45
CAPÍTULO V PARA LAS REDES DE COLPENSIONES46
1. OBJETIVO46
2. ALCANCE46
3. POLÍTICAS46
3.1. SOBRE LAS REDES Y CONECTIVIDAD46
3.2. SEGMENTACIÓN DE LA RED47
3.2.1. SEGMENTOS DE RED INTERNOS47
3.2.2. SEGMENTOS DE RED CON CARACTERÍSTICAS DE ZONAS DESMILITARIZADAS (DMZ)
47
3.2.3. SEPARACIÓN DE AMBIENTES47
3.3. CONTROL DE TRÁFICO ENTRE SEGMENTOS DE RED048
3.4. REDES INALÁMBRICAS48
3.4.1. IDENTIFICADORES DE REDES INALÁMBRICAS (SSID)48
3.4.2. COBERTURA48
3.4.3. PUNTOS DE ACCESO INALÁMBRICOS (AP)48
3.4.4. REDES AD HOC49
3.4.5. INSPECCIONES A LA RED49
3.4.7. CIFRADO50
3.5. CONEXIONES CON REDES EXTERNAS, PÚBLICAS E INTERNET50
3.6. AUTORIZACIÓN DE ACCESO A LAS REDES DE COLPENSIONES50
3.7. CONTROL DE ACCESO A LAS REDES DE COLPENSIONES50
3.8. ACEPTACIÓN DE LOS TÉRMINOS Y CONDICIONES DEL SERVICIO51
3.8. CONTROL DE LA NAVEGACIÓN EN INTERNET51
3.9. MONITOREO DE LA RED51
3.10. DISPONIBILIDAD DE LA RED52
3.11. DISPOSITIVOS DE RED, SEGURIDAD, MONITOREO Y CONTROL52
3.12. PREVENCIÓN DE FUGA DE INFORMACIÓN52
3.13. DETECCIÓN Y PREVENCIÓN DE INSTRUSOS52
4. LINEAMIENTOS52
4.1. REQUISITOS MÍNIMOS PARA DISPOSITIVOS PERSONALES QUE SE CONECTAN A LAS REDES DE COLPENSIONES
52
4.2. USO PROHIBIDO DEL SERVICIO DE RED53
CAPÍTULO VI PARA LA GESTIÓN DE INCIDENTES DE SEGURIDAD Y CIBERSEGURIDAD
55
1. OBJETIVO55
2. ALCANCE55
3. POLÍTICAS55
CAPÍTULO VII PARA LA GESTIÓN DE CIBERSEGURIDAD59
1. OBJETIVO59
2. ALCANCE59
3. POLÍTICAS59
3.1. SOBRE LA PROTECCIÓN DE LA IDENTIDAD59
3.2. SOBRE LA CODIFICACIÓN DE APLICACIONES59
3.3. SOBRE EL USO DE SISTEMAS OPERATIVOS CON SOPORTE60
3.4. SOBRE EL USO DE SOFTWARE DE APLICACIÓN SOPORTADO60
3.5. SOBRE EL USO DE HERRAMIENTAS DE SOFTWARE DE SEGURIDAD60
3.6. SOBRE EL USO DE APLICACIONES ANTIPHISHING60
3.7. SOBRE LOS SERVICIOS DE ACTUALIZACIONES60
3.8. SOBRE EL USO DE FIREWALL PERSONAL Y HIDS (HOST-BASED INTRUSION DETECTION SYSTEM)
60
3.9. SOBRE EL COMPORTAMIENTO DEL PERSONAL61
3.10. SOBRE LA CONCIENCIA DE RIESGOS DE CIBERSEGURIDAD61
3.11. SOBRE EL USO DE REDES SOCIALES EXTERNAS Y APLICACIONES EN EL CIBERESPACIO
61
3.12. POLÍTICA DE CATEGORIZACIÓN Y CLASIFICACIÓN DE LA INFORMACIÓN
61
3.13. SOBRE LA LIMITACIÓN DE AUDIENCIA DE DISTRIBUCIÓN Y MINIMIZACIÓN DE LA INFORMACIÓN
61
CAPÍTULO VIII PARA EL DESARROLLO SEGURO62
1. OBJETIVO62
2. ALCANCE62
3. POLÍTICAS62
3.1. ANÁLISIS DE LA NECESIDAD62
3.2. REQUERIMIENTOS62
3.3. DISEÑO CONCEPTUAL63
3.4. DESARROLLO63
3.5. PRUEBAS63
3.6. PRODUCCIÓN64
3.7. OPERACIÓN Y SOPORTE64
4. EXCEPCIONES64
5. DOCUMENTOS DE BUENAS PRÁCTICAS Y LINEAMIENTOS64
6. POLÍTICA DE REUTILIZACIÓN64
7. LICENCIAS65
CAPÍTULO IX PARA LA GESTIÓN DE ACTIVOS DE INFORMACIÓN Y CIBERSEGURIDAD
66
OBJETIVO66
2. ALCANCE66
3. POLÍTICAS66
4. INVENTARIO DE ACTIVOS DE INFORMACIÓN Y CIBERSEGURIDAD67
5. PROPIEDAD DE LOS ACTIVOS DE INFORMACIÓN Y CIBERSEGURIDAD68
6. USO ACEPTABLE DE LOS ACTIVOS DE INFORMACIÓN Y CIBERSEGURIDAD
69
7. CLASIFICACIÓN DE LA INFORMACIÓN69
7.1. CATEGORIAS DE CLASIFICACION DE LA INFORMACIÓN69
8. ETIQUETADO, MANIPULACIÓN Y ELIMINACIÓN DE LA INFORMACIÓN70
CAPÍTULO X PARA LA GESTIÓN DE MEDIOS DE ALMACENAMIENTO72
1. OBJETIVO72
2. ALCANCE72
3. POLÍTICAS72
4. GESTIÓN DE MEDIOS REMOVIBLES72
5. ELIMINACIÓN DE LOS MEDIOS73
6. TRANSFERENCIA DE SOPORTES FÍSICOS73
7. SEGURIDAD DE LA DOCUMENTACIÓN DE SISTEMAS73
8. TRANSFERENCIA DE MEDIOS DE SOPORTES FÍSICOS73
CAPÍTULO XI PARA LA ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE INFORMACIÓN
75
1. OBJETIVO75
2LCANCE75
3. POLÍTICAS DE ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE APLICACIONES
75
4. SEGURIDAD EN LOS PROCESOS DE DESARROLLO Y SOPORTE78
5. RESTRICCIONES SOBRE CAMBIOS A PAQUETES DE SOFTWARE79
6DESARROLLO DE APLICACIONES EXTERNO79
7MANEJO DE DATOS DE PRUEBA79
CAPÍTULO XII PARA LA GESTIÓN DE RECURSOS HUMANOS81
1. OBJETIVO:81
2. ALCANCE81
3. INCORPORACIÓN DE LA SEGURIDAD EN LA MATRIZ DE CARGOS DE LA ENTIDAD
81
4. CONTROL Y POLÍTICA DEL PERSONAL81
5. ACUERDO DE CONFIDENCIALIDAD81
6. SELECCIÓN DE PERSONAL81
7. TÉRMINOS Y CONDICIONES LABORALES82
8. POLÍTICA DE NOVEDADES DE LOS FUNCIONARIOS Y PERSONAL PROVISTO POR TERCEROS
82
9. SANCIONES POR INCUMPLIMIENTO A LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Y CIBERSEGURIDAD Y TRATAMIENTO DE INCIDENTES
83
10. ENTRENAMIENTO, CONCIENTIZACIÓN Y CAPACITACIÓN83
CAPÍTULOXIII POLITICA CONCIENCIACIÓN EN SEGURIDAD DE LA INFORMACIÓN Y CIBERSEGURIDAD
84
1. OBJETIVO84
2. ALCANCE84
3. INDUCCIONES84
4. PLAN DE CAPACITACIÓN, ENTRENAMIENTO Y/O CONCIENCIACIÓN84
5. ACEPTACIÓN Y SOPORTES84
CAPÍTULO XIV CONTROLES DE CIFRADO DE INFORMACIÓN85
1. OBJETIVO85
2. ALCANCE85
3. ROLES Y RESPONSABILIDADES85
4. REQUERIMIENTOS DE CIFRADO86
5. REGULACIONES Y LEYES APLICABLES A TECNOLOGÍAS DE CIFRADO86
6. ADMINISTRACIÓN SEGURA DE LLAVES / CLAVES DE CIFRADO87
7. NIVELES DE CIFRADO87
8. TIPOS DE CIFRADO88
CAPÍTULO XV PARA LA GESTIÓN DE COPIAS DE SEGURIDAD Y RESTAURACIÓN
89
1. OBJETIVOS89
2. ALCANCE89
3. POLÍTICA89
4. PLAN DE COPIAS DE SEGURIDAD89
5. HERRAMIENTA DE BACKUP90
6. MÉTODOS:90
7. BACKUP DE RED O SERVIDOR90
8. POR CONTENIDOS:90
9. BACKUP INDIVIDUAL O AL COMPUTADOR LOCAL90
10. CICLOS DE BACK-UP91
11. REVISIONES PERIÓDICAS DE BACK-UP91
12. PROCESO DE COPIA A CINTA91
13. PLAN DE COPIAS DE SEGURIDAD91
14. PRUEBAS DE RESTAURACIÓN DE BACKUP92
15. ALMACENAMIENTO DE CINTAS92
16. ALMACENAMIENTO DEL BACK-UP92
17. REGISTRO DE COPIAS DE SEGURIDAD92
18. ELIMINACIÓN DE LOS MEDIOS DE SOPORTE93
19. ASPECTOS REGLAMENTARIOS122
XVI PARA LA GESTIÓN DE VULNERABILIDADES94
1. OBJETIVO94
2. ALCANCE94
3. GESTIÓN DE VULNERABILIDADES94
4. ESCANEO DE VULNERABILIDADES95
5. REQUERIMIENTOS PARA ESCANEO DE VULNERABILIDADES95
6. ESCANEO DE VULNERABILIDADES INTERNOS95
7. ESCANEO DE VULNERABILIDADES EXTERNOS95
8. PRUEBAS DE PENETRACIÓN95
9. ANÁLISIS Y PRIORIZACIÓN DE VULNERABILIDADES96
1.GESTIÓN DE LA CONFIGURACIÓN97
CAPITULO XVIII POLITICA DE GESTION DE CAMBIOS TECNOLÓGICOS DE COLPENSIONES
98
1. OBJETIVO:98
2. ALCANCE98
3. POLÍTICA98
4. IDENTIFICACIÓN DE RIEGOS:98
5. CLASIFICACIÓN DE CAMBIOS TI98
6. COMITÉ DE CAMBIOS98
7. FUNCIONES DEL COMITÉ99
8. MIEMBROS DEL COMITÉ99
9. REUNIÓN DEL COMITÉ99
10. DOCUMENTACIÓN REQUERIDA PARA LA GESTIÓN DE CAMBIOS99
CAPITULO XIX PARA EL LICENCIAMIENTO Y USO DE SOFTWARE102
1. OBJETIVO102
2. ALCANCE102
3. POLÍTICA102
CAPÍTULO XX SEGURIDAD EQUIPOS DE CÓMPUTO104
1OBJETIVO104
2. ALCANCE104
3. POLITICAS:104
CAPÍTULO XXI. SEGURIDAD FÍSICA Y AMBIENTAL106
1. OBJETIVO106
2. ALCANCE106
3. INTRODUCCIÓN106
4. POLÍTICAS GENERALES107
5. TRABAJO EN ÁREAS SEGURAS107
6. CONTROLES FÍSICOS DE INGRESO A LAS INSTALACIONES Y A LAS ÁREAS RESTRINGIDAS
107
7. SEGURIDAD PERIMETRAL FÍSICA109
8. CENTROS DE CÓMPUTO Y CENTROS DE CABLEADO109
9. PROTECCIÓN SOBRE AMENAZAS EXTERNAS O AMBIENTALES111
10. EQUIPOS111
11. SEGURIDAD DEL CABLEADO111
12. MANTENIMIENTO DE EQUIPOS111
13. EQUIPOS DE USUARIO DESATENDIDOS112
14. POLÍTICA DE ESCRITORIO LIMPIO Y PANTALLA LIMPIA112
XXII POLÍTICA DE TRANSFERENCIA DE INFORMACIÓN113
1. OBJETIVO113
2. ALCANCE113
3. MENSAJERÍA ELECTRÓNICA113
4. SEGURIDAD CON TERCEROS114
OBJETIVO:114
ALCANCE114
LINEAMIENTOS114
CAPÍTULO XXIII POLÍTICA PROTECCIÓN CONTRA CÓDIGO MALICIOSO116
1. OBJETIVO116
2. ALCANCE116
3. REQUERIMIENTOS MÍNIMOS DE LA SOLUCIÓN ANTIVIRUS, ANTIMALWARE
116
4. RESPONSABILIDADES DE LOS USUARIOS116
5. CAPACITACIÓN Y SENSIBILIZACIÓN117
6. MONITOREO CONTINUO117
CAPÍTULO XXIV PARA LA SEGURIDAD DE LAS OPERACIONES118
1.OBJETIVO118
3. POLÍTICAS118
4. EXCEPCIONES120
CAPITULO XXV MEJORA CONTINUA121
1OBJETIVO121
3. POLÍTICAS:121
CONTROL DE CAMBIOS DEL DOCUMENTO124

- OBJETIVO

Definir y comunicar a las partes interesadas las políticas complementarias alineadas a la política del sistema de Administración de Riesgos de Seguridad de la Información y Ciberseguridad de Colpensiones (parte V), para gestionar adecuadamente la integridad, confidencialidad y disponibilidad de los activos de información, según el marco de la norma ISO 27001:2013 y su anexo A.

- ALCANCE

Los siguientes lineamientos aplican para todo el personal que labora en Colpensiones servidores públicos, trabajadores oficiales, personal en misión, personal Sena y terceros que accedan a las instalaciones, información y sistemas informáticos de la Entidad con el fin de aplicar los controles necesarios para preservar la confidencialidad, integridad y disponibilidad de la información de los activos de información de la Entidad.

1. CUMPLIMIENTO

Colpensiones cumplirá con todos los requerimientos contractuales y regulatorios definidos en las políticas por la entidad, y su incumplimiento será causal de sanciones de acuerdo a lo establecido en los lineamientos internos de Colpensiones.

- DEFINICIONES

Accesos: Permisos otorgados a los usuarios para acceder a un área, recurso, sistema o aplicación. Dentro de su ciclo de vida se encuentran las siguientes actividades: definición de privilegios de acceso, asignación técnica del acceso, revisión periódica de los privilegios de acceso definidos y concedidos, actualización y borrado.

Acceso Privilegiado: hacen referencia a cuentas dotadas de una importante carga de información sensible y con altos derechos como configurar cuentas, restaurar contraseñas o instalar las actualizaciones de software.

Acceso remoto: acceder desde una computadora a un recurso ubicado físicamente en otra computadora, a través de una red local o externa (como internet)

Activo: Es: “algo que una organización valora y por lo tanto debe proteger”.

Activos de seguridad de la información y Ciberseguridad: Recursos del sistema de información o relacionados con éste, necesarios para que Colpensiones funcione correctamente y alcance los objetivos propuestos por su dirección. Se pueden estructurar en seis categorías: Personal (funcionarios, terceros y clientes), la información en cualquiera que sea su medio (oral, escrita, magnética, digital), la organización correspondiente a los procesos de Colpensiones, el hardware (equipos de cómputo centrales y locales, equipos de comunicaciones entre otros sin limitarse solo a los anteriores ), el software (programas aplicativos en general y sistemas operacionales entre otros sin limitarse a solo a los anteriores) y red (redes de comunicación y redes eléctricas).

Activos de información críticos: Todos los activos de información que fueron clasificados como: “Información clasificada” o “Información Reservada”.

Acuerdo de confidencialidad: Acuerdo cuyo objetivo es garantizar que las partes guarden secreto o no revelen determinada información relacionada con una operación que se está negociando o que ya está establecida.

Aleatorización: Proceso por el cual se reemplaza información completa o parcialmente por valores aleatorios o pseudoaleatorios. En paso de datos productivos a ambientes de pruebas se puede por ejemplo reemplazar salarios, edades o números de afiliación por valores aleatorios.

Antivirus: es un programa que ayuda a proteger su computadora contra la mayoría de los virus, worms, troyanos y otros invasores indeseados que puedan infectar su ordenador.

Antimalware: es un tipo de programa diseñado para prevenir, detectar y remediar software malicioso en los dispositivos informáticos individuales y sistemas de tecnologías de la información.

Backup: Una copia de seguridad, respaldo, copy backup, copia de respaldo, copia de reserva en ciencias de la información e informática es una copia de los datos originales que se realiza con el fin de disponer de un medio para recuperarlos en caso de su pérdida.

Bóveda de contraseñas: herramienta software que mantiene las contraseñas en una ubicación digital segura. Al cifrar el almacenamiento de contraseñas, ofrece a los usuarios la posibilidad de usar una única contraseña maestra para acceder a una cantidad de contraseñas diferentes utilizadas para diferentes sitios web o servicios.

CCTV: Circuito cerrado de televisión o CCTV es una tecnología de videovigilancia diseñada para supervisar una diversidad de ambientes y actividades.

Clasificación de la información: Es la asignación de un nivel de sensibilidad de la información cuando se están creando, corrigiendo, almacenando o transmitiendo. La clasificación de la información determina el grado en que necesita ser controlada y asegurada

Centros de cómputo: Es una sala dedicada al equipo destinado al procesamiento de datos. La misma suele estar acondicionada para este tipo de circunstancia, debiendo contar con una determinada temperatura, medidas de seguridad y por supuesto, el hardware para su función principal.

Centro de cableado: Es un sistema colectivo compuesto de cables, canalizaciones, etiquetas, espacios, conectores y otros dispositivos que deben ser instalados para establecer una infraestructura de telecomunicaciones.

Cifrado: Es la conversión de datos de un formato legible a un formato codificado, que solo se pueden leer o procesar después de haberlos descifrado.

Cintas de backup: Es un tipo de soporte de almacenamiento de información que permite grabar datos en pistas sobre una banda de material magnético

Código malicioso: es un tipo de código informático o script web dañino diseñado para crear vulnerabilidades en el sistema que permiten la generación de puertas traseras, brechas de seguridad, robo de información y datos, así como otros perjuicios potenciales en archivos y sistemas informáticos Confidencialidad: es la característica o condición que específica que la divulgación de información solo debe corresponder a individuos, entidades o procesos autorizados.

Custodio: Es la persona o área encargada de administrar y hacer efectivos los controles de seguridad que el propietario de la información ha definido. Responsables por implementar (a nivel técnico) los controles requeridos para proteger los activos de información, con base en el nivel de clasificación asignado por el dueño correspondiente.

Datacenter: Espacio donde se concentran los recursos necesarios para el procesamiento de la información de una organización.

Personal Privado: Es un dato personal que por su naturaleza íntima o reservada solo interesa a su titular y para su tratamiento requiere de su autorización expresa.

Dato Personal Semiprivado: Son datos que no tienen una naturaleza íntima, reservada, ni pública y cuyo conocimiento o divulgación puede interesar no solo a su titular, sino a un grupo de personas o a la sociedad en general. Para su tratamiento se requiere la autorización expresa del titular de la información. (Ej. Dato financiero).1

Dato público: Es el dato que no sea semiprivado, privado o sensible. Son considerados datos públicos, entre otros, los datos relativos al estado civil de las personas, a su profesión u oficio ya su calidad de comerciante o de servidor público. Por su naturaleza, los datos públicos pueden estar contenidos, entre otros, en registros públicos, documentos públicos, gacetas y boletines oficiales y sentencias judiciales debidamente ejecutoriadas que no estén sometidas a reserva.2

Datos sensibles: Se entiende por datos sensibles aquellos que afectar la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como aquello que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición, así como los datos relativos a la salud, a la vida sexual, y los datos biométricos.

Despersonalización: Proceso por medio del cual a la información asociada con un usuario o persona es modificada para romper el vínculo asociativo y evitar así establecer o conocer la identidad del usuario o persona. Para el paso de datos productivos a ambientes de pruebas se busca evitar que se conozca la identidad de los usuarios reales, para proteger su derecho a la privacidad y la confidencialidad de su información.

Derecho de Acceso: Son los privilegios que se le asignan a un usuario sobre la información (Por ejemplo: escritura, lectura, almacenamiento, ejecución o borrado).

Disponibilidad: es la característica, cualidad o condición de acceso a la información y a los sistemas por personas autorizadas en el momento que así lo requieran.

Dispositivos de almacenamiento: Es un conjunto de componentes electrónicos habilitados para leer o grabar datos en el soporte de almacenamiento de datos de forma temporal o permanente.

Dispositivo Móvil: Dispositivos de procesamiento o comunicaciones que pueden ser fácilmente transportados por los usuarios. Incluye, pero no se limita a: teléfonos celulares inteligentes (smartphones), dispositivos tipo tableta, agendas digitales y computadores portátiles.

DMZ: o Zona Desmilitarizada, es una red local que se ubica entre la red interna de una organización y una red externa, generalmente Internet. El objetivo de una DMZ es que las conexiones desde la red interna y la externa a la DMZ estén permitidas, mientras que las conexiones desde la DMZ sólo se permitan a la red externa, es decir: los equipos locales (hosts) en la DMZ no pueden conectar con la red interna.

Ejecutables: Son archivos diseñados para poder iniciar un programa. Ejemplos archivos con extensiones .exe

Enmascaramiento: Proceso por medio del cual la información sensible es reemplazada completa o parcialmente para proteger su confidencialidad. Para el paso a de datos productivos a ambientes de pruebas se puede por ejemplo reemplazar los dígitos intermedios de una cédula o un NIT con un dígito preestablecido, evitando así que se conozca el número real.

Firewall: Un firewall o cortafuegos es un programa informático o un hardware que brinda protección a una computadora (ordenador) o a una red frente a intrusos. Se trata de un sistema cuya función es bloquear el acceso no permitido al equipo o a la infraestructura en cuestión.

Firma Digital: Es un mecanismo criptográfico que permite al receptor de un mensaje firmado digitalmente identificar a la entidad originadora de dicho mensaje, y confirmar que el mensaje no ha sido alterado desde que fue firmado por el originador.

Formato Binario: Es un archivo informático que contiene información de cualquier tipo codificada en binario para el propósito de almacenamiento y procesamiento en ordenadores

Formato CVS: (valores separados por comas) es un tipo especial de archivo que puede crear o editar en Excel. En lugar de almacenar la información en columnas, los archivos CSV almacenan datos separados por comas.

Formato TXT: Un archivo de texto simple, texto sencillo o texto sin formato, es un archivo informático que contiene únicamente texto formado solo por caracteres que son legibles por humanos

Formato.ZIP: Es un formato de compresión sin pérdida, muy utilizado para la compresión de datos como documentos, imágenes o programas.

Fuga de Información: Se denomina fuga de información al incidente que pone en poder de una persona ajena a Colpensiones, información clasificada y reservada fuera de los medios tecnológicos (redes, servidores, equipos portátiles, equipos móviles, medios de almacenamiento externos) y físicos (Carpetas, documentos) de Colpensiones sin autorización y que sólo debería estar disponible para funcionarios de la Entidad.

Freeware: Programa informático cuya distribución es gratuita.

Guía de hardening: Documento que detalla los pasos o actividades de configuración que se deben seguir para asegurar un sistema o componente tecnológico.

Hardening: Proceso por medio del cual se configura un sistema o componente tecnológico para reducir las vulnerabilidades derivadas de malas prácticas de instalación, configuración o administración.

Hardware: Conjunto de elementos físicos o materiales que constituyen una computadora o un sistema informático.

Incidente de Seguridad de la Información: Es evento único o una serie de eventos indeseados o inesperados de seguridad de la información que tienen una probabilidad significativa de comprometer las operaciones de negocio y de amenazar la seguridad de la información.

Información: Datos relacionados que tienen significado para la Entidad. La información es un activo que, como otros activos importantes del negocio, es esencial para las actividades de la Entidad y, en consecuencia, necesita una protección adecuada

Información Clasificada (privada y semiprivada):

Es aquella información que estando en poder o custodia de Colpensiones, pertenece al ámbito propio, particular y privado o semiprivado de una persona natural o jurídica por lo que su acceso podrá ser negado o exceptuado, siempre que se trate de las circunstancias legítimas y necesarias y los derechos particulares o privados consagrados en el artículo 18 de la ley 1712/2014.3

Información privada

La información privada es aquella que por versar sobre información personal o no, y que, por encontrarse en un ámbito privado, sólo puede ser obtenida y ofrecida por orden de autoridad judicial en el cumplimiento de sus funciones. Si se trata de información reservada, tal y como ocurre por ejemplo con la relativa a datos sensibles, a la inclinación sexual, a los hábitos personales o los datos relativos a la pertenencia a un partido o movimiento político de los ciudadanos votantes, ella no puede siquiera ser obtenida ni ofrecida por autoridad judicial en el cumplimiento de sus funciones.

Información Pública:

Es toda información que los afiliados a Colpensiones generen, obtengan, adquieran, o controlen en su calidad de ciudadanos y que no se encuentre dentro de la clasificación privada, semiprivada o sensible.

Esta información puede ser entregada o publicada sin restricciones a los funcionarios o a cualquier persona sin que esto implique daños a terceros ni a las actividades y procesos de Colpensiones4

Información Reservada: Información que es utilizada por un grupo reducido de personas y que no debe ser de conocimiento para otros funcionarios, terceros o ciudadanos sin autorización del propietario del activo, por daño a intereses públicos y bajo cumplimiento de la totalidad de los requisitos consagrados en el artículo 19 de la ley 1712/20145

Información Semiprivada:

Corresponde a aquella información que no es pública, pero que se encuentra sometida a algún grado de limitación para su acceso de manera que se trata de información que sólo puede accederse por orden de autoridad judicial o administrativa y para los fines propios de sus funciones, o a través del cumplimiento de los principios de administración de datos personales6

Integridad: La información debe ser precisa, coherente y completa desde su creación hasta su destrucción. Garantiza que la información y los métodos de procesamiento se conserven precisos y completos.

Llaves o claves de cifrado: Es una pieza de información que controla la operación de un algoritmo de criptografía

Licencia: Es un contrato mediante el cual una persona recibe de otra el derecho de uso, de copia, de distribución, de estudio y de modificación de varios de sus bienes, normalmente de carácter no tangible o intelectual, pudiendo darse a cambio del pago de un monto determinado por el uso de los mismos.

Listas de distribución: Tipo de cuentas de correo que sin tener un buzón de entrada puede recibir correos electrónicos que son re direccionados a las cuentas de correo de los integrantes de la lista. Estas cuentas no tienen usuario y contraseña de autenticación por lo que no pueden enviar correos electrónicos.

Medios Removibles: Dispositivos de almacenamiento que pueden ser fácilmente conectados y desconectados de equipos de cómputo, servidores y otros dispositivos. Incluyen sin limitarse a: cintas, discos, memorias de almacenamiento, unidades de almacenamiento removibles, discos compactos, discos de video digital (DVD).

Mensajes “cadena”: Mensaje de correo electrónico enviado con el fin de convencer al receptor de realizar copias o reenvíos del mensaje a nuevos receptores. Estos mensajes generalmente incluyen esquemas piramidales con fines económicos apelando a la superstición o violencia para conseguir su fin.

Mensaje masivo: Mensaje de correo electrónico enviado a diez (10) o más destinatarios, incluidos quienes están copiados y copiados de manera oculta.

Modificación directa a la Base de Datos: Es una solicitud de modificación de datos que implica la ejecución de acciones de insertar, eliminar, actualizar sobre registros específicos y explícitos; excluyendo la ejecución de procedimientos almacenados para su modificación.

Movilidad: Es una estrategia organizacional para que los funcionarios, servidores o terceros tengan acceso a los recursos tecnológicos y a la información necesaria para el desarrollo de sus actividades contractuales o laborales, desde el lugar en donde sea más producto. Generalmente implica que los usuarios no tienen sitios o puestos fijos de trabajo, sino que se pueden mover entre instalaciones de la organización, sitios de proveedores o incluso lugares abiertos (como pozos petroleros) en caso de ser necesario.

Propietario del Activo de Información y Ciberseguridad: Es la persona, proceso, grupo que tiene la responsabilidad de definir quienes tienen acceso y que pueden hacer con la información y de determinar cuáles son los requisitos para salvaguardarla. El término 'El dueño o propietario' no significa que la persona en realidad tenga cualquier derecho de (propiedad) al activo.

Protocolo seguro: Los protocolos de seguridad de red son un tipo de protocolo de red que garantiza la seguridad y la integridad de los datos en tránsito a través de una conexión de red como Internet.

Recursos tecnológicos: bases de datos, aplicaciones, redes, servicios web y directorios de archivos compartidos.

Redes tecnológicas: Es Una red de computadoras, (también llamada red de ordenadores o red informática) es un conjunto de equipos conectados por medio de cables, señales, ondas o cualquier otro método de transporte de datos, que comparten información, recursos y servicios, etc

Parches o actualizaciones: Es una actualización para una pieza de software o programa para corregir una vulnerabilidad para mejorarlo.

Perímetro de seguridad: consiste en el establecimiento de un perímetro de seguridad que proteja y aísle la red local interna y la red externa definiendo un perímetro de seguridad mediante el uso de equipamiento específico configurado para realizar determinados filtros a los paquetes de datos y, en definitiva, manejar y controlar el acceso a la red interna de la organización.

Perímetro de Seguridad Física: Control orientado a proveer protección contra la entrada no autorizada. Los requisitos para la seguridad física deben tener en cuenta los niveles de protección del perímetro de las instalaciones o elementos que contienen la información a proteger tales como: Muros, Vallas, Alarmas, Suelos, Protección de ventanas, Cerraduras Etc.

Primera Línea de Defensa: Está conformada por las vicepresidencias misionales y de apoyo, las cuales son las áreas originadoras y propietarias de los riesgos y las primeras llamadas a definir y tomar decisiones en cómo gestionarlos.

Segunda Línea de Defensa: Función a cargo de la Vicepresidencia de Seguridad y Riesgos Empresariales. Esta línea de defensa busca ayudar y crear y/o monitorear los controles de la primera línea de defensa.

Tercera Línea de Defensa: Rol desempeñado por la Oficina de Control Interno. Tiene como principal función, verificar de manera independiente a la primera y segunda línea de defensa, la adecuada gestión de riesgos dentro de la Entidad.

TOR: The Onion Router (El Router Cebolla). Es un software cuyo objetivo principal es el establecimiento de una red oculta de comunicaciones distribuida de baja latencia y superpuesta sobre internet, con el ánimo de eludir los controles de seguridad establecidos por medio del ocultamiento de su dirección IP.

Script: Guion, archivo de órdenes o archivo de procesamiento por lotes, que contiene instrucciones a ser ejecutadas en un sistema.

Sistema Informático: Es un sistema que permite o hacen parte los ordenadores y redes de comunicación electrónica así como los datos electrónicos almacenados, procesados, recuperados o transmitidos por los mismos para su operación, uso, protección y mantenimiento.

Software: Conjunto de programas y rutinas que permiten a la computadora realizar determinadas tareas

Vulnerabilidad: Es una debilidad o fallo en un sistema de información que pone en riesgo la seguridad de la información pudiendo permitir que un atacante pueda comprometer la integridad, disponibilidad o confidencialidad de la misma

DESCRIPCIÓN DEL DOCUMENTO CAPÍTULO I PARA EL CORREO ELECTRÓNICO

1. OBJETIVO

Definir las políticas asociadas con el correo electrónico corporativo dispuesto por Colpensiones, con el fin de garantizar la adecuada protección de la información de la entidad y mitigar el riesgo de fuga de información.

2. ALCANCE

La siguiente política aplica a servidores públicos, trabajadores oficiales, misionales, personal Sena y terceros contratados por Colpensiones que poseen cuentas de correo electrónico corporativo.

3. POLÍTICAS PARA EL CORREO ELECTRÓNICO CORPORATIVO

Colpensiones ha dispuesto el servicio de correo electrónico para facilitar el envío y recepción de información relacionada con los procesos internos y externos de la entidad, razón por la cual la propiedad de la información transmitida por este medio es de la entidad; y la prestación de dicho servicio será potestativo de Colpensiones.

3.1. RESERVA DE PRESTACIÓN DEL SERVICIO

Colpensiones se reserva el derecho de prestar el servicio de correo electrónico corporativo, o autorizar el acceso a servidores públicos, trabajadores oficiales, misionales, personal Sena y terceros contratados de acuerdo con la necesidad que se tenga para realizar las actividades propias de sus funciones laborales o contractuales.

Colpensiones se reserva el derecho de revocar la autorización de acceso al servicio de correo electrónico a cualquier usuario de acuerdo con el uso que él o ella haya hecho del servicio.

3.2. ACCESO EXTERNO AL CORREO ELECTRÓNICO DE COLPENSIONES

El acceso al correo electrónico corporativo debe realizarse desde la red LAN de la entidad, en consecuencia, el acceso externo al correo electrónico corporativo se encuentra restringido y sólo podrán acceder externamente al correo los funcionarios, servidores o terceros que por sus roles y responsabilidades deban hacerlo y que autorice el Director del área o si ocupa alguno de los siguientes cargos:

- Presidente

- Jefe de oficina adscrita a la presidencia

- Vicepresidente

- Gerente

- Director regional

- Director

- Subdirector

- Asesor de presidencia

- Asesor de vicepresidencia

Cualquier excepción adicional, debe ser solicitada a través de la mesa de servicios de TI, previo análisis y justificación soportada en las funciones y responsabilidades de los cargos y remitida por el presidente, los vicepresidentes, gerentes, directores, directores regionales y/o jefes de oficina adscrita a la Presidencia, quien autoriza el acceso externo al correo.

Dicha solicitud será evaluada por la Gerencia de Riesgos y Seguridad de la Información quien dará su concepto para que la Gerencia de Tecnologías de la Información proceda a implementar la excepción. En los casos en los que el concepto generado considere riesgos adicionales que deban ser evaluados, el solicitante deberá valorar la aplicación de controles adicionales y decidir si aplica o no la excepción asumiendo los riesgos y consecuencias derivadas de su decisión.

3.3. ACEPTACIÓN DE LOS TÉRMINOS Y CONDICIONES DEL SERVICIO

Los usuarios que tengan acceso al correo electrónico deben utilizarlo de acuerdo con las políticas y lineamientos contenidos en este documento, los cuales deben ser leídos y aceptados y para tal efecto, la utilización del servicio de correo electrónico corporativo por primera vez se considera como una aceptación formal por parte del usuario.

3.4. MONITOREO

El servicio de correo electrónico provisto por Colpensiones debe garantizar controles de acceso de autorización y de monitoreo administrados por la Gerencia de Tecnologías de Información y la Gerencia de Prevención del Fraude, los cuales no pueden ser desactivados ningún usuario, funcionario o colaborador de la entidad, incluso si dentro de sus funciones tiene la administración del servicio corporativo del correo electrónico.

Toda la información enviada o recibida a través del servicio de correo electrónico corporativo, puede ser monitoreada, almacenada y accedida por la Gerencia de Prevención de Fraude de la entidad, según se requiera o se considere pertinente, con el ánimo de garantizar su uso adecuado y la protección de la información de la entidad. El usuario acepta que, al enviar información diferente a la relacionada con el ejercicio de sus funciones, concede autorización a Colpensiones sobre dicha información para monitorearla, almacenarla o revisarla según sus criterios.

3.5. ENVÍO DE INFORMACIÓN PÚBLICA CLASIFICADA Y RESERVADA

No se encuentra permitido el envío y recepción de información clasificada como Pública clasificada como “Reservada” sin la aplicación de controles para su protección, a través del servicio de correo electrónico de Colpensiones.

El envío o recepción de información clasificada como “reservada” debe realizarse a través de los canales y medios seguros dispuestos por Colpensiones y definidos en las Políticas de transferencia de información. Además, deberá contar con una justificación de negocio válida, autorización expresa del dueño del activo de información y requerirá que esta información se envíe de manera cifrada de acuerdo con las Políticas de cifrado de información de Colpensiones.

La Gerencia de Tecnologías de Información es la responsable de la administración del servicio de correo electrónico e incorporar parámetros para detectar y prevenir la recepción y el envío de mensajes no deseados o con posibles infecciones por software malicioso.

3.6. TAMAÑO DE LOS BUZONES DE CORREO

La Gerencia de Tecnologías de la Información debe definir, de acuerdo con las necesidades de los servidores, funcionarios y terceros y con los recursos de la entidad, el tamaño de los buzones de correo electrónico y el tamaño máximo de los archivos adjuntos a enviar y recibir.

La Gerencia de Tecnologías de la Información debe evaluar, aprobar y mantener documentados los casos en que se requiera ampliar los tamaños de los buzones.

Es responsabilidad de la Gerencia de Tecnologías de la Información implementar y mantener los controles definidos en las Políticas para el Correo Electrónico Corporativo, para la prestación segura del servicio.

La Gerencia de Tecnologías de la Información debe mantener un inventario actualizado de las cuentas de correo electrónico corporativo, relacionando su responsable y las particularidades que puedan existir con las debidas aprobaciones.

3.7. CIFRADO, FIRMA DIGITAL Y OTRAS CONSIDERACIONES DE SEGURIDAD

La Gerencia de Riesgos y Seguridad de la Información debe recomendar controles de cifrado, firma digital y otras consideraciones de seguridad que permitan mitigar o evitar riesgos asociados al servicio de correo electrónico corporativo. Dichos controles deben ser analizados y si se consideran pertinentes, implementados por la Gerencia de Tecnologías de la Información o los terceros que se designen para tal fin. La Gerencia de Riesgos y Seguridad de la Información debe recomendar controles de cifrado, firma digital y otras consideraciones de seguridad que permitan mitigar o evitar riesgos asociados al servicio de correo electrónico corporativo. Dichos controles deben ser analizados y si se consideran pertinentes, implementados por la Gerencia de Tecnologías de la Información o los terceros que se designen para tal fin.

3.8. CREACIÓN DE CUENTAS DE CORREO ELECTRÓNICO

Colpensiones la debe asignar una cuenta de correo electrónico a cada uno de los funcionarios, servidores o terceros que lo requieran para el cumplimiento de sus obligaciones. Así mismo se podrán crear cuentas de correo electrónico de servicio o para áreas, grupos o procesos específicos si existen razones válidas y documentadas que lo justifiquen.

Colpensiones debe usar listas de distribución para el envío de comunicaciones masivas sin que para ello se requiera un buzón de entrada.

La creación de los identificadores de las cuentas de correo electrónico de Colpensiones debe regirse por los Lineamientos de creación de usuarios y contraseñas, documento publicado en el SIG.

En este marco, es responsabilidad de la Gerencia de Tecnologías de Información administrar el servicio de correo electrónico corporativo de acuerdo con las Políticas y Lineamientos de Seguridad de la Información y Ciberseguridad.

Del mismo modo, es responsabilidad de la Gerencia de Riesgos y Seguridad de la información:

- Publicar, comunicar y monitorear el cumplimiento de las Políticas de seguridad para el Correo Electrónico Corporativo.

- Dar su concepto sobre las solicitudes de acceso externo al servicio de correo electrónico corporativo.

- Analizar los reportes de los usuarios sobre correos electrónicos sospechosos y gestionar los incidentes de este servicio corporativo.

- Mantenerse actualizada sobre los riesgos y amenazas emergentes asociadas a este servicio corporativo y proponer los proyectos de mitigación o control asociados.

La Gerencia de Prevención del Fraude debe realizar monitoreo del servicio de correo electrónico corporativo y la información enviada y recibida a través de este, para identificar desviaciones del cumplimiento de las políticas asociadas a dicho servicio, manteniendo en estricta reserva cualquier información de la entidad o de los usuarios que tienen acceso al servicio de correo electrónico corporativo y que sea observada dentro del proceso de monitoreo que se realiza al servicio.

Es responsabilidad de los directores del área evaluar y autorizar el acceso externo al correo electrónico por parte de los servidores públicos, trabajadores oficiales, misionales, personal Sena y terceros de su área según corresponda y de acuerdo a sus funciones.

Los Gerentes deben administrar de manera responsable las credenciales de acceso a cuentas de correo electrónico asignadas a su área (cuentas genéricas)

- En línea con lo anterior, los usuarios del correo electrónico deben:

- Leer, entender y aceptar las políticas y lineamientos de seguridad y los términos y condiciones del servicio de correo electrónico corporativo.

- Dar uso adecuado y responsable al servicio de correo electrónico corporativo bajo las políticas de seguridad de la información y ciberseguridad, los lineamientos definidos por Colpensiones y la regulación aplicable vigente.

- Reportar fallas detectadas en el servicio

- No deben abrir o descargar información adjunta de mensajes de correo electrónicos que parezcan sospechosos.

- No utilizar el servicio de correo electrónico para fines diferentes a los relacionados con el cumplimiento de sus obligaciones contractuales o laborales.

- No deben enviar información de la entidad etiquetada como “reservada” a través del servicio de correo electrónico corporativo, sin la aplicación de controles que permitan mantener su integridad y confidencialidad.

-  No utilizar cuentas de correos de otras personas, ni intentar suplantar la identidad en el envío de mensajes.

- No compartir ni prestar las credenciales de acceso al correo electrónico corporativo.

- No deben enviar mensajes masivos, mensajes cadenas u otro tipo de correos a listas o grupos de distribución cuando no es parte de sus funciones o responsabilidades.

- No deben utilizar el correo electrónico con fines difamatorios, ofensivos, irrespetuosos, racistas, obscenos, sexuales, comerciales o políticos.

- Enviar mensajes a quienes lo requieren recibir y evitar la copia innecesaria a otros usuarios.

- Reportar cuando evidencie o tenga sospechas de violación o incumplimiento a alguna de las políticas descritas en este documento.

- Reportar cuando pierda acceso a su cuenta de correo electrónico o sospeche que sus credenciales están comprometidas ver 3.9. ENVÍO DE MENSAJES MASIVOS

No está permitido el envío de mensajes masivos, a listas de distribución o de usuarios, internos o externos, con propósitos diferentes a los que requieren sus funciones u obligaciones laborales o contractuales.

El envío de información clasificada como “Clasificada” y que es de interés general para la organización debe realizarse únicamente desde las cuentas de correo electrónico dispuestas para tal fin.

El envío de la información clasificada como “Clasificada” desde cuentas personales está prohibido, así como el reenvío de dicha información a cuentas de correo electrónico externo.

El envío masivo de correo que es generado desde los sistemas de información e infraestructura de Colpensiones debe realizarse de acuerdo a la necesidad del servicio y manteniendo las configuraciones y controles de seguridad correspondientes para evitar que Colpensiones sea categorizado como fuente de spam por parte de los organismos internacionales de listas negras.

3.10. ENVÍO Y REENVÍO DE INFORMACIÓN MALICIOSA

No se permite enviar archivos o reenviar mensajes con archivos de tipo ejecutable (por ejemplo, con las siguientes extensiones.exe,.pif,.scr,.vbs,.cmd,.com,.bat, entre otros) debido a que este tipo de archivos son frecuentemente utilizados para la propagación de software malicioso.

Colpensiones, a través de la Gerencia de Tecnologías de la Información, o el tercero que disponga para tal fin, debe mantener configurado el servicio de correo electrónico para que realice detección y prevenga el reenvío de mensajes no deseados o con posibles infecciones por software malicioso.

3.11. OBLIGACIÓN DE REPORTE

Los correos electrónicos recibidos que parezcan sospechosos o generen duda, o las fallas detectadas sobre el servicio de correo electrónico corporativo deben ser reportados a la Gerencia de Riesgos y Seguridad de la Información, de acuerdo con lo definido en las Políticas y lineamientos de Seguridad de la Información y Ciberseguridad para la Gestión de Incidentes de seguridad y ciberseguridad

3.12. INFORMACIÓN DEL REMITENTE Y FIRMA

Los mensajes enviados desde las cuentas de correo electrónico corporativo deben incluir al final del texto del mensaje una firma con la información del remitente.

Todos los mensajes enviados deben respetar el estándar de formato e imagen corporativa definido por COLPENSIONES y deben conservar en todos los casos el mensaje legal institucional de confidencialidad.

No está permitido enviar mensajes anónimos, así como aquellos que consignen seudónimos, títulos, cargos o funciones no oficiales.

No está permitido utilizar mecanismos y sistemas que intenten ocultar o suplantar la identidad del emisor de correo u otras características propias del mismo.

3.13. USO INTRANSFERIBLE DE CUENTAS

Está prohibido que los usuarios del servicio de correo electrónico corporativo envíen y reciban mensajes a través de cuentas de correo diferentes a las que le hayan sido asignadas. Las credenciales de acceso al correo electrónico son personales e intransferibles. Para las cuentas de correo electrónico asignadas a grupos, áreas o procesos específicos, el jefe de área o el dueño del proceso será el responsable del uso que a dicha cuenta se le dé por lo que debe tomar las precauciones necesarias al compartir la información de acceso.

3.14. REENVÍO DE CORREO ELECTRÓNICO

No está permitido que los usuarios del servicio de correo electrónico corporativo reenvíen o configuren redirección automática de los mensajes hacia cuentas de correo electrónico externas.

4. LINEAMIENTOS DE USO DEL CORREO ELECTRÓNICO CORPORATIVO

4.1. CUENTAS DE CORREO ELECTRÓNICO CORPORATIVO

Se ha dispuesto la creación de todas las cuentas de correo electrónico corporativo según la siguiente clasificación:

4.1.1. Cuentas individuales o personales de naturaleza corporativa

Los funcionarios, servidores y terceros que lo requieran, deben tener una cuenta de correo electrónico para el uso diario en el desarrollo de sus actividades laborales o contractuales. Esta cuenta no podrá ser utilizada para fines comerciales o para atender temas personales del funcionario, servidor o tercero.

El nombre de dicha cuenta se debe ajustar al formato iddeusuario@colpensiones.gov.co de acuerdo con los Lineamientos de creación de usuarios y contraseñas, documento publicado en el sistema de almacenamiento documental definido por la Entidad y debe ser utilizada únicamente por el titular de dicha cuenta. Su contraseña es personal e intransferible.

4.1.2. Cuentas de área

Estas cuentas son creadas para dar solución a las necesidades de comunicación Interna de la entidad en torno a la gestión de áreas específicas. Deben ser solicitadas directamente por el Presidente, Vicepresidente, Gerente, Director, Subdirector o Jefe de Oficina del área interesada quien será dueño y responsable del uso que se dé a dicha cuenta.

El nombre de la cuenta de correo se debe ajustar al formato nombredearea@colpensiones.gov.co y para su acceso requerirá una contraseña y cambio periódico de la misma, de la cual será responsable el dueño o solicitante de la cuenta.

4.1.3. Grupo o listas

Estas direcciones de correo electrónico son creados para dar solución a las necesidades de comunicación Interna de la entidad, comités u otras asociaciones con propósitos específicos. Deben ser solicitados por el responsable del grupo.

Los grupos o listas no tendrán un buzón de entrada específico ni podrán enviar mensajes en nombre del grupo.

4.1.4. Cuentas de servicio

Estas cuentas son creadas para dar solución a las necesidades de administración de sistemas específicos o para centralizar comunicaciones desde el exterior de la entidad. Deben ser solicitadas directamente por el Presidente, Vicepresidente, Gerente, Director o Jefe de Oficina del área interesada quien será dueño y responsable del uso que se dé a dicha cuenta.

El nombre de la cuenta de correo se debe ajustar al formato nombredeusuariodeservicio@colpensiones.gov.co y para su acceso requerirá una contraseña, de la cual será responsable el dueño o solicitante de la cuenta.

Las cuentas de correo que por sus características o impacto al servicio no permitan cumplir con los requerimientos establecidos en el documento Lineamiento Creación Usuarios y Contraseñas. Deberá dejarse debidamente documentado el análisis y la justificación de la excepción y presentar el cambio de la contraseña como mínimo 2 veces al año, acción que debe ser realizada por parte del dueño o solicitante de la cuenta.

4.1.5. Otras cuentas

En caso de requerirse una excepción, se deberá realizar la solicitud a la mesa de servicios de TI, previo análisis y autorización del Presidente, los Vicepresidentes o Gerentes con la respectiva justificación; en todo caso, en la aplicación de las excepciones, se deberá considerar el concepto de la Gerencia de Riesgos y Seguridad de la Información de acuerdo con el nivel de riesgo que ella represente.

4.3. RECOMENDACIONES Y DEBERES PARA EL ADECUADO USO DEL CORREO ELECTRÓNICO

- Al redactar un correo tenga presente:

- ¿Qué requiere? Solicítelo al principio del mensaje.

- Escriba de manera puntual, clara y concreta.

- Defina qué, cuándo y cómo. Si no está a su alcance, proponga opciones.

- Tenga en cuenta la ortografía y puntuación. Recuerde que las mayúsculas sostenidas son entendidas como gritos y predisponen al lector.

- Escriba un buen asunto: corto y que facilite conocer el contenido del mensaje.

- Cuando reciba correos dirigidos a un grupo o a toda la entidad: Si tiene inquietudes sobre el mismo, puede responderle a quien lo emitió, pero cerciórese que sea solo a dicha persona y no a todo el grupo. Cuando no esté seguro de la procedencia del correo evite abrir archivos adjuntos o reenviar ese correo a otros usuarios. Reporte el evento de riesgo de acuerdo con el Instructivo de Gestión de Incidentes de seguridad y ciberseguridad.

- Lea cuidadosamente su mensaje antes de enviarlo: Así evitará que el contenido salga con información errónea o diferente a como se requiere.

- Escriba correos cortos y directos, pero no por ello olvide saludar, despedirse y otros buenos modales.

- Pregúntese cuántas personas necesitan recibir su correo: Limite la distribución a aquellos destinatarios que realmente requieren conocer la información.

- Las leyes que gobiernan las comunicaciones también se aplican a los correos, por ello no olvide lo referente a Derechos Propiedad Intelectual, privacidad, confidencialidad, difamación y suplantación, entre otros.

- Cuando reenvíe un correo: si no es necesario mantener la información previa, elimínela y reenvíe sólo la información puntual que considere, así le facilitará la lectura a su destinatario.

- Cuando requiera responder un correo interno pregúntese cuantas personas necesitan recibir su correo. Limite la distribución a aquellos destinatarios objeto de su interés que realmente requieren conocer la información usted desea compartir la información objeto de su interés y asegúrese que su comentario o respuesta no fue enviado a todo el grupo original.

- Cuando se retire de su puesto de trabajo, no olvide cerrar su sesión: así evitará que otras personas ingresen a su correo, revisen su buzón o envíen mensajes en su nombre.Todo funcionario debe asegurarse de que la información reenviada por correo electrónico se haga de manera correcta y solamente a los destinatarios apropiados. Es responsabilidad de quien envía un correo, que la información contenida en él no llegue a personas no autorizadas para recibirla.

- Acorde con lo establecido en la política de cero papel, las comunicaciones oficiales internas (memorando, circulares, etc.) deben ser transmitidas preferiblemente a través del correo electrónico.

- Es responsabilidad de los usuarios leer y responder oportunamente los correos electrónicos dado que son mecanismos oficiales de comunicación.

- El correo no solicitado, no deseado, o SPAM, debe ser tratado con precaución y por ninguna razón debe ser contestado.

- Realizar la depuración de los mensajes de la bandeja de entrada: una vez leídos los correos se recomienda vaciar la bandeja de entrada de mensajes por completo al menos una vez cada dos días. Lo anterior opera solamente para correos de carácter informativo los cuales se consideran documentos de apoyo; los demás correos que impliquen una gestión administrativa deberán ser conservados en la serie documental correspondiente.

1. Comunicación asertiva: evite discusiones por correo electrónico y ofrezca siempre soluciones al alcance de su tiempo y capacidad.

DEBERES

- La información enviada mediante correo electrónico o que sea almacenada en los recursos informáticos de Colpensiones será monitoreada, incluso después de eliminada. Por lo anterior no se debe enviar o recibir información personal a través del correo corporativo.

- Todo funcionario debe asegurarse de que la información reenviada internamente por correo electrónico se haga de manera correcta y solamente a los destinatarios apropiados. Es responsabilidad de quien envía un correo, que la información contenida en él no llegue a personas no autorizadas para recibirla.

- Acorde con lo establecido en la política de cero papel, las comunicaciones oficiales internas (memorando, circulares, etc.) deben ser transmitidas preferiblemente a través del correo electrónico.

- Es responsabilidad de los usuarios leer y responder oportunamente los correos electrónicos dado que son mecanismos oficiales de comunicación.

- El correo no solicitado, no deseado, o SPAM, debe ser tratado con precaución y por ninguna razón debe ser contestado.

- Cada usuario del correo electrónico cuenta con un espacio limitado de almacenamiento en el buzón de entrada, por tal motivo, es responsabilidad de cada usuario mantener el buzón de correo de acuerdo a los criterios de depuración con el fin de evitar superar el espacio establecido.

- Ausencia prolongada: el usuario debe habilitar la opción de respuesta automática o de reenvío de correo al funcionario delegado por su superior inmediato, en el caso de ausencia por licencias, vacaciones o incapacidades por tiempo prolongado.

- Archivo de mensajes: los usuarios deben organizar los mensajes de correo de conformidad con las Tablas de Retención Documental y las series que conforman el archivo según la estructura orgánica funcional. Los correos, tales como borradores o mensajes informativos, deben eliminarse periódicamente. La identificación y el asunto en los mensajes de correo facilitan su archivo en su correspondiente expediente

4.4. PROHIBICIONES EN EL USO DEL CORREO ELECTRÓNICO

Se prohíbe explícitamente:

- Compartir o prestar las credenciales de acceso al correo electrónico corporativo.

- Enviar o reenviar mensajes con contenido difamatorio, ofensivo, irrespetuoso, racista, obsceno o sexual.

- Utilizar el correo electrónico para propósitos personales, económicos, políticos o comerciales ajenos a las actividades propias de sus responsabilidades laborales o contractuales con Colpensiones.

- Enviar, reenviar o recibir información o archivos adjuntos con contenidos diferentes a sus responsabilidades laborales o contractuales, entre los que se encuentran, sin limitarse a: imágenes, fotos, archivos de música, películas, vídeos o documentos.

- Participar en la propagación de mensajes en “cadenas”, o esquemas piramidales dentro y fuera de Colpensiones.

- Distribuir de forma masiva mensajes con contenidos que desborden el ámbito de competencias de la entidad o que pongan en riesgo su operación o la seguridad de la información.

- Enviar mensajes anónimos, así como aquellos que consignen seudónimos, títulos, cargos o funciones no oficiales.

- Utilizar mecanismos y sistemas que intenten ocultar o suplantar la identidad del emisor de correo.

- Enviar correos SPAM de cualquier índole. Se consideran correos SPAM aquellos enviados de forma masiva no relacionados con las funciones específicas y generales del cargo y con los procesos y misión general de Colpensiones.

- Utilizar el correo electrónico de otro funcionario incluso con su consentimiento.

- Enviar por correo electrónico a personas o entidades ajenas a Colpensiones, información catalogada como “pública clasificada” o “pública reservada” sin la debida autorización expresa de su superior inmediato, aún si se tiene acceso a dicha información.

- Enviar archivos ejecutables tales como;.exe.bat entre otros. Los cuales pueden contener código malicioso

- Enviar o reenviar información “Pública clasificada o pública reservada” de Colpensiones desde cuentas personales, a cuentas de correo electrónico externo.

CAPÍTULO II PARA LA GESTIÓN DE ACCESOS

1. OBJETIVO

Establecer las políticas y lineamientos asociados al control de acceso a la información contenida en los recursos tecnológicos en Colpensiones.

2. ALCANCE

La siguiente política establece directrices asociadas a la gestión de control de accesos y aplica a servidores públicos, trabajadores oficiales, misionales, personal Sena y terceros que, para el cumplimiento de sus responsabilidades laborales, contractuales con la entidad o de vigilancia y control requieren acceder a recursos tecnológicos de Colpensiones.

El acceso físico a las instalaciones de Colpensiones se contempla en las Políticas para Seguridad Física y Ambiental, contenidas en el manual de políticas y lineamientos de seguridad de la información y ciberseguridad.

3. POLÍTICAS DE CONTROL DE ACCESOS

3.1. IDENTIFICACIÓN DE LOS USUARIOS

Cuando la Gerencia de Tecnologías de la Información crea una cuenta, los sistemas de control de accesos deben individualizar a los usuarios a través del uso de identificadores únicos por usuario (cuenta de usuario). Según el documento Lineamientos de creación de usuarios y contraseñas. En ninguna circunstancia las cuentas de usuario deberán ser compartidas, transferidas, y su contraseña revelada.

Debe existir una relación única entre los usuarios y sus asignados, por lo que los identificadores no podrán ser reasignados o reutilizados.

Los sistemas de información deben utilizar, salvo que existan impedimentos técnicos justificables que impidan la utilización de los identificadores que Colpensiones asigna a cada uno de los servidores, funcionarios y terceros dentro de su sistema de Directorio Activo.

Los lineamientos asociados al nombramiento de identificadores de usuarios se encuentran en el documento Lineamientos de creación de usuarios y contraseñas.

3.2. AUTENTICACIÓN DE LOS USUARIOS

Los sistemas de información utilizados en Colpensiones deben realizar procesos de validación de la identidad de los usuarios (autenticación) mediante uno de los siguientes factores:

- Algo que únicamente el usuario sabe: por ejemplo, contraseñas o códigos de acceso.

- Algo que únicamente el usuario posee: por ejemplo, tarjetas de proximidad, elementos físicos como llaves, dispositivos tipo Token o códigos OTP, entre otros.

- Algo que únicamente el usuario es: corresponde a la validación de características físicas o morfológicas del usuario mediante dispositivos biométricos.

La Gerencia de Tecnologías de la información debe analizar e implementar los métodos de autenticación y control de acceso a los sistemas de información, bases de datos y servicios que hacen parte de dichos sistemas.

Los sistemas de información utilizados para la administración de sistemas que soportan los procesos misionales de la entidad, o que por el nivel de riesgo identificado lo requieran, deben implementar múltiples factores de autenticación para la validación de la identidad de los usuarios.

Los sistemas de información deben utilizar en cuanto sea posible la autenticación de usuarios que Colpensiones ha provisto de manera centralizada a través de su sistema de Directorio Activo.

Los sistemas de información deben seguir los lineamientos para la gestión de accesos para el inicio de sesión descritos a continuación:

- Incluir un mensaje de inicio de sesión sobre el uso aceptable del sistema, aplicación o dispositivo y sobre la necesidad de ser un usuario registrado y autorizado para poder acceder al mismo.

- Realizar enmascaramiento de las contraseñas o códigos de acceso al realizar el ingreso al sistema para evitar que sean visualizados en pantalla o en tránsito por la red.

- Configurar las cuentas de usuario para que se bloqueen por un número de intentos de ingreso fallidos para proteger el sistema de ataques de fuerza bruta.

- El proceso de autenticación debe únicamente generar mensajes de error al finalizar el proceso de validación sin dar detalles del fallo. En los casos en los que se requiere más de un factor de autenticación no se debe informar en cada paso el éxito o error de la validación.

- Evitar los mensajes de ayuda durante el ingreso a las aplicaciones.

- Configurar el sistema para que el usuario realice cambio de contraseña cuando la use por primera vez.

- Almacenar registros o logs de auditoría de los intentos exitosos y fallidos de ingreso.

Las aplicaciones y los sistemas de información deben gestionar las sesiones de usuario contemplando los siguientes lineamientos:

- No permitir inicios de sesión concurrentes con el mismo usuario.

- dos los módulos de los sistemas de información deben manejar métodos de validación de las sesiones, con el fin de verificar la autenticidad del usuario, el estado de este y las autorizaciones o permisos.

- Las sesiones de usuario deben tener un parámetro para configurar el tiempo de inactividad del usuario, el cual una vez transcurrido deberá solicitar nuevamente la autenticación del usuario o cerrar la sesión para impedir el acceso no autorizado.

3.3. AUTORIZACIÓN DE ACCESOS

Los sistemas de información utilizados en Colpensiones deben permitir configurar permisos o privilegios agrupados en roles o perfiles de aplicación o técnicos que consideren los siguientes criterios:

- Estar alineados con los permisos y atribuciones requeridos en los roles empresariales definidos.

- Permitir la asignación de permisos con base en los requerimientos del negocio.

- Ser construidos identificando los posibles riesgos por acumulación de funciones y su mitigación con la debida segregación de responsabilidades.

- Principio de menores privilegios y segregación de funciones.

3.4. CONTROL DE ACCESOS BASADO EN ROLES

Los líderes de proceso de Colpensiones deben definir, documentar y mantener actualizados los roles empresariales asociados a los cargos que tienen responsabilidades en el desarrollo de las actividades de su proceso, identificando las necesidades mínimas de acceso a los activos de información, de acuerdo con las actividades definidas en el subproceso de gestión de accesos y las actividades de segundo nivel “definición y actualización de roles empresariales, de aplicación y técnicos”, con el apoyo de la Gerencia de Riesgos y Seguridad de la Información. Los roles empresariales deben contener las aplicaciones o sistemas de información a los que el usuario debe acceder y los roles/perfiles de aplicación o técnicos en la aplicación.

Los roles/perfiles de aplicación o técnicos, de las aplicaciones o sistemas de información deben asociar un conjunto de permisos o atribuciones dentro de la misma y deben estar alineados con los roles empresariales requeridos por los procesos de la entidad. Los roles/perfiles de aplicación o técnicos, deben ser definidos por el propietario de la aplicación y mantenidos y documentados por la Gerencia de Tecnologías de Información.

La definición de los roles empresariales, y en consecuencia de los roles/perfiles de aplicación o técnicos, debe garantizar que respeta los principios de “Segregación de Funciones” y “Mínimo privilegio requerido”.

Cualquier modificación que se requiera realizar sobre los roles empresariales y los roles/perfiles de aplicación o técnicos debe ser aprobada por los líderes de proceso / jefes de área y por los propietarios de los activos de información involucrados, previo concepto de la Gerencia de Riesgos y Seguridad de la Información.

El grupo de gestión de accesos tendrá como único insumo los roles empresariales para la asignación de permisos a aplicaciones.

3.5. PRIVILEGIOS DE ACCESO EN LA ADMINISTRACIÓN DE RECURSOS TECNOLÓGICOS

La Gerencia de Tecnologías de la Información debe garantizar la segregación de responsabilidades entre ambientes tecnológicos (Ambientes de prueba, desarrollo y producción), preservando siempre con especial consideración los ambientes productivos. Por tal razón no se permite el acceso de personal encargado del desarrollo de aplicaciones y sistemas de información a los ambientes de producción.

En los casos que se haga necesario se debe conceder un acceso por demanda por periodos mínimos de tiempo y se debe garantizar que todas las acciones realizadas por estos usuarios son supervisadas por profesionales encargados de los ambientes productivos.

El acceso a las bases de datos productivas está restringido únicamente a los profesionales que tienen el rol de Administrador de Bases de Datos (DBA por sus siglas en inglés) o Gestor de Accesos en ambientes productivos. Los demás usuarios sólo podrán acceder a la información de las bases de datos a través de las aplicaciones o sistemas de información que se dispongan para tal fin. El acceso a las bases de datos debe ser robustecido con controles de red para impedir el acceso a ellas desde otros dispositivos diferentes a los designados para tal fin.

El acceso al código fuente de las aplicaciones o sistemas de información desarrollados por Colpensiones, o por quien la entidad designe para tal fin, debe ser restringido únicamente al personal encargado de los proyectos de desarrollo, y cualquier acceso u operación sobre el código debe dejar los registros de auditoría necesarios. Ningún usuario que tenga un rol diferente podrá acceder a dicho código fuente ni siquiera en modo consulta o solo lectura.

3.6. REGISTRO Y AUDITORÍA DE ACCESOS

Los sistemas de información deben dejar registros o logs de auditoría de las actividades de gestión de usuarios y de los ingresos que los usuarios realizan, para tal fin, la Gerencia de Tecnologías de la Información debe definir e implementar el registro de logs de las actividades de los usuarios

Los registros de los sistemas de control de accesos deben ser monitoreados por la Gerencia de prevención del Fraude de acuerdo con la criticidad de los activos de información que dichos sistemas protejan.

Los sistemas de información deben mostrar al usuario en cuanto sea posible, la fecha y hora de su último ingreso para facilitar la identificación de posibles incidentes de seguridad relacionados con suplantación y compromiso de credenciales de autenticación.

3.7. GESTIÓN DEL CICLO DE VIDA DE LOS ACCESOS

El subproceso de gestión de usuarios definido por Colpensiones se encuentra documentado en el lineamiento caracterización subproceso gestión de acceso, el cual debe considerar el cumplimiento de las siguientes políticas:

- La recepción, validación y ejecución de requerimientos de accesos a los recursos tecnológicos administrados por Colpensiones debe realizarse únicamente por el grupo de gestión de accesos de la Gerencia de Tecnologías de la Información.

- La Dirección de Talento Humano debe notificar las novedades de ingreso de servidores, funcionarios, estudiantes en práctica o trabajadores en misión, para que el grupo de accesos realice el aprovisionamiento básico establecido en el Instructivo de Gestión de Accesos.

- La asignación de accesos a las aplicaciones para un servidor o funcionario con un vínculo laboral con la entidad debe darse de acuerdo con la solicitud de acceso del jefe del área y con base en los roles empresariales establecidos para el cargo previa autorización del propietario de la aplicación.

- Para la asignación de accesos a un tercero contratista de la entidad, el supervisor del contrato debe definirlos y el delegado hará la solicitud de dicha asignación a través de los canales dispuestos para tal fin, la autorización del propietario de la aplicación se dará por los flujos configurados en la herramienta dispuesta para tal fin.

- Para la asignación de accesos a un tercero perteneciente a un ente de control o vigilancia, se debe definir y solicitar dicha asignación a través de los canales dispuestos para tal fin, previa autorización del propietario de la aplicación.

- El supervisor de contrato o convenio debe acordar con el contratista bajo su administración, el procedimiento para la solicitud de asignación, modificación o retiro de accesos, manteniendo un inventario actualizado de las solicitudes realizadas al proveedor.

- En los casos de reubicación o traslado, cambio de dependencia o de actividad de servidores públicos o trabajadores en misión que ingresen a la planta, la Dirección de Gestión del Talento Humano debe realizar la notificación para que el área encargada de la gestión de accesos remueva los que tenía inicialmente y el Gerente del área solicite la asignación de los nuevos accesos requeridos. No se podrán asignar accesos sin antes haber retirado los anteriores. En estos casos se podrá mantener el mismo identificador de usuario (ID) que había sido asignado anteriormente, manteniendo la respectiva trazabilidad de los requerimientos.

- Cuando un usuario ingrese en un periodo cesante, la Dirección de Gestión del Talento Humano debe realizar la notificación para que el área encargada de la gestión de accesos bloquee temporalmente el ingreso del usuario a todos los sistemas a los que tiene acceso. Con respecto a las incapacidades, permisos, calamidades y licencias, estas deben ser reportadas si se superan tres (3) días calendario, por otro lado, en relación con las novedades de vacaciones, se debe notificar por lo menos un día antes del disfrute de estas.

- El cambio de accesos o la suspensión de accesos para los usuarios de terceros pertenecientes a entidades de control y vigilancia debe ser reportada por el área que atenderá al ente de control.

- El cambio de accesos o la suspensión de estos para los usuarios de terceros pertenecientes a entidades de control y vigilancia surtirá el mismo trámite descrito anteriormente salvo que la notificación debe ser reportada por parte de la Gerencia de Planeación Institucional.

- Cuando un servidor público, Trabajador oficial, trabajador en misión, aprendiz SENA o practicante se retira de la entidad, la Dirección de Gestión del Talento Humano debe realizar la notificación para que el área encargada de la gestión de accesos retire todos los accesos del usuario, indicado la fecha y hora de la inactivación.

- Cuando un colaborador se desvincule de la Entidad, deberá informar la novedad a su jefe directo y realizar la entrega del cargo o de su puesto, incluyendo toda la información, procedimientos, actividades que realizaba y lo relacionado con las aplicaciones y accesos a carpetas compartidas, que le habían sido asignados en el desempeño de sus funciones, actividades o labores. El jefe directo será el responsable de verificar que los accesos que ya no hacen parte de su dependencia sean comunicados de acuerdo con el documento caracterización subproceso Gestión de Acceso para que sean inactivados por el área correspondiente.

- Cuando un tercero se retira de su entidad o finaliza la Prestación del servicio, el supervisor del contrato o convenio debe realizar la notificación de forma inmediata para que el área encargada de la gestión de accesos retire todos los accesos del usuario.

- Cuando un tercero perteneciente a una entidad de control y vigilancia, la Gerencia de Planeación Institucional debe realizar la notificación para que el área encargada de la gestión de accesos retire todos los accesos del usuario.

- Cuando funcionarios o servidores de Colpensiones requieran acceso a aplicaciones o sistemas de información administrados por proveedores, se debe coordinar con el proveedor el respectivo responsable autorizado de solicitar accesos, acorde con el Instructivo de Gestión de Accesos, garantizando la centralización de los requerimientos y el reporte oportuno de las novedades de personal. Los responsables autorizados deberán mantener un inventario actualizado de las solicitudes realizadas al proveedor y los accesos concedidos.

- Para todos los casos, el solicitante debe diligenciar la información completa y legible contenida en el formulario de solicitud de gestión de accesos en la herramienta definida para tal fin.

3.8. REVISIÓN PERIÓDICA DE ACCESOS

Colpensiones ha definido las actividades de control y seguimiento operativo de accesos que la Gerencia de Prevención de Fraude debe realizar para identificar posibles desviaciones en la gestión de los accesos que puedan derivar en eventos de riesgo.

La Gerencia de Riesgos y Seguridad de la Información debe realizar revisiones periódicas para garantizar la coherencia entre los accesos otorgados, perfiles técnicos asignados y la definición de los roles empresariales de la entidad, considerando:

- Los roles empresariales y de aplicación serán revisados periódicamente, como mínimo una vez al año o cuando sea requerido, en conjunto con los líderes de proceso / jefes de área y administradores técnicos, para garantizar la vigencia y aplicabilidad de la respectiva matriz.

- Las autorizaciones de acceso privilegiado deben ser revisadas por lo menos cada tres (3) meses o cuando exista un cambio significativo que afecte la matriz de roles empresariales

- Todas las cuentas de servidores, colaboradores o terceros de Colpensiones que no ha presentado actividad de inicio de sesión en los sistemas de información en más de 30 días, serán deshabilitadas. La responsabilidad de este control es de los administradores de cuentas de usuario de los sistemas de información.

- Todas las cuentas de servidores, colaboradores o terceros de Colpensiones que lleven deshabilitadas más de 180 días, deben ser eliminadas, manteniendo la respectiva trazabilidad y registro. La responsabilidad de este control es de los administradores de cuentas de usuario de los sistemas.

- En caso de identificar cuentas activas de usuarios retirados de la compañía, se procederá a deshabilitar o eliminar inmediatamente dicha cuenta según corresponda y se analizarán los LOGS de los usuarios asociados por cada aplicación donde se encuentre activos, generando las posibles alertas o riesgos.

Cualquier inconsistencia encontrada en la revisión periódica de los accesos debe ser reportada como evento de riesgo y ser gestionada como un incidente de seguridad de la información y ciberseguridad.

3.9. GESTIÓN DE USUARIOS PRIVILEGIADOS

El proceso de gestión de usuarios privilegiados definido por Colpensiones se encuentra documentado en la caracterización subproceso Gestión de Acceso, el cual debe considerar el cumplimiento de las siguientes políticas:

El acceso de usuarios con permisos de administración o que brinden soporte remoto, de las aplicaciones, sistemas de información y dispositivos de almacenamiento, procesamiento y transferencia de información debe estar restringido únicamente a los servidores, trabajadores oficiales, colaboradores y terceros que lo requieren como parte de sus funciones contractuales o laborales.

Las cuentas privilegiadas del sistema tales como administrador, root, sysadmin, admin, etc, no deberán ser usadas de forma directa, en caso de requerir utilizar sus funciones deberán ser invocadas por medio de las cuentas asignadas a cada servidor, colaborador y tercero a través de las características de cada sistema, siempre y cuando este lo permita.

Los usuarios privilegiados deben ser asignados al menor número de funcionarios y servidores que lo requieran, garantizando la individualización y trazabilidad de todas las acciones realizadas.

Cada sistema de información, aplicación, dispositivo de almacenamiento, procesamiento y transferencia de información debe tener un usuario privilegiado bajo custodia para garantizar que nunca se pierde la posibilidad de realizar administración. Cuando no se puedan crear varios usuarios privilegiados, se debe mantener el usuario privilegiado bajo custodia o en control compartido.

Los sistemas de control de accesos deben dejar registro de todas las actividades realizadas por los usuarios privilegiados los cuales deben ser monitoreados por la Gerencia de Prevención de Fraude.

Los usuarios privilegiados no deben tener restricciones de sesiones concurrentes con el mismo usuario.

3.10. GESTIÓN DE USUARIOS DE SERVICIO

La creación de usuarios de servicio se permite en Colpensiones en los siguientes casos:

- Cuando existen aplicaciones o servicios que requieren utilizar autenticación para la ejecución de procesos o tareas automáticas sin intervención humana.

- Cuando para la administración o configuración de un sistema o una aplicación se requiere un usuario con privilegios específicos.

- Cuando un sistema de control, monitoreo o seguridad requiere autenticarse en otros componentes para garantizar su funcionamiento o estado.

Los usuarios de servicio deben ser asignados a servidores, funcionarios o proveedores que lo requieran como parte de sus funciones contractuales o laborales y justificados por los casos definidos anteriormente.

Las credenciales de autenticación de los usuarios de servicio deben mantenerse en custodia dual por colaboradores de planta de la Gerencia de Tecnologías de la Información y de la Gerencia de Riesgos y Seguridad de la Información. Los lineamientos asociados a las contraseñas se encuentran en el documento Lineamientos de creación de usuarios y contraseñas publicada en la herramienta de gestión documental de Colpensiones en la cual se alojan para consulta de los colaboradores los documentos oficiales de la Entidad.

3.11. ALMACENAMIENTO DE CONTRASEÑAS PARA PROCESOS AUTOMÁTICOS Y APLICACIONES

Para los casos en que es necesario almacenar contraseñas para que sean utilizadas por aplicaciones o procesos automáticos, no es permitido almacenarlas en archivos de configuración en texto claro, ni registrarlas al interior de los códigos fuentes de las aplicaciones.

Siempre que se requiera almacenar una contraseña esta deberá ser almacenada de forma cifrada con un algoritmo de cifrado fuerte.

CAPÍTULO III PARA MODIFICACIÓN DIRECTA DE DATOS

1. OBJETIVO

Garantizar la aplicación de los procedimientos y análisis de riesgo para la realización de cambios o modificaciones directas de datos e información en ambientes de producción de Colpensiones, teniendo en cuenta los impactos y la identificación de los riesgos que estos puedan generar. Así mismo, contar con las debidas autorizaciones para realizar los cambios, y garantizar la integridad de la información de sus bases de datos.

2. ALCANCE

Esta política aplica a todos los dueños de los procesos de Colpensiones, los cuales soliciten cambios directos de información o datos en los ambientes productivos de la entidad, cuando los sistemas de información o aplicaciones no puedan realizar dichos cambios.

3. POLÍTICAS

3.1. MODIFICACIÓN DIRECTA DE DATOS

El mecanismo de modificación de datos que se regula mediante la presente política se aplica a los cambios directos de información o datos de manera excepcional y no podrán ser utilizados como mecanismos habituales para suplir acciones que pueden ser ejecutadas por los aplicativos o sistemas que interactúan con las bases de datos donde se almacena dicha información. Es responsabilidad del propietario de la información velar por la integridad de la información acorde con los cambios solicitados.

3.1.1. Solicitud de acceso para realizar modificación directa de datos

Todas las solicitudes de modificaciones directas de datos deben realizarse mediante el envío del Formato de Modificación de Información en Bases de Datos vigente a través de la herramienta de gestión de solicitudes definida por Colpensiones.

En dicho formato debe registrarse la justificación de la necesidad de dicha modificación considerando los siguientes aspectos:

- Ausencia de una funcionalidad que soporte el cambio requerido. En dicho evento, las solicitudes deben adjuntar la evidencia de la existencia de un requerimiento hacia la Dirección de Sistemas de Información donde se soliciten nuevas funcionalidades o la modificación a las ya existentes enfocadas a solucionar la causa raíz que origina la modificación de datos a realizar, informando la fecha programada de solución. En caso de que lo anterior no sea viable, se deberá adjuntar el documento que soporta la justificación, funcional y/o técnica detallando al menos la siguiente información:

- La justificación de la no viabilidad de la solicitud del desarrollo.

- El análisis de riesgos que significa mantener la práctica de la modificación directa de datos

- Los controles compensatorios implementados.

- La aceptación del riesgo por parte de la Vicepresidencia o Gerencia dueña de la información.

- Volumen de datos a modificar: En dicho caso, el área solicitante debe adjuntar el análisis de cargas de trabajo que implicaría realizar la modificación a través de las funcionalidades de las aplicaciones, el tiempo que esto llevaría de acuerdo con la capacidad del proceso y el plazo establecido para realizar la modificación, señalando las implicaciones de su no cumplimiento. En todo caso, si la modificación masiva de información se realizará de forma recurrente, se debe adjuntar la evidencia de la existencia de un requerimiento hacia la Dirección de Sistemas de Información donde se solicite la funcionalidad para soportar los cambios de información requeridos

- Plazo en el cual se requiere la modificación de datos: En los casos en los cuales el tiempo requerido para realizar la modificación a través de la funcionalidad de los aplicativos es superior al plazo requerido por el negocio, se debe señalar en la justificación respectiva, las implicaciones del incumplimiento de este plazo. En todo caso si el evento presentado es recurrente, adjuntar la evidencia de la existencia de un requerimiento hacia la Dirección de Sistemas de Información donde se soliciten nuevas funcionalidades o la modificación a las ya existentes enfocadas a solucionar la causa raíz que origina la modificación de datos a realizar.

3.1.2. Autorización de acceso para realizar modificación directa de datos

Las solicitudes recibidas para realizar modificación directa de datos deben ser revisadas, evaluadas y autorizadas por los propietarios de los activos de información que se solicitan modificar, considerando los riesgos asociados a la modificación. Dicha responsabilidad está en cabeza de los vicepresidentes, Jefes de Oficina nivel central, Gerentes o Directores de la entidad.

Toda autorización realizada deberá ser remitida a través de la herramienta de gestión de solicitudes definida por la Gerencia de Tecnologías de la Información.

3.1.3. Modificaciones permitidas

La ejecución de modificaciones directas de datos está limitada a acciones específicas como insertar, borrar y actualizar. No está permitida la utilización de otros mecanismos como la ejecución de procedimientos almacenados.

En los casos en que se requiere la modificación o inactivación de restricciones propias de la base de datos, se debe garantizar que una vez terminada la modificación de datos dichas restricciones quedan activas nuevamente. No es permitido agregar, modificar o eliminar restricciones de manera permanente por este mecanismo; dichos cambios deberán surtir el procedimiento definido por la Gerencia de Tecnologías de la Información para la gestión de cambios y liberaciones.

Son responsabilidades del solicitante de modificación de datos:

- Contar con los soportes necesarios que justifiquen la necesidad de la modificación solicitada, la cual debe estar avalada por el Vicepresidente, Gerente o Director del área.

- Justificar las solicitudes de modificación de datos e información en los ambientes de producción.

- Solicitar el desarrollo que atienda la solicitud de manera definitiva, y realizar el seguimiento para que el dimensionamiento de la solicitud se legalice y se cumplan los tiempos de desarrollos definidos.

3.1.4. Segregación de responsabilidades

Colpensiones debe garantizar que en todas las modificaciones directas de datos se respeta el principio de segregación de funciones entre los funcionarios de tecnología que construyen los scripts de modificación, las áreas funcionales y dueños de la información que los validan o prueban y los funcionarios de tecnología que los ejecutan. Estos tres roles deben pertenecer a áreas de reporte independientes dentro de la Gerencia de Tecnologías de la información.

3.1.5. Copias de seguridad de los datos

Toda modificación directa de datos requiere que desde el Área de Infraestructura antes de su ejecución, se realice una copia de seguridad de los datos y objetos de bases de datos que van a ser alterados por la modificación, la cual debe ser siempre restaurada desde los medios provistos por el área de Infraestructura en caso de que se identifique daño, mal funcionamiento o interrupción abrupta del script de modificación ejecutado.

En los casos en que el cumplimiento de esta política no sea viable, se deberá dejar constancia del análisis realizado y de las acciones y controles a realizar en caso de daño, mal funcionamiento o interrupción abrupta del script de modificación ejecutado.

3.1.6. Terminación deliberada

Los scripts de modificación directa de datos están construidos para ejecutarse sin interrupciones y su terminación abrupta puede generar inconsistencias en las bases de datos. Por tal motivo, si una modificación directa de datos se debe terminar antes de su finalización, es obligatorio restaurar la copia de seguridad tomada antes de empezar el proceso de ejecución.

En todo caso, todos los incidentes asociados a daños, mal funcionamiento o interrupción abrupta de un script de modificación de datos, debe reportarse a la Gerencia de Riesgos y Seguridad de la Información como incidente de seguridad, detallando las acciones y controles aplicados para evitar la pérdida de integridad de la información que esto pueda causar.

3.1.7. Validación de la modificación de datos en ambiente productivo

Es responsabilidad de los propietarios de la información, realizar las verificaciones respectivas para asegurar que se realizaron las modificaciones en los datos solicitadas, dejando documentada dicha verificación.

Se debe propender por validar el cien por ciento de los cambios solicitados, utilizando para ello las consultas y reportes de los aplicativos. Cuando su volumen no lo permita, se deben establecer muestras representativas de los cambios solicitados para la respectiva verificación.

3.1.8. Trazabilidad de la modificación directa de datos

Todas las solicitudes de modificación directa de datos deben permitir validar su trazabilidad de principio a fin, es decir desde la solicitud hasta su ejecución en ambiente productivo y posterior validación y aceptación del cambio por el área funcional.

La Gerencia de Tecnologías de la información debe definir los mecanismos requeridos para almacenar de manera centralizada las evidencias que soporten la trazabilidad de las modificaciones directas de datos ejecutadas.

4. LINEAMIENTOS

4.1. TIPOS DE MODIFICACIÓN DE DATOS

En toda modificación de datos, se debe contemplar el impacto de los cambios sobre dichos registros con respecto a otras tablas o bases de datos relacionales con el fin de mantener la integridad referencial, asegurando que en todo momento dichos datos sean correctos, sin repeticiones innecesarias, o inconsistentes. Es responsabilidad de la Gerencia de Tecnologías de la información, realizar este análisis, dejando debidamente documentado el mismo.

Las modificaciones de datos deben contemplar la categoría de acción desarrollada sobre los mismos, para lo cual se podrán clasificar en:

- Modificación: Solicitud de cambio de información en un registro por otra.

- Eliminación: Solicitud de borrado o supresión un registro.

- Inserción: Solicitud de adición de información de un registro.

4.2. EVALUACIÓN DE RIESGOS DE LA MODIFICACIÓN DIRECTA DE LOS DATOS

Es responsabilidad del propietario de la información y de la Gerencia de Tecnologías de la Información, como primera línea de defensa, identificar los riesgos de la modificación o cambio de la información que se solicite, dejándolos debidamente documentados en el formato respectivo. En este marco, se debe considerar:

- Los solicitantes, propietarios de la información y líderes técnicos deben ser conscientes del impacto de la modificación de los datos para el negocio, cuando se modifique entre otros datos:

- Tipo y número de documento de identidad

- Nombres y Apellidos

- Razón Social

- Género

- Fecha de Nacimiento

- Fecha de expedición de documento de identidad

- Información de contacto y ubicación

- Dirección

- Teléfono

- Correo electrónico

- Información de aportantes

- Novedades laborales

- Valores de pagos, recaudos y sus respectivas relaciones laborales.

- Datos de parametrización o reglas de negocio.

- O cualquier otra información relacionada con la misión del negocio.

- No deben llevarse a cabo cambios o modificaciones de los datos de negocio o técnicos de las bases de datos productivas si las partes involucradas no comprenden de manera sistemática los impactos y la afectación para su proceso y el de los demás.

- Si se presenta una solicitud que involucre un volumen de datos superior a 50 cambios, se deberá tener en cuenta un control adicional en los ambientes que permitan asegurar que las modificaciones que se realicen correspondan a lo que efectivamente se necesita modificar.

- En dichos casos, se deberán realizar los análisis y pruebas que garanticen que el cambio va a surtir el resultado esperado y no tiene efectos indeseables.

- Según la evaluación del impacto realizada sobre la modificación de los datos, se deberá contemplar un procedimiento de reversión de cambio en el evento que la modificación de datos no sea exitosa, que garantice dejar en el estado inicial solamente los datos modificados, cuando éste afecte principalmente datos del negocio (información relacionada con la misión y objeto del negocio).

- Mantener el registro de las solicitudes de modificación de datos, realizadas por las áreas de negocio.

Adicional a lo anterior, en línea con las responsabilidades que le atañen en la gestión de riesgos a la segunda línea de defensa, la Gerencia de Riesgos y Seguridad de la Información, es responsable de:

- Definir las metodologías que permitan identificar adecuadamente los riesgos por parte de los responsables de la información y la Gerencia de Tecnologías de la Información

- Asesorar cuando se requiera por parte de las gerencias involucradas, la identificación de riesgos asociados a la solicitud de modificación de datos.

- Monitorear el registro de las solicitudes de modificación de datos, realizadas por las áreas de negocio.

- Monitorear y alertar sobre las modificaciones realizadas mediante este procedimiento y que no cumplan con la política de modificación de datos.

- Revisar periódicamente el uso del proceso de modificación de datos y verificar que los actores implicados soliciten la generación de soluciones tecnológicas que permitan minimizar el uso de modificación de datos como alternativa de solución a la actualización de la información.

4.3. CONSIDERACIONES TÉCNICAS

Los solicitantes, propietarios de la información y líderes técnicos deben tener presentes las siguientes consideraciones de seguridad al momento de construir, verificar y autorizar los scripts y/o procedimientos de modificación directa de los datos:

- Por medio de este mecanismo no se permite la construcción, modificación o eliminación de restricciones, índices, procedimientos almacenados, tablas, vistas u otros elementos de bases de datos permanentes, por lo que cualquier elemento que se cree para realizar la modificación debe ser eliminado una vez termine el script.

- La creación de objetos de bases de datos debe utilizar nombres únicos que estén relacionados con la modificación y en ninguna circunstancia puede utilizar nombres de otros objetos de bases de datos ya existentes.

- Si se reutilizan scripts para realizar modificación directa de datos se debe garantizar que los objetos de bases de bases de datos tienen nombres diferentes.

- Es responsabilidad de la Gerencia de tecnologías de información:

- Asignar un Líder Técnico o responsable para cada solicitud de modificación de datos e información.

- Gestionar los aspectos técnicos que sean requeridos para realizar la modificación de datos.

- Mantener el registro de la ejecución de scripts o solicitudes de modificación de datos.

Es responsabilidad de la Gerencia de Tecnologías de la Información:

- Ejecutar o rechazar la solicitud de modificación de datos realizada por el área funcional de acuerdo con el análisis realizado sobre complejidad, impacto, volumen o cantidad de registros a intervenir. En el evento de rechazar la solicitud, ésta deberá ser radicada mediante el proceso de implementación y entrega del servicio de TI.

- Ejecutar los scripts o solicitudes de modificación de datos, autorizados por los propietarios de información y la Dirección de Sistemas de Información.

- Informar los resultados de la ejecución de la modificación de datos, a los solicitantes, propietarios, Líder Técnico y a la Gerencia de Riesgos y Seguridad de la Información.

CAPÍTULO IV DISPOSITIVOS PARA MOVILIDAD Y ACCESO REMOTO

1. OBJETIVO

Definir las políticas asociadas con la posibilidad de acceder a los recursos desde cualquier sede de la entidad (movilidad) y acceder a los recursos sin necesidad de estar en la entidad (Acceso remoto), para garantizar la adecuada protección de la información de la entidad.

2. ALCANCE

La siguiente política aplica a:

- Servidores, trabajadores oficiales, trabajadores en misión y terceros de Colpensiones, que tienen acceso a los recursos de la entidad, especialmente a quienes tienen asignados dispositivos móviles propiedad de Colpensiones.

- Funcionarios y servidores de Colpensiones con funciones de mesa de ayuda, soporte técnico y seguridad informática, que implementan y mantienen la configuración y el funcionamiento de los dispositivos móviles.

3. POLÍTICAS

3.1. MOVILIDAD

Colpensiones reconoce que por el objeto de su misión, y por su naturaleza y tamaño, cuenta con diferentes sedes entre las cuales están distribuidas sus áreas, funcionarios y servidores; por tal razón define estrategias de movilidad que faciliten el desplazamiento sin afectar la operación.

Las estrategias de movilidad definidas deben garantizar que la información permanece confidencial, íntegra y disponible en niveles acordes con su clasificación.

Las estrategias de movilidad deben contemplar como mínimo: repositorios de información centralizados, terminales livianas, dispositivos móviles de usuario final y de procesamiento de información e infraestructura de comunicaciones; cada uno de los anteriores con los controles de seguridad requeridos según el análisis de riesgos realizado y revisado al menos una vez al año.

Es responsabilidad de los usuarios que de acuerdo con sus funciones, les sea permitido el uso de dispositivos “móviles propios” o de “Colpensiones”, para el desempeño de sus funciones, deben cumplir con:

- Reportar cualquier evento de riesgo que pueda afectar la protección de la información, particularmente cuando su dispositivo ha sido robado o extraviado.

- Las Políticas, lineamientos y procedimientos de Seguridad de la Información y Ciberseguridad de Colpensiones.

- La Gerencia de Tecnologías de la Información solo podrá instalar en los dispositivos móviles las aplicaciones previamente autorizadas y evaluadas junto con la Gerencia de Riesgos y Seguridad de la Información.

- La Gerencia de Tecnologías de la Información debe mantener activas y sin modificación en su configuración las protecciones de seguridad definidas para dispositivos móviles.

- Activar las características de cifrado del dispositivo móvil

- Mantener en todo momento el sistema operativo actualizado

Recomendaciones para usuarios de dispositivos móviles de Colpensiones:

- No descuidar el dispositivo móvil en ningún momento. Mantenga la pantalla bloqueada si no está utilizando dispositivo móvil, activando la opción de desbloqueo por código de acceso o huella

- Navegar responsablemente por Internet de acuerdo con las políticas y lineamientos de seguridad de la información y ciberseguridad del presente manual

- No conectar el móvil a puertos USB desconocidos y no aceptar ninguna relación de confianza a través de USB sin estar seguros de que el ordenador es de confianza.

- No mantener activas las opciones de conexión inalámbricas que no vayan a ser utilizadas.

- No conectarse a redes Wi-Fi públicas abiertas.

- Proteger las contraseñas de acceso asignadas para los sistemas de información.

- Está prohibido descargar información clasificada como Pública Clasificada o información Pública Reservada en el dispositivo móvil. Se debe mantener siempre en su perfil de escritorio virtual asignado.

- Participar en las campañas de concientización sobre temas de riesgos, seguridad de la información y ciberseguridad, adelantadas por Colpensiones.

- No compartir sus contraseñas de acceso con otras personas. Se debe garantizar que mientras las digita en su dispositivo móvil nadie la está observando.

- Permitir los procesos de actualización de aplicaciones y sistema operativo de acuerdo con los lineamientos de la Gerencia de Tecnologías de la Información.

Recomendaciones para usuarios de dispositivos móviles propios

- En equipos personales se recomienda evitar la instalación de programas, juegos, videos, o cualquier otro software que provenga de sitios no seguros. Cerciórese de los comentarios sobre la aplicación que va a instalar

- Evitar divulgar su información personal y corporativa en páginas web de encuestas, compras por internet u otras diferentes al ejercicio de sus funciones

- Instalar un antivirus y mantenerlo actualizado.

3.2. DISPOSITIVOS MÓVILES PROVISTOS POR COLPENSIONES

3.2.1. Asignación

Los dispositivos móviles propiedad de Colpensiones deben ser asignados y entregados a usuarios específicos que aceptarán y garantizarán su uso adecuado y responderán por ellos de acuerdo con los términos y políticas de uso aceptable definidos.

Es responsabilidad de la Gerencia de Tecnologías de la Información definir los procedimientos y criterios de asignación para la entrega y devolución dispositivos móviles.

3.2.2. Inventariado y etiquetado

Los dispositivos móviles propiedad de Colpensiones deben estar claramente identificados, inventariados y etiquetados para facilitar su reconocimiento visual.

- Es responsabilidad de la Gerencia de Tecnologías de la Información mantener actualizado el inventario de dispositivos móviles propiedad de Colpensiones, sus características y sus responsables asignados.

- La Gerencia de Tecnologías de la información debe alistar y etiquetar los dispositivos móviles propiedad de Colpensiones antes de su entrega a los usuarios responsables.

3.2.3. Almacenamiento cifrado

Los dispositivos móviles propiedad de Colpensiones que puedan llegar a almacenar información clasificada como Pública Clasificada o Pública Reservada, deben contar con controles de cifrado en su almacenamiento con sistemas de autenticación diferentes a los propios de los sistemas operativos utilizados para su funcionamiento.

El sistema de cifrado deberá eliminar la información del dispositivo móvil después de un número determinado de intentos de acceso fallidos para garantizar que no será accedida por usuarios no autorizados.

La Gerencia de Tecnologías de la información debe Instalar y configurar adecuadamente los controles de cifrado de disco.

3.2.4. Borrado remoto

Los dispositivos móviles propiedad de Colpensiones que puedan llegar a almacenar información clasificada como Pública clasificada o Pública clasificada, deben contar con controles de borrado o inactivación remota para garantizar que usuarios no autorizados en caso de hurto o pérdida accedan a la información.

Es responsabilidad de la Gerencia de Tecnologías de Información instalar y configurar adecuadamente los controles de borrado o inactivación remota.

3.2.5. Controles de acceso

Los dispositivos móviles propiedad de Colpensiones deben tener controles de acceso que garanticen la identificación de los usuarios y limiten el acceso a la información en ellos contenidos de acuerdo con su perfil.

La autenticación debe realizarse preferiblemente contra los sistemas centralizados que Colpensiones defina para tal fin, o ante la imposibilidad de hacerlo, debe garantizarse que los sistemas locales de autenticación cumplan con los parámetros de complejidad de contraseñas definidos en los Lineamientos de creación de usuarios y contraseñas.

Los controles de acceso para dispositivos móviles deberán cumplir con las Políticas de Gestión de Accesos definidos en este manual. Es responsabilidad de la Gerencia de Tecnologías de Información instalar y configurar adecuadamente los controles de restricción de tráfico.

3.2.6. Bloqueo automático

Los dispositivos móviles propiedad de Colpensiones deben estar configurados por la Gerencia de Tecnologías de información para bloquearse automáticamente después de tres (03) minutos tiempo determinado de inactividad.

3.2.7. Geolocalización

Los dispositivos móviles propiedad de Colpensiones, que soporten la funcionalidad, deben mantener la geolocalización activada para permitir su rastreo remoto, a través del sistema de posicionamiento global (GPS por sus siglas en inglés), en caso de pérdida o hurto.

3.2.8. WIFI, Bluetooth, NFC y otras opciones de conectividad

Los dispositivos móviles propiedad de Colpensiones deben mantenerse con las opciones de conectividad Wifi, Bluetooth, NFC y otras tecnologías de conexión remota apagadas. Únicamente deberán encenderse cuando sean estrictamente necesario.

La conexión a redes fuera del control de Colpensiones debe realizarse con todas las precauciones requeridas y bajo la responsabilidad total del usuario.

3.2.9. Software antivirus y antimalware

Los dispositivos móviles propiedad de Colpensiones deben contar con controles de protección antivirus y antimalware que tengan soporte y aseguren actualizaciones de firmas periódicamente en tiempos aceptados por la entidad.

El software antivirus y antimalware debe estar configurado para que se actualice automáticamente sin intervención de los usuarios finales.

El software antivirus y antimalware debe estar configurado para realizar análisis periódicos y remediación sin intervención de los usuarios finales.

El software antivirus y antimalware no podrá ser desactivado, desinstalado o inhabilitado por los usuarios finales.

El software de antivirus y antimalware debe cumplir con las Políticas contra Código Malicioso definidos por la Gerencia de Riesgos y Seguridad de la Información.

3.2.10. Instalación de software

En los dispositivos móviles propiedad de Colpensiones la instalación y desinstalación de software sólo la podrá realizar el personal de la Gerencia de Tecnologías de la Información, o quien ellos designen para tal fin. Los usuarios finales de los dispositivos deben abstenerse de instalar cualquier tipo de software, incluso si este está autorizado y permitido.

En los dispositivos móviles propiedad de Colpensiones solo se debe instalar software aprobado previamente por la Gerencia de Tecnologías de la Información y por la Gerencia de Riesgos y Seguridad de la Información.

Es responsabilidad de la Gerencia de Tecnologías de Información definir los procedimientos, manuales o automáticos, para la actualización del sistema operativo y aplicaciones instaladas en los dispositivos móviles.

3.2.11. Control de navegación

Los dispositivos móviles propiedad de Colpensiones deben contar con soluciones de control de navegación local, con software de propósito específico o a través del software antivirus y antimalware, para garantizar el no acceso a páginas web con contenido explícitamente prohibido que nombra la política de Control de la navegación en internet y los que considere la Gerencia de Prevención de Fraude constituyan un riesgo para la organización.

3.2.12. Firewall local o de host

Los dispositivos móviles propiedad de Colpensiones que lo permitan deben contar con controles para restringir el tráfico de información entrante y saliente. Dichos controles no deben permitir ser configurados, desactivados, desinstalados o inhabilitados por los usuarios que no tengan estas atribuciones para el ejercicio de sus funciones.

3.2.13. Actualización periódica

La Gerencia de Tecnologías de la información debe mantener Los dispositivos móviles propiedad de Colpensiones con versiones estables y actualizadas de los sistemas operativos utilizados para su funcionamiento y de las aplicaciones en ellos instaladas.

Es responsabilidad de la Gerencia de tecnologías de la información configurar los dispositivos móviles para su actualización automática y llevar control de las actualizaciones manuales para garantizar que los dispositivos móviles tienen versiones actualizadas y seguras.

La Gerencia de Tecnologías de Información debe configurar adecuadamente los controles de acceso a los dispositivos móviles.

3.3. POLÍTICAS DE SEGURIDAD PARA ACCESO REMOTO

Colpensiones reconoce que para la ejecución de algunas funciones críticas se requiere que algunos funcionarios y servidores accedan a los sistemas de información o a otros recursos dispuestos por la entidad, por tal motivo se permite, previa justificación del Gerente del área el acceso remoto a los escritorios virtuales.

Cuando los funcionarios y servidores autorizados a utilizar los escritorios virtuales de manera remota no posean dispositivos móviles de propiedad de Colpensiones, podrán acceder a ellos utilizando sus dispositivos móviles o equipos de escritorio mediante la URL provista para tal fin.

La utilización de escritorios virtuales a través de Internet, especialmente cuando se realice desde equipos que no son propiedad de Colpensiones, no deben permitir portapapeles compartido, carga o descarga de información y archivos.

CAPÍTULO V PARA LAS REDES DE COLPENSIONES

1. OBJETIVO

Definir las políticas asociadas con el aseguramiento de las redes cableadas e inalámbricas de Colpensiones, para garantizar la adecuada protección de la información de la entidad y el uso responsable de los recursos.

2. ALCANCE

La siguiente política aplica a servidores, trabajadores oficiales, trabajadores en misión, personal Sena y terceros de Colpensiones e invitados ocasionales que tengan acceso a las redes provistas por Colpensiones.

3. POLÍTICAS

3.1. SOBRE LAS REDES Y CONECTIVIDAD

La Gerencia de Tecnologías de la Información debe determinar las necesidades de conectividad interna y externa en el cumplimiento de sus objetivos misionales y estratégicos, para garantizar la oportunidad, efectividad y eficiencia de las operaciones.

Las redes internas y las conexiones a redes externas deben ser gestionadas por la Gerencia de Planeación y Tecnologías de la Información, para garantizar la seguridad de la información y de los servicios de la entidad, y el uso responsable de los recursos.

La Gerencia de Tecnologías de la Información, debe mantener un mapa de red actualizado que contenga información detallada de los segmentos de red interna, zonas desmilitarizadas o DMZ, de las conexiones a Internet, con terceros a redes WAN y cualquier otro que se incluya dentro de la infraestructura de red de la entidad.

La Gerencia de Tecnologías de la Información debe definir las medidas de seguridad mínimas exigidas a los equipos que se conectarán a la red de la entidad. No se debe permitir la conexión de dispositivos que incumplan dichas medidas de seguridad.

Así las cosas, La Gerencia de Tecnologías de la Información debe:

- Definir y documentar las necesidades de conectividad de la entidad y proveer los recursos necesarios para suplirlas.

- Mantener actualizado el inventario de dispositivos de comunicaciones propiedad de Colpensiones, sus características y sus responsables asignados.

- Instalar, configurar y ubicar adecuadamente los dispositivos de comunicaciones y de red.

- Mantener copias de seguridad de la configuración de los dispositivos de comunicaciones de la entidad que por su criticidad así lo requieran.

3.2. SEGMENTACIÓN DE LA RED

La red de Colpensiones debe segmentarse para agrupar componentes o equipos con funciones similares o que necesiten estar en el mismo segmento de red de otros para garantizar su funcionamiento. La segmentación de la red debe permitir identificar, controlar y monitorear el tráfico en toda la red.

Es responsabilidad de la Gerencia de Tecnologías de la Información definir, implementar, mantener y documentar la arquitectura y segmentación de red.

3.2.1. Segmentos de red internos

Se deben definir diferentes segmentos de red internos por tipo o función y ubicar en ellos equipos con funcionamiento similar que no deban tener acceso directo desde o hacia redes públicas o internet.

Los equipos, dispositivos o componentes que almacenan información “Pública clasificada” o “Pública reservada” deben estar en segmentos internos de red sin conectividad directa a redes públicas o internet.

Los sistemas de información que provean servicios a los usuarios internos deben estar ubicados en redes o segmentos de red específicos de servidores, separados de las redes o segmentos de usuarios y DMZ.

3.2.2. Segmentos de red con características de zonas desmilitarizadas (DMZ)

Para garantizar el intercambio seguro de tráfico entre las redes de Colpensiones y otras redes públicas como Internet, se deben configurar segmentos de red con características de zonas desmilitarizadas o DMZ por donde fluya y sea monitoreado y controlado todo el tráfico entrante y saliente.

En las zonas desmilitarizadas o DMZ deben estar ubicados todos los equipos y componentes de la infraestructura de red de Colpensiones que reciban tráfico, peticiones de red o consumo de servicios desde redes públicas o Internet. Los sistemas de información que sean consultados desde redes públicas o Internet deben tener únicamente sus componentes de presentación en estos segmentos desmilitarizados, mientras que los que contienen lógica de negocio y almacenamiento de datos deben estar ubicados en segmentos internos y protegidos de red.

No está permitido ubicar en las zonas desmilitarizadas o DMZ, equipos o componentes de red que almacenen información clasificada como “Pública clasificada” o “Pública Reservada” ni ningún otro sistema de información, equipo o componente que sea únicamente usado desde el interior de la red de Colpensiones.

3.2.3. Separación de ambientes

Se debe garantizar la segmentación de entornos de desarrollo, pruebas, producción y los demás que se requieran, impidiendo el tráfico entre ellos y asegurando así los ambientes productivos. En los casos en que se requiera transportar información entre ambientes se deben usar aplicaciones o sistemas que permitan limitar el tráfico únicamente al estrictamente necesario.

Antes de aplicar cambios en dispositivos activos de la red de Colpensiones, estos deberán evaluarse, y aprobarse y aplicarse en ambientes controlados.

Es responsabilidad de la Gerencia de Tecnologías de la Información mantener un ambiente pre productivo de la red para probar y aprobar los cambios antes de aplicarlos en los dispositivos productivos de red.

3.3. CONTROL DE TRÁFICO ENTRE SEGMENTOS DE RED

El tráfico entrante y saliente entre segmentos de red debe estar claramente identificado, justificado y controlado. No se permite tráfico de ningún tipo entre dos segmentos de red que no lo requieran.

El tráfico entrante y saliente entre las zonas desmilitarizadas hacia redes públicas o Internet o hacia segmentos de red internos debe estar claramente identificado, justificado y controlado por dispositivos tipo Firewall y preferiblemente con características avanzadas para la detección o prevención de intrusos (IDS o IPS).

Las políticas de firewall deben tener claramente identificadas y documentadas las direcciones de origen y destino, así como los puertos, protocolos o servicios permitidos. No podrán existir políticas de firewall con orígenes, destinos, puertos, protocolos o servicios no determinados o con comodines tipo ANY.

Está prohibida la utilización de dispositivos que hagan conexiones tipo puente o by pass entre zonas de red con distinto nivel de confianza. Todo el tráfico entre diferentes segmentos de red debe ser controlado por dispositivos tipo Firewall.

3.4. REDES INALÁMBRICAS

Colpensiones puede ofrecer, si lo considera necesario, conectividad a funcionarios, servidores, terceros o invitados por medio de redes inalámbricas. Este servicio debe contar con procedimientos y lineamientos explícitos para su solicitud, justificación y aprobación, los cuales deben estar publicados en el sistema de almacenamiento documental definido por la Entidad.

3.4.1. Identificadores de redes inalámbricas (SSID)

Los identificadores de las redes inalámbricas (SSID) deben configurarse de manera oculta y de acuerdo con el estándar de nombramiento y seguridad que defina la Gerencia de Tecnologías de la Información. Se debe garantizar que no se irradian SSID por defecto.

3.4.2. Cobertura

Colpensiones a través de la Gerencia de Tecnologías de la Información evaluará las necesidades de conexión inalámbrica y definirá la prestación de dicho servicio en caso de requerirse.

3.4.3. Puntos de Acceso inalámbricos (AP)

Los puntos de acceso (AP) a la red inalámbrica se deben instalar en ubicaciones físicas de difícil acceso y manipulación y se deben configurar en segmentos de red específicos para la administración de dichos dispositivos. Deben existir mecanismos que controlen las conexiones entre los APs y otros recursos de red.

Todos los AP instalados en la entidad deben ser aprobados, debidamente configurados e instalados por la Dirección de Infraestructura Tecnológica o por el tercero que ella disponga para tal fin. No está permitida la instalación de AP por parte de funcionarios, servidores o terceros sin la debida aprobación y autorización.

3.4.4. Redes Ad Hoc

Los equipos de cómputo dotados de acceso inalámbrico deben configurarse para deshabilitar la posibilidad de conexión directa entre estaciones (enlaces Ad Hoc); para esto, la Gerencia de Tecnologías de la Información debe definir las guías de configuración segura que garanticen el cumplimiento de la presente política.

3.4.5. Inspecciones a la red

La Gerencia de Tecnologías de información a través del equipo de seguridad informática debe realizar inspecciones periódicas para la detección de AP no autorizados (rogue AP), dispositivos en modo promiscuo, honeypots vecinos, redes inalámbricas no autorizadas (dispositivos dentro del área irradiando otros SSID) así como AP con configuraciones de red incorrectas o inseguras.

Las inspecciones pueden realizarse mediante inspección física o mediante la utilización de analizadores de redes inalámbricas o sniffers.

Es responsabilidad de la Gerencia de Tecnologías de la Información:

- Definir y mantener guías de configuración segura (hardening) para los dispositivos de comunicaciones y de red de la entidad.

- Definir, implementar y monitorear los procedimientos y controles de seguridad sobre la red cableada e inalámbrica.

- Monitorear las redes de la entidad para garantizar su disponibilidad, rendimiento y facilitar la gestión de incidentes sobre ellas.

- Instalar y configurar adecuadamente los controles de restricción de tráfico.

Así mismo, La Gerencia de Prevención del Fraude tiene las siguientes responsabilidades:

- Definir e implementar las reglas de navegación en la entidad.

- Monitorear la navegación de la entidad para garantizar el uso racional del recurso de Internet.

- Definir e implementar configuración segura sobre los dispositivos de transferencia segura de información.

- Definir e implementar controles para evitar fuga de información.

- Monitorear los logs de eventos de los dispositivos de red y comunicaciones para identificar oportunamente eventos de riesgo.

3.4.7. Cifrado

La Gerencia de Tecnologías de la Información debe implementar medidas de seguridad para garantizar que el proceso de autenticación y el envío y recepción de tráfico se haga de manera cifrada evitando así comprometer las credenciales de autenticación y la información sensible.

3.5. CONEXIONES CON REDES EXTERNAS, PÚBLICAS E INTERNET

Cualquier conexión desde redes externas a la red de Colpensiones, debe ser autorizada por la Gerencia de Tecnologías de la Información y debe contar con las medidas de seguridad adecuadas para llevar los riesgos identificados a niveles aceptados por la entidad, incluyendo el cumplimiento de los requerimientos regulatorios aplicables.

Está prohibido conectar a la red de Colpensiones dispositivos móviles propios para conectarse a Internet, por medio de conexiones WIFI, bluetooth, cableadas o de cualquier otro tipo.

El tráfico desde y hacia redes públicas e internet debe preferiblemente ser enviado o recibido por dispositivos o equipos ubicados en zonas de red desmilitarizadas o DMZ.

3.6. AUTORIZACIÓN DE ACCESO A LAS REDES DE COLPENSIONES

Colpensiones debe definir las necesidades propias de los servidores públicos, trabajadores oficiales, trabajadores en misión, personal Sena y terceros para identificar los requisitos de conectividad requeridos por cada uno, y garantizar que dichos requisitos son suplidos mediante los recursos y tecnologías de la entidad.

El uso de las redes de Colpensiones está limitado al cumplimiento de las responsabilidades que cada usuario tenga con la entidad y no para fines personales.

El acceso de terceros a la red de Colpensiones debe ser solicitado y justificado por el supervisor de cada contrato, validados por la Gerencia de Riesgos y Seguridad de la Información y, concedido y configurado por la Dirección de Infraestructura Tecnológica.

3.7. CONTROL DE ACCESO A LAS REDES DE COLPENSIONES

El acceso a la red de Colpensiones debe contar con un sistema de control de acceso que permita identificar, individualizar y restringir la posibilidad de conexión y el tráfico de los equipos y usuarios que usen los recursos de red.

El control de acceso de la red debe cumplir con las Políticas de Control de Accesos incluidos en el presente manual.

Es responsabilidad de Gerencia de Tecnologías dela Información definir e implementar los controles de acceso asociados a las redes de Colpensiones, de conformidad a las Políticas de Control de Accesos dispuestos en el presente manual.

Así mismo, es responsabilidad del usuario de las redes de Colpensiones:

- Cumplir con las Políticas y Lineamientos de Seguridad de la Información y Ciberseguridad de Colpensiones.

- Utilizar los recursos de red provistos por Colpensiones de acuerdo con los términos y condiciones definidos.

- Reportar cualquier evento de riesgo que pueda afectar la protección de la información, particularmente cuando su dispositivo ha sido robado o extraviado, de acuerdo con el Instructivo de Gestión de Incidentes de Seguridad y ciberseguridad. Ver tabla1

- Evitar visitar sitios con contenido explícito para la descarga, utilización o instalación de programas, juegos, videos, o cualquier otro software que no haya sido previamente autorizado por el Director o Gerente del área, teniendo en cuenta las consideraciones de la Gerencia de Riesgos y Seguridad de la Información.

- Abstenerse de visitar sitios en internet de dudosa procedencia o con contenidos explícitos de ocio, piratería, pornografía, trata de personas, hacking, virus y malware.

- Evitar divulgar su información personal y corporativa en páginas web de encuestas, compras por internet u otras diferentes al ejercicio de sus funciones.

- Evitar instalar puntos de acceso (AP) o establecer conexiones a redes públicas e Internet a través de dispositivos no autorizados por Colpensiones.

- Participar en las campañas de concientización sobre temas de riesgos, seguridad de la información y ciberseguridad, adelantadas por Colpensiones.

3.8. ACEPTACIÓN DE LOS TÉRMINOS Y CONDICIONES DEL SERVICIO

Los usuarios que tengan acceso a las redes provistas por Colpensiones deben utilizarlas de acuerdo con las políticas y lineamientos contenidos en este documento, los cuales deben ser leídos y aceptados, para tal efecto, la utilización del servicio por primera vez se considera como una aceptación formal, por parte del usuario.

3.8. CONTROL DE LA NAVEGACIÓN EN INTERNET

La Gerencia de Prevención del Fraude, con el ánimo de garantizar el uso adecuado del recurso de Internet y la seguridad de la información y de los sistemas de información internos, debe definir e implementar, reglas de navegación en Internet, evitando el ingreso a páginas de correo electrónico, herramientas colaborativas diferentes a las dispuestas por la entidad y almacenamiento en la nube, pornografía, ocio, piratería, trata de personas, redes sociales, actividades al margen de la ley, hacking, virus y malware, encuestas, compras y otras que considere necesarias.

3.9. MONITOREO DE LA RED

Las redes de Colpensiones deben ser objeto de monitoreo por parte de la Gerencia de Tecnologías de la Información para garantizar su disponibilidad, rendimiento y facilitar la gestión de incidentes.

Colpensiones debe realizar monitoreo de la navegación en Internet, a través de la Gerencia de Prevención del Fraude, para garantizar su uso racional, identificar nuevas amenazas y mantener las políticas de navegación actualizadas.

El monitoreo de la red y la navegación debe proveer la información que se requiera para apoyar la gestión de incidentes de seguridad de la información y ciberseguridad, y, en caso de ser necesario, tomar las acciones administrativas o legales a las que haya lugar contra los usuarios que realicen actos en contra de los acuerdos contractuales o legales vigentes.

3.10. DISPONIBILIDAD DE LA RED

La Gerencia de Tecnologías de la Información debe garantizar que los recursos de red se mantienen disponibles y configurados acorde a las necesidades del negocio orientado al cumplimiento de los objetivos estratégicos de la entidad. Los dispositivos de red que lo requieran deben contar con backup de su configuración, permitiendo restaurarla cuando sea requerido.

3.11. DISPOSITIVOS DE RED, SEGURIDAD, MONITOREO Y CONTROL

La Gerencia de Tecnologías de la Información y la Gerencia de Prevención del Fraude deben configurar y documentar los sistemas y dispositivos de comunicaciones, seguridad, monitoreo o control conectados a la red correctamente y endurecidos (hardening) con guías de configuración segura para evitar la posibilidad de que se pueda explotar vulnerabilidades que afecten la seguridad, disponibilidad o rendimiento de la red.

La Gerencia de Tecnologías de la Información debe tener configurados los sistemas y dispositivos para suministrar registro de eventos y logs de auditoría a la Gerencia de prevención del Fraude de los eventos de seguridad y administración que permitan apoyar la gestión de incidentes de seguridad de la información y ciberseguridad o incidentes de disponibilidad tecnológica.

3.12. PREVENCIÓN DE FUGA DE INFORMACIÓN

La Gerencia de Tecnologías de la Información debe instalar herramientas y procedimientos para reducir el riesgo de fuga de información por envío o recepción no controlados de información “pública confidencial” o “Pública reservada” mediante técnicas de monitoreo y restricción.

La Gerencia de Prevención del Fraude debe garantizar monitoreo permanente sobre los sistemas de intercambio seguro de información, correo electrónico y herramientas colaborativas en la nube,

3.13. DETECCIÓN Y PREVENCIÓN DE INTRUSOS

La Gerencia de tecnologías de la información debe instalar y administrar sistemas de detección y protección frente a intrusiones en las redes cableadas e inalámbricas (IPS/IDS – WIDS/WIPS) con el objeto de monitorear y evitar amenazas e incidentes.

4. LINEAMIENTOS

4.1. REQUISITOS MÍNIMOS PARA DISPOSITIVOS PERSONALES QUE SE CONECTAN A LAS REDES DE COLPENSIONES

Es responsabilidad de los usuarios que accedan a las redes alámbricas o inalámbricas de Colpensiones contar con el software y las configuraciones de seguridad en su equipo para minimizar el riesgo de ataques al que se pueden ver expuestos. Como mínimo todos los dispositivos que se conecten a la red de Colpensiones por cualquiera de sus medios deben:

- Contar con usuario y contraseña de arranque. La contraseña de acceso al sistema deberá tener una complejidad mínima de: 8 caracteres, mayúsculas y minúsculas, números y caracteres especiales.

- Contar con una herramienta o solución de software antivirus/malware actualizada y activa.

- Mantener al día la instalación de parches y actualizaciones de sistema operativo y de aplicaciones instaladas en el equipo, especialmente las de seguridad.

- Tener activo el protector o bloqueo de pantalla con un tiempo máximo 5 minutos. Para salir de dicho protector se deberá utilizar contraseña.

- Contar con software debidamente licenciado.

- Para el acceso a la red inalámbrica, los equipos deberán soportar el estándar de comunicación 802.11 b/g/n y soportar cifrado WPA2 o superior.

Lo anterior será requisito previo al ingreso a la red de Colpensiones y controlado por la Gerencia de Tecnologías de la Información.

4.2. USO PROHIBIDO DEL SERVICIO DE RED

Cuando el acceso a la red o los servicios de red haya sido otorgado, está estrictamente prohibido:

- El uso personal de los recursos de red para fines distintos a los permitidos.

- El uso para generar ganancias monetarias personales o propósitos comerciales.

- Distribuir virus, gusanos u otro software malicioso de propagación automática y de forma involuntaria.

- Efectuar descargas de manera desmesurada, que afecten el desempeño del servicio de los demás usuarios de la red alámbrica y/o inalámbrica.

- Transmitir o distribuir cualquier material que viole la ley o regulación. Incluyen sin estar limitados a: material que viole derechos de autor u otros derechos de propiedad intelectual, como software sin licencia, música, videos, películas, etc.

- Revelar o compartir las credenciales de autenticación de la red de Colpensiones a personal no autorizado.

- Descargar servicios broadcast como audio y video.

- Usar programas “peer to peer” (P2P) o alguna otra tecnología que permita el intercambio de archivos en volumen.

- Realizar conexiones a la red The Onion Router, abreviada en inglés como 'Tor'.

- Extender el alcance de la red por medio de cualquier dispositivo físico o lógico.

- Transmisión de contenido inapropiado.

- Realizar actividades que incurran en delito informático (Ley 1273 de 2009)

- Envío de mensajes no solicitados (spam).

- Atentar contra la disponibilidad, integridad, confidencialidad de la red.

- Manipular o intentar manipular cualquier componente de la infraestructura de red.

- Manipular los equipos de transmisión de la red inalámbrica.

- Instalar o realizar labores de recolección o escucha de información en tránsito por la red.

- El uso del servicio para interferir a otros usuarios o entorpecer asuntos propios de Colpensiones.

- El uso del servicio para violar las políticas de uso aceptable del correo electrónico o plataformas colaborativas.

- Transgredir cualquier recurso informático, sistema o sitios de telecomunicaciones a los que no le está permitido acceder.

- Instalar equipos y/o software que genere interrupción o interferencia con la emisión normal de la red inalámbrica.

- Realizar el escaneo de vulnerabilidades de la red o de cualquier equipo de la misma sin la expresa autorización por parte del comité de cambios.

- Monitorear los canales de transmisión y comunicación por personas que no pertenezcan a la Gerencia de tecnologías de la información y estén debidamente autorizadas.

CAPÍTULO VI PARA LA GESTIÓN DE INCIDENTES DE SEGURIDAD Y CIBERSEGURIDAD

1. OBJETIVO

Establecer los lineamientos para la gestión de los incidentes de seguridad de la información y ciberseguridad con el fin de prevenir, detectar oportunamente y gestionar los incidentes materializados que afecten a los activos de información o recursos tecnológicos de Colpensiones, teniendo especial consideración con aquellos que se encuentran expuestos al ciberespacio.

2. ALCANCE

La política de gestión de incidentes de seguridad de la información y ciberseguridad está dirigida a todo el personal que tenga permitido el acceso a los sistemas informáticos de Colpensiones, incluso aquellos que son administrados mediante contratos con terceros.

3. POLÍTICAS

3.1. OBLIGACIÓN DE REPORTE Y GESTIÓN

Los funcionarios, servidores y terceros relacionados con Colpensiones deben reportar o registrar cualquier evento de riesgo o situación que pueda constituir o generar un incidente de seguridad de la información o de ciberseguridad a través de los medios que Colpensiones ha dispuesto y autorizado para tal fin. Así mismo, en caso de ser necesario, deberán participar activamente en la gestión de incidentes si así lo considera el funcionario a cargo de la gestión de incidentes o el Equipo de Respuesta a Incidentes – ERI.

CargoReportar
Funcionario de plantaVigia o ext. 3010,
3015, 3016, 3017, 3018.
Personal en misiónVigia o ext. 3010,
3015, 3016, 3017, 3018.
Aprendiz SenaVigia o ext. 3010,
3015, 3016, 3017, 3018.
Contratistasgestionderiesgos@colpensiones.gov.co

Tabla1. Reporte Incidentes

La Gerencia de Riesgos y Seguridad de la información, es uno de los principales participantes en la gestión de incidentes de seguridad. En este marco debe:

- Definir, implementar, analizar y mejorar el proceso definido para gestionar los incidentes de seguridad de la información y ciberseguridad, de acuerdo con buenas prácticas de industria y con la legislación aplicable vigente.

- Realizar actividades de análisis o retroalimentación post-incidente para aprender de los incidentes de seguridad de la información y ciberseguridad.

- Preparar los reportes a la Junta Directiva de la gestión de incidentes de seguridad de la información y Ciberseguridad

Es responsabilidad de la Vicepresidencia de Seguridad y Riesgos Empresariales presentar un informe al menos semestral a la Junta Directiva, sobre la gestión de incidentes de seguridad de la información y ciberseguridad.

3.2. PREPARACIÓN PARA LA GESTIÓN DE INCIDENTES

La Gerencia de Riesgos y Seguridad de la Información debe disponer los recursos necesarios para realizar la adecuada gestión de incidentes de seguridad de la información y ciberseguridad, por ejemplo y sin limitarse a ellos, recurso humano capacitado y disponible, herramientas de software y hardware propias o tercerizadas, estrategias, guías o instructivos de comunicación interna y externa y otras actividades que considere oportuno o necesario.

Para garantizar una conciencia de ciberseguridad en la entidad, la Gerencia de Riesgos y seguridad de la Información debe establecer una estrategia de divulgación y capacitación dirigida a los servidores públicos, trabajadores oficiales, personal en misión, personal Sena y terceros, incluyendo en ella al menos la tipificación de los incidentes de seguridad de la información y ciberseguridad, los vectores comunes de ataque y las estrategias de prevención.

La Gerencia de Riesgos y Seguridad de la Información debe establecer los equipos especializados, los terceros y los canales de reporte con dichos entes externos con quienes se debe gestionar o a quienes se debe reportar incidentes de seguridad de la información y ciberseguridad de acuerdo con criterios internos y en cumplimiento de la legislación aplicable vigente.

Con el ánimo de prevenir o reducir la probabilidad de ocurrencia de incidentes de seguridad de la información y ciberseguridad, la Gerencia de Riesgos y Seguridad de la Información debe definir estrategias que le permitan tener alertas tempranas y gestionarlas de acuerdo con su aplicabilidad en la entidad.

Es responsabilidad de la Gerencia de Riesgos y Seguridad de la Información definir y disponer los recursos necesarios para realizar la gestión de incidentes de seguridad de la información y ciberseguridad.

3.3. EQUIPO DE RESPUESTA A INCIDENTES (ERI)

Es responsabilidad de la Vicepresidencia de Seguridad y Riesgos empresariales constituir, formalizar y mantener un grupo de servidores y funcionarios responsables y entrenados en el manejo de incidentes de seguridad de la información y ciberseguridad, los cuales conformarán el Equipo de Respuesta a Incidentes (ERI).

El ERI debe estar conformado al menos por representantes de la Gerencia de Riesgos y Seguridad de la Información, la Gerencia de Prevención de Fraude y la Gerencia de Tecnologías de la Información.

Son responsabilidades del Equipo de Respuesta a incidentes –ERI de acuerdo al [7]“Instructivo para la gestión de incidentes de seguridad de la información y ciberseguridad”:

- Analizar cada incidente de seguridad de la información o ciberseguridad reportado para definir la adecuada gestión de acuerdo con la Guía de Respuesta a Incidentes de Seguridad de la Información y Ciberseguridad.

- Articular a las diferentes áreas que deben participar en la gestión de cada incidente de seguridad de la información y ciberseguridad.

- Garantizar que cada incidente es gestionado de acuerdo con los planes y en los tiempos definidos hasta que tenga una adecuada solución.

- Reportar los incidentes de seguridad de la información y ciberseguridad, su gestión, respuesta y lecciones aprendidas a las entidades u organismos a los que haya lugar, de acuerdo con las políticas de Colpensiones y la normatividad aplicable vigente.

3.4. CLASIFICACIÓN Y PRIORIZACIÓN DE INCIDENTES

Es responsabilidad de la Gerencia de Riesgos y Seguridad de la información definir los parámetros de clasificación y priorización utilizados en la Gestión de Incidentes de Seguridad de la Información y Ciberseguridad, así como los criterios de activación del Equipo de Respuesta a Incidentes (ERI).

3.5. DETECCIÓN AUTOMÁTICA DE EVENTOS DE RIESGO

La Gerencia de Riesgos de Seguridad de la Información debe definir estrategias automáticas para el monitoreo y detección de posibles eventos de riesgo que puedan constituir o generar incidentes de seguridad de la información y ciberseguridad.

3.6. GESTIÓN DE INCIDENTES

La gestión de incidentes de seguridad de la información y ciberseguridad que cumplan con los criterios definidos por la Gerencia de Riesgos y Seguridad de la Información será responsabilidad del Equipo de Respuesta a Incidentes. Para los demás incidentes de seguridad de la información y ciberseguridad, la Gerencia de Riesgos y Seguridad de la Información debe coordinar su gestión y respuesta involucrando a las áreas de Colpensiones relacionadas.

El ERI debe contactar e involucrar a cualquier funcionario, servidor, tercero, área o grupo de Colpensiones que sea necesario para dar gestión adecuada de un incidente de seguridad de la información o de ciberseguridad.

La estrategia de gestión de incidentes de seguridad de la información y ciberseguridad debe contemplar actividades relacionadas con la prevención, detección, análisis, contención, erradicación, recuperación y reporte.

Es responsabilidad de la Gerencia de Riesgos y Seguridad de la Información analizar cada uno de los eventos de riesgo reportados para determinar si se trata de un incidente de seguridad de la información o de ciberseguridad que afecta la infraestructura tecnológica, los procesos y la información de Colpensiones.

3.7. DOCUMENTACIÓN DE LA GESTIÓN DE INCIDENTES

La Gerencia de Riesgos y Seguridad de la Información debe garantizar que para cada incidente de seguridad hay documentación amplia y suficiente que soporte cada una de las actividades de la gestión de incidentes, especialmente las relacionadas con lecciones aprendidas y actividades de control implementadas para la contención, erradicación y recuperación. La documentación deberá almacenarse en una carpeta administrada por la Gerencia de Riesgos y seguridad de la Información destinada para tal fin.

3.8. USO DE EVIDENCIA DIGITAL

Colpensiones debe definir y garantizar los recursos, propios o a través de terceros, requeridos para levantar, preservar y analizar evidencia digital bajo la normatividad interna y en cumplimiento de la legislación vigente aplicable.

En la gestión de un incidente de seguridad de la información o de ciberseguridad el ERI debe determinar la necesidad y oportunidad de realizar un proceso de levantamiento, preservación y análisis de evidencia digital de acuerdo con el Instructivo para la Gestión de Incidentes de Seguridad de la Información y Ciberseguridad.

Es responsabilidad de la Gerencia de Tecnologías de Información garantizar la custodia de las evidencias que se puedan adquirir de los elementos tecnológicos necesarios en cualquier evento que desencadene un incidente de seguridad de la información en Colpensiones o un tercero crítico.

3.9. REPORTE

El ERI debe reportar los incidentes de seguridad de la información y ciberseguridad, su gestión, respuesta y lecciones aprendidas a las entidades u organismos a los que haya lugar, de acuerdo con la normatividad aplicable vigente y los criterios definidos por la entidad.

La Vicepresidencia de Seguridad y Riesgos Empresariales debe informar al menos semestralmente a la Junta Directiva los incidentes de seguridad de la información y ciberseguridad ocurridos, las actividades de gestión realizadas y las actividades de control implementadas para evitar su recurrencia.

CAPÍTULO VII PARA LA GESTIÓN DE CIBERSEGURIDAD

1. OBJETIVO

Esta Política tiene como objetivo garantizar la confidencialidad, integridad, disponibilidad y privacidad de la información expuesta en el ciberespacio, y cumplir con el marco normativo vigente, buscando un equilibrio entre los niveles de riesgo y el uso eficiente de los recursos.

2. ALCANCE

La política de gestión de la ciberseguridad está dirigida a todo el personal que tenga permitido el acceso a los sistemas informáticos de Colpensiones, incluso aquellos que son administrados mediante contratos con terceros.

3. POLÍTICAS

3.1. SOBRE LA PROTECCIÓN DE LA IDENTIDAD

Colpensiones deberá realizar el tratamiento de los datos personales, la privacidad y protección de la identidad de las partes interesadas que se encuentren bajo su custodia; Colpensiones respeta la privacidad de cada una de ellas en el ciberespacio, por lo tanto deberá implementar controles necesarios para la protección de dicha información.

3.2. SOBRE LA CODIFICACIÓN DE APLICACIONES

La Gerencia de Tecnologías de la Información podrá liberar complementos que ofrezcan valor agregado a los usuarios finales y que sean requeridos para el acceso de algunos servicios en el ciberespacio; estos elementos estarán alineados a lo estipulado en la política de seguridad en los procesos de desarrollo y soporte de Colpensiones.

Colpensiones deberá informar al usuario final a través de un acuerdo con lenguaje apropiado su política de codificación, así como la política de privacidad y los medios por los cuales los usuarios puedan cambiar su aceptación o escalar cualquier asunto aclaratorio sobre dichas políticas. Para estos acuerdos, la Gerencia de Tecnologías de la Información deberá tener control de versiones y deberá asegurar que todos los usuarios lo suscriban.

La Gerencia de Tecnologías de la Información deberá definir y establecer los mecanismos necesarios de seguridad en las etapas de análisis, diseño, desarrollo, pruebas e implementación de arquitectura de servicios con el fin de asegurar la comunicación y sus componentes en la interacción entre los sistemas orientados a servicios

3.3. SOBRE EL USO DE SISTEMAS OPERATIVOS CON SOPORTE

La Gerencia de Tecnologías de la Información debe asegurar que Los funcionarios de Colpensiones que se conectan a los sistemas que Colpensiones tiene expuestos al ciberespacio, deben utilizar un equipo de cómputo o dispositivo móvil que tenga un sistema operativo licenciado, con soporte y con las últimas actualizaciones de seguridad para protegerlos de aprovechamientos y ciberataques.

3.4. SOBRE EL USO DE SOFTWARE DE APLICACIÓN SOPORTADO

La Gerencia de Tecnologías de la Información deberá hacer uso de aplicaciones de software actualizadas y soportadas, instalando los parches de seguridad recientes, los clientes deben conocer y hacer seguimiento a la política organizacional.

3.5. SOBRE EL USO DE HERRAMIENTAS DE SOFTWARE DE SEGURIDAD

La Gerencia de Tecnologías de la Información deberá implementar el uso de herramientas de software de seguridad, herramientas antivirus y antispyware; Colpensiones deberá realizar alianzas con proveedores de servicios de confianza y reconocidos de este tipo de soluciones con el fin de ofrecer a los usuarios finales protección contra software malicioso.

Los usuarios de los sistemas que Colpensiones expone en el ciberespacio deben ser conscientes y hacer seguimiento de la política de Colpensiones respecto al uso de herramientas de software de seguridad y cada uno de ellos debe solicitar a Colpensiones información sobre software recomendado, suministrado o descontinuado.

3.6. SOBRE EL USO DE APLICACIONES ANTIPHISHING

La Gerencia de Tecnologías de la Información deberá implementar el uso de filtros antiphishing, con el fin de protegerse de posible fraude en la Web y minimizar el riesgo de robo de datos personales.

Esta apropiación se debe realizar a través del uso de herramientas tecnológicas proveídas por los navegadores y herramientas comerciales que requieran ser adquiridas por Colpensiones.

3.7. SOBRE LOS SERVICIOS DE ACTUALIZACIONES

Los usuarios de los sistemas que Colpensiones tiene expuestos al ciberespacio deben utilizar las aplicaciones recomendadas por Colpensiones y mantenerlas actualizadas con los últimos parches de seguridad publicados.

La infraestructura tecnológica que Colpensiones tiene implementada para soportar los servicios internos y de cara al cliente, debe mantener e implementar las actualizaciones de seguridad más recientes publicadas.

3.8. SOBRE EL USO DE FIREWALL PERSONAL Y HIDS (Host-Based Intrusion Detection System)

La Gerencia de Tecnologías de Información debe controlar que todos los funcionarios que usen sus servicios y accedan a la infraestructura en el ciberespacio tengan activados el firewall y demás herramientas nativas del sistema operativo usadas para el control de acceso de tráfico de red; debe controlar que los funcionarios no deshabiliten este tipo de herramientas.

3.9. SOBRE EL COMPORTAMIENTO DEL PERSONAL

La Gerencia de Riesgos y Seguridad de la Información debe fijar línea base para el comportamiento del personal, buscando controlar la proliferación de engaños y posibles fraudes. Colpensiones debe asegurarse que los empleados y contratistas tomen conciencia de sus responsabilidades de seguridad de la información y las cumplan a través de planes de sensibilización en responsabilidades y uso adecuado de la información y el comportamiento en el ciberespacio.

3.10. SOBRE LA CONCIENCIA DE RIESGOS DE CIBERSEGURIDAD

La Gerencia de Riesgos y Seguridad de la Información deberá promover la conciencia y entendimiento de los riesgos de ciberseguridad dentro de la organización, alineada a la sensibilización y exigencia de aprendizaje y desarrollo de destrezas contra ataques de ciberseguridad, en particular ataques de ingeniería social.

3.11. SOBRE EL USO DE REDES SOCIALES EXTERNAS Y APLICACIONES EN EL CIBERESPACIO

La Gerencia de Riesgos y Seguridad de la Información debe promover conciencia en riesgos puntuales de ingeniería social, implementando las mejores prácticas y las políticas esperadas en el comportamiento en redes sociales y otras aplicaciones en el ciberespacio, ajustándose al nivel de riesgo y exposición asociado,.

Los usuarios deberán entender y aceptar su responsabilidad sobre él buen uso y entendimiento de incidentes de ingeniería social y no podrán alegar ignorancia sobre tales riesgos.

3.12. POLÍTICA DE CATEGORIZACIÓN Y CLASIFICACIÓN DE LA INFORMACIÓN

La Gerencia de Riesgos y Seguridad de la Información debe implementar procesos para categorización y clasificación de la información, realizando promoción de conciencia en los usuarios y promoviendo la protección de información corporativa clasificada e información personal sensible.

3.13. SOBRE LA LIMITACIÓN DE AUDIENCIA DE DISTRIBUCIÓN Y MINIMIZACIÓN DE LA INFORMACIÓN

Todo el personal de Colpensiones debe minimizar la información a ser distribuida en el ciberespacio, haciendo un uso eficiente del sistema para compartir información sin comprometer la eficacia.

Todo el personal de Colpensiones debe omitir la distribución de información sensible que pueda afectar la privacidad de las personas y debe determinar el nivel de detalle para cada una de las categorías y clasificación de la información antes de ser compartida.

CAPÍTULO VIII PARA EL DESARROLLO SEGURO

1. OBJETIVO

Este capítulo tiene como objetivo definir las políticas que se aplicarán durante el ciclo de vida de desarrollo de Colpensiones así como los mecanismos de control que se deberán utilizar en las diferentes fases con el fin de certificar la calidad y seguridad de las aplicaciones.

2. ALCANCE

La política de desarrollo seguro está dirigida al ciclo de vida de desarrollo de aplicaciones que sean contratadas a través de terceros o desarrolladas al interior de Colpensiones para dar cumplimiento a los criterios seguridad de la información y ciberseguridad.

3. POLÍTICAS

El ciclo de vida de desarrollo de software de Colpensiones contará con las siguientes etapas y requisitos que deberá cumplir la Gerencia de Tecnologías de la Información.

3.1. ANÁLISIS DE LA NECESIDAD

- Se debe recolectar la información asociada a una necesidad u oportunidad y generar de alternativas de solución.

- Se debe establecer una priorización de los requerimientos.

- Se debe realizar un análisis de factibilidad.

- Se debe entender el proceso de negocio.

- Se debe tener en cuenta que las aplicaciones que manejan datos confidenciales cumplan con los controles de seguridad y se implementarán durante todo el ciclo de vida del desarrollo.

3.2. REQUERIMIENTOS

- Se deben establecer técnicas para reducir, eliminar y obtener requerimientos funcionales.

- Se debe incluir el flujo del proceso en el documento del proceso.

- Cualquier requisito No Funcional debe ser definido.

- Se debe evaluar la tecnología requerida.

- Se deben identificar requerimientos normativos y/o regulatorios.

- Se debe evaluar la integración a aplicaciones existentes

- Se deben incluir los lineamientos de arquitectura, estándares y seguridad definidos por COLPENSIONES.

3.3. DISEÑO CONCEPTUAL

- Se debe generar un documento de arquitectura de diseño que responda a los siguientes dominios Estrategia, Negocio, Sistemas de información, Información (datos), Tecnología, Interoperabilidad, Gobierno (Componentes, Responsabilidades, Roles y Alertas), seguridad.

- Las funciones y componentes deben ser descritos en detalle en el documento.

- Los componentes de la aplicación deben planificarse de manera consistente con los datos y la seguridad de la red.

- Dividir el sistema, proceso o problema en unidades o módulos discretos y utilizar artefactos y herramientas visuales para analizar los requerimientos (diagramas, plantillas, prototipos, etc.)

3.4. DESARROLLO

- Se deben transformar los documentos de diseño detallados en un producto o solución terminados.

- Se debe ejecutar la revisión de código en las aplicaciones para identificar problemas de seguridad.

- Los desarrolladores de sistemas o software deben realizar pruebas manuales y automatizadas a nivel de unidad o módulo a lo largo de esta fase. Las consideraciones de seguridad se tienen en cuenta durante las pruebas.

- Se debe establecer manejo adecuado de errores y/o excepciones en el software

3.5. PRUEBAS

- Se deben ejecutar pruebas funcionales y de eficiencia sobre la aplicación para verificar que cumplen con los requerimientos solicitados.

- Se debe aplicar un proceso de pruebas que permita analizar, diseñar y ejecutar validaciones que identifiquen no conformidades sobre el producto, antes de su salida a producción.

- Evaluar y analizar los requisitos no funcionales de la aplicación que sean susceptibles para ejecutar pruebas técnicas.

- Se deben ajustar, corregir los defectos y errores funcionales y de seguridad identificados durante las pruebas.

- Se deben probar todas las características de seguridad de la aplicación a través del análisis de vulnerabilidades.

- Se debe incluir en la documentación las características de la aplicación junto con la implementación instrucciones sobre las configuraciones de seguridad adecuadas.

- Se deben establecer controles de acceso para la separación de los diferentes ambientes de pruebas.

- En caso de requerirse hacer uso de datos de producción para realizar las pruebas, es necesario que se establezcan mecanismos de ofuscación y/o enmascaramiento de los datos para que no puedan ser consultados en su estado real.

- Se deben establecer mecanismos de segregación de funciones entre las fases de desarrollo y pruebas.

3.6. PRODUCCIÓN

- La puesta en producción no debe comprometer los controles de seguridad existentes o introducir nuevas vulnerabilidades.

- El paso a producción de una nueva aplicación estará sujeto a una evaluación completa previa a la aprobación de la documentación de control de cambios.

- Las versiones nuevas y la liberación de parches estarán sujetas a un nivel de evaluación apropiado basado en el riesgo de los cambios en la funcionalidad de la aplicación.

- Se deben ejecutar pruebas de funcionamiento y de seguridad a los nuevos sistemas, actualizaciones y/o aplicaciones en ambiente de pruebas, para validar la necesidad y operatividad de estos, previo a la aprobación e implementación.

- Se deben establecer controles de acceso para la separación de los diferentes ambientes de pruebas al de producción.

- El despliegue del código de la aplicación en el entorno producción debe ser ejecutado por un agente designado.

- Se deben mantener y documentar controles de versionamiento del software y sus componentes.

3.7. OPERACIÓN Y SOPORTE

- Todo el mantenimiento futuro de la aplicación no debe comprometer los controles de seguridad existentes o introducir nuevas vulnerabilidades. Cualquier código nuevo será revisado y probado.

- Se debe asegurar que el software adquirido cuenta con el soporte requerido durante su ciclo de vida.

4. EXCEPCIONES

Toda excepción a la política debe ser aprobada por la Gerencia de Tecnologías de la Información.

5. DOCUMENTOS DE BUENAS PRÁCTICAS Y LINEAMIENTOS

Los siguientes son los documentos utilizados para el desarrollo de software en Colpensiones:

- OWASP Testing Guide

- OWASP Development Guide

- OWASP Code Review Guide

- Lineamientos de seguridad en el desarrollo de aplicaciones.

6. POLÍTICA DE REUTILIZACIÓN

La reutilización del software cubre más que solo el código fuente. El desarrollo de aplicaciones considerará el siguiente ciclo de desarrollo de software para reutilización:

- Planes de proyectos.

- La arquitectura.

- Requisitos Modelos y Especificaciones.

- Diseños.

- Código fuente.

- Usuario y documentación técnica.

- Los datos.

7. LICENCIAS

- El software desarrollado para Colpensiones deberá realizarse por medio de herramientas y/o software legalmente licenciado.

- Crear conciencia en los funcionarios acerca de los derechos de autor del software.

- Cumplir con los términos y condiciones para el software obtenido, tanto comercial como código abierto.

- Verificar el cumplimiento de los derechos de autor y los derechos de patentes, de acuerdo con los términos de aceptación de la licencia.

- Mantener un registro actualizado del software utilizado por Colpensiones y el número de licencias autorizadas y controlar su cumplimiento.

CAPÍTULO IX PARA LA GESTIÓN DE ACTIVOS DE INFORMACIÓN Y CIBERSEGURIDAD

OBJETIVO

Identificar cada activo de información y ciberseguridad, estableciendo y manteniendo un inventario de estos activos, incluyendo un propietario asignado y que la naturaleza y el valor de cada activo se maximice mediante una adecuada gestión durante todas las etapas de su ciclo de vida incluyendo su creación, procesamiento, almacenamiento, transmisión, eliminación y destrucción. También asegura que los límites de uso aceptable estén claramente definidos para cualquiera que tenga acceso a la información, y que se protejan acorde con la criticidad que tengan para Colpensiones.

2. ALCANCE

Esta política aplica a todos los procesos de Colpensiones, desde la identificación del Propietario del activo, valoración de riesgos, clasificación de la información y publicación de los activos.

Se consideran activos de información los siguientes:

- Hardware.

- Software.

- Red

- Recurso humano

- Información. (Física o Digital)

- Organización

3. POLÍTICAS

El ciclo de vida del activo de información y ciberseguridad contará con las etapas y requisitos incluyendo su creación, procesamiento, almacenamiento, transmisión, eliminación y destrucción.

DEFINICIONES

Activo de Información Se denomina activo a aquello que tiene valor para Colpensiones y por lo tanto debe protegerse. De manera que un activo de información es aquel que contiene o manipula información, abarcando seguridad digital y continuidad de la operación

Inventario de activos:

Todos los activos deben estar claramente identificados y Colpensiones debe elaborar y mantener un inventario de los mismos.

Propiedad de los activos:

Los activos de información del inventario deben tener un propietario.

Clasificación de la información:

Es el ejercicio por medio del cual se determina que la información pertenezca a uno de los niveles de clasificación estipulados por Colpensiones, teniendo un inventario de activos. La clasificación tiene como

objetivo asegurar que la información tenga el nivel de protección adecuado. La información debe clasificarse en términos de sensibilidad e importancia para Colpensiones según la ley 1581 de 2012 y la ley 1712 de 2014.

Etiquetado y manipulado de la información:

Colpensiones desarrolló un conjunto adecuado de procedimientos para el etiquetado de la información, de acuerdo con el esquema de clasificación de información adoptado por la Entidad

Áreas Seguras

Son lugares en donde reside y procesa información de carácter reservada y/o critica para Colpensiones

Dato personal:

Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables. Por ejemplo, su documento de identidad, el lugar de nacimiento, estado civil, edad, lugar de residencia, trayectoria académica, laboral, o profesional

Gestión de activos:

Proceso que determina la clasificación y valoración de los activos de información, manteniendo actualizado el inventario de activos.

4. INVENTARIO DE ACTIVOS DE INFORMACIÓN Y CIBERSEGURIDAD

- Los líderes de los procesos deben tener y mantener actualizado el inventario de los activos de información, entre ellos, pero sin limitarse a los mismos se encuentran los siguientes: recursos humanos, información recursos tecnológicos (sub redes, servidores, aplicaciones, dispositivos de red, estaciones de trabajo, portátiles, base de datos información, software, servicios y licencias de software), infraestructura física (aire acondicionado, generadores de energía, unidades de potencia UPS y circuitos). El inventario de activos se debe realizar teniendo en cuenta los lineamientos definidos en la Instructivo Gestión de Activos y Clasificación de la Información y Ciberseguridad.

- Todo activo de información de Colpensiones es de uso exclusivo de la Entidad y será utilizado únicamente para su propósito específico.

- Los propietarios de los activos de información deberán identificar, clasificar y mantener registro documentado de los activos de información por cada uno de sus procesos.

- El inventario de activos de información y ciberseguridad deberá incluir como mínimo: nombre, descripción, propietario, custodio, tipo de activo, atributos, valor, clasificación, acceso y ubicación.

- El inventario de activos de información y ciberseguridad será actualizado por el líder del proceso cada vez que el proceso identifique un nuevo activo, se presente un cambio significativo en el mismo o deba retirarlo.

- El inventario de activos de información y ciberseguridad debe ser exacto, actualizado, consistente y alineado con otros inventarios.

- Todos los activos de información de Colpensiones serán identificados, clasificados y valorados de acuerdo a los procedimientos establecidos para tal fin.

5. PROPIEDAD DE LOS ACTIVOS DE INFORMACIÓN Y CIBERSEGURIDAD

- La función de los responsables o propietarios de los activos de información y ciberseguridad estará en cabeza de Vicepresidentes, Jefes de Oficina, ó Gerentes. y/o quien sea designado como propietario de la información, quienes son los encargados de administrar la información para el cumplimiento de los objetivos del proceso y son los responsables por cumplir, mantener los controles de seguridad y reportar cualquier incidente que se presente.

- Es función del custodio de TI administrar y gestionar los activos de información y ciberseguridad entre los cuales están las comunicaciones electrónicas, copias de seguridad (back up), desarrollo de software y cualquier otra información generada, procesada, almacenada o transmitida a través de procesos y recursos de Colpensiones.

- El propietario del activo de Información y ciberseguridad tiene las siguientes responsabilidades:

- Asegurar que los activos de información y ciberseguridad están inventariados.

- Asegurar que los activos de información y ciberseguridad de los cuales es responsable están clasificados y protegidos apropiadamente.

- Definir y revisar periódicamente las restricciones y clasificaciones de acceso a activos importantes, teniendo en cuenta las políticas de control de acceso aplicables.

- Asegurar el manejo apropiado del activo de información y ciberseguridad cuando es eliminado o destruido.

- Decidir si se aprueban o se rechazan las solicitudes de acceso asociadas con las aplicaciones e información asignadas.

- Las actividades realizadas por el propietario de la información podrán ser delegadas (identificar, clasificar, priorizar e inventariar activos), pero con la salvedad que la responsabilidad siempre permanecerá sobre su propietario.

- Los propietarios de los activos tienen la responsabilidad por el mantenimiento de los controles adecuados sobre sus activos.

- Responsabilidades del Custodio TI del activo de información y ciberseguridad

- Proteger los activos de información y ciberseguridad acorde con su confidencialidad, integridad o disponibilidad.

- Asignar las claves y accesos de acuerdo a lo solicitado por el Propietario del activo funcional y de conformidad con lo establecido en la solicitud.

- Administrar los dispositivos de seguridad incluyendo la implementación y configuración de controles para firewalls, sistemas de detección de intrusos, anti-virus y cualquier otro componente de seguridad pertinente.

- Respaldo periódico de los datos, verificación regular de la integridad, restauración a partir de los respaldos cuando sea necesario y cumplimiento de las políticas de seguridad establecidas por Colpensiones.

- Apoyar y validar la clasificación de los activos de información y ciberseguridad, así como la evaluación de riesgos basado en la confidencialidad, integridad y disponibilidad.

- Establecer e implementar mecanismos de monitoreo y auditoria de los activos de información y ciberseguridad basado en la confidencialidad, integridad y disponibilidad.

- El custodio no está autorizado a cambiar los niveles de seguridad ni clasificación de los activos que cuida; esta tarea es responsabilidad directa del propietario.

6. USO ACEPTABLE DE LOS ACTIVOS DE INFORMACIÓN Y CIBERSEGURIDAD

- Todos los funcionarios, terceros (proveedores y contratistas) tendrán que cumplir las siguientes reglas para el uso de los activos de información y ciberseguridad:

- Todo funcionario que tenga acceso a cualquiera de los activos de información y ciberseguridad de Colpensiones deberá utilizarlos sólo para labores relacionadas con sus funciones, procedimientos en los que participa, servicios que presta o responsabilidades asignadas.

- Todo funcionario es responsable del uso de cualquier recurso o activo de información y ciberseguridad y de cualquier trabajo realizado bajo su responsabilidad.

- Los usuarios (servidores públicos, trabajadores oficiales, personal en misión, personal Sena y terceros) son responsables del uso apropiado de la información y los recursos tecnológicos asignados para el cumplimiento de sus actividades, según lo establecido en Colpensiones. Así mismo, las políticas internas y las leyes colombianas, incluyendo, pero no limita las normas sobre propiedad intelectual y derechos de autor y la Ley 1581 Protección de Datos Personales.

7. CLASIFICACIÓN DE LA INFORMACIÓN

Los activos de Información y ciberseguridad de Colpensiones serán clasificados para definir un conjunto apropiado de niveles de protección. Para tal efecto la clasificación y etiquetado de la información se debe hacer de acuerdo a los riesgos que existan en la divulgación de la información.

Todos los activos de información y ciberseguridad se deben etiquetar claramente para advertir el nivel de la clasificación de la información (Información Reservada, Información Clasificada o Información pública).

Los dispositivos móviles no deben tener almacenada información pública clasificada o pública reservada de forma permanente, a menos que esté autorizado por el propietario de la información.

La información una vez clasificada puede ser reclasificada con base en criterios objetivos del propietario de esta, conforme a los procedimientos establecidos para tal efecto.

7.1. CATEGORIAS DE CLASIFICACION DE LA INFORMACIÓN

Las categorías de clasificación de la información son definidas teniendo en cuenta los principios de la seguridad de información (Confidencialidad, Integridad y Disponibilidad) y los principios de calidad de la información (Exactitud, Completitud, Consistencia y Trazabilidad). Toda la información de Colpensiones es clasificada en los siguientes niveles:

Información Pública:

Es toda información que los afiliados a Colpensiones generen, obtengan, adquieran, o controlen en su calidad de ciudadanos y que no se encuentre dentro de la clasificación de información pública clasificada o publica reservada.

Esta información puede ser entregada o publicada sin restricciones a los funcionarios o a cualquier persona sin que esto implique daños a terceros ni a las actividades y procesos de Colpensiones

Información Pública Clasificada:

Es aquella información que estando en poder o custodia de Colpensiones, pertenece al ámbito propio, particular y privado o semi-privado de una persona natural o jurídica por lo que su acceso podrá ser negado o exceptuado, siempre que se trate de las circunstancias legítimas y necesarias y los derechos particulares o privados consagrados en el artículo 18 de la ley 1712 del 2014

Información Pública Reservada: Es aquella información "que estando en poder o custodia de Colpensiones, es exceptuada, de acceso a la ciudadanía por daño a intereses públicos y bajo cumplimiento de la totalidad de los requisitos consagrados en el artículo de esta ley (Ley 1712/2014).

8. ETIQUETADO, MANIPULACIÓN Y ELIMINACIÓN DE LA INFORMACIÓN

- De acuerdo con el esquema de clasificación anterior, cada tipo de información debe ser etiquetado teniendo las siguientes consideraciones para cuando se realiza una copia, impresión, almacenamiento, transmisión electrónica, intercambio físico y destrucción de esta:

- El etiquetado reflejará la clasificación establecida de forma visible.

- Los documentos con información del tipo “Pública Clasificada o Pública Reservada” deben ser controlados y se debe llevar un registro de las personas que las tienen.

- La copia o transferencia por cualquier medio (electrónico, magnético, en papel) de “Información Pública Clasificada o Pública Reservada” debe estar autorizada y controlada por el propietario de la información.

- El envío de documentos con “Información Pública Clasificada o Pública Reservada”, debe hacerse por medio de canales seguros tales como mensajería privada, correo electrónico cifrado, entrega personal. Es importante evitar el uso del servicio postal, fax, internet o medios no controlados para su envío.

- Toda recepción de información sensible debe acusar formalmente de recibido.

- El envío físico de información Pública Clasificada o Pública Reservada debe hacerse por medio de paquetes debidamente cerrados y que no permitan observar su contenido.

- De ser necesario, debe considerarse un centro de destrucción de documentos restringidos o confidenciales que garantice la no reutilización de la información.

- La información Pública, Pública Clasificada o Pública Reservada debe reflejar por medio de una marca o etiqueta apropiada, la clasificación a la que pertenece, sin importar la forma o medio en la que se encuentre.

- Colpensiones a través de sus instancias de Control correspondientes, se reserva el derecho de sancionar a la persona que divulgue o destruya ilícitamente la información de la empresa, en cualquier formato o medio, de acuerdo a la gravedad de la falta.

- La salida procedente de los sistemas de información que traten información clasificada como Pública, Pública Clasificada o Pública Reservada, deben llevar una etiqueta de clasificación adecuada.

CAPÍTULO X PARA LA GESTIÓN DE MEDIOS DE ALMACENAMIENTO

1. OBJETIVO

Colpensiones debe prevenir la revelación, modificación, remoción o destrucción no autorizada de activos de la información y ciberseguridad, e interrupciones a las actividades que soportan los procesos de la organización. Los medios removibles deben ser controlados y físicamente protegidos.

2. ALCANCE

Esta política aplica a todos medios removibles los cuales deben ser controlados y físicamente protegidos.

3. POLÍTICAS

La Gerencia de Gestión Documental establece los procedimientos operativos adecuados para proteger los documentos, medios informáticos (discos, cintas, etc.), datos de entrada o salida y documentación del sistema contra la divulgación, modificación, retirada o destrucción de activos no autorizadas.

De igual manera la Gerencia de Gestión Documental asegura los soportes y la información en tránsito no sólo física sino digital (a través de las redes).

4. GESTIÓN DE MEDIOS REMOVIBLES

Los líderes de procesos deben proteger toda la información de Colpensiones, independientemente del medio en el cual se mantenga, transporte y/o custodie la información.

Deben existir procedimientos para la administración de medios removibles tales como cintas, discos, unidades USB, CD002C DVD. En todo caso se deberá considerar:

- Se debe evitar al máximo el uso de medios de almacenamiento removibles

- El uso de medios removibles solamente es autorizado por el Presidente, Vicepresidentes, o Gerentes de la Entidad incluyendo el análisis de riesgos y justificando la necesidad de su uso frente a otras alternativas, y enviando el mismo a la Gerencia de Riesgos y Seguridad de la Información.

- El manejo de la información de Colpensiones en Medios Removibles está expuesta a riesgos, como pérdida, fuga o modificación, que compromete no solamente la información sino también la infraestructura tecnológica de la entidad, por lo tanto, el colaborador que autorice su uso y el autorizado será quien asuma las sanciones de ley aplicables en esta materia, siendo responsable de la seguridad de uso de la Información en estos medios.

- No está permitido el almacenamiento de información clasificada como publica clasificada y pública reservada en medios removibles, En caso de requerirse por necesidades del negocio, deberá cifrase la misma o al menos colocar clave de apertura de los archivos que la contienen.

- Las personas autorizadas para el uso de medios removibles son responsables de no utilizar los mismos en dispositivos externos a la entidad que puedan configurar un riesgo para la misma. Cafés internet, equipos de cómputo sin antivirus actualizados, son un ejemplo de ellos.

- Se debe borrar o eliminar toda información que no se requiera o no sea útil en los medios removibles, de tal forma que no pueda ser restaurada o reconstruida teniendo en cuenta lo establecido en el presente manual.

- Debe solicitarse autorización para el uso de los medios extraídos de la organización, dejar registro de las actividades y guardar o mantener una pista de auditoría.

- Todos los medios deben ser almacenados en un ambiente seguro de acuerdo con las especificaciones de los fabricantes.

- Todos los datos almacenados en medios removibles deben ser evaluados contra los estándares de gestión de activos y clasificación de la información y ciberseguridad, y deben ser protegidos de la manera que se indica en el instructivo de administración de medios magnéticos.

5. ELIMINACIÓN DE LOS MEDIOS

La información en el momento en que ya no resulte de utilidad para Colpensiones y cuando se haya cumplido el período de retención exigido por ley, reglamento o contrato, dicha información será destruida conforme a las tablas de retención documental. Para toda destrucción de información se debe dejar acta firmada por el propietario de la información, (Líder del Proceso) y dejar constancia en la Gerencia de Riesgos y Seguridad de la Información y Ciberseguridad.

6. TRANSFERENCIA DE SOPORTES FÍSICOS

Las transferencias de información pública clasificada y pública reservada deben protegerse con mecanismos de cifrado robusto para evitar el acceso, las modificaciones o la eliminación no autorizados.

7. SEGURIDAD DE LA DOCUMENTACIÓN DE SISTEMAS

La documentación de sistemas se debe proteger contra el acceso no autorizado y garantizar su almacenamiento en forma segura. Se debe proteger al menos la siguiente información sin limitarse a la misma:

- Configuración y/o parámetros de los sistemas.

- Ambiente de comunicaciones.

- Versión de los programas y aplicativos en uso.

- Soportes de las pruebas realizadas.

- Procedimientos de instalación del software.

- Diagramas de arquitectura, contexto, secuencia, despliegue entre otros.

- Topología de red.

- Relación de ítems de configuración.

8. TRANSFERENCIA DE MEDIOS DE SOPORTES FÍSICOS

- La información Pública Clasificada y Pública Reservada que se almacene en medios de almacenamiento removibles como (CD, DVD, USB Flash Drives, entre otros) o en dispositivos móviles deben protegerse con mecanismos de cifrado para evitar el acceso, las modificaciones o la eliminación no autorizados.

- La información puede ser susceptible a accesos no autorizados, uso inadecuado y pérdida o corrupción durante el transporte físico, cuando se envían medios a través del servicio postal o empresas de mensajería, por lo cual se deben aplicar controles como los siguientes sin limitarse a los mismos. (Instructivo de Administración de Medios Magnéticos)

- Se deben establecer e implementar mecanismos de seguridad suficientes para proteger los contenidos de cualquier daño físico.

- Se debe cifrar los datos restringidos para prevenir pérdidas de datos si los medios son hurtados o extraviados.

La presente política tiene como base los instructivos - (Instructivo de Administración de Medios Magnéticos) y (Gestión de Espacios de Almacenamiento) los cuales se encuentran actualizados y alineados a los procesos de gestión documental de Colpensiones.

CAPÍTULO XI PARA LA ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE INFORMACIÓN

Colpensiones garantiza que la seguridad es parte integral de los sistemas de información y que se encuentra presente en las fases del ciclo de vida de desarrollo y mantenimiento de software, incluyendo los requisitos de seguridad de la información y ciberseguridad y las pruebas de seguridad que correspondan adoptando las mejores prácticas y dando cumplimiento a los requerimientos regulatorios.

Los sistemas de información incluyen sistemas operativos, infraestructura, aplicaciones del negocio, servicios y aplicaciones desarrolladas para usuarios y terceros que desarrollan aplicaciones.

1. OBJETIVO

Definir las políticas que se aplicarán para la adquisición, desarrollo y mantenimiento de Sistemas de Información de Colpensiones así como los mecanismos de control que se deberán utilizar en las diferentes fases por la Gerencia de Tecnologías de la Información, con el fin de garantizar la seguridad de las aplicaciones.

2. ALCANCE

Esta Política se aplica para la adquisición, mantenimiento y desarrollo de aplicaciones que sean contratadas a través de terceros o desarrolladas al interior de Colpensiones para dar cumplimiento a los criterios seguridad de la información y ciberseguridad.

3. POLÍTICAS DE ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE APLICACIONES

La Gerencia de Tecnologías de la Información debe:

- Asegurar que se haga un adecuado análisis y especificación de los requerimientos de seguridad del software desde su diseño, ya sea interno o adquirido, que incluya desde la validación de usuarios y datos de entrada y salida, el procesamiento de información, de acuerdo con la clasificación de los activos.

- Establecer los controles necesarios para cifrar la información pública clasificada y publica reservada, con el fin de evitar la posibilidad de una acción indebida por parte de un usuario del sistema. Igualmente, se deberán asegurar los archivos del sistema y mantener un control adecuado de los cambios que puedan presentarse.

- Los datos de prueba usados en los sistemas y/o aplicaciones de Colpensiones considerados de carácter confidencial deben controlarse y protegerse. Se debe mantener un acceso restringido y controlado, haciendo uso de los mecanismos de seguridad para su acceso.

- Si los sistemas de información de prueba están fuera del dominio de Colpensiones, y son controlados por un tercero, se deberá exigir cláusulas de confidencialidad, y deberán implementar los mecanismos de seguridad necesarios para su protección.

- Implementar controles para restringir el acceso al código fuente de las aplicaciones y/o sistemas.

- Controlar los cambios en los sistemas de información de Colpensiones, bajo procedimientos y autorizaciones formales, por los responsables a cargo.

- Los sistemas de información y/o aplicaciones deben ser sometidas a revisiones y pruebas luego de cualquier cambio, para asegurar que no hay impactos adversos en las operaciones o seguridad de la información.

- Implementar los controles necesarios para evitar la fuga de información, por cualquiera de sus medios.

- Supervisar y monitorear, los desarrollos contratados externamente, mediante acuerdos, contratos, derechos de propiedad, certificaciones de calidad, pólizas, entre otros.

- Solo los administradores de sistemas de información autorizados por la Gerencia de Tecnologías de la Información podrán realizar la instalación de software licenciado en los equipos de la entidad.

- Antes de la instalación de software en ambientes productivos, el software debe ser probado en ambientes de prueba, garantizando su capacidad de uso, seguridad y compatibilidad con otros programas.

- La Gerencia de Tecnologías de la Información debe implementar controles de restricción sobre los Sistemas Operativos, para evitar que los usuarios no autorizados puedan instalar software.

- No se permitirá la instalación de software, que no haya sido previamente avalado y autorizado por la Gerencia de Tecnologías de la Información, en cumplimento de las normas y regulaciones para su uso.

- Colpensiones deberá obtener información oportuna sobre las vulnerabilidades técnicas de los sistemas de información y/o aplicaciones, y evaluar la exposición a dichas vulnerabilidades y tomar las acciones apropiadas para tratar los riesgos, con el fin de evitar la explotación de las mismas.

- La Gerencia de Tecnologías de la Información, garantizarán la disposición final de medios de almacenamiento, y software de la entidad para dar de baja apropiadamente la información de Colpensiones.

- Todos los equipos que hagan parte del inventario de Colpensiones, deben ser autorizados por la Dirección de Infraestructura de Tecnológica para su retiro, borrado, y/o eliminación.

- Todo equipo de cómputo o medio de almacenamiento que sea retirado del funcionamiento de la entidad y que contenga información o software licenciado, se le debe realizar un borrado seguro de la información contenida o destruirse físicamente antes de darle una nueva destinación.

- La Gerencia de Tecnologías de la Información debe conservar adecuadamente en un sitio seguro el software de instalación, de paquetes, aplicaciones o sistemas operativos que la organización haya descontinuado su uso.

- El periodo de conservación de dicha información deberá estar acorde con la necesidad de Colpensiones para el cumplimiento legal y regulatorio y las necesidades del negocio, en la que se pueda necesitar el software en desuso para recuperar o acceder a información ligada a versiones anteriores de programas.

- Cuando se determine la eliminación definitiva del software en desuso o descontinuado, este deberá ser destruido físicamente si se encuentra en CD's, DVD's, cintas u otros medios o borrados de manera segura para que no se pueda recuperar información contenido en discos duros o dispositivos de almacenamiento

- Una estrategia de retorno (rollback) debe definirse antes que los cambios sean implementados y debidamente autorizados.

- La Gerencia de Tecnologías de la Información debe mantener un registro de auditoría de todas las actualizaciones de programas en producción.

- Las versiones previas del software de aplicación se deben retener como una medida de contingencia.

- El software usado en sistemas en producción debe ser mantenido en un nivel soportado por el proveedor.

- Los desarrollos de software internos o externos deben cumplir con una metodología de desarrollo seguro y certificación la realización de pruebas de vulnerabilidades realizadas por un tercero certificado. (Ver Manual de Políticas Desarrollo).

- Todas las actualizaciones que se apliquen para el software implementado en Colpensiones deben cumplir con el proceso y/o procedimiento de control de cambios.

- Colpensiones debe prevenir errores, pérdida, modificación no autorizada o uso indebido de información en aplicaciones.

- Los datos de entrada en las aplicaciones deben validarse para asegurar que son correctos, no generan errores y prevenir ataques estándar, incluyendo desbordamiento de pila (buffer overflow) e inyección de código (code injection).

- Se deben aplicar controles a las entrada como:

- Entrada dual y otros chequeos de entrada para detectar errores como valores fuera de rango, caracteres inválidos en campos de datos, datos incompletos o faltantes, control de datos no autorizados o inconsistentes.

- Revisión periódica de contenidos de campos clave o archivos de datos para confirmar su validez e integridad.

- Procedimientos para responder a errores de validación.

- Procedimientos para determinar la veracidad de los datos de entrada.

- Crear registros (logs) de las actividades relacionadas con el proceso de entrada de datos.

- Se deben aplicar controles de Procesamiento como:

- El diseño e implementación de aplicaciones debe asegurar que los riesgos de fallas de procesamiento que llevan a pérdida de integridad son minimizados.

Esto incluye:

- El uso de funciones de adición, modificación y borrado para realizar cambios en los datos.

- Procedimientos para prevenir la ejecución de programas fuera de secuencia o cuando falla el procesamiento previo.

- Uso de programas para recuperación de fallas, con el objeto de asegurar el procesamiento correcto de los datos.

- Controles de lote (batch)

- Controles de balanceo como corrida a corrida, totales de archivos actualizados

- Totales hash de registros y archivos.

- Controles de integridad y autenticidad para datos que se cargan desde computadores remotos o en procesos en lotes.

- Creación de registros (logs) de las actividades relacionadas con el procesamiento de datos.

- Colpensiones en cualquier momento podrá realizar revisiones o auditorías a terceros que manejen o hagan uso de datos de información confidencial en sus sistemas de prueba, con el fin de

garantizar su adecuada protección y podrá exigir el cumplimiento de los mecanismos de seguridad, acorde con la criticidad de la información.

- Se deben aplicar controles de datos de salida como:

- Chequeos para probar si los datos de salida son razonables.

- Provisión de información suficiente, para que un lector o sistema de procesamiento subsiguiente, determine la exactitud, totalidad, precisión y clasificación de la información.

- Procedimientos para responder a las pruebas de validación de salidas.

- Tener un registro (log) de las actividades del proceso de validación de datos de salida.

4. SEGURIDAD EN LOS PROCESOS DE DESARROLLO Y SOPORTE

Colpensiones mantiene la seguridad de la información, así mismo en las aplicaciones, sistemas de información, recursos tecnológicos que soportan la Compañía.

- La introducción de nuevos sistemas y cambios mayores a sistemas existentes deben cumplir con el procedimiento formal de documentación, especificación, pruebas, control de calidad y gestión de implementación.

- Se debe contar con los controles que se deben tener en cuenta en el proceso de control de cambios:

- Mantener un registro de los niveles de autorización acordados.

- Asegurar que los cambios son propuestos por usuarios autorizados.

- Revisar los controles y los procedimientos de integridad para garantizar que no serán comprometidos por los cambios.

- Identificar todo el software, información, bases de datos y el hardware que requieren modificaciones.

- Garantizar que los usuarios autorizados acepten los cambios antes de la implementación.

- Garantizar que la implementación se lleve a cabo minimizando la discontinuidad de las actividades del negocio.

- Asegurar que la documentación del sistema se actualice cuando se complete el cambio y se archiva o elimina la documentación que no se encuentre actualizada.

- Mantener un control de versiones para todas las actualizaciones de software.

- Mantener pistas de auditoría de todas las solicitudes de cambios.

- Asegurar que la documentación operativa y los procedimientos de usuarios se modifiquen según las necesidades.

- Asegurar una adecuada segregación de funciones (la persona que solicite el cambio y la que apruebe y haga los cambios no sea la misma.

- Ante cambios de criticidad urgente, los procedimientos de control de cambios deben seguirse con las restricciones adecuadas sobre el personal de soporte que ejecute los cambios de programas.

- Se debe certificar que en el proceso de control de cambios en los ambientes de contingencia son actualizados.

- Se debe verificar periódicamente la integridad de los sistemas de contingencia en relación con producción.

5. RESTRICCIONES SOBRE CAMBIOS A PAQUETES DE SOFTWARE

- Los paquetes de software suministrados por terceros deben utilizarse sin modificación o limitados a cambios necesarios y estrictamente controlados.

- Cuando se considere esencial modificar un paquete de software, se deben tener en cuenta los siguientes puntos:

- Validar en caso de requerir el consentimiento del proveedor.

- La posibilidad de obtener del proveedor los cambios requeridos como actualizaciones estándar de programas.

- El impacto que se produciría si la organización se hace responsable del mantenimiento y soporte en el futuro del software como resultado de los cambios.

- Si se consideran necesarios los cambios, el software original debe mantenerse y aplicar los cambios a una copia claramente identificada.

- Todos los cambios deben ser completamente probados y documentados, a fin de que puedan ser, si es necesario, nuevamente aplicados en futuras actualizaciones de software.

6. DESARROLLO DE APLICACIONES EXTERNO

- El desarrollo de software tercerizado debe ser supervisado y monitoreado por Colpensiones. Los terceros contratados para el desarrollo de software deben cumplir con las políticas de seguridad de Colpensiones, en especial las consideradas en los numerales en el Manual de Políticas Desarrollo.

- Para los desarrollos de aplicaciones realizado por externos, Colpensiones tendrá en cuenta los siguientes aspectos:

- Acuerdos de Licenciamiento, propiedad del código fuente y derechos de propiedad intelectual.

- Certificación de calidad y seguimiento del supervisor del contrato en relación al trabajo efectuado.

- Acuerdos de garantía en el evento de fallas de las terceras partes.

- Derechos de acceso para auditar la calidad y la exactitud del trabajo hecho.

- Requerimientos contractuales para la calidad y funcionalidad de la seguridad del código.

- Revisión del código fuente.

- Realizar Pruebas antes de la instalación para detectar código troyano y malicioso, entre otros.

7. MANEJO DE DATOS DE PRUEBA

- Los datos de prueba deben ser seleccionados cuidadosamente, protegidos y controlados.

- El uso de bases de datos para propósitos de prueba conteniendo información de carácter confidencial y otra información relevante debe evitarse; sin embargo, de ser requerido para uso para pruebas, el contenido confidencial debe ser removido o modificado y deberá cumplir:

- Identificar y documentar todos los datos confidenciales de los sistemas de información que se usarán en ambientes de prueba.

- El copiado o el uso de estos datos en un sistema de información en etapa de pruebas debe ser aprobado por el propietario de la información.

- Los procesos y/o procedimientos de control de acceso, que aplican a los sistemas de aplicación en producción, deben también aplicarse a los sistemas de aplicación de prueba.

- Debe haber una autorización separada cada vez que la información de producción es copiada para pruebas de aplicación.

- La información de producción debe borrarse del sistema de pruebas inmediatamente después que las pruebas se terminan.

- La copia y el uso de la información de producción debe ser registrada para proveer una pista de auditoría.

- Los datos de prueba no deben ser datos reales. Si los datos son extraídos de los datos reales, se debe usar herramientas de enmascaramiento de los datos, donde sea posible, para proteger los datos confidenciales de Colpensiones de ser divulgados sin necesidad durante una prueba.

CAPÍTULO XII PARA LA GESTIÓN DE RECURSOS HUMANOS

1. OBJETIVO: Garantizar la protección de la disponibilidad, integridad y confidencialidad de la información del personal que trabaja en COLPENSIONES, a través de mecanismos de validación y concientización del recurso humano que hará uso de esta.

2. ALCANCE: La presente política aplica para todos los servidores públicos, trabajadores oficiales, trabajadores en misión y personal SENA y personal Colombia joven que ingrese a laborar a la Entidad.

3. INCORPORACIÓN DE LA SEGURIDAD EN LA MATRIZ DE CARGOS DE LA ENTIDAD

Cuando hay nuevos cargos, los propietarios de la matriz de roles empresariales deben incorporar los nuevos cargos y los existentes de acuerdo a los roles establecidos en la matriz de roles empresariales dentro de las funciones y obligaciones contractuales de los funcionarios y Terceros.

4. CONTROL Y POLÍTICA DEL PERSONAL

Se deben definir controles de verificación del personal cuando es seleccionado. Estos controles incluirán todos los aspectos legales y de procedimiento que dicta el proceso de contratación de funcionarios de Colpensiones.

5. ACUERDO DE CONFIDENCIALIDAD

Todos los trabajadores oficiales, trabajadores en misión, personal Sena y los Terceros que se definan que ingresen a trabajar a COLPENSIONES, deben firmar como parte de sus términos y condiciones iniciales de trabajo, un Acuerdo de Confidencialidad o no divulgación, en caso de que no estuviere incluido como una cláusula dentro del contrato individual de trabajo para trabajadores oficiales o contrato de prestación de servicios.

Este acuerdo debe incluir la aceptación de las políticas y lineamientos en Seguridad y Privacidad de la Información y ciberseguridad, el tratamiento de la información de la entidad, en los términos de la Ley 1581 de 2012, 1712 de 2014 y las demás normas que la adicionen, modifiquen, reglamenten o complementen. Este documento debe ser archivado de forma segura por el área de Talento Humano y Contractual, según sea el caso. Dentro del mismo acuerdo el Colaborador o Tercero declaran conocer y aceptar la existencia de determinadas actividades que pueden ser objeto de control y monitoreo.

Colpensiones debe proteger la información por medio de la validación, formación y concientización del recurso humano que hará uso de la misma

6. SELECCIÓN DE PERSONAL

Dentro de los procesos de contratación de personal o de prestación de servicios, deberá realizarse la verificación de antecedentes y el estudio de seguridad. Esto aplica para todos los trabajadores que

ingresen y en especial cuando el funcionario vaya a tener acceso a información de Colpensiones que haya sido clasificada como información “CLASIFICADA” o “RESERVADA”.

Los terceros contratados para la selección de personal son los responsables de realizar la verificación de antecedentes, para lo cual pueden llevar a cabo cualquiera de las siguientes actividades:

- Verificación de referencias personales y laborales

- Validación de la hoja de vida de la persona que aplica al cargo

- Confirmación de calificaciones académicas y profesionales

- Revisión de documentación de identidad alterna (pasaporte, tarjeta de conducción, etc.)

- Revisión de antecedentes disciplinarios procuraduría, certificado de antecedentes judiciales y criminales entre otros.

- Los documentos de verificación deberán reposar en la historia laboral o carpeta contractual del colaborador.

- La Dirección de Gestión Humana y la Dirección de Contratación deberán establecer los mecanismos o controles necesarios para proteger la confidencialidad y reserva de la información contenida en las historias laborales y expedientes contractuales

- Salvaguardar la base de datos de los aspirantes y proteger su divulgación.

7. TÉRMINOS Y CONDICIONES LABORALES

Todos los trabajadores oficiales, trabajadores en misión, personal Sena y los Terceros, deben cumplir con los requerimientos de seguridad de la información y estos debe hacer parte integral de los contratos o documentos de vinculación a que haya lugar, especificando en las obligaciones específicas del contratista que debe cumplir con los lineamientos de seguridad de la Información y Ciberseguridad de Colpensiones. Durante el proceso de vinculación a la Colpensiones, deberán recibir una inducción sobre las Políticas de Seguridad de la Información.

8. POLÍTICA DE NOVEDADES DE LOS FUNCIONARIOS Y PERSONAL PROVISTO POR TERCEROS Novedades de personal

- Reubicaciones o traslados de servidores públicos entre dependencias

- Retiros de servidores públicos

- Cambio de dependencia o de actividades de trabajadores en misión (suministrador por empresas de servicios temporales), de aprendices, Sena o de practicantes y programa Colombia joven.

La Dirección de Talento Humano debe gestionar el procedimiento de desvinculación y novedades de labores de los trabajadores oficiales, trabajadores en misión, personal SENA y proyecto estado joven de la Entidad a través, de la herramienta tecnológica dispuesta, correo electrónico, o el procedimiento vigente de manera “inmediata” a la Gerencia de Tecnologías de la información.

Los Gerentes o supervisores de Contrato, deben gestionar el procedimiento de desvinculación y novedades de labores de personal provistos por terceras partes, convenios interadministrativos y entes de control de la Entidad a través, de la herramienta tecnológica dispuesta, correo electrónico, o el procedimiento vigente de manera “inmediata” a la Gerencia de Tecnologías de la información.

En la notificación la Dirección de talento humano, Gerente o supervisor del contrato debe señalar la fecha en la cual la persona finaliza el desempeño del cargo.

El bloqueo de los usuarios para el ingreso a los sistemas de información de Colpensiones de las novedades como licencias, permisos o incapacidades de los trabajadores oficiales, trabajadores en misión y personal SENA y proyecto estado joven de la Entidad, deben reportarse después de tres (3) días hábiles al reportarse el evento por el colaborador.

9. SANCIONES POR INCUMPLIMIENTO A LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Y CIBERSEGURIDAD Y TRATAMIENTO DE INCIDENTES

Ante cualquier incumplimiento a los procedimientos y/o políticas de Seguridad de la Información y Ciberseguridad de Colpensiones, se le debe dar el tratamiento respectivo con el fin de determinar sus causas e involucrados, teniendo en cuenta la gravedad y responsabilidades identificadas, se deben tomar acciones y realizar el respectivo trámite ante las instancias correspondientes.

10. ENTRENAMIENTO, CONCIENTIZACIÓN Y CAPACITACIÓN

Todos los trabajadores oficiales, trabajadores en misión, personal Sena deben ser entrenados y capacitados para las funciones/actividades y cargos a desempeñar con el fin de proteger adecuadamente los recursos y la información de Colpensiones.

CAPÍTULOXIII POLITICA CONCIENCIACIÓN EN SEGURIDAD DE LA INFORMACIÓN Y CIBERSEGURIDAD

1. OBJETIVO: Garantizar que se realicen actividades de concienciación, capacitación y entrenamiento en seguridad de información y ciberseguridad para todos los trabajadores oficiales, misionales, personal Sena terceros y proveedores críticos por lo menos una vez al año.

2. ALCANCE: Es responsabilidad de la Gerencia de Riesgos y Seguridad de la Información, asegurar que todos los trabajadores oficiales, trabajadores en misión, personal Sena, proveedores críticos, terceros, afiliados y ciudadanos con acceso a la información física y digital, participen en las actividades del programa de capacitación, concienciación y/o formación de temas relacionados con seguridad de información y ciberseguridad, así mismo, deben estar capacitados en las políticas de seguridad de la información y ciberseguridad, su responsabilidad en el manejo de información y en el correcto uso de los recursos.

3. INDUCCIONES

La Gerencia de Riesgos y Seguridad de la Información en coordinación con la Gerencia de Talento Humano deben incluir dentro del contenido de los temas de inducción a colaboradores nuevos las Políticas de Seguridad de la Información y Ciberseguridad, así como temas relacionados que motiven el interés y la conciencia en la prevención de cualquier amenaza. De igual forma, para vinculación de terceros, deben establecerse estrategias para que sus funcionarios sean capacitados, ya sea por medios propios del tercero en coordinación de los temas con los Supervisores de Contrato o capacitaciones directamente en Colpensiones.

4. PLAN DE CAPACITACIÓN, ENTRENAMIENTO Y/O CONCIENCIACIÓN

Dentro del plan de capacitación de la Gerencia de Riesgos y Seguridad de la Información, deben establecerse los temas sobre los cuales se tendrán en consideración para reforzar a los funcionarios y terceros, relacionados con Seguridad de la Información y/o Ciberseguridad.

5. ACEPTACIÓN Y SOPORTES

Debe obtenerse clara evidencia y soporte firmado del entendimiento y aceptación de las Políticas de Seguridad de la Información y Ciberseguridad.

Así mismo, de cada uno de las capacitaciones, conservar las evidencias y relación de funcionarios y terceros participantes.

CAPÍTULO XIV CONTROLES DE CIFRADO DE INFORMACIÓN

1. OBJETIVO: Garantizar la Seguridad de la Información y Ciberseguridad de los datos incluyendo mecanismos de cifrado cuando sea necesario transmitir, almacenar y/o procesar la información de Colpensiones de manera interna y externa y en cumplimiento a las leyes o regulaciones que lo requieran.

2. ALCANCE: Esta política está dirigida a todos los procesos de Colpensiones y terceros que requieran aplicar el uso de algoritmos de encriptación, con el propósito de brindar la debida protección a la información requerida para su transmisión o resguardo.

3. ROLES Y RESPONSABILIDADES

A continuación se describen los diferentes roles y responsabilidades. El líder de Infraestructura Tecnológica debe:

- Definir e implementar controles criptográficos para redes, encaminados a garantizar la protección de la información electrónica transmitida mediante servicios de redes (correo electrónico, red de datos, otros).

- Definir e implementar controles criptográficos para el almacenamiento de información contenida en los resguardos, equipos de cómputo o sistemas de información, cuando sea requerido.

- Definir y desarrollar los procedimientos respecto a la administración de claves, de la recuperación de la información cifrada en caso de pérdida, compromiso o daño de las claves y en cuanto al reemplazo de las claves de cifrado.

- Implementar controles criptográficos para las transacciones financieras entre Colpensiones y las instituciones financieras.

- Apoyar a los propietarios de información, en la aplicación o uso de técnicas de cifrado autorizadas por Colpensiones, en lo referente a la preparación, transmisión o resguardo de la información.

- Administrar las claves de las herramientas tecnológicas utilizadas para tal fin, para aquellas herramientas que están bajo su responsable.

El líder de Sistemas de Información

- Considerar el algoritmo de cifrado a utilizar para los sistemas de información que lo requiera o lo contempla.

- Evaluar y garantizar el uso de cifrado de datos para los sistemas de información de Colpensiones, cuando sea necesario y el negocio lo requiera.

El propietario de la información

- Realizar análisis de riesgos sobre la información a ser cifrada para determinar la técnica y procedimiento apropiado que garantice su seguridad al nivel requerido.

- Identificar las medidas y controles apropiados que mitiguen los riesgos identificados, usando sistemas y técnicas criptográficas que protejan la información, cuando estas no proporcionen la protección adecuada.

- Revisar periódicamente la eficacia de las funciones criptográficas así como el período de vida estimado de los controles criptográficos empleados, para asegurarse de que siguen siendo superior a la vida útil de la información protegida.

- Divulgar al usuario de la información (quien va a recibir la información suministrada) de manera clara, los mecanismos o recomendaciones a tener presente para el acceso o consulta de la información.

- Atender las solicitudes presentadas por la parte interesada, con respecto a las necesidades o requerimientos propuestos para la protección de la información, en lo referente a la preparación, transmisión o resguardo de la información solicitada.

La Gerencia de Riesgos y Seguridad de la información

- Apoyar y hacer seguimiento a las solicitudes presentadas por el propietario de la información.

- Identificar y reportar a los responsables de la implementación de controles criptográficos, las propuestas o exigencias de ley, reglamento o de mejores prácticas para el negocio.

- Brindar a los usuarios o propietarios de información, recomendaciones en el manejo y divulgación de información cifrada al interesado.

- Divulgar la presente política a los grupos de interés, cuando así se requiera.

4. REQUERIMIENTOS DE CIFRADO

La información de Colpensiones debe ser cifrada de acuerdo con el tratamiento que se le esté dando y si la información estará en un ambiente interno o externo a la organización.

Principalmente, la información clasificada como Publica Clasificada y Publica Reservada debe ser protegida mediante mecanismos de cifrado fuerte cuando deba ser transmitida o almacenada.

5. REGULACIONES Y LEYES APLICABLES A TECNOLOGÍAS DE CIFRADO

Circular Básica Jurídica (C.E. 029/14) Superintendencia Financiera de Colombia

2.3.6.5. “Implementar mecanismos de cifrado fuerte para el envío y recepción de información confidencial con los terceros contratados”

Mejores prácticas Estándar ISO 27001 Anexo A:

A.10 Criptografía
A.10.1Controles criptográficosObjetivo: Asegurar el uso apropiado y eficaz de la criptografía para proteger la confidencialidad, la autenticidad y/o la integridad de la
información.
A.10.1.1Política sobre el uso de controles criptográficos:Control: Se debería desarrollar e implementar una política sobre el uso de controles criptográficos para la protección de la
información
A.10.1.2Gestión de llaves ControlSe debería desarrollar e implementar una política sobre el uso, protección y tiempo de vida de las llaves criptográficas durante
todo su ciclo de vida.

6. ADMINISTRACIÓN SEGURA DE LLAVES / CLAVES DE CIFRADO

Las llaves y/o claves utilizadas para el cifrado y descifrado de la información deben ser administradas y custodiadas de forma segura, por la Gerencia de Tecnologías de la información permitiendo generar llaves

/ claves de cifrado sólidas y realizar de forma controlada e independiente cada una de las siguientes etapas:

Distribución: Entrega por un medio independiente, seguro y específico solamente para los autorizados.

Almacenamiento: Seguro y protegido ante cualquier acceso indebido o no autorizado. Generalmente las llaves / claves de cifrado se almacenan cifradas bajo una llave / clave maestra.

Revocación: Desactivación de llaves / claves invalidas o inactivad.

Eliminación: Destrucción segura de las llaves / claves de cifrado de tal manera que no sean recuperables. Las llaves / claves utilizadas deben cumplir con características mínimas de seguridad como:

- Longitud mínima de 256 bits para llaves y 8 caracteres para claves.

- Complejidad: Alfanuméricas, 1 carácter especial (*$%&$#%), Mayúsculas y Minúsculas.

En línea con las tecnologías de cifrado utilizadas, las llaves / claves de cifrado deberán ser custodiadas en un punto central, por ejemplo un servidor de función específica para almacenamiento e intercambio de llaves, garantizando una adecuada custodia y confidencialidad de las llaves y/o claves utilizadas, así mismo, permitiendo una fácil recuperación.

7. NIVELES DE CIFRADO

Para atender las necesidades de los diferentes procesos de Colpensiones, deben disponerse diferentes niveles de cifrado, entre los que se consideran:

Almacenamiento Cifrado: es requerido para proteger la información pública clasificada y la información pública reservada cuando se encuentra en reposo. Deben considerarse alternativas para cifrado a nivel del medio de almacenamiento y a nivel de los datos y/o archivos de acuerdo con la necesidad de garantizar la restricción de acceso a la información.

Cifrado Correo Electrónico y Firma Digital: La información Pública Clasificada y Pública Reservada solo debe ser enviada mediante canales seguros, para el caso de correo electrónico, deben dotarse de mecanismos de cifrado de correo o en su defecto el cifrado de la información (contenido y/o archivos adjuntos) con el fin de garantizar la confidencialidad de la información. Así mismo, si se utilizan llaves o claves para cifrado y descifrado de la información, estas no podrán ser entregadas a los destinatarios a través de los mismos medios de comunicación, en este caso, correo electrónico.

Cifrado de archivos: En algunos ocasiones es necesario cifrar archivos específicos, ya sean para actividades de usuario final o procesos automatizados, por esto, es necesario contar con soluciones que permitan el cifrado de archivos específicos sin importar su formato: csv, binarios, txt, MSOffice, Zip, etc.

Cifrado de Base de Datos: Dependiendo de su criticidad, las bases de datos pueden requerir un nivel de cifrado, no solamente a nivel de almacenamiento, también considerar cifrado de campos específicos dentro de las tablas de bases de datos, algunos fabricantes disponen de soluciones específicas para este fin.

Cifrado en las comunicaciones: Las conexiones de los procesos deben ser aseguradas mediante mecanismos de cifrado fuerte, incluyendo el uso de protocolos seguros (https, sftp, ssh, etc.).

8. TIPOS DE CIFRADO

Una vez se cuente con la necesidad de aseguramiento de la información en el proceso en la Entidad ya sea interna o externa se deben considerar cifrado simétrico o asimétrico, independientemente del tipo, deberá cumplir con todas los requisitos relacionados en este documento y en los demás documentos que definan de manera específica actividades de cifrado de información tales como procedimientos o actividades propias dentro de los procesos de la Entidad.

Para las transacciones financieras, se debe utilizar como mínimo un algoritmo de encriptación fuerte que proteja especialmente los datos transmitidos a fin de garantizar la integridad y Confidencialidad durante su envío.

Las técnicas criptográficas son usadas para conseguir los siguientes servicios de seguridad de la información: Confidencialidad, integridad, autenticación y no repudio.

La eficacia de los componentes criptográficos (algoritmo y claves) seleccionados debe ser revisada periódicamente, para verificar que su seguridad se mantiene a pesar de los cambios en el entorno, los avances en el criptoanálisis y las amenazas existentes, máxime cuando se trate de temas de retención o de almacenamiento a largo plazo o cuando se apliquen a la información cuya clasificación exija las medidas de seguridad más altas.

CAPÍTULO XV PARA LA GESTIÓN DE COPIAS DE SEGURIDAD Y RESTAURACIÓN

1. OBJETIVOS: Determinar lineamientos para establecer un esquema de copias de seguridad, mediante estrategias orientadas a la protección de la información y alineadas a la continuidad del negocio para evitar un posible desastre y que de alguna manera la entidad pueda recuperase a tal eventualidad.

2. ALCANCE: Toda información que pertenezca a los activos de información de Colpensiones o que sea de interés para un proceso operativo o de misión crítica debe ser respaldada por copias de seguridad tomadas de acuerdo a los procedimientos documentados por la Gerencia de Tecnologías de la Información. Dicho procedimiento, debe incluir las actividades de almacenamiento de las copias en sitios seguros.

Las áreas de Colpensiones deben realizar pruebas controladas para asegurar que las copias de seguridad puedan ser correctamente leídas y restauradas.

La Gerencia de Tecnologías de la Información de Colpensiones, se encargará de proteger y garantizar que los recursos del sistema de información (Aplicaciones y Bases de Datos) de la entidad, se mantengan respaldados y sean fácilmente recuperables en el momento que se necesite.

3. POLÍTICA

Los contenidos del proceso de respaldo de información o back-up deben determinarse considerando las necesidades de Colpensiones, sus aplicaciones y la criticidad de la información y acorde con los criterios identificados en la matriz de activos de información por proceso.

El tipo de back-up realizado debe reflejar la criticidad de los contenidos y la necesidad de garantizar la continuidad de las operaciones de negocio

Tipos de Back-up:

- Back-up Completo: Una copia completa de todos los datos de un sistema o dispositivo para servir como línea de partida.

- Back-up Diferencial: Una copia de todos los datos que hayan cambiado desde el último backup completo.

- Back-up Incremental: Una copia de todos los datos que hayan cambiado desde el último backup realizado. Deben realizarse, almacenarse y posteriormente sobrescribirse back-ups completos en un ciclo rotativo con un mínimo de tres generaciones de copias; estos ciclos de backup incluyen la retención cíclica para satisfacer necesidades no previstas de negocio, requerimientos de entes de control, inspección, vigilancia, procesos judiciales, auditoría o forenses.

4. PLAN DE COPIAS DE SEGURIDAD

Se contará con las siguientes estrategias de copias de seguridad dependiendo de la función que realice cada uno de los trabajadores oficiales miembros del dominio de Colpensiones:

5. HERRAMIENTA DE BACKUP

La herramienta de respaldo debe contar con software especializado para la toma de los respaldos de la información. Esta herramienta se utiliza con el fin de realizar backups a los Controladores, Aplicaciones y Bases de Datos

6. MÉTODOS:

Una buena estrategia de backup es la mejor defensa contra la perdida de datos. Las estrategias comunes de backup son las siguientes:

7. BACKUP DE RED O SERVIDOR:

En este caso el backup se realiza sobre la totalidad de un disco o servidor sin considerar las características particulares de los diferentes contenidos que alojen. los requisitos específicos de estos backup serán definidos por los propietarios de la información y los propietarios de los servidores, que considerarán los requerimientos de seguridad asociados a la información más crítica -publica reservada y pública clasificada- entre la totalidad de contenidos del backup.

8. POR CONTENIDOS:

En este caso se realiza una selección de contenidos de backup de acuerdo a las necesidades concretas de negocio o legales de las diferentes áreas o unidades.

9. BACKUP INDIVIDUAL O AL COMPUTADOR LOCAL:

Las áreas y cada uno de los usuarios son responsables por el respaldo de sus datos en los equipos locales. La información se almacena de manera temporal y luego se debe trasladar a las carpetas de red designadas de acuerdo a lo establecido en las tablas de retención documental.

Las copias de back-up deben llevar asociada una información descriptiva que facilite la posterior restauración.

Se debe mantener una información mínima de sobre el almacenamiento de datos que contenga:

- Código de referencia: Información de identificación única respecto a cualquier otra copia de respaldo.

- Método del Back-up: Método utilizado para realizar el backup: por servidor o por contenidos

- Contenido: Información sobre el contenido de la copia de seguridad.

- Fecha y hora: identificación horaria de la realización del back-up

- Extensión: El tipo de back-up: completo, diferencial o incremental

- Custodio: el responsable de custodiar las copias de back-up.

- Controles de seguridad aplicados: Medidas de seguridad aplicadas al back-up. Ej. Cifrado.

10. CICLOS DE BACK-UP

La frecuencia de realización de los Back-up debe estar determinada por las necesidades de negocio y los requerimientos normativos, legales y reglamentarios, tomando como base, las Tablas de Retención Documental de la entidad, el Análisis de Impacto del Negocio (BIA) que determina la criticidad de los procesos, por su información y disponibilidad.

Los sistemas de producción de uso diario, que hacen uso de información de los clientes de Colpensiones y que realizan cualquier tipo de operación relacionada con el objeto y ser de la entidad, deben realizar back- up diario y completo.

Los ciclos de back-up incluirán copias periódicas para retención (semanales, mensuales, trimestrales y/o anuales) que deberán ser administrados y determinados por la Gerencia de Tecnologías de la Información, para satisfacer los requisitos del negocio, de auditoría, continuidad o regulatorios.

11. REVISIONES PERIÓDICAS DE BACK-UP

La Gerencia de Tecnologías de la Información a través de la Dirección de Infraestructura, deberá realizar de forma periódica (al menos dos veces al mes), la revisión de forma aleatoria de los back-ups realizados sobre los sistemas de información críticos de la entidad, para ser restaurados en los ambientes de prueba, y así garantizar que las copias de respaldo, son legibles y su información es integra.

Se deben mantener registros de la realización de los procesos de revisión y restauración de la información, como parte del proceso.

12. PROCESO DE COPIA A CINTA

Los Backups generados en el sistema de almacenamiento por la Dirección de Infraestructura que se llevan a cintas son rotuladas con una etiqueta para entregar a la entidad que resguarda las cintas, además se registra en una planilla la bitácora del proceso de backup las cuales deben ser rotuladas con una etiqueta para entregar a la entidad que resguarda las cintas, además se registra en una planilla la bitácora del proceso de backup

13. PLAN DE COPIAS DE SEGURIDAD

La Gerencia de Tecnologías de la Información a través de la Dirección de Infraestructura deberá:

- Realizar y mantener copias de seguridad de la información digital solicitadas por el líder funcional o líder técnico.

- Documentar un plan de copia de seguridad de Colpensiones donde se establezca esquemas de qué, cuándo, con qué periodicidad y cuál es la criticidad para realizar las copias de respaldo de información.

- Definir la custodia y almacenamiento de las copias.

- Mantener un inventario y bitácora de las copias que se realizan y de las copias que se restauran.

- Realizar las copias de seguridad de:

- Bases de datos

- Software de aplicaciones

- Sistemas operativos.

- Software base de Colpensiones

- Backup configuración de servidores

- Buzones de correo

- Máquinas virtuales

- Realizar un proceso de depuración y borrado de Backup de Base de Datos cuando de requiera.

14. PRUEBAS DE RESTAURACIÓN DE BACKUP

Como medida de protección durante el año se deben hacer pruebas de restauración y de integridad de las bases de datos de acuerdo a la criticidad de la información.

15. ALMACENAMIENTO DE CINTAS

Asegurar la administración óptima de las cintas de backup, en cuanto a la recepción de las mismas, la organización, identificación e inventario, almacenamiento, control de préstamos, custodia en el archivo de Gestión y transferencias. Lo anterior a fin de facilitar la consulta y seguridad de información soportada en este medio magnético.

16. ALMACENAMIENTO DEL BACK-UP

El almacenamiento de las copias de seguridad, debe realizarse en un lugar seguro dotado de medidas de control de acceso físico, acorde con la criticidad de los contenidos. (Armarios con cierre, controles de acceso, guardas de seguridad, etc.)

Los lugares de almacenamiento de las copias de respaldo deben presentar bajo nivel de riesgo de incendio, inundación, contaminación química o electromagnética. De igual manera las condiciones de humedad y temperatura se deben controlar acorde con las especificaciones del fabricante.

Sólo personal autorizado por la Gerencia de Tecnologías de la Información, podrá acceder y manipular los medios de soporte y respaldo de información.

Si las copias de almacenamiento son resguardadas por un tercero, debe mantenerse registro y soporte cuando éstas salgan y entren de la organización o su centro de datos, y se debe garantizar que son localizables y se pueden recuperar de forma ágil en caso de un incidente.

17. REGISTRO DE COPIAS DE SEGURIDAD

Colpensiones deberá mantener un inventario de copias de seguridad con los siguientes registros: de forma general en el cual se relacione

18. ELIMINACIÓN DE LOS MEDIOS DE SOPORTE

Los soportes de almacenamiento de información deben ser eliminados de forma segura al final de su vida útil o al alcanzarse el número máximo de usos recomendado por el fabricante. Para tal efecto debe realizar la destrucción de los medios de forma física, o el borrado seguro, para garantizar que no se divulga la información allí contenida. En el evento que se active el proceso de destrucción y/o eliminación de los medios de almacenamiento, se deberá dejar registro de dicha actividad, mediante un acta.

XVI PARA LA GESTIÓN DE VULNERABILIDADES

1. OBJETIVO: Dictar lineamientos para revisar de manera periódica las vulnerabilidades técnicas de los sistemas de información de la Entidad, con el fin de remediar las vulnerabilidades presentes en los activos de información / Activos de TI internos y externos manteniéndolos en niveles de seguridad óptimos que garanticen la confidencialidad integridad y disponibilidad de la información.

2. ALCANCE: Inicia con la preparación, detección y análisis de las vulnerabilidades técnicas, la ejecución de los planes de remediación, controles compensatorios ejecución de re-escaneo y posterior verificación en la efectividad del plan.

El Grupo de Seguridad Informática de la Gerencia de Tecnologías de la Información debe ejecutar periódicamente el proceso definido para la gestión de vulnerabilidades.

La Gerencia de Riesgos y Seguridad de la Información adelantará los trámites correspondientes para la realización de pruebas de vulnerabilidades y hacking ético, bajo una visión independiente en los sistemas de información de la entidad con el fin de garantizar la objetividad del desarrollo de las mismas en coordinación con la Gerencia de Tecnologías de la información.

El Grupo de Seguridad Informática de la Gerencia de Tecnologías de la Información debe revisar y realizar seguimiento a las nuevas vulnerabilidades técnicas y reportar a los administradores de la plataforma tecnológica y los desarrolladores de los sistemas de información, solicitando los planes de remediación con el fin de corregir las vulnerabilidades encontradas de acuerdo con los criterios definidos.

La CMDB debe contener claramente el dueño del activo de información en conjunto con el responsable técnico de tal forma que permita identificarlos claramente para que se realicen los análisis correspondientes y toma de decisiones sobre las acciones de remediación.

Los dueños de los activos de información y el personal técnico deben cooperar plenamente con la evaluación de vulnerabilidades que es conducida en los sistemas de información y responder debidamente con la generación y ejecución de los planes de remediación sobre los cuales sean responsables.

Aplicación: Cualquier funcionario que viole la política presentada será sujeto a las acciones disciplinarias correspondientes contempladas en el reglamento interno de trabajo de Colpensiones.

3. GESTIÓN DE VULNERABILIDADES

Colpensiones debe contar con un proceso definido para la gestión de vulnerabilidades que contemple la identificación de los activos de TI y demás sistemas de información, la definición de los escaneos de vulnerabilidades periódicos, incluyendo pero sin limitarse a tipos de activos tales como: Estaciones de trabajo, portátiles, dispositivos móviles, servidores, equipos de telecomunicaciones y seguridad perimetral, bases de datos, aplicaciones web internas y publicadas en internet, impresoras, tarjetas controladoras, Smart tv, pantallas y demás dispositivos que estén conectados a la red.

4. ESCANEO DE VULNERABILIDADES

Los escaneos de vulnerabilidades deben realizarse periódicamente, considerando niveles estándar del perfil para escaneo e identificación y buscar continuamente incrementar el nivel de seguridad de forma óptima y oportuna.

5. REQUERIMIENTOS PARA ESCANEO DE VULNERABILIDADES

Los escaneos de vulnerabilidades deben realizarse mediante una herramienta basada en un hardware de propósito específico (appliance) o agente totalmente separado e independiente de cualquier dispositivo de procesamiento de información, de comunicaciones y/o de seguridad informática.

Generar de manera automática por lo menos 2 veces al año un informe consolidado de las vulnerabilidades encontradas. Los informes de los últimos 2 años deben estar a disposición de la SFC.

Para la generación de los informes solicitados se debe tomar como referencia la lista de nombres de vulnerabilidades CVE publicada por la corporación Mitre.

Las herramientas usadas en el análisis de vulnerabilidades deben estar homologadas por el CVE (Common Vulnerabilities and Exposures) y actualizadas a la fecha de su utilización

Para los escaneos, se debe realizar un análisis diferencial de vulnerabilidades, comparando el informe actual con respecto al inmediatamente anterior.

Gestionar las vulnerabilidades de aquellas plataformas que soporten activos de información críticos y que estén expuestos en el ciberespacio.

6. ESCANEO DE VULNERABILIDADES INTERNOS

Para la correcta identificación de las vulnerabilidades al interior de la red de Colpensiones, los escaneos periódicos deben contemplar la perspectiva interna y directa sobre los activos de TI, evitando bloqueos por el firewall, IPS u otros, con el fin de tener un panorama claro de las vulnerabilidades reales de cada dispositivo, evitando así falsos positivos o información parcial.

7. ESCANEO DE VULNERABILIDADES EXTERNOS

Los activos de TI publicados en internet y/o en el ciberespacio deben contar con un escaneo de vulnerabilidades específicos que permitan identificar las vulnerabilidades desde la perspectiva externa y priorizar la remediación de estas por el su directa exposición.

8. PRUEBAS DE PENETRACIÓN

Como parte complementaria a la identificación de vulnerabilidades, la Gerencia de Riesgos y Seguridad de la Información y la Gerencia de Tecnologías de la Información deben coordinar por lo menos 1 vez al año la ejecución de pruebas de penetración, permitiendo así un insumo adicional sobre los riesgos y nivel de exposición de la organización a las amenazas que puedan ir en contra de la Seguridad de la Información y Ciberseguridad.

9. ANÁLISIS Y PRIORIZACIÓN DE VULNERABILIDADES

Se deben tomar las medidas necesarias para remediar las vulnerabilidades detectadas en sus análisis con base en los resultados de los escaneos de vulnerabilidades de acuerdo con cada responsable de los activos de TI, siendo de vital importancia priorizar las acciones de remediación de acuerdo con el nivel de severidad de las vulnerabilidades identificadas, por lo que se deben cumplir con los siguientes tiempos para una gestión oportuna:

De acuerdo con la clasificación anterior, las vulnerabilidades deben ser mitigadas de acuerdo con los siguientes tiempos para las acciones de remediación a partir de su descubrimiento:

Días Calendario Para
Remediación
TIPOCriticasAltas
Externo /
Ciberespacio
15 días30 días
Interno30 días60 días
SeveridadRating
CVSS
CVSS del inglés Common Vunerability Scoring System es un framework abierto y universalmente utilizado que
Critica9.0+
Alta7.0 – 8.9
Media4.0 – 6.9
Baja01 – 3.9
Ninguna0.0establece unas métricas para la comunicación de las características, impacto y severidad de las vulnerabilidades.

10. GESTIÓN DE LA CONFIGURACIÓN

Para lograr una disminución y resultados adecuados en la gestión de vulnerabilidades, los activos de información / activos de TI no deben ser habilitados dentro de la red de Colpensiones sin contar antes con una adecuada gestión de la configuración donde se incorporen los parámetros básicos desde el alistamiento, guías de configuración segura de fabricante, des habilitación de puertos y servicios innecesarios, actualizaciones e instalación del software de seguridad mínimo requerido como antivirus, IPS / IDS, firewall, etc.

Lo anterior debe aplicarse desde la implementación y alistamiento de la plataforma, proyectos e iniciativas de la organización.

CAPITULO XVIII POLITICA DE GESTION DE CAMBIOS TECNOLÓGICOS DE COLPENSIONES

1. OBJETIVO: Establecer un procedimiento que permita asegurar la gestión de cambios a nivel de infraestructura, aplicativos y servicios tecnológicos que son soportados por Colpensiones, terceros y/o proveedores, para garantizar estándares de eficiencia, seguridad, calidad y que permitan determinar los responsables y tareas a seguir para garantizar el éxito en la gestión de cambios.

2. ALCANCE: La Gestión de Cambios Tecnológicos, pertenece a la Gerencia de Tecnologías de la Información, este es transversal a todas las áreas de la entidad y su alcance está establecido para todos los cambios que se realicen a la infraestructura tecnológica y sistemas de información de COLPENSIONES S.A.

3. POLÍTICA

Colpensiones reconoce la importancia de gestionar los cambios realizados a la infraestructura tecnológica, como un mecanismo para velar por la disponibilidad de la misma, por lo tanto se debe tener en cuenta:

4. IDENTIFICACIÓN DE RIEGOS:

Para realizar la identificación de Riesgos en el Procedimiento de Control de Cambios se debe seleccionar la probabilidad y el impacto para determinar cuál es el nivel de Riesgos en el que se encuentra expuesto el Cambio antes y después de la ejecución del mismo.

5. CLASIFICACIÓN DE CAMBIOS TI

Existen tres tipos de cambios TI, para tener en cuenta:

Estándar o Pre-autorizadoNo Requiere Comité de
Cambios
NormalSi Requiere Comité de
Cambios
EmergenciaNo Requiere Comité de
Cambios

Tabla No. 1 -Clasificación de Cambios TI

NOTA: algunos cambios “Estándar” o “Emergencia” pueden ser derivados por Eventos o Incidentes de Seguridad, es decir que el ticket que fue generado por el reporte del Evento o Incidente de Seguridad puede ser utilizado para ejecutar un cambio.

6. COMITÉ DE CAMBIOS:

Es un órgano asesor que respalda la autorización del cambio y que ayuda a la Gestión del mismo en la evaluación, priorización y programación del cambio.

7. FUNCIONES DEL COMITÉ:

El comité es responsable de revisar, evaluar, aprobar, retrasar o rechazar los cambios solicitados por las áreas funcionales, así como de registrar y comunicar dichas decisiones.

- Revisar y aprobar los cambios Normales.

- Hacer acta de aprobación de los cambios presentados y aprobados.

- Programar comité una vez en la semana para la revisión del estado de los cambios aprobados en reunión de Comité anterior y aprobación o rechazar los cambios programados.

- Hacer seguimiento de los cambios que se ejecutaron si estos fueron o no exitosos.

8. MIEMBROS DEL COMITÉ:

Los miembros del comité se deben definir a través de una resolución o acto administrativo en el cual se debe tener en cuenta competencias y áreas que requieren estar presentes para la toma de decisiones, con el fin de autorizar integralmente los cambios en la Entidad.

9. REUNIÓN DEL COMITÉ:

En la reunión de Comité de Cambios se debe generar un acta y se requiere dar lectura del seguimiento de los cambios aprobados y ejecutados, en caso de no ser ejecutados indicar los motivos, con el fin de tener la trazabilidad de los mismos.

En el comité se debe indicar si en la semana existieron cambios de Emergencia o Estándar que fueron ejecutados.

El Comité de Cambios se debe realizar por lo menos una vez en la semana para lo cual se requiere definir un día y una hora para recibir “Cambios Normales” en la semana.

Los documentos requeridos deben ser adjuntados como pre-requisito para programación de Comité de acuerdo al cambio solicitado para Servicio TI de la plataforma Tecnológica o Aplicación.

10. DOCUMENTACIÓN REQUERIDA PARA LA GESTIÓN DE CAMBIOS

Para el caso de cambio en las aplicaciones:

- Documento, acta o correo de aceptación por parte del usuario funcional para el paso a producción.

- Documento, acta o correo donde se detallan las actividades a desarrollar en el cambio a producción, y este debe contener el Roll Back en caso de no ser exitoso el paso a producción.

- Diligenciar Formato de Control de Cambios para su solicitud

- Todos los documentos adicionales requeridos y que se definan por los miembros del comité.

NOTA: de no encontrarse los documentos para validación y verificación del cambio y el formato debidamente diligenciado NO podrá programarse al Comité de Cambios de la semana y se requiere reprogramar.

Para el caso de cambio en la plataforma o servicio de TI

- Documento, acta o correo de autorización por parte de la Gerencia de Tecnologías de la Información para solicitar el cambio.

- Documento, acta o correo donde se detallan las actividades a desarrollar en el cambio a producción, y este debe contener el Roll Back en cado de no ser exitoso el paso a producción.

- Diligenciar Formato de Control de Cambios para su solicitud

NOTA: de no encontrarse los documentos para validación y verificación del cambio y el formato debidamente diligenciado NO podrá programarse al Comité de Cambios de la semana y se requiere reprogramar.

- Se debe disponer con la totalidad del tiempo estimado para el Comité de Cambio, por cada una de las personas que sustentan el cambio, independiente que se le allá asignado una hora tentativa de sustentación.

- Cada solicitante del cambio, debe indicar en el requerimiento, cuál personal de la Gerencia de Tecnologías de la Información, requiere para la sustentación ante el Comité de Cambios con la que se relacione el cambio a sustentar.

- Los cambios que fueron aprobados en Comité y estos no se ejecutaron el día y hora aprobada por inconvenientes ajenos al Servicio de TI o por solicitud extemporánea del Usuario Funcional, se debe notificar a la Gerencia de Tecnologías de la Información previa autorización; para que este pueda ser re-programado con otra fecha y hora para su ejecución sin necesidad de someterse al próximo Comité, teniendo en cuenta que no sea porque se incorpore nuevas funcionalidades que deben ser analizadas en Comité.

- Dicha notificación del cambio aprobado en Comité, debe ser registrada en el acta del próximo Comité como Seguimiento a los Compromisos del acta en que se aprobó el cambio no ejecutado por fuerza mayor.

- Para los Cambios Estándar, Normales y de Emergencia que NO FUERON EXITOSOS, el próximo cambio solicitado solo será tomado como Cambio Normal, lo cual indica que requiere de Comité, dado que después de no ser exitoso el Riesgo debe ser analizado de acuerdo a las siguientes variables:

a) Ser mal planeado.

b) No se contemplaron las pruebas mínimas necesarias para el paso a producción de los aplicativos.

c) Se obviaron actividades que debían ser tenidas en cuenta en la ejecución de la actualización de la Servicios en la plataforma tecnológica.

- Para dar cierre al cambio se requiere que la Gerencia de Tecnologías de la Información, envié un correo después de la ejecución del cambio a los Usuarios Funcionales indicando el resultado del cambio y si se presentó o no inconvenientes en el momento del cambio.

CAPITULO XIX PARA EL LICENCIAMIENTO Y USO DE SOFTWARE

1. OBJETIVO: El software es una herramienta fundamental de uso cotidiano por parte de los diferentes grupos de trabajo que componen la entidad y que constituye el equipamiento o soporte lógico de un sistema informático, que hace posible la realización de tareas específicas, permitiendo aumentar la productividad y contribuyendo a la permanencia del ciclo de la información en la compañía.

2. ALCANCE: La presente política aplica para todos los funcionarios oficiales, contratistas y terceras partes, o que por su rol sean responsables de los equipos de cómputo de COLPENSIONES.

3. POLÍTICA

- La instalación de cualquier tipo de software en los equipos de cómputo de COLPENSIONES, es responsabilidad de la Gerencia de Tecnologías de la Información y por tanto son los únicos autorizados para realizar esta labor; previo análisis del listado de software autorizado, licenciado y evaluado. En caso de incluir software libre este debe ser autorizado evaluado y estar certificado bajo pruebas de vulnerabilidades que no dejen en riesgos la infraestructura de la Entidad. De igual manera, deben contar con el personal técnico en Colpensiones con capacidades para dar el respectivo soporte en caso de fallas.

- La Gerencia de Tecnologías de la Información, define e informa la lista actualizada de software y aplicaciones autorizadas que se encuentran permitidas para ser instaladas en las estaciones de trabajo de los usuarios; así mismo, realiza el control y verificación de cumplimiento del licenciamiento del respectivo software y aplicaciones asociadas.

- La Gerencia de Tecnologías de la Información será la única dependencia encargada de la adquisición de software y hardware. El resto de las dependencias podrán a través de dicha dependencia realizar las debidas adquisiciones.

- La Gerencia de Tecnologías de la Información reportará a la Oficina de Control Interno sobre el cumplimiento de las normas de propiedad intelectual, derechos de autor, con el fin de presentar a los organismos de control los informes sobre el uso adecuado del software utilizado en COLPENSIONES.

- La Gerencia de Tecnologías de la Información se encargará de que los productos de software adquiridos sean formalmente entregados COLPENSIONES por escrito, o mediante medios electrónicos. La entrega incluirá los medios de instalación, así como la documentación que licencie la propiedad y uso. Cuando se trate de software libre, freeware o licencias en línea deberán estar documentadas.

- El software adquirido por la entidad cumplirá con los deberes impuestos por las normas de protección de datos en cuanto a la confidencialidad, integridad y autenticidad de la información.

- El retiro y almacenamiento de software debe considerarse cuando éste ya ha cumplido su ciclo de vida o rol funcional específico en COLPENSIONES, siempre y cuando exista un principio de renovación tecnológica. No deben ser mantenidos productos de software que hayan perdido su proceso evolutivo, finalización de soporte y mantenimiento o que el retorno de inversión (ROI) sea menor que los definidos por el objeto del negocio.

CAPÍTULO XX SEGURIDAD EQUIPOS DE CÓMPUTO

1. OBJETIVO: Prevenir la perdida, daño, o compromiso de activos, y la interrupción de las operaciones de COLPENSIONES.

2. ALCANCE: La presente política aplica para todos los funcionarios públicos, oficiales, contratistas y terceras partes, o que por su rol sean responsables de los equipos y activos COLPENSIONES

3. POLITICAS:

La seguridad de los Equipos y Activos de COLPENSIONES permite prevenir pérdidas, daño o compromiso de los activos y la interrupción de las actividades del negocio. Se debe dar cumplimiento de los siguientes lineamientos:

La infraestructura tecnológica de COLPENSIONES. tal como, servidores, equipos activos, PBX's y otro tipo de hardware de computador que no resida típicamente en escritorios de usuario o en un área de trabajo común como laboratorios, call, centers, etc., deben estar ubicados físicamente en un área segura, y se deben implementar los controles necesarios para la prevención contra riesgos ambientales y no ambientales, que puedan afectar la disponibilidad de los datos.

Los computadores portátiles asignados a los funcionarios de COLPENSIONES deben ser entregados con guaya de seguridad, para permitir su anclaje en el puesto de trabajo del usuario, a fin de mitigar el criterio de riesgo de robo

Las estaciones de trabajo y terminales, deben estar protegidas contra problemas eléctricos que puedan causar una falla o mal funcionamiento del equipo.

La Gerencia de Tecnologías de Información, debe garantizar que el cableado de energía eléctrica y de telecomunicaciones que transporta los datos o soporta los servicios de información de la entidad se encuentren adecuadamente protegidos para evitar daño o mala manipulación.

La Gerencia de Tecnologías de la Información con apoyo de la Gerencia Administrativa, deben asegurar físicamente las áreas de distribución de redes para prevenir la modificación o el acceso no autorizado.

La instalación de cualquier tipo de software en los equipos de cómputo por parte de los funcionarios de COLPENSIONES, es responsabilidad de la Gerencia de Tecnologías de la Información y por tanto son los únicos autorizados para realizar o autorizar esta labor.

La Gerencia de Tecnologías de la Información debe garantizar los siguientes lineamientos:

Las estaciones de trabajo, terminales y portátiles deben ser mantenidos acorde con las especificaciones e intervalos de servicio recomendados por los Fabricantes y se deben mantener los registros de todas las fallas reales o sospechosas.

Asegurar los equipos fuera de las instalaciones de la organización y su salida debe estar autorizada por el responsable del área a la cual esté asignada la máquina.

Toda la información de COLPENSIONES tendrá que ser removida del equipo antes de su disposición o reutilización.

Antes de cualquier venta o donación todos los medios de almacenamiento deben ser borrados de acuerdo con los mecanismos de eliminación de información que adopte la entidad.

Los usuarios no deben realizar cambios en las estaciones de trabajo relacionados con la configuración del equipo, tales como conexiones de red, usuarios locales de la máquina, papel tapiz y protector de pantalla definido por la Entidad. Estos cambios pueden ser realizados únicamente por la Gerencia de Tecnologías de la Información, para ello se debe disponer de un estándar de seguridad para estaciones de trabajo.

La Gerencia de Tecnologías de la Información, define e informa la lista actualizada de software y aplicaciones autorizadas que se encuentran permitidas para ser instaladas en las estaciones de trabajo de los usuarios; así mismo, realiza el control y verificación de cumplimiento del licenciamiento del respectivo software y aplicaciones asociadas.

La Gerencia de Tecnologías de la Información, será la única dependencia encargada de la adquisición de software y hardware. El resto de las dependencias podrán a través de dicha dependencia realizar las debidas adquisiciones.

El acceso a unidades CD, DVD y dispositivos USB debe ser restringido, solamente podrá ser utilizado por el personal autorizado por la Gerencia de Tecnologías de la Información.

El área de soporte de la Gerencia de Tecnologías de la Información no prestará servicio de soporte técnico (revisión, mantenimiento, reparación, configuración y manejo e información) a equipos que no sean de COLPENSIONES.

CAPÍTULO XXI. SEGURIDAD FÍSICA Y AMBIENTAL

1. OBJETIVO: Prevenir el acceso físico no autorizado, que eviten daños o robo a los activos de la organización e interrupciones a las actividades del negocio a través de lineamientos y controles de acceso para que solo se permita el ingreso a personal autorizado a las áreas seguras de Colpensiones.

2. ALCANCE

Esta política aplicará a todo el personal vinculado laboralmente con Colpensiones, trabajadores oficiales, trabajadores en misión, personal Sena y terceros que tengan acceso a las instalaciones o a los recursos de información de la Entidad.

3. INTRODUCCIÓN

La seguridad física identifica las amenazas, vulnerabilidades y las medidas que pueden ser utilizadas para proteger físicamente los recursos y la información de la organización. Los recursos incluyen el personal, el sitio donde ellos laboran, los datos, equipos y los medios con los cuales los empleados interactúan, en general los activos asociados al mantenimiento y procesamiento de la información, como por ejemplo activos de información, activos de software y activos físicos.

Colpensiones proveerá la implantación y velará por la efectividad de los mecanismos de seguridad física y control de acceso que aseguren el perímetro de sus instalaciones. Así mismo, controlará de amenazas físicas externas e internas y las condiciones medioambientales de sus oficinas.

Todas las áreas destinadas al procesamiento o almacenamiento de información pública reservada y pública clasificada, así como aquellas en las que se encuentren los equipos y demás infraestructura de soporte a los sistemas de información y comunicaciones, se consideran áreas de acceso restringido.

Se entiende por áreas donde se procesa la información las siguientes:

- Centros de Procesamiento principal y alterno. [8]

- Áreas con servidores, ya sean de procesamiento o dispositivos de comunicación (Datacenter, centros de cableado principal y Áreas donde se procese información propia de Colpensiones o procedente de clientes o de otras de áreas en sistemas de misión crítica y que respalden al negocio

- Áreas donde se encuentren concentrados dispositivos de información

- Áreas donde se procesen dineros, información, títulos valor entre otros

- Áreas donde se almacenen y guarden elementos de respaldo datos (CD, Discos Duros, Cintas etc.)

- Áreas donde se deposite salidas de impresoras o fax.

Los líderes de los procesos en colaboración con las áreas de Recursos Humanos, Área legal y Seguridad Física, deben definir las áreas restringidas de acuerdo a los anteriores criterios y adoptar las medidas de acceso físicas o lógicas que consideren para salvaguardar los activos de información del proceso.

4. POLÍTICAS GENERALES

- La Gerencia Administrativa deberá señalizar las áreas de acceso restringido, previamente identificadas por los procesos y concertadas con las áreas que requieran de evaluaciones adicionales y procedimientos a seguir.

- La Gerencia Administrativa deberá establecer un sistema de control de acceso a las instalaciones de Colpensiones, así como a las áreas demarcadas con acceso restringido dentro y fuera de las instalaciones principales de la Entidad

- Las áreas de acceso restringido deben estar monitoreadas en su acceso por CCTV (Circuito cerrado de televisión)

- La Gerencia Administrativa deberá controlar y monitorear a través de CCTV Circuito cerrado de televisión) el ingreso a las áreas seguras.

5. TRABAJO EN ÁREAS SEGURAS

Colpensiones debe mantener áreas seguras para la gestión, almacenamiento y procesamiento de información en la Entidad. Las áreas deben contar con:

Protecciones físicas y ambientales, acordes con el valor y la necesidad de aseguramiento de los activos que se protegen

Realizar revisiones periódicas de las oficinas que estén vacías asegurando que estén cerradas con llave

Restringir el uso de equipo fotográfico, de video, audio u otro equipo de grabación, tales como cámaras en dispositivos móviles.

No se permite el uso de celulares en áreas de acceso restringido

La Gerencia Administrativa debe señalizar de forma gráfica las restricciones para que estas se visualicen antes del ingreso.

El trabajo en áreas seguras debe estar monitoreado por CCTV, teniendo en cuenta que las cámaras no podrán apuntar directamente a la captura de información dentro de estas áreas.

- Definición de perímetros de seguridad física

- Controles de acceso físicos

- Seguridad para protección de los equipos

- Seguridad en el suministro eléctrico y cableado

- Condiciones ambientales adecuadas de operación

- Sistemas de contención, detección y extinción de incendios.

6. CONTROLES FÍSICOS DE INGRESO A LAS INSTALACIONES Y A LAS ÁREAS RESTRINGIDAS

Cualquier persona (Trabajador Oficial, trabajador en misión, personal Sena y Terceros) debe:

- El ingreso a las instalaciones se debe realizar de a una persona y validar su respectiva identificación

- Realizar su registro a través de un sistema biométrico, control de código de barras o físico que lo identifique y que se encuentre almacenado en un medio electrónico seguro desde el ingreso y salida de las instalaciones.

- Registrar los equipos de cómputo propiedad de Colpensiones y personales, en un medio seguro (físico o digital) desde la entrada hasta la salida de las instalaciones.

- Cumplir completamente con los controles físicos implantados por la Entidad, ya que los ingresos y salidas a las instalaciones de Colpensiones deben ser registrados

- Los trabajadores oficiales deben portar el carné que los identifica como trabajadores en un lugar visible, mientras se encuentren en las instalaciones de la institución; en caso de pérdida del carné, deben reportarlo a la mayor brevedad posible y deben gestionar la copia de manera inmediata con la Gerencia de Talento Humano.

- Los trabajadores en misión, personal Sena y contratistas que laboran dentro de las instalaciones de Colpensiones deben portar un carné de Colpensiones que los identifique en un lugar visible dentro de las instalaciones de la Entidad. Los supervisores se deben encargar de solicitar el carné a Talento Humano para identificar al contratista.

- Los Visitantes que ingresan a la Entidad deben tener un carné o distintivo de visitantes que los identifique en un lugar visible dentro de las instalaciones de la Entidad.

- Los funcionarios, trabajadores oficiales, trabajadores en misión, personal SENA, contratistas y visitantes deben permitir la verificación de bolsos, maletas o paquetes que ingresen o salgan de las instalaciones de la entidad, sin excepción.

- El personal de vigilancia debe solicitar el carné para validar la identificación del funcionario, colaborador o visitante, igualmente debe realizar la verificación de bolsos, maletas o paquetes que ingresen o salgan de las instalaciones de la entidad.

- Cuando un visitante o contratista ingrese a las instalaciones de Colpensiones el personal de vigilancia deberá contactar a un funcionario para que reciba a la persona en la entrada para validación de su ingreso y debido registro.

- Las Gerencias que tienen bajo su custodia áreas restringidas, deben modificar de manera inmediata los privilegios de acceso físico a estos sitios, en situaciones de desvinculación o cambio en las labores de una persona autorizada.

- Los colaboradores de la Entidad no deben intentar ingresar a las áreas a las cuales no tengan autorización salvo por alguna excepción que defina la alta Gerencia de la Entidad.

- Los funcionarios, trabajadores oficiales, trabajadores en misión, personal SENA, contratistas y Visitantes deben permitir la verificación de bolsos, maletas o paquetes que ingresen o salgan de las instalaciones de la entidad, sin excepción.

- El personal de vigilancia debe solicitar el carné para validar la identificación del funcionario, colaborador o visitante, igualmente debe realizar la verificación de bolsos, maletas o paquetes que ingresen o salgan de las instalaciones de la entidad.

- Cuando un visitante requiere ingresar a las instalaciones de Colpensiones el vigilante de la recepción debe contactar previamente al funcionario que lo citó para que esta persona lo reciba en la recepción y confirme la identidad.

- El personal de vigilancia debe estar capacitado y entrenado en controles de acceso físico y lógico y de las políticas de seguridad física de Colpensiones.

7. SEGURIDAD PERIMETRAL FÍSICA

Los requisitos para la seguridad física deben tener en cuenta los niveles de protección del perímetro de las instalaciones o elementos que contienen la información a proteger

- Muros

- Vallas

- Alarmas

- Suelos

- Protección de ventanas

- Torniquetes de acceso

- Cerraduras

- Espejos de vigilancia o seguridad

- Etc.

La Gerencia Administrativa debe instalar los elementos de forma adecuada evitando espacios que impidan accesos no autorizados y evaluar los riesgos de forma periódica y asegurar los controles implementados

En cuanto a las instalaciones deben diseñarse para evitar al máximo posible el riesgo que la información confidencial sea accesible para los visitantes.

8. CENTROS DE CÓMPUTO Y CENTROS DE CABLEADO

La Gerencia Administrativa, será responsable de administrar el ingreso y salida del personal a los centros de cableado.

Todo el personal que ingrese al Centro de Datos y centros de cableado deberá portar identificación visible y presentarla al personal de vigilancia en la puerta de acceso antes de su ingreso, siendo registrados en las minutas de control de acceso.

Los accesos a las áreas de centro de cómputo y cableado se deben solicitar al área encargada del acceso a los centros de cableado, a través de correo electrónico. Adicional, los responsables deben realizar un registro del ingreso de los visitantes en un medio seguro ubicado en la entrada de dichos lugares.

Se debe realizar el ingreso a los centros de cómputo y de cableado, acompañados de un funcionario de la dependencia que solicita el ingreso al centro de cómputo y centros de cableado.

Se debe certificar que los centros de cableado se encuentren separados de áreas que tengan líquidos inflamables o que corran riesgo de inundaciones e incendios.

Se debe asegurar que las labores de mantenimiento de redes eléctricas, de voz y de datos, sean realizadas por personal idóneo y previamente autorizado e identificado.

La Gerencia de tecnologías de la información deberá mantener en buen estado la infraestructura física de los centros de cableado a nivel nacional, tales como puertas, cerraduras, ventanas, techos, paredes, pisos, aires acondicionados, cielos rasos, pisos falsos, entre otros.

La Gerencia de Tecnologías de la información deberá realizar una revisión periódica del estado de los centros de cableado e informar cualquier anomalía presentada de la siguiente manera: daños en el rack y equipos activos de red y daños en infraestructura física (puertas, cerraduras, ventanas, techos, paredes, pisos, aires acondicionados, cielos rasos, pisos falsos, entre otros).

Se deberá establecer un plan de mantenimiento para los centros de cableado por parte de la Gerencia de Tecnologías de la Información, de tal manera que se corrijan fallas y/o establecer mejoras en los mismos.

La Gerencia Administrativa deberá implementar y administrar los circuitos cerrados de televisión (CCTV) para los centros de cableado y Centro de Datos.

La Gerencia Administrativa deberá respaldar los videos generados por las cámaras de vigilancia ubicadas en los centros de cableado a nivel nacional

La Gerencia de Tecnologías de la información deberá mantener libre de objetos o elementos que no sean propios en la operación en el Centro de Datos y centros de cableado.

Los centros de cómputo y centros de cableado deben llevar control de la programación de los mantenimientos preventivos a estos sitios, teniendo en cuenta los niveles de servicio acordados con los responsables de los servicios particulares y acorde a la operación de la Entidad, de conformidad con los cronogramas establecidos por la Gerencia de Tecnologías de la Información. Los niveles de temperatura y humedad relativa en estos sitios deben estar dentro de los límites requeridos por la infraestructura de cómputo allí instalada, para lo cual se deben usar sistemas de aire acondicionado según sea el caso.

La Gerencia de Tecnologías de la Información debe solicitar de forma periódica mantenimientos preventivos y pruebas de funcionalidad del sistema de UPS y plantas eléctricas, de los sistemas de detección de incendios y del sistema de aire acondicionado.

Se debe velar porque los recursos de la plataforma tecnológica, se encuentren protegidos contra fallas o interrupciones eléctricas.

Las áreas que tienen en custodia centros de cómputo y/o centros de cableado deben monitorear las variables de temperatura y humedad de las áreas de procesamiento de datos.

Se debe velar por el ambiente adecuado para los activos informáticos como ventilación, iluminación, regulación de corriente, etc.

La Gerencia administrativa debe realizar campañas de concienciación acerca de los nuevos controles físicos y políticas de accesos a las instalaciones.

9. PROTECCIÓN SOBRE AMENAZAS EXTERNAS O AMBIENTALES

Colpensiones debe designar y aplicar protección física para desastres como: fuego, inundación, terremoto, explosión, malestar civil y otras formas de desastre natural o humano.

10. EQUIPOS

UBICACIÓN Y PROTECCIÓN DE LOS EQUIPOS

Los trabajadores Oficiales, trabajadores en misión, Personal Sena y terceros, no deben:

- Mover o reubicar los equipos de cómputo pertenecientes a la Entidad, instalar o desinstalar dispositivos, ni retirar marcas, logotipos ni hologramas de los mismos sin la autorización de la Gerencia Administrativa.

- Abrir o destapar los equipos de cómputo de Colpensiones. Solo el personal de la Gerencia de Tecnologías de la Información está autorizado para realizar esta labor.

La Gerencia Administrativa y la Gerencia de Tecnologías de la Información deben resguardar mediante controles físicos los equipos de cómputo que le son asignados los colaboradores de la Entidad y entregar un acta en el cual se registre la firma del usuario como responsable de estos. Los equipos de cómputo asignados son para uso exclusivo de las funciones del cargo que desempeñan en la Entidad.

Los trabajadores Oficiales, trabajadores en misión, Personal Sena y terceros, deben:

- Utilizar los equipos de cómputo destinados como herramientas de apoyo a las labores asignadas, sin vulnerar las políticas establecidas por la Entidad y por las leyes vigentes del país.

- Solicitar la capacitación necesaria para el correcto manejo de las herramientas informáticas que requieren para realizar sus labores, a fin de evitar riesgos por mal uso y para aprovechar al máximo los recursos proporcionados por la Entidad.

11. SEGURIDAD DEL CABLEADO

La Gerencia de Tecnologías de la Información debe contar con los siguientes controles para mantener la seguridad del cableado:

1. Conservar y mantener actualizados los planos que describen las conexiones del cableado.

2. Mantener los cables de red de los centros de datos claramente marcados

3. Proteger el acceso a los centros de cableado solo para el personal autorizado

12. MANTENIMIENTO DE EQUIPOS

La Gerencia de Tecnologías de la Información es la responsable de llevar a cabo los servicios de mantenimiento y reparaciones a los equipos de cómputo. Razón por la cual, deberá llevar a cabo los siguientes lineamientos:

El mantenimiento y reparaciones se llevaran a cabo solamente por personal idóneo autorizado para la labor. Realizar procedimientos de borrado seguro en los equipos que se dan de baja y los equipos que son asignados a usuarios diferentes por temas de rotación.

13. EQUIPOS DE USUARIO DESATENDIDOS

Los (Trabajadores oficiales, Misionales, Sena, Terceros), deben cerrar la sesión de sus equipos de cómputo cuando no se encuentren en su lugar de trabajo.

Es responsabilidad de cada funcionario o trabajador al que se le asigne equipo portátil, dejarlo asegurado, haciendo uso de las guayas de seguridad suministradas por la Gerencia de Tecnologías de la Información, para evitar la materialización del riesgo por perdida de quipos

14. POLÍTICA DE ESCRITORIO LIMPIO Y PANTALLA LIMPIA

Los trabajadores oficiales, misionales y personal Sena, deben conservar el escritorio del equipo libre de información de uso interno o confidencial propia de la Entidad, que pueda ser alcanzada, copiada o utilizada por terceros o por personal que no tenga autorización para su uso o conocimiento.

La Gerencia de Tecnologías de la Información debe garantizar que los usuarios tengan la pantalla del equipo limpia o libre de archivos oficiales ya sean de carácter confidencial o restringido por medio de mecanismos adecuados para este fin.

La Gerencia de Tecnologías de la Información debe aplicar un protector estándar en todas las estaciones de trabajo y equipos portátiles de la Entidad, de forma que se active luego de diez minutos sin uso

Los trabajadores oficiales, misionales y personal Sena deben guardar en un lugar seguro cualquier documento, medio magnético u óptico removible que contenga información confidencial o de uso interno.

Los trabajadores oficiales, misionales y personal Sena no deben dejar en el escritorio físico documentos de uso confidencial sin custodia.

Los trabajadores oficiales, misionales y personal Sena, deben borrar la información confidencial escrita en los tableros destinados en las salas de reuniones.

La Gerencia de Tecnologías de la Información debe establecer las medidas de control necesarias que permitan comprobar el correcto cumplimiento de los puntos anteriores.

XXII POLÍTICA DE TRANSFERENCIA DE INFORMACIÓN

1. OBJETIVO: Establecer los lineamientos para mantener la seguridad de la información transferida dentro de la entidad y con cualquier entidad externa.

2. ALCANCE: La presente política aplica para funcionarios públicos, oficiales, por su rol, transfieran información dentro de la entidad y con cualquier entidad externa.

Lineamientos: La transferencia de Información por cualquier medio debe realizarse protegiendo la confidencialidad e integridad de los datos con los mecanismos de acuerdo con la clasificación del activo de información involucrado. Para COLPENSIONES se deberá dar cumplimiento a los siguientes lineamientos de seguridad:

- COLPENSIONES cuenta con políticas, procedimientos y controles de transferencia formales para proteger la transferencia de información, soportada en su infraestructura de telecomunicaciones.

- Cuando se trate de intercambios periódicos, se debe privilegiar la transmisión de datos a través de vías seguras. La situación más evidente en este sentido surge con entes gubernamentales, con los cuales se establecen convenios o nexos de diferente naturaleza, y que involucran de alguna forma el intercambio de información.

- El uso de Drive se limita a guardar archivos temporales para trabajar de forma colaborativa pero esta herramienta no es un repositorio documental por tanto, no debe reposar en este medio de manera indefinida la información pública de Colpensiones. Es recomendado una vez se finalice la actividad en grupo sea descargado el archivo y guardarlo en la respectiva carpeta del área.

- Para acceso a sitios web se debe implementar herramientas de seguridad perimetral seguros (firewalls) y el uso de protocolos seguros.

3. MENSAJERÍA ELECTRÓNICA

COLPENSIONES debe asignar una cuenta de correo electrónico como herramienta de trabajo para cada uno de los funcionarios que lo requieran para el desempeño de sus funciones y en algunos casos a terceros previa autorización; su uso se encuentra sujeto a lo establecido en la presente política.

Los mensajes y la información contenida en los buzones de correo son de propiedad de COLPENSIONES y cada usuario, como responsable de su buzón, debe mantener solamente los mensajes relacionados con el desarrollo de sus funciones.

La información enviada por correo electrónico, clasificada como "Reservada" y/o "Clasificada", debe ser protegida con contraseña de acceso o cifrado según corresponda. La Gerencia de Tecnologías de la información deberá definir controles para la transferencia de información a través de redes públicas para las aplicaciones de COLPENSIONES.

La Gerencia de Tecnologías de la información deberá disponer de controles para realizar transferencias completas, sin alteraciones y visualizaciones no autorizadas de la información entre las aplicaciones de Colpensiones, teniendo en cuenta los siguientes criterios:

- Contar con información de autenticación secreta de usuario.

- Mantener privacidad en las partes involucradas.

- Cifrar las comunicaciones cuando sea necesario.

- Los protocolos de comunicación estén asegurados.

- La información almacenada de las transacciones no se encuentre pública

4. SEGURIDAD CON TERCEROS

OBJETIVO: Establecer los lineamientos y mecanismos de control por parte de COLPENSIONES en sus relaciones con terceras partes, con el objetivo de asegurar que la información a la que tengan acceso, conocimiento o relación con los servicios o productos en el marco del contrato cumpla con las políticas, normas y procedimientos del manual de seguridad de la información y ciberseguridad.

ALCANCE

La presente política aplica para todos los proveedores o terceras partes que requieran acceso a los activos de información de COLPENSIONES y para los supervisores de contratos que establezcan dichos accesos.

LINEAMIENTOS

éTAPA PRECONTRACTUAL

- Durante la Etapa Precontractual, desde la construcción de los estudios previos, el Área solicitante de la contratación, debe identificar los riesgos de seguridad de la información y ciberseguridad, los cuales deben ser parte de la estimación y cobertura de los riesgos del proceso de contratación. Razón por la cual, el análisis de riesgos de seguridad de la información y ciberseguridad debe incluir la identificación de los mismos en la respectiva contratación, su clasificación, probabilidad de ocurrencia estimada, su impacto, la determinación de la parte que debe asumirlos, el tratamiento que se les debe dar para eliminarlos o mitigarlos y las características del monitoreo más adecuado para administrarlos.

- El supervisor debe identificar sí el objeto del contrato, requiere del acceso de los proveedores a la información reservada o clasificada de la entidad, sistemas de información y/o áreas seguras de la entidad; de ser así, se deben determinar los requisitos mínimos de seguridad y los controles necesarios por parte del proveedor para ejecutar dicho contrato.

- Asegurar la inclusión de la cláusula de confidencialidad, protección de datos, intercambio de información, derechos de propiedad intelectual, las políticas de seguridad y privacidad de la información y derechos de autor, generar un modelo base para los acuerdos de niveles de servicios en la suscripción y perfeccionamiento del contrato que se celebre entre COLPENSIONES y aquellos proveedores que tendrán acceso a la información reservada o clasificada de la Entidad.

- El supervisor debe socializar a los proveedores las políticas, procedimiento y demás documentos asociados a la seguridad de la información y ciberseguridad de COLPENSIONES.

- Para la contratación de servicios o componentes de la infraestructura de TI y/o áreas seguras, se debe exigir a los proveedores la presentación de los planes de contingencia que aseguren la disponibilidad de la información, suministrada y procesada entre las partes.

- Las Gerencias de Tecnologías de la información y la Gerencia de Prevención del Fraude deben:

- Establecer las condiciones de comunicación segura, cifrado y transmisión de información desde y hacia los terceros, proveedores de servicios e Implementar controles de cifrado y asegurar la transferencia de la información entre las partes

- Establecer las condiciones de conexión adecuada para los equipos de cómputo y dispositivos móviles de los terceros en la red de datos de Colpensiones.

- Gestionar los riesgos relacionados con terceras partes que tengan acceso a los sistemas de información y la plataforma tecnológica del ICETEX

- Verificar el cumplimiento de los controles de software base instalado y de licenciamiento de software y hacer extensivos los controles existentes en la red a equipos de cómputo de terceras partes cuando los proveedores que por necesidades o por acuerdos contractuales de la operación, incorporen equipos de cómputo a la red corporativa

éTAPA CONTRACTUAL

- El supervisor debe monitorear el acceso a la información y a los recursos de almacenamiento o procesamiento de la misma, la gestión de incidentes de seguridad de la información y ciberseguridad, continuidad del negocio y acordar el canal para su debido reporte.

- El supervisor del contrato debe contemplar procesos de auditoria a proveedores cuyo objetivo sea validar el cumplimiento de los requisitos de seguridad de la información y ciberseguridad definidos y consignarlos en los informes de supervisión presentados.

- Toda gestión del proveedor que represente una modificación, mantenimiento, revisión al servicio de tecnología de la información, comunicaciones o equipos de suministros, debe pasar por el Procedimiento Gestión de Cambios antes de su ejecución.

éTAPA POST CONTRACTUAL

- Durante la Etapa Post Contractual, es función del supervisor del contrato, monitorear y hacer seguimiento a los controles pactados para asegurar la confidencialidad, integridad y disponibilidad de la información, frente a los riesgos previamente identificados.

- El supervisor del contrato debe validar que los controles de seguridad de la información y ciberseguridad definidos al terminar el contrato se realicen de forma adecuada y con los protocolos y procedimientos adecuados tales como procesos de entrega y destrucción de la información que pertenezcan a Colpensiones.

CAPÍTULO XXIII POLÍTICA PROTECCIÓN CONTRA CÓDIGO MALICIOSO

1. OBJETIVO: Mantener los sistemas y activos de información de Colpensiones protegidos contra cualquier posible evento de malware, software o código malicioso.

2. ALCANCE: Todo sistema o componente tecnológico de Colpensiones debe contar con mecanismo de protección contra malware o código malicioso como lo es un agente de antivirus, IPS/IDS de host y cualquier solución complementaria que fortalezca el objetivo de control

3. REQUERIMIENTOS MÍNIMOS DE LA SOLUCIÓN ANTIVIRUS, ANTIMALWARE

La configuración del sistema antivirus, antimalware y de protección contra ataques avanzados debe por lo menos contar con:

- Consola centralizada de administración, para control de despliegue y sincronización

- Actualizaciones y sincronización automática, en lo posible en línea o el menor tiempo posible de actualización periódico.

- Restringir la ejecución automática de aplicaciones: autorun, ejecutables, scripts, etc.

- Protección en la mayoría de medios posible: Internet, correo electrónico, medios extraíbles, etc

- La acción inmediata debe ser contención y eliminación ante cualquier posibilidad de encontrarse un virus, malware o cualquier variante de código malicioso.

- Se debe mantener actualizado a sus últimas versiones funcionales las herramientas de seguridad, incluido, motores de detección, bases de datos de firmas, software de gestión del lado cliente y del servidor, etc.

- La detección y búsqueda de virus debe ser programada y automática, esta debe realizarse de forma periódica, al menos 1 vez al día.

- Se debe controla y analizar posibles descargas de software malicioso

- No permitir que los usuarios puedan desactivar o eliminar cualquier herramienta de seguridad, principalmente, la solución de antivirus, antimalware y de prevención de ataques avanzados.

Lo anterior debe ser extensible para cualquier equipo de terceros que tenga acceso a la red de Colpensiones, ya sea interna o externamente.

4. RESPONSABILIDADES DE LOS USUARIOS

- Evitar cualquier acción que llegue a generar alguna posibilidad de contagio de virus.

- Eliminar cualquier archivo o mensaje desconocido o sospechoso que le sea entregado a través de los recursos asignados por Colpensiones: correo electrónico, medios extraíbles, internet, etc.

- Reportar cualquier situación de virus, malware o código malicioso a la Gerencia de Tecnologías de Información a través de la Mesa de Servicio y la Gerencia de Riesgos y Seguridad de acuerdo con procedimiento de Gestión de Incidentes.

- Utilizar únicamente el software antivirus autorizado y aprobado por la Gerencia de Tecnologías de la Información.

5. CAPACITACIÓN Y SENSIBILIZACIÓN

Colpensiones programará eventualmente capacitaciones sobre prevención y tratamiento de virus, malware, código malicioso y cualquiera de sus variantes para garantizar que todos los funcionarios conozcan las acciones de mitigación disponible y disminuir la posibilidad de materialización de cualquier incidente por esta causa.

6. MONITOREO CONTINUO

Colpensiones se reserva el derecho de monitorear las comunicaciones, la información que es transmitida a través de la red interna y los servicios de intercambio de información, almacene o procesen en cualquier medio para la detección, contención y eliminación de cualquier virus, malware o código malicioso, esto incluye la eliminación de archivos, mensajes y cualquier objeto que se considere una amenaza.

CAPÍTULO XXIV PARA LA SEGURIDAD DE LAS OPERACIONES

1. OBJETIVO: Establecer los lineamientos para las operaciones correctas y seguras de las instalaciones de procesamiento de información de COLPENSONES

2. ALCANCE: La presente política aplica para todas las operaciones que se desarrollen en COLPENSIONES a través de todos los servidores públicos, trabajadores oficiales misionales, contratistas y terceros.

3. POLÍTICAS

Se debe dar cumplimiento de los siguientes lineamientos:

Los procedimientos operativos se deben documentar y poner a disposición de los servidores públicos, trabajadores oficiales, misionales, contratistas y terceros. Los procedimientos operativos específicos de COLPENSIONES, deben ser tratados como documentos formales y los cambios autorizados por el equipo de administración de sistemas de información.

La Gerencia de Tecnologías de la Información, debe implementar un proceso documentado para la gestión de cambios, en los procesos de negocio, en las instalaciones y en los sistemas de procesamiento de información que afectan la seguridad de la información.

La Dirección de Información y Tecnología a través de la Subdirección de Recursos Tecnológicos deberá documentar una gestión de Capacidad el cual le permita:

- Evaluar las necesidades de capacidad de los sistemas en operación y proyectar las futuras demandas de capacidad.

- Monitorear el rendimiento de la infraestructura tecnológica para determinar el uso de la capacidad existente

- Documentar los datos de rendimiento y capacidad de la plataforma tecnológica del COLPENSIONES

- Documentar los acuerdos de niveles de servicio

- Asignar los recursos adecuados de hardware y software, para todos los servicios y aplicaciones de tecnología

- Documentar una gestión de Capacidad, las recomendaciones de mejora de la infraestructura de tecnología y periódicamente deberá ser actualizado

- Definir los indicadores de rendimiento correspondientes a la gestión de capacidad

- Deberá asignar un responsable de la Gestión de Capacidad

Estas proyecciones deben tener en cuenta los nuevos negocios y los requerimientos de sistemas y tendencias proyectadas y actuales en el procesamiento de la información.

La Gerencia de Tecnologías de la información debe mantener separados los ambientes de desarrollo, pruebas y producción para reducir los riesgos de accesos o cambios no autorizados a los sistemas en producción, así como posibles inconvenientes en la operación de estos.

La Gerencia de Tecnologías de la Información debe mantener una lista documentada y actualizada de los servicios, protocolos y puertos utilizados, incluyendo la justificación pertinente en los casos que se estén utilizando protocolos no seguros. En el caso de detectar protocolos inseguros, se debe contar con contramedidas para cerrar las vulnerabilidades encontradas.

La Gerencia de Riesgos de Seguridad de la Información debe realizar, una revisión semestral de la configuración de los dispositivos de seguridad. Deben habilitarse sólo los servicios y protocolos necesarios y seguros según lo requiera la función del sistema.

Todo acceso administrativo a sistemas críticos de la Entidad que no sea por consola debe ser cifrado.

Todos los sistemas (servidores, equipos activos de red y máquinas de usuarios) deben contar con sincronización de reloj a nivel de sistema operativo, teniendo como referencia la Hora Legal Colombiana. No está permitida la desactivación del sistema de sincronización o la manipulación manual de la hora.

Todos los equipos de cómputo de la Entidad deben tener instalados los parches de seguridad más recientes proporcionados por los fabricantes. La aplicación de los parches debe realizarse por la Gerencia de Tecnologías de la Información dentro de un periodo máximo de un mes a partir de su liberación y de inmediato cuando se presenten amenazas o alertas tempranas que puedan resultar materializadas en un incidente de seguridad.

La Gerencia de Tecnologías de la Información debe generar y mantener registros de auditoría sobre las actividades de los usuarios, excepciones y eventos de seguridad de información para soportar futuras investigaciones y monitoreo del control de acceso.

Los registros de información se deben proteger contra intentos de alteración y acceso no autorizado.

La Gerencia de Tecnologías de la Información, debe implementar procedimientos para la gestión de vulnerabilidades técnicas.

La Gerencia de Tecnologías de la Información, debe implementar procedimientos para controlar la instalación de software en sistemas en producción.

Está totalmente prohibida la instalación de software no autorizado en los equipos de COLPENSIONES.

Los líderes de los procesos deben segregar funciones y áreas de responsabilidad con el fin de reducir las posibilidades de modificaciones no autorizadas o uso indebido de la información o servicios. Se debe tener especial cuidado para que una persona no pueda ejecutar fraudes en las áreas de responsabilidad individual sin ser detectada.

Los registros y auditorias de COLPENSIONES deben garantizar la evaluación de los controles, la eficiencia de los sistemas y el cumplimiento de los lineamientos establecidos por la entidad, así como las recomendaciones de las deficiencias o hallazgos detectados.

De igual forma la entidad, define los responsables de gestionar las auditorias de forma periódica a los activos de información críticos y no críticos de la entidad, de acuerdo con los parámetros establecidos por

el área o proceso responsable para tal fin; los cuales deben estar alineados a los objetivos estratégicos, a los procesos y a la normatividad legal vigente de la entidad.

Todas las evidencias que se recolecten como resultado de las auditorías practicadas, deben contar con un lugar para el almacenamiento de los registros y monitoreo de los eventos de seguridad.

La Gerencia de Riesgos y Seguridad de la Información tiene la responsabilidad de mantener el contacto con las autoridades y verificar el cumplimiento de la ley, así como las normas expedidas relacionadas con la seguridad de la información y que podría impactar la seguridad de la información de COLPENSIONES

4. EXCEPCIONES:

Cualquier excepción debe ser autorizada por los Líderes de los procesos con asesoría de la Gerencia de Tecnologías de la Información /Seguridad Informática y el equipo de la Gerencia de Riesgos y Seguridad de la información de la entidad.

CAPITULO XXV MEJORA CONTINUA

1. OBJETIVO: Mejorar continuamente el monitoreo del cumplimiento de la política de seguridad de la información, planes de mejora de las brechas de la política de seguridad de la información y contribuir a la eficacia del sistema de gestión de seguridad de la Información, como instrumento y aumentar el rendimiento y la eficiencia general del mismo. Establecer objetivos y metas que tengan en cuenta la seguridad de la información, en base a la presente Política.

2. ALCANCE: La presente política aplica para todo el personal vinculado laboralmente con Colpensiones, trabajadores oficiales, trabajadores en misión, personal Sena y terceros que tengan acceso a los recursos de información de la organización y que conozcan y deban cumplir con la presente política.

3. POLÍTICAS:

COLPENSIONES busca la mejora continua de sus procesos, así como de garantizar la confidencialidad, integridad y disponibilidad de la información pública reservada y publica clasificada. Para ello, se establecen los siguientes lineamientos:

La Gerencia de Riesgos y seguridad de la información deberá:

- Disponer de un Sistema de Gestión de Seguridad de la Información y Ciberseguridad en la entidad.

- Establecer objetivos y metas que tengan en cuenta la seguridad de la información, en base a esta Política.

- Conocer y cumplir permanentemente los requisitos legales que afecten la seguridad de la información.

- Facilitar la capacitación de los funcionarios de COLPENSIONES en los criterios de mejora continua de la seguridad de la información. Esta condición se extenderá a todas aquellas personas implicadas como funcionarios estatales, contratistas y terceros.

COLPENSIONES adquiere el compromiso de que se cumplan los objetivos establecidos de la seguridad y promueve que la confidencialidad, integridad y disponibilidad de la información se encuentren siempre presentes en todas y cada una de las actividades, implicando a todo el personal de la misma, convirtiéndose en tarea y responsabilidad de todos.

COLPENSIONES en su búsqueda de la mejora continua de la seguridad, incorpora en su desarrollo profesional, capacitación y educación para la generación de nuevos conocimientos y apuesta por desarrollo tecnológico e innovación capaces de hacer más operativa y segura la información de la entidad de la sociedad en general.

ASPECTOS REGLAMENTARIOS

Colpensiones dará cumplimiento a todos los aspectos regulatorios, normativos y reglamentarios a los que esté sometido en materia de calidad y seguridad de la información, dando cumplimiento a:

- NTC-ISO/IEC 27001. Anexo A

- Circular básica Jurídica 029 de la Superintendencia Financiera de Colombia

- Circular externa 007 de 2018 de la Superintendencia Financiera de Colombia

REFERENCIAS

Ley de transparencia 1712 de 2014

Ley 1581 de 2012

Modelo de seguridad y privacidad de la información MINTIC Glosario de términos de ciberseguridad INCIBE

Blog Atlas - https://blog.atlas.com.co

CONTROL DE CAMBIOS DEL DOCUMENTO

FECHAVERSIÓNMODIFICACIÓNELABORÓREVISÓ.APROBÓ.
Junio 20191.0Creación inicialNombre: Liliana Serrano
Cargo: Asesor Vicepresidencia
Nombre: Antonio José Coral Triana Cargo: Gerente de riesgos y Seguridad de la
información
Nombre: Fabián Mauricio Arias Cargo: Vicepresidente de Seguridad y Riesgos Empresariales
Diciembre 2019;
Marzo 2020
2.0Modificación de XI cláusulas
Y Adición XIV capítulos
Nombre: Marysol Kattah
Cargo: Profesional Master V
Nombre: Antonio José Coral Triana Cargo: Gerente de riesgos y Seguridad de la
información
Nombre: Antonio José Coral Triana Cargo: Gerente de riesgos y Seguridad de la información

<NOTAS DE PIE DE PÁGINA>.

7. Instructivo para la gestión de incidentes de seguridad de la información y ciberseguridad”:

8. ISO 22301:2012

×