Politicas de Seguridad CAR

Corporacién Auténoma Regional de Cundinamarca - CAR Direccién General Republica de Colombia RESOLUCIONNo = 3493 DE 15 ocr 2079 Por la cual se adopta el Manual de Politicas de Seguridad de la Informacion de la Corporacién Auténoma Regional de Cundinamarca -CAR EL DIRECTOR GENERAL DE LA CORPORACION AUTONOMA REGIONAL DE CUNDINAMARCA- CAR, en uso de las facultades legales, en especial de las conferidas por el numeral 1 del articulo 29 de la Ley 99 de 1993 y el numeral 1 del articulo 4 del acuerdo CAR 22 de 2014, CONSIDERANDO Que el articulo 15 de la Constitucién Politica consagra el derecho fundamental de las personas a conservar su intimidad personal y familiar, al buen nombre y a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellos en bancos de datos y en archivos de las entidades puiblicas. Que el articulo 29 de la Ley 99 de 1993, establecen que son funciones del Director General de la CAR, entre otras, dirigir, coordinar, controlar las actividades de la entidad, Que el articulo 19 de la Ley 594 de 2000, indica que: "Las entidades del Estado podrrén incorporar tecnologias de avanzada en la administracién y conservacién de su archivos, empleando cualquier medio técnico, electrénico, informatico, 6ptico o telamético, siempre y cuando cumplan con los siguientes requisitos; a) Organizacién archivistica de los documentos: b) Realizacién de estudios técnicos para la adecuada decisién, teniendo en cuenta aspectos como la conservacién fisica, las condiciones ambientales y operacionales, la seguridad, perdurabilidad y reproduccién de la informacién contenida en estos soportes, asi como el funcionamiento razonable del sistema”. Que de conformidad con lo dispuesto en el articulo 6° de la Ley 962 de 2005, todas las entidades y organismos de la administracién ptiblica deberén poner en conocimiento de los ciudadanos los trémites y procedimientos de su competencia en la forma prevista en las disposiciones vigentes o emplear cualquier medio tecnolégico 0 documento electrénico de que dispongan, para lo cual podrén implementar las condiciones y requisitos de seguridad que para cada caso sean procedentes. Que en la Ley 1273 de 2009, “Por medio de la cual se modifica el Cédigo Penal, se crea un nuevo bien juridico tutelado - denominado "de la proteccién de la fcformacién y de los datos - y se preservan integralmente los sistemas que utilicen 's tecnologias de la informacién y las comunicaciones, entre otras disposiciones’, iciond el Codigo Penal con un Titulo Vil BIS denominado ‘De la Protecci6n d@ » informacién y de los datos".Corporacién Auténoma Regional de Cundinamarca ~ CAR Direccién General Repiblica de Colombia RESOLUCIONNo ©S49SDE 15 OCT 2019 Por la cual se adopta el Manual de Politicas de Seguridad de la Informacién ‘de la Corporacién Auténoma Regional de Cundinamarca —-CAR Que la Ley 1437 de 2011 en el capitulo IV articulos 53 y siguientes teguld la utiiizacién de medios electrénicos en el procedimiento administrativo, raz6n por la cual se requiere fortalecer la Seguridad Informatica y la continuidad del negocio para dar cumplimiento a dicho precepto legal. Que la Ley 1581 de 2012 “Por /a cual se dictan disposiciones generales para la proteccién de datos personales’, en el principio de seguridad establece que: ‘La informacién sujeta a Tratamiento por el Responsable del Tratamiento o Encargado del Tratamiento a que se refiere la presente ley, se deberé manejar con las medidas técnicas, humanas y administrativas que sean necesarias para oforgar seguridad a los registros evitando su adulteracién, pérdida, consulta, uso 0 acceso no autorizado o freudulento” Que la Ley 1712 de 2014, “Por medio de Ia cual se crea la Ley de Transparencia y del Derecho de Acceso a la Informacién Publica Nacional y se dictan otras disposiciones’, establecié lineamientos y directrices sobre el derecho de acceso a la informaci6n publica, procedimientos para el ejercicio y garantia del derecho, y las excepciones a la publicacién de informacién. Que el Decreto 1008 de 2018, "Por el cual se establecen los lineamientos generales de Ia politica de Gobierno Digital y se subroga el capitulo 1 del titulo 9 de la parte 2 del libro 2 del Decreto 1078 de 2015, Decreto Unico Reglamentario de! Sector de Tecnologias de la Informacién y las Comunicaciones", en el articulo 2.2.9.1.2.1, reglamenta el componente de seguridad y privacidad de la informacién tendiente a proteger la informacion y los sistemas de informacién, del acceso, uso, divulgacién, interrupcién o destruccién no autorizada; y en su numeral 2 define los habilitadores transversales de la politica, dentro de los cuales se encuentra la Seguridad de la Informacion. Que el articulo 2.2,9.1.3.2. del Decreto 1008 de 2018 establece que ol responsable institucional de la Politica de Gobierno Digital es el representante legal de cada sujeto obligado, y que éste serd el responsable de coordinar, hacer seguimiento y verificacién de la implementacién de la Politica de Gobierno Digital Que el articulo 4 del Acuerdo CAR 22 de 2014, determina como fundiones del Director General, el dictar las normas administrativas internas de la Cotporacién; y, administrar y velar por la adecuada utilizaci6n de los bienes y fondos que constituyen el patrimonio de la Corporacién. ue la Corporacién Auténoma Regional de Cundinamarca - CAR, mediante la esolucién No. 3554 de 2017, actualiz6 las politicas de seguridad de la \ gta:Ms. Corporacién Auténoma Regional de Cundinamarca - CAR CAR cin Goneral Repiblica de Colombia RESOLUCIONNo 4493 pe 15 OCT 2019 Por la cual se adopta el Manual de Politicas de Seguridad de la Informacién de la Corporacién Auténoma Regional de Cundinamarca —CAR Que en mérito de lo expuesto, se hace necesario actualizar y adoptar mediante acto administrativo el Manual de Politicas de Seguridad de la Informacién para la entidad, RESUELVE: ARTICULO 1: Adoptar el Manual de Politicas de Seguridad de la Informacién de la Corporacién Auténoma Regional de Cundinamarca - CAR, el cual hace parte integral de la presente resolucién. ARTICULO 2: Las politicas contenidas en el Manual de Politicas de Seguridad de la Informacién, adoptadas por la presente Resolucién aplican a todos los servidores puiblicos, contratistas, usuarios, asi como, a quienes utilicen recursos. @ infraestructura de tecnologias de la informacién y las comunicaciones de la Corporacién. ARTICULO 3: Los directores y jefes de oficina, deben asegurar que los procedimientos de seguridad dentro de su Area de responsabilidad sean realizados correctamente en cumplimiento con las Politicas de Seguridad de la Informacién de que trata la presente resolucién y velarén por que sean cumplidas or los funcionarios y contratistas de su area. ARTICULO 4: La Oficina de Control Interno serd la responsable de verificar el cumplimiento de las Politicas de Seguridad de la Informacion. ARTICULO 5: La evaluacién y actualizacién de las Politicas de Seguridad de la Informacién seran responsabilidad de la Oficina de las Tecnologias de la Informacién y las Comunicaciones — OTI ARTICULO 6: La presente resolucién rige 4 partir de su publicacién en el Boletin Oficial de la Corporacién y deroga la Resollicién 3554 de 2017, expedida por la CAR. I Director General CAR aE Preyecon: José Hil Géngra Plo OTIC [ats Aber Lopez Lapa psu o> Operetta acere nec c- Jab. Jan Gano Foe Tenens Orca Yeee Aen Gane Farr Tete _Caete§MANUAL DE POLITICAS DE SEGURIDAD DE LA INFORMACIO. CORPORACION AUTONOMA REGIONAL DE CUNDINAMARCA - CAR OCTUBRE DE 20196 61 6.1L 612 a TA 8 81 82 83 84 85 90 oa 92, 93 934 932 94 10 Corporacién Auténoma Regional de Cundinamarca - CAR Republica de Colombia Contenido INTRODUCCION. a OBJETIVOS. 4 Directrices. _ ALCANCE . eet REQUISITOS LEGALES Y/O REGLAMENTARIOS....... ‘TERMINOS Y DEFINICIONES .. ORGANIZACION DE SEGURIDAD DE LA INFORMACION. POLITICA DE ESTRUCTURA ORGANIZACIONAL DE SEGURIDAD DE LA INFORMACION 10 Funciones del Comité de Seguridad de la Informacién, 10 Responsabilidades de] Comité de Seguridad de la Informacién. 10 ‘SEGURIDAD PARA LOS RECURSOS HUMANOS Et Proceso Disciplinario 2 GESTION DE ACTIVOS DE INFORMACION... 15 Politica de uso de los activos Politica de uso de estaciones cliente .. Politica de uso de Internet... Politica de clasiticacién de la informacién, Politica devoluci6n de los activos. INTROL DE ACCESOS... a7 Politica de establecimiento, uso y protecci6n de claves de acceso ee 17 Manejo de coniraseas para administradores de tecnologia, | ean Politica de uso de puntos dered de datos (red de érea local ~ LAN). 19 Segregacién en reds. a9 Control de Acceso Remoto. 9 Politica espectfica para usuarios de la Corporacién Auténoma Regional de Cundinamarca ~ CIFRADO Politica de controles criptogratices... SEGURIDAD FISICA Y AMBIENTAL.. Politicas de seguridad del centro de datos y centros de cableado Politicas de seguridad de los Equipos...nal de Cundinamarca ~ CAR Repibblica de Colombia Corporacién Autonoma Rey 11.2.1 Politica de escritorio y pantalla limpia, 2 113 Politica de manejo disposicién de informacién, medios y equipos.... 12 SEGURIDAD DE LAS OPFRACIONES DE TIC... 12.1 Politica de respaldo y restauracién de informacién.. 12.2 Polftica para ealizacién de copias en estaciones de trabajo de usuario final. 12.3 Politica de registro y seguimiento de eventos de sistemas de informacidn y comunicaciones . 12.4 Politica de control de software operacional de la Corporacién Auténoma Regional de Cundinamarca —CAR 25 125 Politica de gestin de vulnerabilidades. 26 13 SEGURIDAD DE LAS TELECOMUNICACIONES.. 26 13.1 Politica para a ransferencia de informacisn, 26 13.2 Politica de Documentos electnieo 26 133 Politica de uso de correo clectrnico.. ” 13.4 Politica de uso de mensajeria instants y res sociales. 28 14 ADQUISICION, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE INFORMACION...28 15 RELACIONES CON PROVEEDORESY TERCEROS 15.1 Politica de Tercerizacién u Outsourcing... 16 GESTION DE LOS INCIDENTES DE LA SEGURIDAD DE LA INFORMACION .. 17 GESTION DE LA CONTINUIDAD DEL NEGOCIO. snnennnsnssn aaa aa 18 CUMPLIMIENTO. 31 18.1 Politica de tratamiento de datos personales... at 18.2 Politica de cumplimiento de requisitos legales y contractuales at 183 Politica de Revisiones de Seguridad de la Informaci6n.... 19 REGISTRO DE AUDITORIA.... ic se 20 CAPACITACION Y SENSIBILIZACION EN SEGURIDAD DE LA INFORMACION...Corporacién Auténoma Regional de Cundinamarca - CAR Republica de Colombia INTRODUCCION La Corporacién Autnoma Regional de Cundinamarca — CAR, establece que la informacién es un activo fundamental para el desarrollo de las actividades de Gobierno, en razén a que es una herramienta de gran importancia para la toma de decisiones, motivo por el cual, Ia Corporacién Aut6noma Regional de Cundinamarca — CAR, est comprometida a proteger los actives de informacién de la entidad (Empleados, informacién y entorno |laboral), orientando sus esfuerzos a la preservacién de la confidencialidad, integridad, disponibilidad, a la continuidad de las operaciones de gobernabilidad, la administracion y/o gestion de riesgos, la creaciGn de cultura y conciencia de seguridad en los funcionarios, contratistas, proveedores y personas que hagan uso de los activos de informacién de la Corporacién ‘Autnoma Regional de Cundinamarca - CAR. 2. OBJETIVOS Definir las pautas, directrices y reglas para generar una adecuada seguridad y protecci6n de la informacién de los procesos de la Corporacién Auténoma Regional de Cundinamarca — CAR, estableciendo dentro del plan estratégico de TI su liderazgo y desarrollo. Informar al mayor nivel de detalle a los usuarios, directivos, funcionarios y contratistas las notmas y mecanismos que deben cumplir en las interacciones con los activos de informacién de la Corporacién Auténoma Regional de Cundinamarca ~ CAR, y establecer el aleance de las responsabilidades que compromete en la gestién a cada uno de ellos. 24 ‘ectrices Se debe verificar que se definan, implementen, revisen y actualicen las politicas de seguridad de la informacién. Se debe establecer un programa que permita el fomento continuo de la creacién de cultura y conciencia de seguridad en los funcionarios, contratistas, proveedores, personas, usuarios de Jos sistemas de informacién y telecomunicaciones de la Corporacién Auténoma Regional de Cundinamarca - CAR.Corporacién Auténoma Regional de Cundinamarca ~ CAR Repiiblica de Colombia Todos los usuarios de los sistemas de informacién y telecomunicaciones de la Corporacién Aut6noma Regional de Cundinamarca ~ CAR, tienen la responsabilidad y obligacion de cumplir con las politicas, normas, procedimientos y buenas pricticas de seguridad de la informacién establecidas en el presente manual de la politica de seguridad de Ia informacién. Los jefes de area 0 dependencia deben asegurarse de que todos los procedimientos de seguridad de la informacién dentro de su rea de responsabilidad se realicen correctamente para lograr el cumplimiento de las politicas y estndares de seguridad de la informacién de la Corporacién Auténoma Regional de Cundinamarca - CAR. 3. ALCANCE Las Politicas de seguridad de la Informacién cubren los aspectos de privacidad, acceso, autenticacién, mantenimiento y divulgacién relacionados con cualquier activo de informacién, que conllevan a disponer gufas y controles que deben ser cumplidos por los directivos, funcionarios, contratistas y terceros, que laboren o tengan relacién con la Corporacién Auténoma Regional de Cundinamarca — CAR, para alcanzar un adecuado nivel de protecci6n en cuanto a confidencialidad, integridad y disponibilidad de la informacion, Este documento debe ser de conocimiento de todos los funcionarios de la Corporacién Aut6noma Regional de Cundinamarca ~ CAR. Asf mismo, se exigiré su cumplimiento cn los procesos de contratacién de la entidad, y su lectura debe ser requisito necesario antes de realizar cualquier proceso de contratacién. 4, REQUISITOS LEGALES Y/O REGLAMENTARIOS, Con el objeto de mitigar los riesgos relacionados con Ia autenticidad, Ia integridad, 1a disponibilidad, el no repudio, la confidencialidad y la trazabilidad de la informacién, se tiene que cualquier incidente que viole el marco normativo legal vigente en Colombia, en materia de politicas de seguridad de la Informaci6n estara sujeto, entre otras, a lo establecido en las siguientes disposiciones legales: 1. Marco normativo de buenas précticas para el tratamiento de la informaci6n: ey 1581 de 2012 Por la cual se dictan disposiciones generales para la protecciGn de datos personales, De conformidad con su articulo 1, tiene por objeto "f...) desarrollar el derecho constitucional que tienen todas las personas a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bases de datos o archivos, y los demas derechos, libertades y garantias constitucionales a que se refiere el articulo 15 de laCAR Corporacién Auténoma Regional de Cundinamarca — CAR Ff Repiiblica de Colombia Constitucién Politica; asi como el derecho a la informacién consagrado en el artictlo 20 de Ja misma”. El Decreto Reglamentario 1377 de 2013, “Por el cual se reglamenta parcialmente la Ley 158] de 2012”, Compilado y derogado parcialmente por el Decreto 1081 de 2015 Tiene como objeto: “...reglamentar parcialmente la Ley 1581 de 2012, por la cual se dictan disposiciones generales para la proteccién de datos personales”. Ley 1712 de 2014 “Por medio de la cual se crea la Ley de Transparencia y del Derecho de Acceso a la Informacién Piiblica Nacional y se dictan otras disposiciones”, la cual tiene por objeto “... regular el derecho de acceso a la informacién piiblica, los procedimientos para el ejercicio y garantia del derecho y las excepeiones a la publicidad de informaci6n”. Decreto Reglamentario 103 de 2015, compilado en el Decreto Unico Reglamentarig 1080 de 2015, por medio del cual se expide el Decreto Reglamentario Unico del Sector Cultura, Tiene por objeto: “reglamentar la Ley 1712 de 2014, en lo relativo a la gestién de la informacién piiblica”. Ley 527 de 1999 “Por medio de la cual se define y reglamenta el acceso y uso de los ‘mensajes de datos, del comercio electrénico y de las firmas digitales, y se establecen las entidades de certificacién y se dictan otras disposiciones”, Las recomendaciones y buenas pricti NTC/ISO 27001 y NTC/ISO 27002. de los estindares adoptadas por el ICONTEC El Decreto 1008 de 2018, "Por el cual se establecen los lineamientos generales de la politica de Gobierno Digital y se subroga el capitulo 1 del titulo 9 de la parte 2 del libro 2 del Decreto 1078 de 2015, Decreto Unico Reglamentario del sector de Tecnologias de la Informacion y las Comunicaciones" La Corporaci6n Auténoma Regional de Cundinamarca - CAR, mediante la Resolucién 1245 de 2012, actualizé las politicas de seguridad informatica y a través de la Resolucién No. 2518 de 2015 de la Corporacién Auténoma Regional de Cundinamarca, adopté las politicas de gestidn de la informaci6n, las cuales fueron modificadas con la Resolucién 1651 de 2016; de otra parte, mediante la Resolucién 3554 de 2017, se actualiz6 las politicas de seguridad de la informaci6n 2. Marco Normativo Sancionatorio: Ley 734 de 2002 “por la cual se expide el Cédigo Disciplinario Unico”. Ley 1273 de enero 5 de 2009, “Por medio de la cual se modifica el Cédigo Penal, $e crea un nuevo bien juridico tutelado - denominado “de la proteccién de la informacién, y de los datos”- y se preservan integralmente los sistemas que utilicen las tecnologias de la informacién y las comunicaciones, entre otras disposiciones”.bs Gorporacién Auténoma Regional de Cundinamarca - CAR Republica de Colombia 5, TERMINOS Y DEFINICIONES Se definen a continuaci6n los siguientes términos técnicos: Activa: Recurso del sistema de informacién o cualquier elemento que tenga valor para Ja organizacién. Activo de Informacién: Todo aquel elemento légico o fisico que conforme cualquiera de Ios sistemas de informacién de la institucién. Ej. Bases de datos, sistemas operacionales, redes, sistemas de informacién y comunicaciones, documentos impresos, fichas, formularios y recursos humanos Administrador del Sistema: Persona responsable de administrar, controlar, supervisar y garantizar la operatividad y funcionalidad de los sistemas. Dicha administracién esti dirigida por la Gerencia de informatica y se realizaré por conducto de las Coordinaciones de la misma, Administrador de Correo: Persona responsable de solucionar problemas en el correo electrénico, responder preguntas a los usuarios y otros asuntos en un servidor. Anilisis de riesgos: Proceso sistemAtico que permite identificar y determinar el impacto 0 grado de vulnerabilidad de los activos de la organizaci6n. Ataque Cibernético: Intento de penetracién de un sistema informético por parte de un usuario no deseado ni autorizado, por lo general con intenciones insanas y perjudiciales. Brecha de Seguridad: deficiencia de algin recurso informético 0 telemético que pone en riesgo los servicios de informacién o expone la informacién en si misma, sea 0 no protegida por reserva legal. Buzén: También conocido como cuenta de correo, es un espacio exclusivo, asignado en el servidor de correo, para almacenar los mensajes y archivos adjuntos enviados por otros. usuarios internos 0 externos a la Corporacién Auténoma Regional de Cundinamarca ~ CAR. Centro de Computo: También conocido como Centro de Procesamiento de Datos, 0 Data Center ¢s una instalacién que se encarga del procesamiento de datos ¢ informacién de manera sistematizada. El procesamiento se Heva a cabo con Ia utilizacién de computadoras (Hardware) y programas (Software) necesarios para cumplir con dicha tarea. Chat: Comunicacién simultinea y sincronizada entre dos 0 mas personas a través de Internet.Corporacién Autonoma Regional de Cundinamarca - CAR Repubblica de Colombia Confidencialidad: Caracteristica de la informacién por medio de la cual no se revela ni se encuentra a disposicién de individuos, organizaciones 0 procesos no autorizados. La informacién debe ser vista 0 estar disponible solo a las personas autorizadas. Control: Mecanismo para manejar el riesgo, incluyendo politicas, procedimientos, guias, estructuras organizacionales, buenas practicas, y que pueden ser de cardcter administrativo, téenico o legal. Correo Electrénico: También conocido como E-mail, es un servicio de red que permite a os usuarios enviar y recibir textos, imagenes, videos, audio, programas, a través de internet Cuentas de Correo: Son espacios de buzones para la recepci6n, envié y almacenamiento de mensajes de correo electrénico en internet. Contrasefia o Password: Es una forma de autenticacién privada, compuesta por un Conjunto de niimeros, letras y caracteres, que permiten al usuario tener acceso a un computador, a un archivo y/o a un programa. Disponibilidad: Bs la garantia de poder acceder a los activos de la informaci6n cuando sea necesario, por personal autorizado. Evento de Seguridad de La informacién: Ocurrencia identificada de una situacién de istema, servicio o red que indica una posible violacién de Ia politica de seguridad de la informacién o falla de salvaguardas, 0 una situacién previamente desconocida que puede ser relevante para la seguridad de un activo de informacién. Firma Digital: La firma digital hace referencia, en la transmisién de mensajes teleméticos y en la gesti6n de documentos electrénicos, a un método criptogréfico que asocia la identidad de una persona o de un equipo informatico al mensaje 0 documento. Incidente de Seguridad de la informacién: Es la identificacién de la ocurrencia de un hecho que esté relacionado con los activos de informacién, que indica una posible brecha en las Politicas de Seguridad o falla en los controles y/o protecciones establecidas. Infraestructura de Procesamiento de Informacién: Es cualquier sistema de procesamiento de informacién, servicio, plataforma tecnolégica, o instalaci6n fisica que los contenga, Firewall: Dispositivo que permite bloquear o filtrar el acceso en redes de comunicacién. Hacker: Persona dedicada a realizar entradas no autorizadas a los sistemas, por medio de redes de comunicacién como Internet, con el objeto de encontrar vulnerabilidades en los sistemas. Host: Termino usado en informética para referirse a los computadores conectados a la red, que proven y/o utilizan servicios de ella. Los usuarios deben utilizar hosts para tener acceso alaredCAR Corporacién Auténoma Regional de Cundinamarca - CAR eat Republica de Colombia Integridad: La propiedad de salvaguardar la exactitud y completitud de los activos de informacién. Internet: Conjunto de redes conectadas entre si, que utilizan el protocolo TCP/IP para comunicarse entre si. Intranet: Red privada dentro de una empresa, que utiliza ¢l mismo software y protocolos empleados en la Internet global, pero que es de uso interno. LAN: (Local Area Network). (Red de Area Local). Red de computadoras ubicadas en el mismo ambiente, piso 0 edificio. Malware: Cédigo malicioso 0 cualquier tipo de programa desarrollado para causar dafios 0 introducirse de forma no autorizada en algiin sistema informatico. Politica: Son instrucciones mandatarias que regulan la forma en que una organizacién previene, protege y maneja los riesgos de diferentes daiios. Red: Se tiene una red, cada vez que se conectan dos o més computadoras de manera que pueden compartir recursos. Riesgo residual: Es el riesgo remanente, después de la implantacién de las medidas de seguridad determinadas en el plan de seguridad de la informaci6n. Sistema de Gestién de Seguridad de la informacién: SGSI La parte del sistema total de gestiGn, basada en un enfoque de riesgo de negocios, para establecer, implementar, operar, monitorear, revisar, mantener y mejorar la seguridad de la informaci6n. Seguridad: Mecanismos de control que evita el uso no autorizado de recursos. Seguridad de la Informacién: Son medidas preventivas que incluyen factores de confidencialidad, integridad, disponibilidad, autenticidad, responsabilidad, aceptabilidad y confiabilidad de la informacién. Servidor: Computadora que comparte recursos con otras computadoras, conectadas con ella a través de una red Servidor de Correo: Dispositivo y/o aplicacién informatica, cuya funcién es gestionar el trifico de ficheros a través del correo electrénico, su misién es la de almacenar, en su disco duro, los mensajes que envia y que reciben los usuarios. Sistema Operative: Programa o conjunto de programas que permiten administrar los recursos de hardware y software de una computadora, servidor 0 dispositive mévil. Terceros: Se entiende por tercero a toda persona, juridica o natural ajena la Corporacién Auténoma Regional de Cundinamarca — CAR, como proveedores, contratistas 0 consultores, que provean servicios 0 productos a la Entidad.Corporacién Auténoma Regional de Cundinamarca - CAR Republica de Colombia ‘Troyano: Es un programa con una determinada funcién 0 utilidad, pero que contiene cédigo oculto para ejecutar acciones no esperadas por el usuario. Virus: Software malicioso que tiene por objeto alterar el normal funcionamiento de una computadora, reemplazando asf programas ejecutables, sin la autorizaci6n ni el condcimiento del usuario. 6. ORGANIZACION DE SEGURIDAD DE LA INFORMACION 6.1 POLITICA DE ESTRUCTURA ORGANIZACIONAL DE SEGURIDAD DE LA INFORMACION La Corporacién Aut6noma Regional de Cundinamarca ~CAR, crea un esquema de seguridad de la informacién definiendo y estableciendo roles y responsabilidades que involucren las actividades de operacién, gestién y administraci6n de la seguridad de la informaci6n, asi ‘como la creacién del Comité y el Administrador de Seguridad de la Informacién. 6.1.1 Funciones del Comité de Seguridad de la Informacién © Proponer y revisar el cumplimiento de normas y politicas de seguridad, que garanticen acciones preventivas y correctivas para la salvaguarda de equipos ¢ instalaciones de cémputo, asi como las bases de datos ¢ informacién en general. Revisar el estado general de la seguridad de la informacién. Revisar y analizar los incidentes de seguridad de la informacién existentes. + Revisar y aprobar los proyectos de seguridad de la informacién. Aprobar las modificaciones 0 nuevas politicas de seguridad de la informacién. © Participar en la formulacién y evaluacin de planes de accién para mitigar y/o eliminar riesgos. ‘© Identificar necesidades de evaluacién de los procesos soportados por los recursos informaticos y su plataforma tecnolégica. ‘* Realizar otras actividades inherentes a la naturaleza del comité relacionadas con la seguridad de la informacién. 6.1.2 Responsabi jades del Comité de Seguridad de la Informacién * Responsables del andlisis, revisién y centralizacién de todas las acciones referidas a Ja gestiGn de Seguridad de la Informacién de la organizacion y de mantener ta vigencia de las politicas de acuerdo con las necesidades y requerimientos de] negocio. 10Corporacién Auténoma Regional de Cundinamarca - CAR Republica de Colombia * Asegurar que exista una direccién y apoyo gerencial sobre los principios y las metas para soportar la administracién y desarrollo de iniciativas sobre la gestion de la seguridad de los activos de la informacién, a través de compromisos apropiados y de recursos adecuados, como ta formutacién y mantenimiento de las politicas de seguridad de la informacién a través de todos los funcionarios de la organizacién. © Validar las politicas de seguridad de 1a informacién y procedimientos para el uso adecuado y administracién de los recursos informéticos asignados a los funcionarios de la organizacién, asegurando que la informacién se encuentre protegida. Politica para uso de dispositivos méviles. © La Entidad establece las directrices de uso y manejo de dispositivos méviles (teléfonos méviles, teléfonos inteligentes “smart phones”, tabletas), entre otros, suministrados por la Corporacién Auténoma Regional de Cundinamarca — CAR, y que hagan uso de los servicios de informacién de la Entidad. © Los usuarios no estin autorizados a cambiar la configuraci6n, a desinstalar software, formatear o restaurar de fabrica los equips méviles institucionales, cuando se encuentran a su cargo, Gnicamente se deben aceptar y aplicar las actualizaciones. 7, SEGURIDAD PARA LOS RECURSOS HUMANOS La Corporacién Auténoma Regional de Cundinamarca — CAR, implementa acciones para asegurar que los funcionarios, contratistas, proveedores y demas colaboradores de la Entidad, entiendan sus responsabilidades del cumplimiento de las politicas como usuarios y la responsabilidad de los roles asignados. La informacién almacenada en los equipos de cémputo de la Entidad es propiedad de la Corporacién Auténoma Regional de Cundinamarca ~ CAR, y cada usuario es responsable por proteger su integridad, confidencialidad y disponibilidad. Se debe capacitar y sensibilizar a los funcionarios sobre las politicas de seguridad de la informaci6n. Se debe asegurar que los funcionarios, contratistas y demés colaboradores de la Corporacién AutGnoma Regional de Cundinamarca —CAR, adopien sus responsabilidades en relacién con las politicas de seguridad de la informacién y actiien de manera consistente frente a las mismas, con el fin de reducir el riesgo de hurto, fraude, filtraciones 0 uso inadecuado de la informacién o los equipos empleados para el tratamiento de la informacién. En situaciones de incumplimiento y/o violaciones a las politicas de seguridad de la informaci6n se deberd tramitar el cumplimiento de la Ley 734 de 2002 y dems normas que reglamenten los procesos disciplinarios para los empleados del estado. nnCorporacién Auténoma Regional de Cundinamarca ~ CAR Repiiblica de Colombia TA Proceso Disei Dentro de la estrategia de seguridad de la informaci6n, la Corporacién Auténoma Regional de Cundinamarca — CAR, seguird el proceso establecido en Ia Ley 734 de 2002, para investigar a los funcionarios que hayan cometido alguna violacién de la Politica de Seguridad de la Informacién, El proceso disciplinario también se debe utilizar como medida preventiva para evitar que los funcionarios, contratistas y los otros colaboradores de la Corporacién Auténoma Regional de Cundinamarca — CAR, violen las politicas y los procedimientos de seguridad de la informacién, asi como para cualquier otra violacién de la seguridad sin justificaci6n alguna. El adelantamiento de los procesos disciplinarios corresponde a la Direccién de Control Disciplinario Interno y de Ia Procuraduria General de Ia Nacién, de acuerdo) con las competencias sefialadas en la ley. Actuaciones que conllevan a la violaci6n de la seguridad de la informaci6n en la Corporacién Aut6noma Regional de Cundinamarca — CAR, son entre otras: # No reportat los incidentes de seguridad o las violaciones a las politicas de seguridad, cuando se tenga conacimiento de ello. No actualizar la informaci6n de los activos de informacién a su cargo. Clasificar y registrar de manera inadecuada la informaci6n, desconociendo los estindares establecidos para este fin. «No guardar de forma segura la informacién cuando se ausenta de su puesto de trabajo al terminar la jornada laboral, "documentos impresos que contengan informacion piiblica reservada, informacién piiblica clasificada (privada o semiprivada)” © No guardar la informacién digital, producto del procesamiento de la informacién perteneciente a la Corporaci6n Auténoma Regional de Cundinamarca ~ CAR. ‘© Dejar informacién piblica reservada, en carpetas compartidas 0 en lugares distintos al servidor de archivos, obviando las medidas de seguridad. '* Permitir que personas ajenas a la Corporacién Auténoma Regional de Cundinamarca — CAR, deambulen sin acompafiamiento, al interior de las instalaciones, en éreas no destinadas al piblico. © Almacenar en los discos duros de los computadores personales de los usuarios, la informacién de la Entidad. ‘© Solicitar cambio de contraseiia de otro usuario, sin la debida autorizaci6n del titular o su jefe inmediato. © Hacer uso de la red de datos de la institucién, para obtener, mantener o difundir en Jos equipos de sistemas, material pornogréfico (penalizado por Ia ley) u ofensivo, cadenas de correos y correos masivos no autorizados. 2CAR Corporacién Auténoma Regional de Cundinamarca — CAR Repiiblica de Colombia Utilizaci6n de software no relacionados con la actividad laboral y que pueda degradar el desempetio de la plataforma tecnolégica institucional, Recibir o enviar informacién institucional a través de correos electrénicos personales, diferentes a los asignados por la institucion. Enviar informacién piblica reservada o informacién piblica clasificada (privada 0 semiprivada) por correo, copia impresa 0 electrénica sin la debida autorizaci6n y sin la utilizaci6n de los protocolos establecidos para la divulgacién. Utilizar equipos electrénicos o tecnolégicos desatendidos 0 a través de sistemas de interconexién inalémbrica, sirvan para transmitir, recibir y almacenar datos. Permitir el acceso de funcionarios a la red corporativa, sin la autorizacién de La Oficina de Tecnologias de la Informacién y las Comunicaciones - OTIC de la Corporacién Auténoma Regional de Cundinamarca ~ CAR. Utilizacién de servicios disponibles a través de internet, como FTP y Telnet, no permitidos por la Corporacién Auténoma Regional de Cundinamarca ~ CAR 0 de protocolos y servicios que no se requieran y que puedan generar riesgo para la seguridad. Negligencia en el cuidado de los equipos, dispositivos portitiles 0 méviles entregados para actividades propias de la Corporacién Auténoma Regional de Cundinamarca — CAR. No cumplir con las actividades designadas para la proteccién de los uctivos de informacién de la Corporacién Auténoma Regional de Cundinamarca — CAR. Destruir 0 desechar de forma incorrecta la documentaci6n institucional. Descuidar documentacién con informacién piiblica reservada o clasificada de la Entidad, sin las medidas apropiadas de seguridad que garanticen su proteccién. Registrar informacién piblica reservada o clasificada, en pos-it, apuntes, agendas, libretas, etc., sin el debido cuidado. Almacenar informacién pablica reservada o clasificada, en cualquier dispositivo de almacenamiento que no permanezca a la Corporacién Auténoma Regional de Cundinamarca — CAR 0 conectar computadores portatiles u otros sistemas eléctricos 9 electrénicos personales a la red de datos de la Corporacién Aut6noma Regional de Cundinamarca ~ CAR, sin la debida autorizacién. Archivar informacién piblica reservada o clasificada, sin claves de seguridad o cifrado de datos. Promocién 0 mantenimiento de negocios personales, 0 utilizacién de los recursos tecnolégicos de la Corporacién Autnoma Regional de Cundinamarca ~ CAR para beneficio personal. El que sin autorizaci6n acceda en todo o parte del sistema informatico o se mantenga dentro del mismo en contra de la voluntad de la Corporacién Aut6noma Regional de ‘Cundinamarca ~ CAR. EI que impida u obstaculice el funcionamiento 0 el ac informético, Ios datos informéticos o las redes de telecomunicaciones de Ia Corporacién Auténoma Regional de Cundinamarca ~ CAR, sin estar autorizado. 2Bb CAR Corporacién Auténoma Regional de Cundinamarca — CAR Republica de Colombia El que destruya, dafe, borre, deteriore o suprima datos informiticos o un sistema de tratamiento de informacién de la Corporacién Aut6noma Regional de Cundinamarca —CAR. El que distribuya, envie, introduzca software malicioso u otros programas de computacién de efectos dafinos en la plataforma tecnolégica de la Corporacién ‘Auténoma Regional de Cundinamarca ~ CAR. El que viole datos personales de las bases de datos de la Corporacién Auténoma Regional de Cundinamarca - CAR. El que superando las medidas de seguridad informatica suplante un usuario ante los sistemas de autenticacién y autorizaci6n establecidos por la Corporacién Auténoma Regional de Cundinamarca — CAR. No mantener la confidencialidad de las contrasefias de acceso a la red de datos, los recursos tecnol6gicos o los sistemas de informaci6n de la Corporacién Auténoma Regional de Cundinamarca - CAR o permitir que otras personas accedan con el usuario y clave del titular a éstos. Permitir el acceso u otorgar privilegios de acceso a las redes de datos de la Conporacién Auténoma Regional de Cundinamarca - CAR a pergonas no autorizadas. | Llevar a cabo actividades fraudulentas 0 ilegales, 0 intentar acceso no autorizado a cualquier computador de la Corporacién Aut6noma Regional de Cundinamarca — CAR 0 de terceros. Retirar de las instalaciones de la institucién, estaciones de trabajo 0 computadores portatiles que contengan informaci6n institucional sin la autorizaci6n pertinente. Sustraer de las instalaciones la CorporaciGn Aut6noma Regional de Cundinamarca — CAR, documentos con informacién institucional calificada como informacién piblica reservada o clasificada, o abandonarlos en lugares pablicos o de facil acceso. Entregar, ensefiar y divulgar informaci6n institucional, calificada como informacién piiblica reservada y clasificada a personas 0 Entidades no autorizadas. No realizar el borrado seguro de la informacién en equipos dispositivos de almacenamiento de la Corporacién Auténoma Regional de Cundinamarca — CAR, para traslado, reasignaci6n o para disposici6n final. Bjecuci6n de cualquier accién que pretenda difamar, abusar, afectar la segacion ° presentar una mala imagen de la Corporacién Auténoma Regional de Cundinamarca ~CAR 0 de alguno de sus funcionarios. Realizar cambios no autorizados en Ja plataforma tecnolégica de la Corporaci6n Auténoma Regional de Cundinamarca — CAR. | Acceder, almacenar 0 distribuir pornografia infantil. Instalar programas o software no autorizados en las estaciones de trabajo equipos portétiles institucionales, cuyo uso no esté autorizado por la Oficina de Tecnologias de la Informacién y las Comunicaciones — OTIC de la Corporacién Auténoma Regional de Cundinamarca ~ CAR. 14Corporacién Autonoma Regional de Cundinamarca ~ CAR Republica de Colombia * Copiar sin autorizacién los programas de la Corporacién Auténoma Regional de Cundinamarca - CAR, 0 violar los derechos de autor o acuerdos de licenciamiento. 8. GESTION DE ACTIVOS DE INFORMACION La Corporacién Auténoma Regional de Cundinamarca ~ CAR, es el duefio de la propiedad intelectual de los avances tecnol6gicos ¢ intelectuales desarrollados por los funcionarios y los contratistas, derivadas del objeto del cumplimiento de funciones y/o tareas asignadas, como las necesarias para el cumplimiento del objeto del contrato. La Corporacién Auténoma Regional de Cundinamarca ~ CAR, es propietario de los activos de informaci6n y los administradores de estos activos son los funcionarios, contratistas 0 demas colaboradores de la Corporacién Auténoma Regional de Cundinamarca — CAR (denominados “usuarios”) que estén autorizados y sean responsables por la informacion de Jos procesos a su cargo, de los sistemas de informacién o aplicaciones informéticas, hardware 0 infraestructura de Tecnologia y Sistemas de Informacién (TIC). La Corporacién Auténoma Regional de Cundinamarca - CAR, mantiene un inventario actualizado de sus activos de informacién, quedando bajo la responsabilidad de cada propietario de informacién y centralizado por La Oficina de Tecnologias de la Informacion y las Comunicaciones — OTIC. 8.1 Politica de uso de los activos La Entidad implementa las directrices para lograr y mantener la proteccién adecuada y uso de los activos de informacién mediante Ia asignacién a Ios usuarios finales que deban administrarlos de acuerdo con sus roles y funciones. Los usuarios no deben mantener almacenados en los discos duros de las estaciones cliente 0 discos virtuales de red, archivos de video, mésica, y fotos y cualquier tipo de archivo que no sean de carécter institucional. 8.2 Politica de uso de estaciones cliente Los usuarios no podran realizar cambios en las estaciones de trabajo relacionados con la configuracién del equipo, tales como conexiones de red, usuarios locales de la maquina, papel tapiz y protector de pantalla corporativo. 8.3. Politica de uso de Internet. La Entidad permite el acceso al servicio de internet, estableciendo lineamientos que garanticen la navegaci6n segura y el uso adecuado de la red por parte de los usuarios finales, 15CAR Corporacién Autonoma Re: nal de Cundinamarca - CAR Reptiblica de Colombia evitando errores, pérdidas, modificaciones no autorizadas 0 uso inadecuadd de Ia informaci6n en las aplicaciones WEB. La Oficina de Tecnologfas de la Informacién y las Comunicaciones - OTIC, pea herramientas para evitar la descarga de software no autorizado y/o eédigo malicioso en los equipos institucionales asi mismo controla el acceso a la informacién contenida en portales de almacenamiento en el internet para prevenir Ia fuga de informacién. Los usuarios de los activos de informacién de la Corporacién Auténoma Regional de Cundinamarca — CAR, tienen restringido el acceso a redes sociales, sistemas de mensajeria instantdnea y acceso a sistemas de almacenamiento en la nube. En caso de ser requerido por las funciones del cargo, el jefe inmediato debe remitir la solicitud a Jefe de la Oficina de Tecnologfas de la Informacién y las Comunicaciones - OTIC, para que sea autorizado. Se prohfbe el acceso entre otros. fginas relacionadas con pornografia, miisica, videos, concursos, ] Se prohibe Ia descarga, uso, intercambio y/o instalacién de programas, juegos, misica, videos, peliculas, imagenes, protectores y fondos de pantalla, software de libre disttibuci6n. 8.4 Politica de clasifieacién de la informacién La Corporaci6n Aut6noma Regional de Cundinamarca - CAR, consiente de la be de asegurar que la informacién reciba el nivel de protecci6n apropiado de acuerdo con el tipo de clasificacién establecido por la ley y por la Corporacién Auténoma Regional de ‘Cundinamarca — CAR, define reglas de como clasificar la informacién. | ‘© Se considera informacién toda forma de comunicacién 0 een de conocimiento 0 datos digitales, escritos en cualquier medio, ya sea magnético, papel, visual u otro que genere Ia Corporacién Auténoma Regional de Cundinamarca — CAR, por ejemplo: | © Formularios / comprobantes propios 0 de terceros. | © Informacién en los_ sistemas, equipos__informéticos, | medios magnéticos/electr6nicos 0 medios fisicos como papel. | © Informacién en video Otros soportes magnéticos/electrSnicos removibles, méviles 0 fijos. | Informacién 0 conocimiento transmitido de manera verbal 0 por cualquier otro medio de comunicacién. | ‘Los usuarios responsables de la informacién de la Corporacién Auténoma Regional de Cundinamarca — CAR, deben identificar los riesgos a los que esti expucsta la 16Corporacién Auténoma Regional de Cundinamarca - CAR Repiblica de Colombia informacién de sus dreas, teniendo en cuenta que la informacién pueda ser copiada, divulgada, modificada 0 destruida fisica o digitalmente por personal interno 0 externo. 8.5 Politica devolucién de los activos Es deber de todo servidor piiblico, contratista y/o pasante que labore en la Corporacién, al dejar de prestar sus servicios, entregar toda informaci6n del producto del trabajo realizado y hacer entrega de los equipos y recursos tecnolégicos en perfecto estado, conforme al procedimiento “GHU-PR-03 Retiro del Servicio” para los funcionatios y para los contratistas y pasantes de acuerdo a las condiciones establecidas en el contrato 0 convenio. Una vez retirado, debe comprometerse a no utilizar, comercializar o divulgar la informacion generada © conocida durante la gesti6n en la CorporaciGn, directamente 0 a través de terceros. 9 CONTROL DE ACCESOS La Entidad define las reglas para asegurar un acceso controlado, fisico 0 légico, a la informacién y plataforma informatica de la Corporacién Auténoma Regional de Cundinamarea— CAR. La conexién remota a la red de area local de la Corporacién Aut6noma Regional de Cundinamarca — CAR, debe realizarse a través de una conexién VPN segura suministrada por la Entidad, la cual debe ser aprobada, registrada, por La Oficina de Tecnologias de la Informacién y las Comunicaciones - OTIC. El acceso a los activos de informacién de ta Corporacién Auténoma Regional de Cundinamarca - CAR, estaré permitido tnicamente a los usuarios autorizados, el cual debera utilizar durante el proceso de autenticacién, El funcionario que disponga de usuario(s) de acceso a los activos de informacién, sera responsable de su uso, el cual es personal e intransferible. 9.1 Politica de establecimiento, uso y proteceién de claves de acceso Ningdin usuario deberé acceder a Ia red 0 a los servicios TIC de la Corporacién Auténoma Regional de Cundinamarca ~ CAR, utilizando una cuenta de usuario 0 clave de otro usuario. La Corporacién Auténoma Regional de Cundinamarca ~ CAR, suministraré a los usuarios las claves respectivas para el acceso a los servicios de red y sistemas de informacién a los que hayan sido autorizados, las claves son de uso personal e intransferible. 7Corporacién Auténoma Regional de sieves CAR Repiiblica de Colombia El cambio de contrasefia solo podrd ser solicitado por el titular de Ia cuenta, en donde se Hevard a cabo Ia validaci6n de los datos personales; en caso de ser solicitado el cambio de contrasefia para otra persona, debe ser realizada por su jefe inmediato (previa autorizacién por parte del Jefe de la Oficina de Tecnologias de la Informacién y tas Comunicaciones - OTIC). | Las claves 0 contrasefias deben: Tener minimo ocho (8) caracteres alfanuméricos. La contrasefia debe cumplir con tres de los cuatro requisitos: Caracteres en maysisculas Caracteres en mindsculas Base de 10 digitos (0 a 9) © Caracteres no alfabéticos (Ejemplo: j,$,%,4&) | Las cuentas de los usuarios que hagan mas de 3 intentos fallidos de acceso uedaran deshabilitadas y los usuarios deberén solicitar su desbloqueo. | 9.2 Manejo de contrasefias para administradores de tecnologia | | Se debe garantizar en las plataformas de tecnologia que el ingreso a la administraci6n en lo posible se realice con la vinculacién directamente de las credenciales de los usiiarios de directorio activo. Los usuarios siiper-administradores y sus correspondientes contrasefias a las |consolas administrables se dejan en custodia en sobre sellado en el drea segura donde designe la Entidad, las credenciales alli contenidas deben ser modificadas de manera periédicao cuando amerite. | Las contrasefias referentes a las cuentas “predefinidas” incluidas en los sistemas o aplicaciones adquiridas deben ser desactivadas. De no ser posible su desactivacién, las contrasefias deben ser cambiadas después de la instalacién del producto. El personal de la Oficina de Tecnologfas de la Informaci6n y las Comunicaciones ~ OTIC, no debe dar a conocer su clave de usuario a terceros de los sistemas de informacién, sin previa autorizaci6n del Jefe de La Oficina de Tecnologias de la Informacion y las Comunicaciones - OTIC. | | Los usuarios y claves de los administradores de sistemas y/o del personal de la Oficina de Tecnologias de la Informacién y las Comunicaciones ~ OTIC, son de uso personal ¢ intransferible. 18ne Corporacién Auténoma Regional de Cundinamarca — CAR Republica de Colombia El personal de la Oficina de Tecnologfas de la Informacién y las Comunicaciones ~ OTIC, debe emplear obligatoriamente las claves 0 contraseffas con un alto nivel de complejidad de acuerdo con el rol asignado. Los administradores de los sistemas de informacion deben seguir las politicas de cambio de clave y utilizar procedimiento de salvaguarda o custodia de las claves o contrasefias en un sitio seguro. A este lugar solo debe tener acceso el Jefe de la Oficina de Tecnologia de la Informacién y las Comunicaciones - OTIC 0 el Asesor para la de Seguridad de la Informacién, 9.3 Politica de uso de puntos de red de datos (red de area local — LAN) Asegurar la operaci6n correcta y segura de los puntos de red. Las direcciones internas, configuraciones informaci6n relacionada con la topologia y disefio de los sistemas de comunicacién y redes de la entidad seran restringidas, de tal forma que no sean conocidas por usuarios internos, clientes 0 personas ajenas a la entidad sin la previa autorizaci6n de la Oficina de Tecnologias de la Informaci6n y las Comunicaciones - OTIC. Todas las conexiones a redes externas que accedan a la red interna de la Entidad pasarin a través de un punto adicional de control como: firewall, gateway, o servidor de acceso. Los usuarios que tengan acceso a direcciones IP piblicas no pueden establecer conexiones redes de acceso a informacién privadas, a menos que hayan sido aprobadas por la Oficina de Tecnologias de la Informacién y las Comunicaciones - OTIC. 9.3.1 Segregacién en redes La infraestructura tecnol6gica de 1a Corporacién Aut6noma Regional de Cundinamarca ~ CAR, que soporta aplicaciones debe estar separada en segmentos de red fisicos y Légicos independientes de los segmentos de red de usuarios, de conexiones con redes con terceros y del servicio de acceso a Internet. La separacién de estos segmentos debe ser realizada por ‘medio de elementos de conectividad perimetrales e internos de enrutamiento y de seguridad. 9.3.2 Control de Acceso Remoto La administracién remota de equipos o de la infraestructura de computo debe dejar evidencia escrita de la justificacién por las que se asigna, al igual que de la responsabilidad que tiene el funcionario a quien se otorga este permiso, la solicitud debe ser realizada por el jefe del Area correspondiente y debe ser avalada por La Oficina de Tecnologias de la Informacién y las Comunicaciones - OTIC. 19n Aut6noma Regional de Cundinamarca — CAR Republica de Golembia ica especifiea para usuarios de la Corporacién Auténoma Regional d Cundinamarea = CAR Es responsabilidad de los administradores de los sistemas de informacién garanti: puertos fisicos y légicos de configuracién y acceso privilegiado de las platai infraestructura que soportan los sistemas de informaci6n deben estar siempre restringidos y monitoreados con el fin de prevenir accesos no autorizados. 10 CIFRADO 10.1 Politica de controles criptograficos | Implementar actividades para proteger activos de informaci6n clasificada, fortaleciendo la confidencialidad, disponibilidad e integridad, mediante el uso de herramientas criptograficas. Cualquier usuario interno 0 externo que requiera acceso remoto a la ted y ala infr detructura de cémputo de la Corporacién Auténoma Regional de Cundinamarca ~ CAR, sea por cualquier medio tecnol6gico existemte, siempre deberd estar autenticado y sus conexiones deberin estar cifradas. | Toda informacién que se extraiga de los aplicativos misionales deberd estar ci | frada para evitar que la misma pierda su confidencialidad. | | 11 SEGURIDAD FISICA Y AMBIENTAL | | Implementar el procedimiento de control de acceso a los centros de datos para garantizar la seguridad fisica que permita fortalecer la confidencialidad, disponibilidad e integridad de la informacién. La Oficina de Tecnologfas de la Informaci6n y las Comunicaciones ~ OTIC, debe/mantener actualizado el programa de seguridad fisica de las instalaciones, asi como el programa de ‘mantenimiento de las barreras de seguridad (perimetrales ¢ internas) de las instalaciones pertenecientes a la Entidad. | i p pe edie Todas las freas destinadas al procesamiento, almacenamiento de documentos o informacién, asi como aquellas en las que se encuentzen los equipos de cmputo y demés infraestructura de los sistemas de informacién y comunicaciones, se consideran éeas de acceso restringido. 20bs Corporacién Autonoma Regional de Cundinamarca - CAR Repiblica de Colombi Por tanto, contardn con medidas de control de acceso fisico en el perimetro de tal forma que puedan ser auditadas, asi como con procedimientos de seguridad operacionales que permitan proteger la informacién, 11.1 Politicas de seguridad del centro de datos y centros de cableado Asegurar la protecci6n de la informacién en las redes y la proteccién de la infraestructura de soporte. En las instalaciones del centro de datos o de los centros de cableado, No est permitido: © Fumar dentro del Data Center. Introducir alimentos o bebidas al Data Center El porte de armas de fuego, corto punzantes o similares. Mover, desconectar y/o conectar equipo de cémputo sin autorizaci6n, Modificar ta configuracién del equipo o intentarlo sin autorizaci6n. Alterar software instalado en los equipos sin autorizacién. Alterar 0 dafar las etiquetas de identificacién de los sistemas de informacién 0 sus conexiones fisicas. Extraer informacién de los equipos en dispositivos externos. Abuso y/o mal uso de los sistemas de informacién. + Toda persona debe hacer uso tinicamente de los equipos y accesorios que les sean asignados y para los fines que se les autorice. Los centros de cémputo deben mantener las condiciones fisicas y ambientales éptimas recomendadas, y cuando sea posible controles autométicos para incendio, temperatura, monitoreo por Circuito Cerrado de Televisién. 11.2. Politicas de seguridad de los Equipos Asegurar la proteccién de la informaci6n en los equipos. La Corporacién Auténoma Regional de Cundinamarca — CAR, debe poseer la infraestructura necesaria, con el fin de actuar contra eventos que pongan en riesgo la integridad y confidencialidad de la informacién, y es asi, que los equipos de cémputo estiin conectados a las instalaciones eléctricas apropiadas de corriente regulada, fase, neutro y polo a tierra, para evitar pérdidas o dafios de la informacién como activo fundamental de la Entidad. 21eS we AR Corporacién Auténoma Regional de Cundinamarca - CAR Republica de Colombia | 11.2.1 Politica de escritorio y pantalla limpia | | Definir las pautas generales para reducir el riesgo de acceso no autorizado, pérdida y dafio de la informacién durante y fuera del horario de trabajo normal de los usuarios. | Los funcionarios, contratistas, personas en comisiGn, pasantes y terceros que tienen algdn vinculo con la Corporacién Aut6noma Regional de Cundinamarca ~ CAR, deben ¢onservar su escritorio limpio (pantallas, tableros, etc.) libre de informaci6n, propia de la Entidad, que pueda ser alcanzada, copiada 0 utilizada por terceros o por personal que no tenga autorizacién para su uso 0 conocimiento. | Los usuarios de los sistemas de informacién y comunicaciones de la Corporacién Auténoma Regional de Cundinamarea ~ CAR, deben bloquest Ia pantalla de su computadpr con el protector de pantalla, en los momentos que na esté utilizando el equipo o cuando por cualquier motivo deba dejar su puesto de trabajo. Todos los escritorios o mesas de trabajo deben permanecer limpios para proteger documentos cen papel y dispositivos de almacenamicnto como CD, USB, unidades de disco externas, etc. Los usuarios de los sistemas de informacién y comunicaciones de la Corporacin Auténoma Regional de Cundinamarca — CAR, deben cerrar las aplicaciones y servicios de red cuando ya no los necesiten. | ‘Al imprimir documentos con informaci6n piblica reservada y/o publica clasificada (semiprivada o privada), deben ser retirados de la impresora inmediatamente y no se deben dejar en el escritorio sin custodia. | No se debe utilizar fotocopiadoras, escéneres, equipos de fax, cAmaras digitales y en general equipos tecnolégicos que se encuentren desatendidos. | | | 11.3 Politica de manejo disposicién de informacién, medios y equipos La Entidad establece actividades para evitar la divulgaci6n, la modificacién, el retiro o la destruccién no autorizada de informaci6n almacenada en los medios proporcionados por la Corporacién Auténoma Regional de Cundinamarca — CAR, velando por la disponibilidad y confidencialidad de la informacién. | Los medios y equipos donde se almacena, procesa 0 comunica la informacién, deben mantenerse con las medidas de proteccién fisicas y I6gicas, que permitan su monitoreo y correcio estado de funcionamiento, para ello se debe realizar los mantenimientos preventivos y correctivos que se requieran, | 2R Corporacién Auténoma Rey Repiiblica de Colombia El servicio de acceso a Internet, Intranet, sistemas de informacién, medio de almacenamiento, aplicaciones (Software), cuentas de red, navegadores y equipos de cémputo son propiedad de la Entidad y deben ser usados tnicamente para el cumplimiento de su misién. Se debe realizar la aplicacién de la guia de borrado seguro en. los equipos de cémputo y demas dispositivos, una vez el funcionario haya sido retirado de la Entidad, de acuerdo a lo definido por la Corporacién Auténoma Regional de Cundinamarca~ CAR. 12 SEGURIDAD DE LAS OPERACIONES DE TIC Definir las reglas para asegurar las operaciones correctas y seguras de las instalaciones de procesamiento de la Corporacién Auténoma Regional de Cundinamarca — CAR, con cl fin de robustecer Ia continuidad de los sistemas de TIC. Se definirén procedimientos, registros e instructivos de trabajo debidamente documentados, Jos cuales serén progresivamente implementados, con el fin de asegurar el mantenimiento y operacién adecuada de la infraestructura tecnolégica. Cada procedimiento tendré un responsable para su definicién, mantenimiento ¢ implementacién, Para la gesti6n de las operaciones de la infraestructura de procesamiento de informacién en la Conporacién Auténoma Regional de Cundinamarca ~ CAR, la Oficina de ‘Tecnologfas de la Informacién y las Comunicaciones - OTIC, con el apoyo de las reas, establecerd mecanismos que permitan segregar las funciones de administraci6n (sistemas operativos, bases de datos y aplicaciones), monitoreo y operacién, separando entre estos los diferentes ambientes de desarrollo, pruebas y produccién. No deberan realizarse pruebas, instalaciones 0 desarrollos de software, directamente sobre el entorno de produccién, con el fin de evitar problemas de disponibilidad o confidencialidad de Ia informacién. Asi mismo, en los ambientes de desarrollo y calidad si se llegaran a utilizar datos reales del ambiente de produccién, se debe definir el protocolo de seguridad que permita salvaguardar la integridad de la informacién. 12.1 Politica de respaldo y restauracién de informacién Proporcionar medios de respaldo adecuados para asegurar que (oda la informacién esencial y el software, se pueda recuperar después de una falla, garantizando que la informacién y la infraestructura de software critica de la Entidad, sean respaldadas y puedan ser restauradas en caso de una falla y/o desastre. 2BCAR Corporacién Auténoma Regional de Cundinamarca -CAR Republica de Colombia La restauraci6n de copias de respaldo en ambientes de produccién debe estar debidamente aprobada por el propietario de la informacién y solicitadas a través de la herramienta de in de requerimientos establecida por la Entidad. ges ‘Semanalmente los administradores de la plataforma de backup de la Corporacién Auténoma Regional de Cundinamarca — CAR, verificarén la correcta ejecucién de los procesos de backup, suministrardn las cintas requeridas para cada trabajo y controlardn la vida util de cada cinta 0 medio empleado. | : es ‘ | Los medios que vayan a ser eliminados 0 que cumplan el periodo de retencién deben surtir un proceso de borrado seguro y posteriotmente serén eliminados o destruidos dle forma adecuada. FI administrador de la plataforma de backup de la Entidad, deben generar tareas de restauraci6n aleatorias de la informacién y deben ser documentadas. | La informacién previamente definida y contenida en los servidores de la Corporacién Auténoma Regional de Cundinamarca —CAR, se respaldard de forma periddica, determinada segiin el procedimiento " Administracién de Backups " y los medios que se consideren necesarios se almacenarfin en una custodia externa que cuente con mecanismos de proteccién ambiental como deteccién de humo incendio, humedad, y mecanismos de control de acceso fisico. Adicionalmente, se realizardn prucbas periddicas de recuperacién y verificatiGn de Ia informaci6n almacenada en los medios con el fin de verificar su integridad y disponibilidad. 12.2 Politica para realizacion de copias en estaciones de trabajo de usuario final “Asegurar la realizaci6n de copias de informacién en estaciones de trabajo de usuario final. Todos los usuarios son responsables de realizar copias de respaldo del original de la informaci6n de valor, confidencial o critica a su cargo. Estas copias deben ser efectuadas con la periodicidad requerida de acuerdo con los cambios que se presenten en la informacién. | El uso de dispositivos de almacenamiento externo (dispositivos méviles, DVD, CD, memorias USB, agendas electz6nicas, celulares, etc.), pueden ocasionalmente generar riesgos para la Entidad al ser conectados a los computadores, ya que son susceptibles de transmision de virus informéticos o pueden ser utilizados para la extracci6n de informacién no autorizada. La Corporacién se reserva el derecho de restringir el uso de medios removibles.| Mientras esté permitido es responsabilidad de los usuarios que el medio removible conectado esté libre de virus y/o cédigo malicioso, que pueda poner en riesgo la Integridad, confidencialidad y disponibilidad de la informacién y de los recursos tecnolégicos de la Corporacién | 24cCAR™ Corporacién Auténoma Regional de Cundinamarca ~ CAR Republica de Colombia La restauracién de copias de respaldo en ambientes de produccién debe estar debidamente aprobada por el propietario de la informacién y solicitadas a través de la herramienta de gestién de requerimientos establecida por Entidad. Los medios que vayan a ser eliminados 0 que cumplan el periodo de retencién deben surtir un proceso de borrado seguro y posteriormente serén eliminados 0 destruidos de forma adecuada. Todos los mensajes son sujetos a anélisis frente a amenazas y ataques dirigidos, y pueden ser conservados, puestos en cuarentena y/o eliminados permanentemente por parte de la Entidad, 12.3 Politica de registro y seguimiento de eventos de sistemas de informacién y comunicaciones Preservar la integridad, confidencialidad y disponibilidad de los registros de eventos (logs) generadas por los sistemas de informacién y comunicaciones de la Corporacién Auténoma Regional de Cundinamarca — CAR. Los funcionarios y contratistas de la Corporacién Auténoma Regional de Cundinamarca — CAR, deberdn informar inmediatamente a la Oficina de Tecnologias de la Informacién y las Comunicaciones — OTIC, cualquier situaci6n sospechosa, o incidente de seguridad que comprometa la confidencialidad, integridad y disponibilidad de la informacién. El Comité de Seguridad de Ia Informacién seré el encargado de realizar la investigacién y seguimiento a los eventos e incidentes de seguridad reportados. 12.4 Politica de control de software operacional de la Corporacién Auténoma Regional de Cundinamarca — CAR. Generar acciones que permitan preservar la integridad de los sistemas operativos pertenecientes a la Corporaci6n Aut6noma Regional de Cundinamarca — CAR. Los responsables de la administracién de las plataformas de produccién estardn obligados a controlar el acceso y uso de los programas fuente, el acceso a los archivos de los sistemas y/o a las aplicaciones que operan en ellas, as{ como a la programacién de las actualizaciones necesarias a realizar. No se permitird Ia instalaci6n de herramientas de desarrollo ni programas fuente en los sistemas de produccién, a menos que sea autorizado por el Comité de Seguridad de la Informacién y la Oficina de Tecnologias de la Informaci6n y las Comunicaciones — OTIC. 25Corporacién Auténoma Regional de Cundinamarca — CAR Repablica de Colombia No se permitiré el uso de versiones de software en los sistemas de produccién que fo sean soportadas por los fabricantes, ni versiones de prueba que no hayan sido liberadas al mercado (Beta), a menos que sea autorizado por el Comité de Seguridad de la Informacion y la Oficina de Tecnologias de la Informacién y las Comunicaciones - OTIC. lads. | | La Corporacién Auténoma Regional de Cundinamarca — CAR, debera implementar los lineamientos para gestién de vulnerabilidades. 12.5 Politica de gestién de vulnerabi Una vez identificadas las vulnerabilidades técnicas potenciales, la Corporacién Aut6noma Regional de Cundinamarca - CAR, identificaré los riesgos asociados y los controles de seguridad a ser tenidos en cuenta (esta accién puede implicar la actualizacién de Sistemas vulnerables y/o aplicacién de las medidas de accién necesarias). | El Comité de Seguridad de la informacién realizaré el seguimiento y verificaci6n & quese hayan corregido las vulnerabilidades identificadas. 13 SEGURIDAD DE LAS TELECOMUNICACIONES | Implementar mecanismos de control que permitan mantener la disponibilidad de las redes de datos, sistemas de comunicaciones ¢ instalaciones de procesamiento de la Corporacién ‘Aut6noma Regional de Cundinamarca ~CAR. | La Corporacién Auténoma Regional de Cundinamarca ~ CAR, a través de El Comité de Seguridad de la informacién, identificard los mecanismos de seguridad, los niveles de servicio y los requisitos de gesti6n sobre los servicios de red, incluyendo los mismos en los contratos establecidos con sus contratistas. | 13.1 Politica para la transferencia de informacién. | Proteger la formacién transferida al interior y exterior de la Corporacién 4uténome Regional de Cundinamar —CAR. | La Oficina de Tecnologias de la Informacién y las Comunicaciones — OTIC, realiza el control del uso de sistemas de transferencia de archivos via FTP a terceros. | 13.2 Pol ica de Documentos electrénicos Fl sistema generador de documentos electténicos de la Corporacién es el Sistema de Informacién Documental de la CAR — SIDCAR. 26Corporacién Auténoma Regional de Cundinamarca - CAR Repiblica de Colombia Para garantizar la integridad y autenticidad de los documentos generados en el sistema de gestién documental SIDCAR, se utilizard el estampado electrénico ya firma digital Corporativa, servicios que serén contratados con firmas autorizadas y certificadas. Los documentos generados o cargados al Sistema de Gestién Documental deben incorporar condiciones de seguridad mediante la utilizacién del formato PDF/A. Los documentos generados electrnicamente deben tener un nimero consecutivo de radicado generado automiticamente por el Sistema de Gestién de Documentos Electr6nicos. Las firmas digitales adquiridas por la CAR y asignadas a los directores, jefes y/o autorizados, son personales e intransferibles y s6lo se pueden utilizar para firma de documentos pertinentes a la Corporacién. Una vez terminado el vinculo laboral del director, jefe 0 autorizado, la firma electr6nica seré cancelada. Todas las comunicaciones externas que se envien por correo electrOnico debersn ser enviadas a través de corteo electrénico certificado institucional a través de SIDCAR. EI sistema debe contar con metadatos que garanticen las biisquedas, roles, controles, recuperaciGn, acceso y administracién de la informacién y documentacién electronica generada. ‘Los cambios, adiciones y/o modificaciones que se requiera hacer al Sistema De Gestién Documental SIDCAR, serdn aprobados y solicitados por el dren de Gestion Documental de la Direcein Administrativa y Financiera, Establecer estrategias de preservacién digital para garantizar que la informaci6n almacenada pueda permanecer en el futuro, pese a los cambios tecnolégicos u otras causas que puedan alterar la informacién que contiene, manteniendo su confidencialidad, integridad y isponibilidad. Los lineamientos y directrices para la conformaci6n de expedientes hibridos y digitalizacién de documentos se estableceran en el Manual de Gestién Documental de la entidad. Los Manuales, instructivos, procesos y procedimientos se verificaran y ajustarén de manera periddica, con el fin de garantizar la preservacién digital de los documentos. 13.3 Politica de uso de correo electrénico Se prohibe enviar o eenviar cadenas de correo, mensajes con contenido religioso, politico, racista, sexista, pornogréfico, publicitario no corporativo 0 cualquier otro tipo de mensajes que atenten contra la dignidad de las personas, mensajes mal intencionados que puedan 7MA R Corporacién Auténoma Regional de Cundinamarca - CAR Repiiblica de Colombia afectar los sistemas internos 0 de terceros, mensajes que vayan en contra de las fa la ‘moral, las buenas costumbres y/o que inciten a realizar practicas ilfcitas o promuevan actividades ilegales incluido el lavado de activos. | | La cuenta de correo clectronico deberd ser usada para el desempefio de las funciones asignadas dentro de la Corporacién_ Auténoma Regional de Cundinamarca — CAR. Los mensajes y la informacién contenida en los buzones de correo son de propiedad de la Corporacién Auténoma Regional de Cundinamarca - CAR. El usuario podré ‘crear un, hist6rico de su correo siempre y cuando sea almacenado en el disco duro del usuario y bajo su propia responsabilidad. | 13.4 Politica de uso de mensajeria instantiinea y redes sociales La Corporacién Auténoma Regional de Cundinamarca - CAR, define Ins pautas generales para asegurar una adecuada proteccién de la informacién, en el uso del servicio de mensajeria instantanea y de las redes sociales, por parte de los usuarios autorizados. | La informacién que se publique o divulgue por cualquier medio de Internet, de cualquier funcionario, contratista 0 colaborador de la Corporacién Auténoma Regional de Cundinamarca - CAR, que sea creado a nombre personal en redes sociales como: witter®, facebook®, youtube® likedink®, blogs, instagram, etc. se considera fuera del alcaace de las politicas establecidas y por lo tanto su confiabilidad, integridad y disponibilidad y los daftos y perjuicios que pueda llegar a causar serfin de completa responsabilidad de la persona que Jas haya generado. | Toda informacién distribuida en las redes sociales que sea originada por la Entidad, debe ser autorizada por los Directores 0 jefes de drea para ser socializadas y con un vocabulario institucional. | 14 ADQUISICION, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE INFORMACION Garantizar que la seguridad es parte integral de los sistemas de informaci6n, | El Desarrollo de tecnologfas informéticas se debe orientar sobre herramientas basadas en tecnologias de tltima generacién, que permitan la portabilidad y escalabilidad de las aplicaciones. | La supervisi6n y seguimiento a proyectos de infraestructura informatica deben incorporar como un elemento bisico de la supervisi6n, el cumplimiento de la aplicacién de politicas de seguridad tanto en el desarrollo de la soluci6n como en el producto final que sera entregado ala Entidad. | 28R n Auténoma Regional de Cundinamarca ~ CAR Republica de Colombia Todos los desarrollos de software deben surtir una fase de pruebas de funcionalidad en la cual se evidencien los controles establecidos en relacién con la integridad de la informacién que seré ingresada una vez se lleve a cabo su implementacién. Los desarrollos de software deben involucrar Ia correspondiente documentacién interna y externa que permitan identificar su seguimiento hasta el nivel de rutinas y procedimientos. 15 RELACIONES CON PROVEEDORESY TERCEROS 15.1 Politica de Tercerizacién u Outsourcing Se deben establecer criterios de seleccién que contemplen la experiencia y reputacién de terceras partes, certificaciones y recomendaciones de otros clientes, estabilidad financiera de la compatia, seguimiento de esténdares de gestidn de calidad y de seguridad y otros criterios que resulten de un andlisis de riesgos de la seleccién y los critetios establecidos por Ia Entidad. Se deben establecer mecanismos de control en las relaciones contractuales, con el objetivo de asegurar que Ia informacién a Ia que tengan acceso o servicios que sean provistos por los proveedores o contratistas, cumplan con las politicas de seguridad de la informacién de la Corporacién Auténoma Regional de Cundinamarca ~ CAR, las cuales deben se divulgadas por los funcionarios responsables de la realizacién y/o firma de contratos 0 convenios. En los contratos o acuerdos con los proveedores y/o contratistas se debe incluir una causal de terminacién del acuerdo 0 contrato de servicios, por el no cumplimiento de las politicas de seguridad de la informacién. En los contratos 0 acuerdos con los proveedores y/o contratistas se debe incluir una cléusula de confidencialidad de Ia informacién Se deben identificar los riesgos para la informaci6n y los servicios de procesamiento de informacién que involucren partes externas a la Corporacién Auténoma Regional de Cundinamarca CAR. El resultado del andlisis de riesgos serd la base para el establecimiento de los controles y debe ser presentado al Comité de Seguridad de la Informacién antes iniciar el estudio de mercado y publicacién del proyecto de pliegos del contrato de outsourcing en el portal de contratacién, Los funcionarios de la Corporacién Aut6noma Regional de Cundinamarca CAR, que fungen como supervisores de contratos relacionados con sistemas de informacién deber’in realizar seguimiento, control y revisién de los servicios suministrados por los proveedores y/o contratistas. 29Corporacién Autonoma Regional de Cundinamarca - CAR Repablica de Colombia | 16 GESTION DE LOS INCIDENTES DE LA SEGURIDAD DE LA INFORMACION | ‘Asegurar que los eventos ¢ incidentes de seguridad que se presenten con los activos de informacién sean comunicados y atendidos oportunamente, empleando los procedimientos definidas, con el fin de ejecutar oportunamente las acciones correctivas. | Los funcionarios y contratistas de la Corporacién Auténoma Regional de Cundinamarca — CAR, deberan informar inmediatamente a la Oficina de las Tecnologia de la Informacién y las Comunicaciones - OTIC, cualquier situacién sospechosa, o incidente de seguridad que comprometa la confidencialidad, integridad y disponibilidad de 1a informacién. EL Comité de Seguridad de la Informacién seré el encargado de realizar la investigaci6n y seguimiento a los eventos ¢ incidentes de seguridad reportados. ] Todos los incidentes de seguridad reportados serdn investigados y se les hard seguimiento por parte del Comité de Seguridad de la Informacién. Los resultados de las investigaciones serin informados a la Cosporacién Aut6noma Regional de Cundinamarca - CAR, especificando las causas, consecuencias, responsabilidades, solucién y acciones para evitar que se presenten nuevamente. | 17 GESTION DE LA CONTINUIDAD DELNEGOCIO. Esel conjunto de procedimientos y estrategias definidos para contrarrestar las intertupciones, en las actividades misionales de la Entidad, para proteger sus procesos criticos contra fallas ‘mayores en los sistemas de informacién 0 contra desastres y asegurar que las operaciones se Tecuperen oportuna y ordenadamente, generando un impacto minimo o nulo ante una contingencia. | Prevenir interrupciones en las actividades de la plataforma informatica de la Corporacién ‘AutGnoma Regional de Cundinamarca ~ CAR, que van en detrimento de los procesos criticos de TI afectados por situaciones no previstas 0 desastres. Se debe desarrollar ¢ implantar un Plan de Continuidad para asegurar que los| procesos misionales de TI de ta Corporacién Auténoma Regional de Cundinamarca — CAR, podrén ser restaurados dentro de escalas de tiempo razonables. | La Corporacién Aut6noma Regional de Cundinamarca — CAR, deberd tener definido un plan de acci6n que permita mantener la continuidad del negocio teniendo en cuenta los siguientes aspectos: | 30Corporacién Auténoma Regional de Cundinamarca - CAR Republica de Colombia © Identificacién y asignacién de prioridades a los procesos criticos de TI de la Corporacién Auténoma Regional de Cundinamarca - CAR, de acuerdo con su impacto en el cumplimiento de la misién de la Entidad. * Documentacién de la estrategia de continuidad del negocio. Documentaci6n del plan de recuperaci6n del negocio de acuerdo con Ia estrategia definida anteriormente. * Plan de pruebas de la estrategia de continuidad del negocio. La alta direccién de la Corporacién Auténoma Regional de Cundinamarca — CAR, se encargaré de Ia definicion y actualizacién de las normas, politicas, procedimientos y esténdares relacionados con Ia continuidad del negocio, igualmente velaré por la implantacién y cumplimiento de las mismas. 18 CUMPLIMIENTO. Los diferentes aspectos contemplados en este Manual son de obligatorio cumplimiento para todos los funcionarios, contratistas, personal en comisiGn permanente y otros colaboradores de la Corporacién Autnoma Regional de Cundinamarca ~ CAR. En caso de que se violen las politicas de seguridad ya sea de forma intencional o por negligencia, la Corporacién Aut6noma Regional de Cundinamarca - CAR, tomaré las acciones disciplinarias y Iegales correspondientes. 18.1 Politica de tratamiento de datos personales La Corporacién Aut6noma Regional de Cundinamarca ~ CAR realizaré el tratamiento de datos personales de acuerdo a la Ley 1581 de 2012 y la Resolucién CAR No. 3294 de 2019 “Por la cual se adopta la politica de proteccién de datos personales en la Corporacién Auténoma Regional de Cundinamarca — CAR" 18.2 Politica de cumplimiento de requisitos legales y contractuales EI Manual de la Politica de Seguridad de la Informacién debe prevenir el incumplimiento de las leyes, estatutos, regulaciones u obligaciones contractuales que se relacionen con los controles de seguridad. La Corporacién Autonoma Regional de Cundinamarca ~ CAR, respeta y acata las normas legales existentes relacionadas con seguridad de la informacién, para lo cual realizaréi una continua revisién, identificacién, documentacién y cumplimiento de la legislacion y 31bs CAR Corporacién Auténoma Regional de Cundinamarca ~ CAR Republica de Colombia requisitos contractuales aplicables para Ia Entidad, relacionada con la seguridad de la informacién. La Corporacién Aut6noma Regional de Cundinamarca — CAR, respeta y acata las normas legales existentes relacionadas con protecci6n de derechos de autor y propiedad intelectual, raz6n por la cual propendera porque el software instalado en los recursos de la plataforma tecnolégica cumpla con los requerimientos legales y de licenciamiento aplicables. La Oficina de Tecnologias de la Informacion y las Comunicaciones ~ OTIC, garantizaré que todo el software que se ejecute en los activos de informacién de la Corporaci6n Aut6noma Regional de Cundinamarca ~ CAR, esté protegido por derechos de autor y requiera licencia de uso o sea software de libre distribucién y uso. La Oficina de Tecnologfas de la Informacién ~ OTIC, realizara el procedimiento de Copias de respaldo (backups) de los registros alojados en los sistemas de informacién. Las dependencias de la Corporacién Aut6noma Regional de Cundinamarca ~ CAR, que tratan con datos personales de funcionarios, proveedores, contratistas, u otras personas en el desarrollo de las actividades de la Entidad, deben asegurar que tendrén acceso a los datos personales tinicamente los funcionarios que tengan una necesidad laboral legitima. 18.3. Politica de Revisiones de Seguridad de la Informacién Garantizar la aplicabilidad de las politicas y procedimientos implementados en la Corporacién Auténoma Regional de Cundinamarca ~ CAR. La Oficina de Tecnologias de la Informacion y las Comunicaciones - OTIC, debe establecer mecanismos para revisar periédicamente los sistemas de informacién con el herramientas automiticas y especialistas técnicos. 19 REGISTRO DE AUDITORIA Todos los sistemas autométicos que operen y administren informacién sensitiva, valiosa 0 ctitica para la Corporacién, como son sistemas de informacién en ambiente productivo, sistemas operativos, sistemas de bases de datos y telecomunicaciones deben generar registros de auditoria. Todos los archivos de auditorias deben proporcionar suficiente informacién para apoyar el monitoreo, control y seguimiento que se requiera y preservarse por perfodos definidos segin su criticidad y de acuerdo a las exigencias legales para cada caso. 32Corporacién Autonoma Regional de Cundinamarca ~ CAR Republica de Colombia 20 CAPACITACION Y SENSIBILIZACION EN SEGURIDAD DE LA INFORMACION Es responsabilidad del Comité Seguridad de la Informacin evaluar, actualizar, verificar y socializar las politicas de seguridad de la informacién, conforme a esto, el presente documento tendré una revisi6n anual, 0 antes en caso de ser necesario. Esta politica debe ser socializada de acuerdo a las actualizaciones que puedan llevarse a cabo, y publicarla en la intranet y pagina web de la Corporacién para conocimiento de todo el personal objetivo e incluirla en el proceso de induccién de nuevos funcionarios y contratistas. E] lider del Proceso de Gestién Tecnologias de la Informacién a través de los funcionarios responsables de administrar la infraestructura de las Tecnologias de la Informacién y las ‘Comunicaciones seré el responsable de efectuar el seguimiento al cumplimiento de la Politica de Seguridad de la Informacién con el fin de verificar y controlar que se esté aplicando adecuadamente. Los casos de incumplimiento seran reportados a la Oficina de Control Disciplinario interno, para ser aplicadas las sanciones a que haya lugar. 33

Politicas de Seguridad CAR

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Politicas de Seguridad CAR

Uploaded by

Copyright:

Available Formats

You might also like