Cargando el Contenido del Documento
Por favor espere...
  Régimen Legal de Bogotá D.C.    © Propiedad de la Secretaría Jurídica Distrital de la Alcaldía Mayor de Bogotá D.C.  
  Directiva 42 de 2007 Secretaría General Alcaldía Mayor de Bogotá D.C.
 
  Fecha de Expedición: 31/12/2007  
  Fecha de Entrada en Vigencia:  
  Medio de Publicación:  


 
Temas
  Contenido del Documento    
   
 
 

DIRECTIVA 042 DE 2007

PARA:

SERVIDORES PÚBLICOS, CONTRATISTAS Y PARTICULARES QUE TENGAN ACCESO A LOS SERVICIOS RELACIONADOS CON LA INFORMACIÓN DE LA SECRETARÍA GENERAL DE LA ALCALDÍA MAYOR DE BOGOTÁ D.C.

DE:

SECRETARIO GENERAL DE LA ALCALDÍA MAYOR DE BOGOTA

ASUNTO:

POLÍTICAS DE SEGURÍDAD DE LOS ACTIVOS DE INFORMACIÓN PARA LA SECRETARÍA GENERAL DE LA ALCALDÍA MAYOR DE BOGOTÁ D.C.

FECHA:

Diciembre 31 de 2007

Mediante Resolución 353 de 2007 se creó el Comité de Seguridad de la Información –CSI- de la Secretaría General de la Alcaldía Mayor de Bogotá D.C., el cual tiene como objetivo "Asegurar que exista una dirección y apoyo gerencial, para soportar la administración y desarrollo de iniciativas sobre seguridad de la información, a través de compromisos apropiados y uso de recursos adecuados en el organismo, así como de la formulación y mantenimiento de una política de seguridad de la información a través de todo el organismo".

El Comité de Seguridad de la Información, analizó el estado actual de la seguridad de los activos de la información, tomando como base los resultados obtenidos en la fase I de la consultoría "Evaluación y definición del Modelo de Seguridad Informática" desarrollada en la Secretaria General de la Alcaldía Mayor de Bogotá D.C. por la compañía NewNet S. A; firma que identificó, como una necesidad del organismo la adopción de una política formal de seguridad de los activos de información, conforme con lo estipulado en la norma ISO 17799 y su actualización ISO 27001, donde se indique el compromiso de la organización con la seguridad de la información.

Como quiera, que frente al tema de la seguridad de la información no existe de manera formal un documento que reúna todas las disposiciones que deberían ser tenidas en cuenta para el adecuado manejo de los activos de la información; resulta necesario aclarar que la Secretaría General ha expedido la Circular 049 de 20071, la cual no abarca todos los temas que integran el sistema de Gestión de Seguridad de la información y por ende no existen lineamientos claros que definan una política pública de seguridad de la información.

Adicionalmente, se han desarrollado prácticas de Hardening sobre la plataforma tecnológica2 al interior de la Subdirección de Informática y Sistemas de la Secretaría General propendiendo por la seguridad de la información de las sedes del organismo y sus puntos de atención al ciudadano.

Con el fin de formalizar las políticas de seguridad de la información y los estándares planteados en la norma NTC/IEC ISO 17799 con su actualización NTC/IEC ISO 27001, debe existir la declaración formal de la intención de esta Secretaría en el apoyo de los principios y las metas de seguridad de la información; se deben definir los objetivos, alcances e importancia de la seguridad como mecanismo para proteger la información y determinar las responsabilidades generales y específicas para la gestión de la seguridad de la misma.

De conformidad con lo señalado anteriormente, y con el fin de apropiar un Modelo de Seguridad de los Activos de Información coherente con las políticas de seguridad de está Secretaría, se debe definir y adoptar los lineamientos a seguir para la implementación del Sistema de Gestión de Seguridad de la Información. Este modelo contiene los procedimientos y estándares adecuados a la arquitectura de seguridad que incluye; el aseguramiento3 de una plataforma tecnológica, controles y administración de los activos que garanticen la seguridad de la información del organismo.

A continuación se establecen las políticas sobre las cuales se debe direccionar el desarrollo futuro del Sistema de Gestión de Seguridad de la Información de la Secretaría General, así como los principios de actuación de todo el personal que tenga acceso o responsabilidades sobre la información.

1 ALCANCE

Una política de seguridad es una regla de definición general, independiente de los ambientes tecnológicos y físicos, que representa los objetivos sobre los que se sustenta el Sistema de Gestión de Seguridad de los Activos de Información.

El enunciado y la definición de estos lineamientos, comprende todos los aspectos administrativos y de control que deben ser acatados por el Comité de Seguridad de la Información de la Secretaría General y los grupos técnicos responsables de la Seguridad de los Activos de Información, conformados por dicho Comité, así como el resto de personal que labora para este organismo, con el fin de lograr un adecuado nivel de confidencialidad, integridad, disponibilidad y auditabilidad de los accesos a la información.

La política de seguridad es de obligatorio cumplimiento para todos los servidores públicos y particulares que accedan a la información del organismo, así como a los espacios físicos del mismo que conlleven un componente de seguridad de información.

La aplicación de las políticas propuestas en esta Directiva obedecen al interés por parte de la Secretaría General en diseñar, implementar y sostener el Sistema de Gestión de la Seguridad de la Información –SGSI-, el cual deberá tener en cuenta y estar alineado con el Sistema Integrado de Gestión, en cada uno de sus componentes, esto es, los sistemas de Gestión de Calidad, Control Interno, Desarrollo Administrativo y Gestión Ambiental.

2 DEFINICIONES.

2 .1 Seguridad de la información. Preservación de la confidencialidad, integridad y disponibilidad de la información.

  • Confidencialidad. Aseguramiento de que la información es accesible sólo para quienes están autorizados.

  • Integridad. Salvaguardia de la exactitud y completitud de la información y sus métodos de procesamiento.

  • Disponibilidad. Aseguramiento de que los usuarios autorizados tengan acceso a la información y sus recursos asociados cuando se requiera.

2. 2 Dominios de Controles. La norma NTC/IEC ISO 17799 con su actualización NTC/IEC ISO 27001 define los dominios de control, como una guía que permite garantizar la seguridad de la información, mediante el empleo de los 11 dominios de control que conforman la guía.

3 POLITICAS DE SEGURIDAD PARA LA SECRETARÍA GENERAL.

La Secretaría General, define sus políticas de seguridad con fundamento en los 11 dominios de controles señalados en la norma NTC/IEC ISO 17799 con su actualización NTC/IEC ISO 27001.

Para cada dominio de control, se ha definido una política de seguridad.

DOMINIOS DE CONTROLES

POLÍTICAS

Política de seguridad. Controles para proporcionar directivas y consejos de gestión para mejorar la seguridad de los activos de información

Preservar la seguridad de los activos de información del organismo, para lo cual dispondrá de los recursos necesarios para garantizar el correcto desarrollo de los lineamientos planteados en cada política propuesta.

Organización de la Seguridad Controles para facilitar la gestión de la seguridad de la información en el seno de la organización.

Garantizar que existan responsabilidades claramente asignadas en todos los niveles de la organización, para la gestión de la seguridad de los activos de información y contar con un Comité de Seguridad de la Información conformado por personal de alto nivel de cada dirección que se apoyará en un asesor interno de seguridad. Todos los servidores públicos, contratistas y particulares que tengan acceso a los activos de información del organismo, tendrán el compromiso de cumplir las políticas y normas que se dicten en materia de seguridad de la información así, como reportar los incidentes que detecten.

Con el objetivo de direccionar y hacer cumplir los lineamientos del organismo en cada materia y revisar las posibles incidencias y acciones que se deban tomar; tanto el Comité de Seguridad de la Información y el Asesor Interno de Seguridad de la Información, designado por la Subdirección de Informática y Sistemas, podrán apoyarse con recursos externos, mejores prácticas, etc.

Gestión de Activos. Controles para catalogar los activos y protegerlos eficazmente.

Toda la información sensible de la Secretaría General de la Alcaldía Mayor de Bogotá D.C., así como los activos donde esta se almacena o procesa, deberán ser inventariados, asignárseles un responsable y clasificarlos de acuerdo con los requerimientos en materia de seguridad de la información y los criterios que dicte el Comité de Seguridad de la Información del organismo, de acuerdo con esta clasificación se deben establecer los niveles de protección orientados a determinar, a quién se le permite el manejo de la información, el nivel de acceso a la misma y los procedimientos para su manipulación. La clasificación deberá revisarse periódicamente y atender a los cambios que se presenten en la información o la estructura que puedan afectarla.

Seguridad de los Recursos Humanos. Controles para reducir los riesgos de error humano, robo, fraude y utilización abusiva de los equipamientos.

Desde la vinculación del personal a la Secretaría General de la Alcaldía Mayor de Bogotá D.C. se deben tener controles que permitan verificar la idoneidad e identidad, ética profesional y conducta. Los términos y condiciones de empleo o trabajo deberán establecer la responsabilidad de los servidores públicos y contratistas, por la seguridad de los activos de información, que van más allá de la finalización de la relación laboral o contractual, por lo que se debe firmar un acuerdo de confidencialidad que se hace extensivo a los contratistas y terceros que tengan acceso a la información.

Deberán existir mecanismos de información y capacitación para los usuarios en materia de seguridad, así como de reporte de incidentes que puedan afectarla. Los servidores públicos deben cooperar con los esfuerzos por proteger la información y ser responsables de actualizarse en cada materia, así como consultar con el encargado de la seguridad de la información, en caso de duda o desconocimiento de un procedimiento formal, ya que esto no lo exonera de una acción disciplinaria que deberá llevarse a cabo cuando se incurra en violaciones a las políticas o normas de seguridad.

Seguridad Física. Controles para impedir la violación, deterioro y la perturbación de las instalaciones y datos industriales.

Deberán establecerse áreas seguras para la gestión, almacenamiento y procesamiento de información en la Secretaría General de la Alcaldía Mayor de Bogotá D.C., estas deberán contar con protecciones físicas y ambientales acordes a los activos que protegen, incluyendo perímetros de seguridad, controles de acceso físicos, controles especiales en áreas de mayor sensibilidad, seguridad de los equipos, seguridad en el suministro eléctrico y cableado, condiciones ambientales de operación y sistemas de contención, detección y extinción de incendios adecuados que preserven el medio ambiente.

Esta seguridad debe mantenerse en los momentos de mantenimiento, cuando la información o los equipos que la contienen deben salir del organismo o cuando se deben eliminar o dar de baja, para lo cual deben existir procedimientos especiales.

Gestión de las Telecomunicaciones y Operaciones. Controles para garantizar un funcionamiento seguro y adecuado de los dispositivos de tratamiento de la información.

Deben documentarse los procedimientos y responsabilidades de administración y seguridad que sean necesarios en cada ambiente tecnológico y físico, garantizando un adecuado control de cambios y el seguimiento a estándares de seguridad que deben definirse, así como el seguimiento a los incidentes de seguridad que puedan presentarse. Debe buscarse una adecuada segregación de funciones.

Debe garantizarse una adecuada planificación y aprobación de los sistemas de información que consideren o provean las necesidades de capacidad futura. Deben considerarse protecciones contra software malicioso y un adecuado mantenimiento y administración de la red, así como un adecuado cuidado de los medios de almacenamiento y seguridad en el intercambio de información.

Control de Acceso a los Datos. Medios para impedir accesos no autorizados y registro de los accesos efectuados.

Debe establecerse medidas de control de acceso a las dependencias de la Secretaría General y a los diferentes niveles de la plataforma tecnológica, tales como la red, sistema operativo y aplicaciones; así como a la información física que tenga un componente de seguridad. Estas medidas estarán soportadas en el desarrollo de la cultura de seguridad de las personas que laboran en el organismo y buscarán limitar y monitorear el acceso a los activos de información requeridos para el trabajo, de acuerdo con su clasificación y manejando controles, en dispositivos y servicios que permitan identificar los niveles de acceso que los usuarios deben tener.

Los usuarios serán responsables de realizar un adecuado uso de las herramientas de seguridad que se ponen a su disposición.

Adquisición, Desarrollo y Mantenimiento de Software. Controles para garantizar que la Política de Seguridad esté incorporada a los sistemas de información.

Asegurar que se haga un adecuado análisis e implementación de los requerimientos de seguridad del software desde su diseño, ya sea interno o adquirido, que incluya garantías de validación de usuarios y datos de entrada y salida, así como de los procesos mismos, de acuerdo con la clasificación de los activos a gestionar en la herramienta. Además se establecerán controles para cifrar la información confidencial y se buscará evitar la posibilidad de una acción indebida por parte de un usuario del sistema. Igualmente, se deberán asegurar los archivos del sistema y mantener un control adecuado de los cambios que puedan presentarse.

La implantación de nuevas herramientas de Hardware y Software, de sistemas de información y de otros recursos informáticos, deben cumplir con las políticas definidas.

Gestión de Incidentes. Procedimiento a seguir en caso de suceder ciertos incidentes.

Existe una clasificación de los incidentes según el grado en que afecten el normal funcionamiento del negocio. Controles para gestionar las incidencias que afectan a la seguridad de la Información.

Asegurar que se haga una adecuada evaluación del impacto en el organismo frente a los eventos de seguridad relevantes, en los cuales las políticas de seguridad hayan sido desatendidas o traspasadas y realizará planes de atención de incidentes y mejora de procesos, para aquellos eventos que resulten críticos para la supervivencia del mismo. Estos planes deben considerar medidas: técnicas, administrativas y de vínculo con entidades externas, deben probarse y revisarse periódicamente, así como estar articulados en todo el organismo con los diferentes tipos de recursos tecnológicos y no tecnológicos.

Continuidad del Negocio. Controles para reducir los efectos de las interrupciones de actividad y proteger los procesos esenciales de la empresa contra averías y siniestros mayores.

Se debe evaluar el impacto de los diferentes procesos en el organismo y realizar planes de mitigación y continuidad para aquellos que resulten críticos. Los planes de mitigación y continuidad deben considerar medidas tanto técnicas como administrativas y de vínculo con entidades externas; deben probarse y revisarse periódicamente, y deben permanecer articulados con los diferentes recursos tecnológicos y no tecnológicos existentes en todo el organismo.

Cumplimiento y Normatividad Legal. Controles para prevenir los incumplimientos de las leyes penales o civiles, de las obligaciones reglamentarias o contractuales y de las exigencias de seguridad.

Garantizar que la gestión de la seguridad dé cumplimiento adecuado a la legislación vigente para lo cual analizará los requisitos legales aplicables a la información que se gestiona incluyendo los derechos de propiedad intelectual, los tiempos de retención de registros, privacidad de la información, uso inadecuado de recursos de procesamiento de información, uso de criptografía y recolección de evidencias.

Así mismo deberá garantizarse que el direccionamiento y los controles relacionados con la seguridad de la información se cumplen y son compatibles técnicamente con los diferentes ambientes y tecnologías. Se debe garantizar la posibilidad de llevar a cabo auditorias, manteniendo los registros necesarios, para que éstas respondan adecuadamente a la disminución del riesgo de discontinuidad de cada tarea o servicio propio de la Secretaría General de la Alcaldía Mayor de Bogotá D.C.

4 RESPONSABILIDADES

4 .1 Comité de Seguridad de la Información.

  • Garantizar la existencia de una dirección y apoyo gerencial que soporte la administración y el desarrollo de iniciativas sobre seguridad de la información, a través de compromisos y uso adecuado de los recursos en el organismo.

  • Formular y mantener una política de seguridad de la información que aplique a toda la organización conforme con lo dispuesto por la Secretaría General.

  • Presentar a la Secretaría General de la Alcaldía Mayor de Bogotá, en un plazo no superior a 90 días, a partir de la fecha de expedición de está Directiva un cronograma de trabajo encaminado hacia la implementación del Sistema de Gestión de Seguridad de la Información.

4.2 Grupo de Apoyo a la Seguridad.

  • Desarrollar, mantener y administrar operativa y técnicamente la seguridad de la información conforme con las políticas de seguridad adoptadas por la Secretaría General.

  • Materializar las medidas de largo, mediano y corto plazo que permitan el desarrollo efectivo, estratégico y armónico de las políticas planteadas.

4.3 Servidores Públicos, Contratistas y Particulares con acceso a Información de la Secretaría General de la Alcaldía Mayor de Bogotá.

  • Cumplir con todas las políticas de seguridad adoptadas por la Secretaria General

  • Actualizarse en los temas propios de seguridad de activos de la información aplicados en la Secretaría General.

5. DESIGNACIÓN GRUPO DE APOYO.

El Grupo de Apoyo, será designado por El Comité de Seguridad de la Información.

6. DIVULGACION

Corresponde a la Subdirección de Informática y Sistemas de la Secretaría General, coordinar la divulgación de las políticas de seguridad establecidas al interior del organismo, para garantizar el conocimiento de los servidores públicos y contratistas, con el fin de que apoyen y cumplan estos preceptos, los cuales ayudan y redundan en beneficio y mejora de los niveles de seguridad de la información en el organismo.

ENRIQUE BORDA VILLEGAS

Secretario General

NOTAS DE PIE DE PÁGINA:

1 Uso adecuado de Internet y del correo electrónico en la entidad

2 Con respecto a estás practicas podemos mencionar entre otras las siguientes:

  • Actualización de sistemas operativos sobre los servidores.
  • Bloqueo de servicios innecesarios sobre los servidores.
  • Instalación y administración de antivirus

3 Hardening

 
Temas