LINEAMIENTOS DE SEGURIDAD INFORMATICA
Versión
Fecha
Código
Fecha
Versión
GR-SG-F044B
18-Sep-13
1
CONTROL DE VERSIONES DEL DOCUMENTO Descripción del Cambio Revisado por
1
11-Jul-12
Primer versión
2
12-Jun-13
Ajustes a estructura, contenido y alcance, solicitadas por SENA. Actualización de formato.
3
18-Sep-13
Actualización de formato.
Wilmer Rosiasco – Gestor de Seguridad PROA Jaime E. Camacho - Asesor Tecnología SENA Rebeca Becerra - Contratista SENA Oscar Gamboa - Interventor Serticsas Wilmer Rosiasco - Gestor de Accesos PROA José Emilio Ramirez - Contratista SENA Angela Aroca - Interventor Serticsas Wilmer Rosiasco - Gestor de Accesos PROA Fernando Perez – Coordinador Calidad
Aprobado por Mauricio Castaño Gerente de Gestion Global Mauricio Castaño Gerente de Gestion Global
Mauricio Castaño Gerente de Gestion Global
La propiedad intelectual de este documento es del SENA y de la Unión Temporal Carvajal – Telmex – Comcel. Cualquier copia del documento se considera COPIA NO CONTROLADA.
Página 1 de 7
LINEAMIENTOS DE SEGURIDAD INFORMATICA
Código
Fecha
Versión
GR-SG-F044B
18-Sep-13
1
TABLA DE CONTENIDO 1
INTRODUCCIÓN .................................................................................................................................................................. 3
2
OBJETIVO ............................................................................................................................................................................ 3
3
ALCANCE............................................................................................................................................................................. 3
4
PRINCIPIOS ......................................................................................................................................................................... 4 4.1 RESPONSABILIDADES ................................................................................................................................................................4 4.2 BUEN USO DE ACTIVOS DE INFORMACIÓN .....................................................................................................................................4
5
LINEAMIENTOS DE SEGURIDAD DE LA INFORMACIÓN ........................................................................................................ 4
6
LINEAMIENTOS DE SEGUNDO NIVEL / CONTROLES ............................................................................................................. 4 6.1 6.2 6.3 6.4 6.5
7
SEGURIDAD FISICA ..............................................................................................................................................................5 SEGURIDAD LÓGICA ............................................................................................................................................................5 SEGURIDAD DE LA INFORMACIÓN ......................................................................................................................................5 SEGURIDAD DE RECURSO HUMANO ...................................................................................................................................6 GESTION DE LA SEGURIDAD DE LA INFORMACIÓN .............................................................................................................6
GLOSARIO ........................................................................................................................................................................... 6
La propiedad intelectual de este documento es del SENA y de la Unión Temporal Carvajal – Telmex – Comcel. Cualquier copia del documento se considera COPIA NO CONTROLADA.
Página 2 de 7
LINEAMIENTOS DE SEGURIDAD INFORMATICA
1
Código
Fecha
Versión
GR-SG-F044B
18-Sep-13
1
INTRODUCCIÓN
Este documento recopila el desarrollo de los lineamientos de Seguridad de la Información definidas para el SENA, y por tanto es el núcleo principal del Modelo de Seguridad que corresponde a los lineamientos para Uso Adecuado de las Tecnologías de la Información y las Comunicaciones de la entidad, que deben ser conocidas y seguidas por todos los usuarios finales. Los lineamientos de Seguridad identifican responsabilidades y establecen los objetivos para una protección apropiada y consistente de los activos de información del SENA, y su implementación busca reducir el riesgo de divulgación, modificación, destrucción o mal uso, de los activos de información y al mismo tiempo habilitan a las áreas responsables de la administración de seguridad en orientar y mejorar la administración de seguridad y proveer las bases para su gestión a través de toda la entidad. Los lineamientos expresados en este documento, serán la base para el correcto accionar de los colaboradores, instructores, aprendices y contratistas de la entidad, de tal forma que se adopte conciencia de Seguridad de la Información en el SENA. 2
OBJETIVO
El SENA basará la administración de la Seguridad de la Información en los lineamientos contenidos en este documento y por lo tanto el mismo se constituye en la normativa que regulará toda la administración de las Tecnologías de la Información y las Comunicaciones. Con su divulgación se busca que toda comunidad de usuarios directos e indirectos de la entidad los conozcan, se familiaricen y de forma individual y colectiva las adopten, generando niveles adecuados de seguridad de la información soportada en la tecnología. Este documento establece los lineamientos sobre los cuales se debe direccionar el desarrollo de la Seguridad de la Información en el SENA y los principios de actuación de todas las personas vinculadas o que interactúan con la entidad, en relación con la gestión de la información. Están basados en los pilares de la seguridad de la información:
3
La información esté disponible cuando se requiera (disponibilidad). La información sea divulgada solo a personas, entidades o procesos autorizados. (confidencialidad). La información está protegida contra cambios no autorizados, buscando que sea completa y precisa. (integridad).
ALCANCE
Los presentes Lineamientos de Seguridad de la Información, aplican a todos los activos de información del SENA, durante su ciclo de vida, y en todas sus formas: físicas, electrónicas y habladas, y están orientados a su protección. Los lineamientos de Seguridad de la Información deben ser adoptados por todos los usuarios directos e indirectos de la entidad, en relación al uso y funcionamiento de los activos informáticos e información.
La propiedad intelectual de este documento es del SENA y de la Unión Temporal Carvajal – Telmex – Comcel. Cualquier copia del documento se considera COPIA NO CONTROLADA.
Página 3 de 7
LINEAMIENTOS DE SEGURIDAD INFORMATICA
4
Código
Fecha
Versión
GR-SG-F044B
18-Sep-13
1
PRINCIPIOS
Los principios sobre las cuales se han elaborado estos lineamientos de seguridad, articulan los 3 pilares de la seguridad de la información: confidencialidad, integridad y disponibilidad. 4.1
Responsabilidades
El SENA es dueño de todos los activos de información y la Información, entregados a los usuarios directos e indirectos en relación a sus funciones, para su uso, gestión o custodia, sin que esto altere en ningún momento la propiedad de los mismos. Cada uno de los usuarios directos e indirectos de la entidad, es responsable en relación al uso de la información y los activos de información. 4.2
Buen uso de Activos de Información
El propósito de estos lineamientos prevé que los usuarios directos e indirectos utilicen correctamente los activos de información y la información, que el SENA pone a su disposición para el desarrollo de las funciones. 5
LINEAMIENTOS DE SEGURIDAD DE LA INFORMACIÓN
Este documento de Lineamientos de Seguridad de la Información, está alineado con la Promesa de Valor aprobada por la Dirección General del SENA, y contempla los requerimientos generales de Seguridad de la Información que deben cumplir los usuarios directos e indirectos de la entidad, en el uso y funcionamiento de los activos de información. La Dirección General debe validar y realizar una revisión de éste documento a intervalos planificados anualmente; y comunicarla importancia de su cumplimiento al interior, para todos los usuarios directos e indirectos de la entidad. a. Protegemos, mantenemos seguros y damos buen uso a los activos de información. b. Estamos comprometidos con la gestión y el acceso seguro de la información y los medios en que se encuentre. c. Construimos una cultura de seguridad basada en el conocimiento, la participación y el compromiso de todos. d. Construimos una cultura de seguridad orientada a la prevención de los riesgos y la continuidad del negocio, y de los procesos críticos de la entidad e. Cumplimos la legislación Colombiana, la regulación aplicable a la entidad y las obligaciones contractuales con funcionarios, proveedores, contratistas y terceros. 6
LINEAMIENTOS DE SEGUNDO NIVEL / CONTROLES
Este aparte del documento está alineado con la Promesa de Valor aprobada del SENA, y contempla los lineamientos específicos de seguridad, enmarcados en 5 capítulos:
La propiedad intelectual de este documento es del SENA y de la Unión Temporal Carvajal – Telmex – Comcel. Cualquier copia del documento se considera COPIA NO CONTROLADA.
Página 4 de 7
LINEAMIENTOS DE SEGURIDAD INFORMATICA
6.1
Código
Fecha
Versión
GR-SG-F044B
18-Sep-13
1
SEGURIDAD FISICA
1. La dirección debe disponer de áreas seguras, dispuestas con mecanismos de protección y acceso apropiados ante posibles daños o accesos no autorizados. De igual forma se deben contemplar mecanismos de control de acceso para terceros y/o el público en general. 2. Se debe elaborar y mantener un inventario de todos los activos de información, y cada activo debe tener identificado un propietario y/o responsable. 3. Los activos de información que realicen procesamiento de información deben tener documentos que contemplen las recomendaciones de buen uso. 4. Se deben realizar mantenimientos preventivos y/o correctivos para todos los activos de información. 5. Todo activo de información debe estar autorizado para ser retirado de las instalaciones del SENA, y contar con los controles y mecanismos de protección. 6. Se deben generar recomendaciones de seguridad para el control de acceso físico y conexión a los equipos de procesamiento y redes. 7. Se debe establecer un procedimiento para la protección de la información ante la reutilización de equipos y la eliminación segura de información.
6.2
SEGURIDAD LÓGICA
1. Debe existir un procedimiento para control de accesos a los servicios de las TIC del SENA. 2. Se deben establecer los mecanismos para la asignación, entrega y gestión de usuarios y contraseñas. 3. Se deben generar recomendaciones de seguridad para la protección apropiada a equipos desatendidos y sesiones inactivas. 4. Se deben generar recomendaciones de seguridad para controlar el acceso local y remoto a los sistemas de información, dispositivos de red, equipos y en general a los servicios de las TIC del SENA. 5. Se deben establecer procedimientos y esquemas para respaldar la información crítica para el desarrollo de los procesos del SENA. 6. Establecer los requerimientos y características de seguridad que deben cumplir los sistemas de información, independientemente si estos van a ser adquiridos, contratados y/o desarrollados internamente. 7. Se debe establecer un procedimiento de control de cambios en la infraestructura tecnológica, los sistemas de información y en general para los servicios de las TIC del SENA. 8. Se deben mantener separados los ambientes de desarrollo, pruebas y producción. 9. Se deben sincronizar los relojes de todos los equipos, dispositivos y sistemas que hagan parte de la infraestructura tecnológica del SENA. 10. Se debe gestionar la capacidad de los servicios de las TIC del SENA. 11. Los sistemas de información críticos para el SENA deben mantener habilitado el registro de eventos y deben estar en segmentos de red independientes y controlados. 6.3
SEGURIDAD DE LA INFORMACIÓN
1. Se debe clasificar y etiquetar la información de acuerdo con su criticidad y el grado de confidencialidad de la misma. 2. Se deben firmar acuerdos de confidencialidad con funcionarios, proveedores, contratistas y terceros que requieran acceder a información crítica del SENA. La propiedad intelectual de este documento es del SENA y de la Unión Temporal Carvajal – Telmex – Comcel. Cualquier copia del documento se considera COPIA NO CONTROLADA.
Página 5 de 7
LINEAMIENTOS DE SEGURIDAD INFORMATICA
Código
Fecha
Versión
GR-SG-F044B
18-Sep-13
1
3. Internet, correo electrónico y demás recursos tecnológicos deben ser utilizados únicamente para el desarrollo de las funciones asignadas al interior del SENA. 4. Se debe realizar una segregación de funciones para controlar el acceso y uso de la información crítica del SENA. 6.4
SEGURIDAD DE RECURSO HUMANO
1. Se debe establecer un programa interno de sensibilización y capacitación en seguridad de la información. 2. Se deben establecer las funciones y responsabilidades de seguridad en contratos y acuerdos con funcionarios, contratistas, proveedores y terceros. 3. Se deben establecer controles para la validación de datos de las hojas de vida, como parte del proceso de selección de personal del SENA. 4. La información personal de funcionarios, contratista y terceros conocida por el SENA, debe ser tratada como información confidencial y se debe preservar la privacidad de la misma. 6.5
GESTION DE LA SEGURIDAD DE LA INFORMACIÓN
1. Se deben asignar los roles y responsabilidades para la gestión de seguridad al interior del SENA. 2. Se deben establecer esquemas y controles para detectar, reportar, responder e investigar eventos e incidentes de seguridad. 3. Se debe implementar un plan de continuidad de negocio para los procesos críticos del SENA. Este plan debe incluir el plan de recuperación ante desastres y los planes de recuperación de cada proceso crítico. 4. Se debe utilizar software legalmente adquirido. 5. Se debe monitorear el cumplimiento de las responsabilidades de seguridad por parte de contratistas, proveedores y terceros contratados. 7
GLOSARIO
Activo: Cualquier elemento con valor asignado que requiere protección (documentos electrónicos y físicos, personas e infraestructura física e infraestructura tecnológica). Activos de información: recurso o sistema de información o relacionado con éste, necesario para que la organización funcione correctamente y alcance los objetivos propuestos. Amenaza: Cualquier elemento o acción que atente contra la seguridad de la información (integridad, confidencialidad y disponibilidad). Aprendiz: Es toda persona que reciba formación. En el SENA se reconoce con el perfil de libre pensador, con capacidad crítica, solidario, emprendedor creativo, y líder. Buen Uso: compromiso y actitud responsable respecto al uso racional y adecuado de los activos y recursos, para garantizar una mejor calidad en el servicio. Confidencialidad: Propiedad que esa información esté disponible y no sea divulgada a personas, entidades o procesos no-autorizados.
La propiedad intelectual de este documento es del SENA y de la Unión Temporal Carvajal – Telmex – Comcel. Cualquier copia del documento se considera COPIA NO CONTROLADA.
Página 6 de 7
LINEAMIENTOS DE SEGURIDAD INFORMATICA
Código
Fecha
Versión
GR-SG-F044B
18-Sep-13
1
Cuenta dante / Usuario: Individuo que utiliza los recursos, activos, servicios de información o cualquier sistema informático. Custodio / Responsable: persona o entidad que supervisa el activo diariamente, pero la responsabilidad permanece con el propietario. Desastre: hecho natural o provocado por el ser humano que afecta negativamente un entorno Disponibilidad: Propiedad de estar disponible y utilizable cuando lo requiera una entidad individuo o proceso autorizado. Dueño: Se entiende el responsable del activo, equivalente al creador/adquirente del activo. Sin embargo no siempre el creador / adquirente es el custodio del activo. Equipos desatendidos: equipos de cómputo sin bloqueos o restricciones ante accesos no autorizados en periodos de ausencia del usuario. Impacto: Conjunto de consecuencias provocadas por un hecho o actuación que afecta a un entorno o ambiente Información: conjunto organizado de datos que construyen un mensaje. Instructor: Sujeto que participa en el proceso de enseñanza-aprendizaje, quien asume el rol de facilitador del aprendizaje, orientador y apoyo, retroalimenta y evalúa al aprendiz durante su proceso formativo. Integridad: la propiedad de salvaguardar la exactitud e integridad de los activos. Lineamiento: Conjunto de instrucciones o normas generales para la ejecución de algo. Propietario: persona o entidad que cuenta con la responsabilidad gerencial probada de controlar la producción, desarrollo, mantenimiento, uso y seguridad de los activos, sin que esto signifique que tenga algún derecho de propiedad sobre el activo. Riesgo: posibilidad de que se produzca un impacto determinado en un Activo, en un Dominio o en toda la Organización. Seguridad de la Información: preservación de la confidencialidad, integridad y disponibilidad de la información. Sistemas de Información: conjunto de elementos orientados al tratamiento y administración de datos e información. TIC: Tecnologías de Información y Comunicaciones.
La propiedad intelectual de este documento es del SENA y de la Unión Temporal Carvajal – Telmex – Comcel. Cualquier copia del documento se considera COPIA NO CONTROLADA.
Página 7 de 7