Beruflich Dokumente
Kultur Dokumente
TABLA DE CONTENIDO
Pg.
PRESENTACION ............................................................................................................................. 3
OBJETIVO ....................................................................................................................................... 4
ALCANCE ........................................................................................................................................ 5
1. POLTICA DE SEGURIDAD INFORMTICA .............................................................................. 6
1.1 POLTICA DE PROTECCIN DE LA INFORMACIN ........................................................ 6
1.2 POLTICA DE ALMACENAMIENTO, RESPALDO Y RESTAURACIN DE
INFORMACIN ..................................................................................................................... 6
1.3 POLTICA DE USO DE LOS IDENTIFICADORES DE USUARIO Y CONTRASEAS ....... 6
1.4 POLTICA DE SERVICIOS DE RED ...................................................................................... 6
1.5 POLTICA DE USO DEL CORREO ELECTRNICO ............................................................ 7
1.6 POLTICA DE USO DE LA RED INTERNET ......................................................................... 7
1.7 POLTICA DE USO DE LA RED INTRANET.......................................................................... 8
1.8 POLTICA DE SOFTWARE ................................................................................................... 8
1.9 POLTICA DE PROTECCIN CONTRA VIRUS INFORMTICOS ...................................... 8
1.10 POLTICA DE ADQUISICIN Y MANTENIMIENTO DE RECURSOS INFORMTICOS ... 9
1.11 POLTICA DE ADMINISTRACIN DE SERVIDORES ........................................................ 9
1.12 POLTICA DE SEGURIDAD FSICA .................................................................................... 9
1.13 POLTICA DE CABLEADO ESTRUCTURADO ................................................................... 9
1.14 POLTICA DE USO DE LA RED ELCTRICA ..................................................................... 10
1.15 POLTICA DE PLANES DE CONTINGENCIA .................................................................... 10
2. RESPONSABILIDADES .............................................................................................................. 11
2.1 DIRECTOR GENERAL, DIRECTORES REGIONALES, SUBDIRECTORES DE AREA,
JEFES DE PROYECTO ........................................................................................................ 11
2.2 OFICINA DE CONTROL INTERNO ....................................................................................... 11
2.3 GRUPO DE SEGURIDAD INFORMTICA ............................................................................ 11
2.4 ADMINISTRADORES DE LA INFORMACIN ...................................................................... 12
2.5 ADMINISTRADORES DE SERVICIOS Y DE RECURSOS INFORMTICOS ...................... 12
2.6 USUARIOS .............................................................................................................................12
3. ACTUALIZACIN, SUPERVISIN Y CUMPLIMIENTO ............................................................. 14
3.1 ACTUALIZACIN .................................................................................................................. 14
3.2 SUPERVISIN ....................................................................................................................... 14
3.3 CUMPLIMIENTO .................................................................................................................... 14
4. DIRECTRICES PARA IMPLEMENTAR LA POLTICA DE SEGURIDAD INFORMTICA ......... 15
5. DISPOSICIONES FINALES ......................................................................................................... 16
5.1 ENTRADA EN VIGENCIA ...................................................................................................... 16
5.2 APROBACIN ....................................................................................................................... 16
5.3 REFERENCIA Y DOCUMENTOS RELACIONADOS ............................................................ 16
PRESENTACIN
En la actualidad toda organizacin apoya su accionar en el uso de las tecnologas de informacin
pero a la vez esto contribuye a que aumenten los riesgos, que pueden llegar a comprometer la
continuidad del negocio.
INGEOMINAS, entendiendo esta situacin ha considerado necesario destinar esfuerzos tendientes
a proteger los recursos informticos y de comunicaciones, as como la informacin que representa
su principal activo.
El primer logro de estos esfuerzos es la Poltica de Seguridad Informtica, resultado del trabajo y
consenso de varios funcionarios del INGEOMINAS, que durante los aos 2001 y 2002 participaron
con sus conocimientos, investigaciones, experiencias y puntos de vista en las discusiones que
fueron planteadas en materia de Seguridad Informtica. Adicionalmente para la estructura y
contenido del documento se tuvo en cuenta los Cdigos de Prctica Internacionales: ISO 17799,
COBIT 3ra Edicin, ISO 7498-2, COMMON CRITERIA ISO 15408, los cuales apoyan la Definicin,
Desarrollo, Implantacin y Mantenimiento de los Modelos de Seguridad de la Informacin.
La Poltica de Seguridad Informtica es un conjunto de lineamientos generales organizados por
frentes temticos, orientada al uso apropiado y a la proteccin de la informacin digital, los
recursos y servicios informticos y de comunicaciones requeridos para la generacin, compilacin,
integracin, validacin, conservacin y divulgacin de la informacin geocientfica, mineroambiental y nuclear.
La Poltica de Seguridad Informtica seguir un proceso de actualizacin permanente, de acuerdo
con los cambios organizacionales (culturales, estructurales, operativos), del entorno, tecnolgicos y
las directrices gubernamentales que sean del caso.
Interpretada as, la Poltica de Seguridad Informtica se convierte en una valiosa herramienta de
apoyo para el cumplimiento de la misin Institucional y para satisfacer las necesidades y
expectativas de nuestros usuarios y clientes. Por lo tanto, debe ser un compromiso institucional a
todo nivel, conocerla, cumplirla y hacerla cumplir.
ADOLFO ALARCON GUZMAN
Director General del INGEOMINAS
OBJETIVO
Establecer lineamientos de seguridad para proteger la informacin, los recursos
informticos y de comunicaciones del Instituto.
ALCANCE
La Poltica de Seguridad Informtica aplica para todos los recursos y servicios
informticos y de comunicaciones que se encuentren al servicio del Instituto, la
cual debe ser conocida y seguida por toda persona que tenga una relacin
permanente o temporal con la Institucin.
La informacin crtica del negocio debe ser respaldada y adems ser ubicada y custodiada en
un sitio fsico alterno.
La informacin digital del Instituto debe ser almacenada, de acuerdo a las normas,
procedimientos y estndares que sean establecidos para este fin.
en forma
Las contraseas se deben establecer de acuerdo con unos estndares y directrices mnimas, con
el propsito de que no sean fciles de descifrar.
1.4 POLTICA DE SERVICIOS DE RED
Solo se prestarn los servicios de red estrictamente necesarios para el desarrollo de las
labores institucionales.
INGEOMINAS debe establecer mecanismos de seguridad para que la informacin crtica que
viaje por la red pueda ser utilizada nicamente por los usuarios autorizados.
Los servicios de red internos del Instituto deben utilizarse en forma responsable, apropiada y
con los niveles de seguridad que se establezcan en las directrices tcnicas para cada uno de
ellos.
INGEOMINAS podr revisar los buzones de correo electrnico cuando lo estime conveniente
para verificar el cumplimiento de la poltica o por otras razones acordes a los intereses
legtimos del Instituto.
INGEOMINAS no se hace responsable del uso inapropiado que los usuarios hagan de sus
cuentas de correo electrnico.
Los mensajes de correo electrnico originados desde cuentas del INGEOMINAS con destino a
otras entidades, no necesariamente representan una posicin oficial del Instituto.
Los funcionarios de empresas contratistas que permanezcan dentro de las instalaciones del
INGEOMINAS podrn hacer uso del servicio de correo electrnico nicamente durante la
vigencia del respectivo contrato.
El uso de las listas de correo del INGEOMINAS ser para comunicaciones institucionales de
inters general y con carcter formal, segn se establezca.
El servicio de correo electrnico debe ser administrado y usado con eficiencia e integridad.
INGEOMINAS debe establecer controles para asegurar que haya acceso a la red Institucional,
nicamente a travs de los servicios autorizados.
El uso de Internet en das y horas laborales debe realizarse de acuerdo con los estndares y
procedimientos que se establezcan para tal fin, y exclusivamente para actividades relacionadas
con las funciones propias del cargo.
La informacin que se proporcione por medio de la red Intranet debe ser de inters general e
institucional.
Los encargados de las oficinas de sistemas de cada dependencia son los nicos autorizados
para la instalacin de software.
INGEOMINAS debe establecer mecanismos de control para asegurar la integridad del software.
Todas las Licencias del software adquiridas por el INGEOMINAS a travs de compra, donacin
o cesin son propiedad y de uso exclusivo del Instituto.
INGEOMINAS es el nico titular de todos los derechos sobre el software desarrollado con
recursos del Instituto, salvo los derechos intelectuales que corresponden a los autores.
Todo el software propiedad del Instituto debe ser usado exclusivamente para asuntos
relacionados con las actividades del Instituto.
INGEOMINAS, no se hace responsable del software ilegal que sea encontrado en algn equipo
asignado a un funcionario; por lo tanto toda la responsabilidad civil, econmica y penal recaer
sobre el funcionario cuando se le haya comprobado su falta.
Los usuarios deben seguir las recomendaciones y directrices establecidas con el fin de prevenir
la infeccin con virus informticos.
Todo computador que este conectado o no a la red institucional debe tener instalado un nico
software antivirus.
INGEOMINAS velar por mantener libres de virus informticos los correos electrnicos y
archivos adjuntos enviados desde las cuentas del Instituto.
8
Los servidores deben estar ubicados en sitios que cuenten con condiciones ambientales y de
seguridad fsica apropiados.
Los equipos de cmputo que funcionan como servidores deben estar bajo la responsabilidad de
personal con habilidad y experiencia para realizar las tareas de administracin.
La administracin de los servidores podr realizarse por parte del personal interno o a travs de
la contratacin con terceros.
El usuario es el responsable del cuidado de los recursos informticos e insumos que le sean
suministrados.
El usuario no podr retirar del Instituto, equipos de cmputo, perifricos, software e insumos a
menos que cuente con la debida autorizacin.
El personal externo al Instituto debe ser plenamente identificado y autorizado para que le sea
permitido el acceso a centros de cmputo, centros de comunicaciones u otros sitios que alojen
recursos informticos de importancia.
Los centros de cableado no deben estar fsicamente accesibles a personal de servicio tcnico
que no sea del Instituto o de un proveedor autorizado.
El cableado de la red de datos y voz debe contar con proteccin fsica a lo largo de todo su
recorrido.
9
Los cambios en centros de cableado y en los puntos de red solo podrn ser realizados con
autorizacin y supervisin del Administrador de Cableado.
Es obligacin de todos los usuarios del Instituto velar por el cuidado y correcta utilizacin del
cableado de red de datos y de voz.
Los usuarios deben seguir las recomendaciones e instrucciones que se impartan para el uso
apropiado de la red elctrica.
Los usuarios deben seguir los procedimientos establecidos en caso de fallas o de eventuales
interrupciones de la red elctrica regulada.
Los Planes de Contingencia tomarn como base la Metodologa General que se establezca.
10
2. RESPONSABILIDADES
A continuacin se establecen las responsabilidades para los diferentes niveles de los funcionarios
del INGEOMINAS, en relacin con la Poltica de Seguridad Informtica.
2.1 DIRECTOR GENERAL, DIRECTORES REGIONALES, SUBDIRECTORES DE AREA, JEFES
DE PROYECTO
Autorizar los recursos necesarios para adquirir y/o implantar los mecanismos que apoyen el
cumplimiento de la Poltica de Seguridad Informtica.
Destinar recursos para la ejecucin de los programas de induccin a usuarios, para que
conozcan sus derechos, deberes y responsabilidades en relacin con el manejo de los recursos
y servicios Institucionales disponibles.
Recibir los reportes emitidos por el grupo de Seguridad Informtica relacionados con incidentes
de Seguridad, analizarlos y comunicar a los entes correspondientes para que inicien y apliquen
las sanciones a que haya lugar.
Recibir y analizar los reportes de incidentes informticos por parte de los Administradores de la
informacin y de los recursos y servicios informticos y de comunicaciones.
Analizar los hechos que se presenten con relacin al incumplimiento de la Poltica de Seguridad
informtica para determinar su naturaleza y gravedad.
SUBDIRECCION DE INFORMACION GEOCIENTIFICA
PROYECTO IG4-02: DESARROLLO DE LA INFRAESTRUCTURA EN TECNOLOGIAS DE INFORMACION Y DE COMUNICACIONES
FRENTE TEMATICO: UNIDAD DE GESTION Y SEGURIDAD TELEMATICA
Enviar reportes con el concepto tcnico de los incidentes informticos comprobados al ente de
Control Interno del Instituto para gestionar las acciones a que de lugar.
Conscientizar y entrenar a los usuarios sobre las medidas preventivas y detectivas que se
deben tener presentes para el manejo adecuado de la informacin.
Conscientizar y entrenar a los usuarios sobre las medidas preventivas y detectivas que se
deben tener presentes para el manejo adecuado de los recursos y servicios informticos y de
comunicaciones.
Enviar al ente de control del Instituto y/o grupo de seguridad informtica, un reporte de manera
peridica relacionado con el cumplimiento por parte de los usuarios de la Poltica de Seguridad
Informtica.
2.6 USUARIOS
Todos los funcionarios, contratistas y dems personas externas al Instituto que interacten
ocasionalmente o de manera permanente con los aplicativos o que utilicen algn recurso
informtico o de comunicaciones, deben:
12
Cumplir con la Poltica de Seguridad as como con las normas y procedimientos que de sta se
desprendan.
Hacer un uso correcto de los recursos informticos y de comunicaciones que les sean
asignados para el desarrollo de sus actividades.
Acatar las normas y procedimientos que se establezcan para cumplir la Poltica de Seguridad
Informtica.
Avisar oportunamente a los Jefes inmediatos o al ente de control del Instituto, sobre eventos
sospechosos que puedan generar riesgo sobre los recursos informticos, tales como:
presencia de virus, instalacin de software ilegal, acceso a computadores por personal no
autorizado.
13
3. ACTUALIZACIN, SUPERVISIN Y
CUMPLIMIENTO
3.1 ACTUALIZACIN
Para aspectos no cubiertos por la Poltica de Seguridad Informtica establecida, cada Subdireccin,
Centro Operativo Regional u Otra Dependencia, puede informar de esta situacin al Grupo de
Seguridad Informtica, para ser evaluada y proceder a la actualizacin respectiva.
3.2 SUPERVISIN
3.3 CUMPLIMIENTO
Los entes responsables de elaborar el reglamento que contenga los criterios para establecer la
gravedad de las faltas en materia de inobservancia o incumplimiento de la Poltica de
Seguridad Informtica, deben basarse en el principio de proporcionalidad, es decir la sancin
debe ser proporcional a la falta cometida y de igual manera al clasificar una falta se debe tener
en cuenta si fue la accin fue sin o con intencin.
Velar porque la Poltica de Seguridad Informtica se divulgue y sea conocida por todos sus
funcionarios.
Desarrollar al interior del Instituto, una cultura enfocada a la Seguridad Informtica, lo cual
permitir desarrollar esquemas de control de una forma ms participativa, rpida y eficiente.
5. DISPOSICIONES FINALES
5.1 ENTRADA EN VIGENCIA
La presente Poltica de Seguridad Informtica entra en vigencia a partir de la fecha de aprobacin
por parte del Director General del INGEOMINAS.
5.2 APROBACIN
Aprobado a los
6 das