Академический Документы
Профессиональный Документы
Культура Документы
de polticas de seguridad y
privacidad de la informacin
Gua Tcnica
1. DERECHOS DE AUTOR
Todas las referencias a los documentos del Modelo de Seguridad y Privacidad de
la Informacin son derechos reservados por parte del Ministerio de Tecnologas de
la Informacin y las Comunicaciones, por medio del Programa Gobierno en lnea.
Todas las referencias a las polticas, definiciones o contenido relacionado,
publicadas en la norma tcnica colombiana NTC ISO/IEC 27001:2013, as como a
los anexos son derechos reservados por parte de ISO/ICONTEC.
2. AUDIENCIA
Este documento est elaborado para las entidades pblicas de orden nacional,
entidades pblicas del orden territorial y entidades privadas que deseen una gua
para implementar las polticas planteadas en el Modelo de Seguridad de la
Informacin, as como proveedores de servicios de Gobierno en Lnea y terceros
que deseen adoptar el Modelo de Seguridad y Privacidad de la Informacin en el
marco del Programa Gobierno en Lnea.
3. INTRODUCCIN
La informacin es en la actualidad el elemento primordial de cualquier
organizacin. De tal manera, se hace importante la implementacin de medidas
que propendan por salvaguardar la integridad, la confidencialidad y la
disponibilidad de la informacin que manejan las entidades, con el fin de asegurar
la operacin de las mismas.
Las entidades en el proceso de implementacin y puesta en funcionamiento de
Sistemas de Gestin de Seguridad de la Informacin deben crear polticas que
definan los lineamientos y lmites que deben cumplir los funcionarios, contratistas
y terceros frente a la seguridad de la informacin, por lo cual este documento
plantea algunas mejores prcticas para la definicin de polticas, y en algunos
casos plantea unas polticas generales, a partir de las cuales las entidades
pueden basar su sistema de gestin y adaptar de acuerdo a su contexto
organizacional.
Los elementos se encuentran organizados en los dominios definidos por la poltica
y se han planteado de modo tal que se ajusten a los objetivos de control definidos.
4. PROPSITO
El propsito de este documento es ofrecer una gua de recomendaciones para la
construccin e implementacin de polticas de seguridad y privacidad de
informacin para las entidades pblicas, como parte del Modelo de Seguridad y
Privacidad de la Informacin de la estrategia de Gobierno en Lnea, segn lo
establecido en el Decreto 2573 del 12 de diciembre de 2014.
5. GLOSARIO
Estndar: Regla que especifica una accin o respuesta que se debe seguir a una
situacin dada. Los estndares son orientaciones obligatorias que buscan hacer
cumplir las polticas. Los estndares son diseados para promover la
implementacin de las polticas de alto nivel de la organizacin antes de crear
nuevas polticas.
Mejor Prctica: Una regla de seguridad especfica o una plataforma que es
aceptada, a travs de la industria al proporcionar el enfoque ms efectivo a una
implementacin de seguridad concreta. Las mejores prcticas son establecidas
para asegurar que las caractersticas de seguridad de los sistemas utilizados con
regularidad estn configurados y administrados de manera uniforme, garantizando
un nivel consistente de seguridad a travs de la organizacin.
Gua: Una gua es una declaracin general utilizada para recomendar o sugerir un
enfoque para implementar polticas, estndares buenas prcticas. Las guas son
esencialmente, recomendaciones que deben considerarse al implementar la
seguridad. Aunque no son obligatorias, sern seguidas a menos que existan
argumentos documentados y aprobados para no hacerlo.
Procedimiento: Los procedimientos, definen especficamente como las polticas,
estndares, mejores prcticas y guas que sern implementadas en una situacin
dada. Los procedimientos son independientes de la tecnologa o de los procesos
y se refieren a las plataformas, aplicaciones o procesos especficos. Son utilizados
para delinear los pasos que deben ser seguidos por una dependencia para
implementar la seguridad relacionada con dicho proceso o sistema especfico.
Generalmente los procedimientos son desarrollados, implementados y
supervisados por el dueo del proceso o del sistema, los procedimientos seguirn
las polticas de la organizacin, los estndares, las mejores prcticas y las guas
tan cerca como les sea posible, y a la vez se ajustaran a los requerimientos
procedimentales o tcnicos establecidos dentro del a dependencia donde ellos se
aplican.
3.
4.
5.
6.
CONTROL DE ACCESO
Este grupo de polticas deben hacer referencia a todas aquellas directrices
mediante las cuales la Entidad determina los mecanismos de proteccin, los
lmites y procedimientos frente a la administracin y responsabilidad, relacionados
con los accesos a la informacin, sin importar si estos accesos sean electrnicos o
fsicos; las polticas relacionadas con el control de acceso deben contemplar
como mnimo:
NO REPUDIO
La poltica de seguridad y privacidad comprende la capacidad de no repudio con el
fin de que los usuarios eviten haber realizado alguna accin.
La poltica deber incluir mnimo los siguientes aspectos:
PRIVACIDAD Y CONFIDENCIALIDAD
Esta poltica debe contener una descripcin de las polticas de tratamiento y
proteccin de datos personales que deben ser aplicados, conforme a lo
establecido en la normatividad vigente. La poltica de privacidad debe contener
como mnimo lo siguiente:
1. mbito de aplicacin
2. Excepcin al mbito de aplicacin de las polticas de tratamiento de
datos personales
3. Principios del tratamiento de datos personales:
Principio de la Legalidad: El tratamiento de datos personales debe estar
sujeto a lo establecido en la normatividad vigente.
Principio de finalidad: Indicar la finalidad del tratamiento de datos
personales, la cual debe ser informada al titular.
Principio de libertad: El tratamiento slo puede hacerse con el
consentimiento previo, expreso e informado del titular de los datos.
Principio de veracidad o calidad: La informacin a tratar debe ser veraz,
completa, exacta, actualizada, comprobable y comprensible.
Principio de transparencia: Garantizar al titular de los datos el derecho a
obtener informacin que le concierna del encargado del tratamiento.
Principio de acceso y circulacin restringida: El tratamiento slo podr
hacerse por personas autorizadas por el titular o por personas previstas en
la normatividad vigente.
Principio de seguridad: La informacin sujeta a tratamiento, se debe
manejar con las medidas tcnicas, humanas y administrativas que sean
necesarias para garantizar la seguridad evitando su adulteracin, prdida,
consulta, uso o acceso no autorizado o fraudulento
Principio de confidencialidad: Todas las personas que participen en el
Tratamiento de Datos Personales deben garantizar la reserva de dicha
informacin
4. Derechos de los titulares: La poltica debe indicar los derechos de los
titulares de los datos, tales como:
REGISTRO Y AUDITORA
Esta poltica vela por el mantenimiento de las evidencias de las actividades y
acciones que afectan los activos de informacin.
Esta poltica deber contener: