Академический Документы
Профессиональный Документы
Культура Документы
ASEGURAMIENTO DE LA GESTIÓN
GESTIÓN DE RIESGOS
MANUAL DE POLITICAS DE SEGURIDAD DE LA INFORMACIÓN Y
CIBERSEGURIDAD
1. OBJETIVO
Definir y comunicar a las partes interesadas las políticas complementarias alineadas a la política del
sistema de Administración de Riesgos de Seguridad de la Información y Ciberseguridad de Colpensiones
(parte V), para gestionar adecuadamente la integridad, confidencialidad y disponibilidad de los activos de
información, según el marco de la norma ISO 27001:2013 y su anexo A.
2. ALCANCE
Los siguientes lineamientos aplican para todos el personal que labora en Colpensiones servidores públicos,
trabajadores oficiales, personal en misión, personal Sena y terceros que accedan a las instalaciones,
información y sistemas informáticos de la Entidad con el fin de aplicar los controles necesarios para
preservar la confidencialidad, integridad y disponibilidad de la información de los activos de información
de la Entidad.
3. CUMPLIMIENTO
Colpensiones cumplirá con todos los requerimientos contractuales y regulatorios definidos en las políticas
por la entidad, y su incumplimiento será causal de sanciones de acuerdo a lo establecido en los
lineamientos internos de Colpensiones.
4. DEFINICIONES
Accesos: Permisos otorgados a los usuarios para acceder a un área, recurso, sistema o aplicación.
Dentro de su ciclo de vida se encuentran las siguientes actividades: definición de privilegios de acceso,
asignación técnica del acceso, revisión periódica de los privilegios de acceso definidos y concedidos,
actualización y borrado.
Acceso Privilegiado: hacen referencia a cuentas dotadas de una importante carga de información
sensible y con altos derechos como configurar cuentas, restaurar contraseñas o instalar las
actualizaciones de software.
Activos de información críticos: Todos los activos de información que fueron clasificados como:
“Información clasificada” o “Información Reservada”.
MACROPROCESO / PROCESO: CÓDIGO: VERSIÓN: PÁGINA
Aleatorización: Proceso por el cual se reemplaza información completa o parcialmente por valores
aleatorios o pseudoaleatorios. En paso de datos productivos a ambientes de pruebas se puede por
ejemplo reemplazar salarios, edades o números de afiliación por valores aleatorios.
Bóveda de contraseñas: herramienta software que mantiene las contraseñas en una ubicación digital
segura. Al cifrar el almacenamiento de contraseñas, ofrece a los usuarios la posibilidad de usar una
única contraseña maestra para acceder a una cantidad de contraseñas diferentes utilizadas para
diferentes sitios web o servicios.
Custodio: Es la persona o área encargada de administrar y hacer efectivos los controles de seguridad
que el propietario de la información ha definido. Responsables por implementar (a nivel técnico) los
controles requeridos para proteger los activos de información, con base en el nivel de clasificación
asignado por el dueño correspondiente.
Información: Datos relacionados que tienen significado para la Entidad. La información es un activo
que, como otros activos importantes del negocio, es esencial para las actividades de la Entidad y, en
consecuencia, necesita una protección adecuada
Información privada: La información privada es aquella que por versar sobre información personal o
no, y que, por encontrarse en un ámbito privado, sólo puede ser obtenida y ofrecida por orden de
autoridad judicial en el cumplimiento de sus funciones. Si se trata de información reservada, tal y como
ocurre por ejemplo con la relativa a datos sensibles, a la inclinación sexual, a los hábitos personales o
los datos relativos a la pertenencia a un partido o movimiento político de los ciudadanos votantes, ella
no puede siquiera ser obtenida ni ofrecida por autoridad judicial en el cumplimiento de sus funciones.
Dato Personal Privado: Es un dato personal que por su naturaleza íntima o reservada solo interesa a
su titular y para su tratamiento requiere de su autorización expresa.
Dato Personal Semiprivado: Son datos que no tienen una naturaleza íntima, reservada, ni pública y
cuyo conocimiento o divulgación puede interesar no solo a su titular, sino a un grupo de personas o a
la sociedad en general. Para su tratamiento se requiere la autorización expresa del titular de la
información. (Ej. Dato financiero).2
Dato público: Es el dato que no sea semiprivado, privado o sensible. Son considerados datos públicos,
entre otros, los datos relativos al estado civil de las personas, a su profesión u oficio ya su calidad de
comerciante o de servidor público. Por su naturaleza, los datos públicos pueden estar contenidos,
entre otros, en registros públicos, documentos públicos, gacetas y boletines oficiales y sentencias
judiciales debidamente ejecutoriadas que no estén sometidas a reserva.3
Datos sensibles: Se entiende por datos sensibles aquellos que afectar la intimidad del Titular o cuyo
uso indebido puede generar su discriminación, tales como aquello que revelen el origen racial o étnico,
la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos,
organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político
o que garanticen los derechos y garantías de partidos políticos de oposición, así como los datos
relativos a la salud, a la vida sexual, y los datos biométricos. 4
Información Pública: Es toda información que los afiliados a Colpensiones generen, obtengan,
adquieran, o controlen en su calidad de ciudadanos y que no se encuentre dentro de la clasificación
privada, semiprivada o sensible.
Esta información puede ser entregada o publicada sin restricciones a los funcionarios o a cualquier
persona sin que esto implique daños a terceros ni a las actividades y procesos de Colpensiones5
Información Reservada: Información que es utilizada por un grupo reducido de personas y que no
debe ser de conocimiento para otros funcionarios, terceros o ciudadanos sin autorización del
propietario del activo, por daño a intereses públicos y bajo cumplimiento de la totalidad de los
requisitos consagrados en el artículo 19 de la ley 1712/20146.
Despersonalización: Proceso por medio del cual a la información asociada con un usuario o persona
es modificada para romper el vínculo asociativo y evitar así establecer o conocer la identidad del
usuario o persona. Para el paso de datos productivos a ambientes de pruebas se busca evitar que se
Enmascaramiento: Proceso por medio del cual la información sensible es reemplazada completa o
parcialmente para proteger su confidencialidad. Para el paso a de datos productivos a ambientes de
pruebas se puede por ejemplo reemplazar los dígitos intermedios de una cédula o un NIT con un dígito
preestablecido, evitando así que se conozca el número real.
Fuga de Información: Se denomina fuga de información al incidente que pone en poder de una
persona ajena a Colpensiones, información clasificada y reservada fuera de los medios tecnológicos
(redes, servidores, equipos portátiles, equipos móviles, medios de almacenamiento externos) y físicos
(Carpetas, documentos) de Colpensiones sin autorización y que sólo debería estar disponible para
funcionarios de la Entidad.
Guía de hardening: Documento que detalla los pasos o actividades de configuración que se deben
seguir para asegurar un sistema o componente tecnológico.
Hardening: Proceso por medio del cual se configura un sistema o componente tecnológico para
reducir las vulnerabilidades derivadas de malas prácticas de instalación, configuración o
administración.
Integridad: La información debe ser precisa, coherente y completa desde su creación hasta su
destrucción. Garantiza que la información y los métodos de procesamiento se conserven precisos y
completos.
Listas de distribución: Tipo de cuentas de correo que sin tener un buzón de entrada puede recibir
correos electrónicos que son redireccionados a las cuentas de correo de los integrantes de la lista.
Estas cuentas no tienen usuario y contraseña de autenticación por lo que no pueden enviar correos
electrónicos.
Mensajes “cadena”: Mensaje de correo electrónico enviado con el fin de convencer al receptor de
realizar copias o reenvíos del mensaje a nuevos receptores. Estos mensajes generalmente incluyen
esquemas piramidales con fines económicos apelando a la superstición o violencia para conseguir su
fin.
Mensaje masivo: Mensaje de correo electrónico enviado a diez (10) o más destinatarios, incluidos
quienes están copiados y copiados de manera oculta.
Modificación directa a la Base de Datos: Es una solicitud de modificación de datos que implica la
ejecución de acciones de insertar, eliminar, actualizar sobre registros específicos y explícitos;
excluyendo la ejecución de procedimientos almacenados para su modificación.
Movilidad: Es una estrategia organizacional para que los funcionarios, servidores o terceros tengan
acceso a los recursos tecnológicos y a la información necesaria para el desarrollo de sus actividades
contractuales o laborales, desde el lugar en donde sea más producto. Generalmente implica que los
usuarios no tienen sitios o puestos fijos de trabajo, sino que se pueden mover entre instalaciones de
la organización, sitios de proveedores o incluso lugares abiertos (como pozos petroleros) en caso de
ser necesario.
Propietario del Activo de Información y Ciberseguridad: Es la persona, proceso, grupo que tiene la
responsabilidad de definir quienes tienen acceso y que pueden hacer con la información y de
determinar cuáles son los requisitos para salvaguardarla. El término 'El dueño o propietario' no
significa que la persona en realidad tenga cualquier derecho de (propiedad) al activo.
Recursos tecnológicos: bases de datos, aplicaciones, redes, servicios web y directorios de archivos
compartidos.
Redes Tecnológicas: Es Una red de computadoras, (también llamada red de ordenadores o red
informática) es un conjunto de equipos conectados por medio de cables, señales, ondas o cualquier
otro método de transporte de datos, que comparten información, recursos y servicios, etc
Primera Línea de Defensa: Está conformada por las vicepresidencias misionales y de apoyo, las cuales
son las áreas originadoras y propietarias de los riesgos y las primeras llamadas a definir y tomar
decisiones en cómo gestionarlos.
Tercera Línea de Defensa: Rol desempeñado por la Oficina de Control Interno. Tiene como principal
función, verificar de manera independiente a la primera y segunda línea de defensa, la adecuada
gestión de riesgos dentro de la Entidad.
Script: Guion, archivo de órdenes o archivo de procesamiento por lotes, que contiene instrucciones a
ser ejecutadas en un sistema.
MACROPROCESO / PROCESO: CÓDIGO: VERSIÓN: PÁGINA
Acceso remoto: acceder desde una computadora a un recurso ubicado físicamente en otra
computadora, a través de una red local o externa (como internet)
TOR: The Onion Router (El Router Cebolla). Es un software cuyo objetivo principal es el
establecimiento de una red oculta de comunicaciones distribuida de
baja latencia y superpuesta sobre internet, con el ánimo de eludir los controles de seguridad
establecidos por medio del ocultamiento de su dirección IP.
DMZ: o Zona Desmilitarizada, es una red local que se ubica entre la red interna de una organización y
una red externa, generalmente Internet. El objetivo de una DMZ es que las conexiones desde la red
interna y la externa a la DMZ estén permitidas, mientras que las conexiones desde la DMZ sólo se
permitan a la red externa, es decir: los equipos locales (hosts) en la DMZ no pueden conectar con la
red interna.
Sistema Informático: Es un sistema que permite o hacen parte los ordenadores y redes de
comunicación electrónica así como los datos electrónicos almacenados, procesados, recuperados o
transmitidos por los mismos para su operación, uso, protección y mantenimiento.
1. OBJETIVO
Definir las políticas asociadas con el correo electrónico corporativo dispuesto por Colpensiones, con el fin
de garantizar la adecuada protección de la información de la entidad y mitigar el riesgo de fuga de
información.
2. ALCANCE
La siguiente política aplica a servidores públicos, trabajadores oficiales, misionales, personal Sena y
terceros contratados por Colpensiones que poseen cuentas de correo electrónico corporativo.
El acceso al correo electrónico corporativo debe realizarse desde la red LAN de la entidad, en
consecuencia, el acceso externo al correo electrónico corporativo se encuentra restringidoSólo podrán
acceder externamente al correo los funcionarios, servidores o terceros que por sus roles y
responsabilidades deban hacerlo y que autorice el Director del área o si ocupa alguno de los siguientes
cargos:
● Presidente
MACROPROCESO / PROCESO: CÓDIGO: VERSIÓN: PÁGINA
Cualquier excepción adicional, debe ser solicitada a través de la mesa de servicios de TI, previo análisis y
justificación soportada en las funciones y responsabilidades de los cargos y remitida por el presidente, los
vicepresidentes, gerentes, directores, directores regionales y/o jefes de oficina adscrita a la Presidencia,
quien autoriza el acceso externo al correo.
Dicha solicitud será evaluada por la Gerencia de Riesgos y Seguridad de la Información quien dará su
concepto para que la Gerencia de Tecnologías de la Información proceda a implementar la excepción. En
los casos en los que el concepto generado considere riesgos adicionales que deban ser evaluados, el
solicitante deberá valorar la aplicación de controles adicionales y decidir si aplica o no la excepción
asumiendo los riesgos y consecuencias derivadas de su decisión.
Los usuarios que tengan acceso al correo electrónico deben utilizarlo de acuerdo con las políticas y
lineamientos contenidos en este documento, los cuales deben ser leídos y aceptados y para tal efecto, la
utilización del servicio de correo electrónico corporativo por primera vez se considera como una
aceptación formal por parte del usuario.
3.4. MONITOREO
El servicio de correo electrónico provisto por Colpensiones debe garantizar controles de accesode
autorización y de monitoreo administrados por la Gerencia de Tecnologías de Información y la Gerencia
de Prevención del Fraude, los cuales no pueden ser desactivados ningún usuario, funcionario o
colaborador de la entidad, incluso si dentro de sus funciones tiene la administración del servicio
corporativo del correo electrónico.
Toda la información enviada o recibida a través del servicio de correo electrónico corporativo, puede ser
monitoreada, almacenada y accedida por la Gerencia de Prevención de Fraude de la entidad, según
se requiera o se considere pertinente, con el ánimo de garantizar su uso adecuado y la protección
de la información de la entidad. El usuario acepta que, al enviar información diferente a la
relacionada con el ejercicio de sus funciones, concede autorización a Colpensiones sobre dicha
información para monitorearla, almacenarla o revisarla según sus criterios.
El envío o recepción de información clasificada como “clasificada” y/o “reservada” debe realizarse a través
de los canales y medios seguros dispuestos por Colpensiones y definidos en las Políticas de transferencia
de información. Además, deberá contar con una justificación de negocio válida, autorización expresa del
dueño del activo de información y requerirá que esta información se envíe de manera cifrada de acuerdo
con las Políticas de cifrado de información de Colpensiones.
La Gerencia de Tecnologías de la Información debe definir, de acuerdo con las necesidades de los
servidores, funcionarios y terceros y con los recursos de la entidad, el tamaño de los buzones de correo
electrónico y el tamaño máximo de los archivos adjuntos a enviar y recibir.
La Gerencia de Tecnologías de la Información debe evaluar, aprobar y mantener documentados los casos
en que se requiera ampliar los tamaños de los buzones.
La Gerencia de Riesgos y Seguridad de la Información debe recomendar controles de cifrado, firma digital
y otras consideraciones de seguridad que permitan mitigar o evitar riesgos asociados al servicio de correo
electrónico corporativo. Dichos controles deben ser analizados y si se consideran pertinentes,
implementados por la Gerencia de Tecnologías de la Información o los terceros que se designen para tal
fin. La Gerencia de Riesgos y Seguridad de la Información debe recomendar controles de cifrado, firma
digital y otras consideraciones de seguridad que permitan mitigar o evitar riesgos asociados al servicio de
correo electrónico corporativo. Dichos controles deben ser analizados y si se consideran pertinentes,
implementados por la Gerencia de Tecnologías de la Información o los terceros que se designen para tal
fin.
Colpensiones la debe asignar una cuenta de correo electrónico a cada uno de los funcionarios, servidores
o terceros que lo requieran para el cumplimiento de sus obligaciones. Así mismo se podrán crear cuentas
de correo electrónico de servicio o para áreas, grupos o procesos específicos si existen razones válidas y
documentadas que lo justifiquen.
Colpensiones debe usar listas de distribución para el envío de comunicaciones masivas sin que para ello
se requiera un buzón de entrada.
La creación de los identificadores de las cuentas de correo electrónico de Colpensiones debe regirse por
los Lineamientos de creación de usuarios y contraseñas, documento publicado en el SIG.
La Gerencia de Prevención del Fraude debe realizar monitoreo del servicio de correo electrónico
corporativo y la información enviada y recibida a través de este, para identificar desviaciones del
cumplimiento de las políticas asociadas a dicho servicio, manteniendo en estricta reserva cualquier
información de la entidad o de los usuarios que tienen acceso al servicio de correo electrónico corporativo
y que sea observada dentro del proceso de monitoreo que se realiza al servicio.
Es responsabilidad de los directores del área evaluar y autorizar el acceso externo al correo electrónico
por parte de los servidores públicos, trabajadores oficiales, misionales, personal Sena y terceros de su área
según corresponda y de acuerdo a sus funciones.
Los Gerentes deben administrar de manera responsable las credenciales de acceso a cuentas de correo
electrónico asignadas a su área (cuentas genéricas). En línea con lo anterior, los usuarios del correo
electrónico deben:
Leer, entender y aceptar las políticas y lineamientos de seguridad y los términos y condiciones del
servicio de correo electrónico corporativo.
Dar uso adecuado y responsable al servicio de correo electrónico corporativo bajo las políticas de
seguridad de la información y ciberseguridad, los lineamientos definidos por Colpensiones y la
regulación aplicable vigente.
Reportar fallas detectadas en el servicio
No deben abrir o descargar información adjunta de mensajes de correo electrónicos que parezcan
sospechosos.
No utilizar el servicio de correo electrónico para fines diferentes a los relacionados con el
cumplimiento de sus obligaciones contractuales o laborales.
No deben enviar información de la entidad etiquetada como “reservada” a través del servicio de
correo electrónico corporativo, sin la aplicación de controles que permitan mantener su integridad
y confidencialidad.
No utilizar cuentas de correos de otras personas, ni intentar suplantar la identidad en el envío de
mensajes.
No compartir ni prestar las credenciales de acceso al correo electrónico corporativo.
No deben enviar mensajes masivos, mensajes cadenas u otro tipo de correos a listas o grupos de
distribución cuando no es parte de sus funciones o responsabilidades.
No deben utilizar el correo electrónico con fines difamatorios, ofensivos, irrespetuosos, racistas,
obscenos, sexuales, comerciales o políticos.
Enviar mensajes a quienes lo requieren recibir y evitar la copia innecesaria a otros usuarios.
Enviar mensajes de correo electrónico firmados de acuerdo con los lineamientos definidos.
Reportar cuando evidencie o tenga sospechas de violación o incumplimiento a alguna de las
políticas descritas en este documento.
Reportar cuando pierda acceso a su cuenta de correo electrónico o sospeche que sus credenciales
están comprometidas ver 3.9. ENVÍO DE MENSAJES MASIVOS
No está permitido el envío de mensajes masivos, a listas de distribución o de usuarios, internos o externos,
con propósitos diferentes a los que requieren sus funciones u obligaciones laborales o contractuales.
El envío de información clasificada como “Clasificada” y que es de interés general para la organización
debe realizarse únicamente desde las cuentas de correo electrónico dispuestas para tal fin.
El envío de la información clasificada como “Clasificada” desde cuentas personales está prohibido, así
como el reenvío de dicha información a cuentas de correo electrónico externo.
El envío masivo de correo que es generado desde los sistemas de información e infraestructura de
Colpensiones debe realizarse de acuerdo a la necesidad del servicio y manteniendo las configuraciones y
controles de seguridad correspondientes para evitar que Colpensiones sea categorizado como fuente de
spam por parte de los organismos internacionales de listas negras.
No se permite enviar archivos o reenviar mensajes con archivos de tipo ejecutable (por ejemplo, con las
siguientes extensiones .exe, .pif, .scr, .vbs, .cmd, .com, .bat, entre otros) debido a que este tipo de archivos
son frecuentemente utilizados para la propagación de software malicioso.
Colpensiones, a través de la Gerencia de Tecnologías de la Información, o el tercero que disponga para tal
fin, debe mantener configurado el servicio de correo electrónico para que realice detección y prevenga el
reenvío de mensajes no deseados o con posibles infecciones por software malicioso.
No está permitido enviar mensajes anónimos, así como aquellos que consignen seudónimos, títulos,
cargos o funciones no oficiales.
No está permitido utilizar mecanismos y sistemas que intenten ocultar o suplantar la identidad del emisor
de correo u otras características propias del mismo.
No está permitido que los usuarios del servicio de correo electrónico corporativo reenvíen o configuren
redirección automática de los mensajes hacia cuentas de correo electrónico externas.
Se ha dispuesto la creación de todas las cuentas de correo electrónico corporativo según la siguiente
clasificación:
Los grupos o listas no tendrán un buzón de entrada específico ni podrán enviar mensajes en nombre del
grupo.
Las cuentas de correo que por sus características o impacto al servicio no permitan cumplir con los
requerimientos establecidos en el documento Lineamiento Creación Usuarios y Contraseñas. Deberá
dejarse debidamente documentado el análisis y la justificación de la excepción y presentar el cambio de
la contraseña como mínimo 2 veces al año, acción que debe ser realizada por parte del dueño o solicitante
de la cuenta.
2 Cuando reciba correos dirigidos a un grupo o a toda la entidad: Si tiene inquietudes sobre el mismo,
puede responderle a quien lo emitió, pero cerciórese que sea solo a dicha persona y no a todo el
grupo. Cuando no esté seguro de la procedencia del correo evite abrir archivos adjuntos o reenviar
ese correo a otros usuarios. Reporte el evento de riesgo de acuerdo con el Instructivo de Gestión de
Incidentes de seguridad y ciberseguridad.
3 Lea cuidadosamente su mensaje antes de enviarlo: Así evitará que el contenido salga con información
errónea o diferente a como se requiere.
4 Escriba correos cortos y directos, pero no por ello olvide saludar, despedirse y otros buenos modales.
5 Pregúntese cuántas personas necesitan recibir su correo: Limite la distribución a aquellos
destinatarios que realmente requieren conocer la información.
6 Las leyes que gobiernan las comunicaciones también se aplican a los correos, por ello no olvide lo
referente a Derechos Propiedad Intelectual, privacidad, confidencialidad, difamación y suplantación,
entre otros.
7 Cuando reenvíe un correo: si no es necesario mantener la información previa, elimínela y reenvíe sólo
la información puntual que considere, así le facilitará la lectura a su destinatario.
8 Cuando requiera responder un correo interno pregúntese cuantas personas necesitan recibir su
correo. Limite la distribución a aquellos destinatarios objeto de su interés que realmente requieren
conocer la información usted desea compartir la información objeto de su interés y asegúrese que su
comentario o respuesta no fue enviado a todo el grupo original.
9 Cuando se retire de su puesto de trabajo, no olvide cerrar su sesión: así evitará que otras personas
ingresen a su correo, revisen su buzón o envíen mensajes en su nombre. Todo funcionario debe
asegurarse de que la información reenviada por correo electrónico se haga de manera correcta y
solamente a los destinatarios apropiados. Es responsabilidad de quien envía un correo, que la
información contenida en él no llegue a personas no autorizadas para recibirla.
10 Acorde con lo establecido en la política de cero papel, las comunicaciones oficiales internas
(memorando, circulares, etc.) deben ser transmitidas preferiblemente a través del correo electrónico.
11 Es responsabilidad de los usuarios leer y responder oportunamente los correos electrónicos dado que
son mecanismos oficiales de comunicación.
12 El correo no solicitado, no deseado, o SPAM, debe ser tratado con precaución y por ninguna razón
debe ser contestado.
13 Realizar la depuración de los mensajes de la bandeja de entrada: una vez leídos los correos se
recomienda vaciar la bandeja de entrada de mensajes por completo al menos una vez cada dos días.
Lo anterior opera solamente para correos de carácter informativo los cuales se consideran
documentos de apoyo; los demás correos que impliquen una gestión administrativa deberán ser
conservados en la serie documental correspondiente.
14 Comunicación asertiva: evite discusiones por correo electrónico y ofrezca siempre soluciones al
alcance de su tiempo y capacidad.
DEBERES
15 La información enviada mediante correo electrónico o que sea almacenada en los recursos
informáticos de Colpensiones será monitoreada, incluso después de eliminada. Por lo anterior no se
debe enviar o recibir información personal a través del correo corporativo.
16 Todo funcionario debe asegurarse de que la información reenviada internamente por correo
electrónico se haga de manera correcta y solamente a los destinatarios apropiados. Es
responsabilidad de quien envía un correo, que la información contenida en él no llegue a personas
no autorizadas para recibirla.
17 Acorde con lo establecido en la política de cero papel, las comunicaciones oficiales internas
(memorando, circulares, etc.) deben ser transmitidas preferiblemente a través del correo electrónico.
18 Es responsabilidad de los usuarios leer y responder oportunamente los correos electrónicos dado que
son mecanismos oficiales de comunicación.
19 El correo no solicitado, no deseado, o SPAM, debe ser tratado con precaución y por ninguna razón
debe ser contestado.
20 Cada usuario del correo electrónico cuenta con un espacio limitado de almacenamiento en el buzón
de entrada, por tal motivo, es responsabilidad de cada usuario mantener el buzón de correo de
acuerdo a los criterios de depuración con el fin de evitar superar el espacio establecido.
21 Ausencia prolongada: el usuario debe habilitar la opción de respuesta automática o de reenvío de
correo al funcionario delegado por su superior inmediato, en el caso de ausencia por licencias,
vacaciones o incapacidades por tiempo prolongado.
22 Archivo de mensajes: los usuarios deben organizar los mensajes de correo de conformidad con las
Tablas de Retención Documental y las series que conforman el archivo según la estructura orgánica
funcional. Los correos, tales como borradores o mensajes informativos, deben eliminarse
periódicamente. La identificación y el asunto en los mensajes de correo facilitan su archivo en su
correspondiente expediente
Se prohíbe explícitamente:
1 Compartir o prestar las credenciales de acceso al correo electrónico corporativo.
2 Enviar o reenviar mensajes con contenido difamatorio, ofensivo, irrespetuoso, racista, obsceno o
sexual.
3 Utilizar el correo electrónico para propósitos personales, económicos, políticos o comerciales ajenos
a las actividades propias de sus responsabilidades laborales o contractuales con Colpensiones.
4 Enviar, reenviar o recibir información o archivos adjuntos con contenidos diferentes a sus
responsabilidades laborales o contractuales, entre los que se encuentran, sin limitarse a: imágenes,
fotos, archivos de música, películas, vídeos o documentos.
5 Participar en la propagación de mensajes en “cadenas”, o esquemas piramidales dentro y fuera de
Colpensiones.
6 Distribuir de forma masiva mensajes con contenidos que desborden el ámbito de competencias de la
entidad o que pongan en riesgo su operación o la seguridad de la información.
7 Enviar mensajes anónimos, así como aquellos que consignen seudónimos, títulos, cargos o funciones
no oficiales.
8 Utilizar mecanismos y sistemas que intenten ocultar o suplantar la identidad del emisor de correo.
9 Enviar correos SPAM de cualquier índole. Se consideran correos SPAM aquellos enviados de forma
masiva no relacionados con las funciones específicas y generales del cargo y con los procesos y misión
general de Colpensiones.
10 Utilizar el correo electrónico de otro funcionario incluso con su consentimiento.
11 Enviar por correo electrónico a personas o entidades ajenas a Colpensiones, información catalogada
como “pública clasificada” o “pública reservada” sin la debida autorización expresa de su superior
inmediato, aún si se tiene acceso a dicha información.
12 Enviar archivos ejecutables tales como; .exe.bat entre otros. Los cuales pueden contener código
malicioso
13 Enviar o reenviar información “Pública clasificada o pública reservada” de Colpensiones desde
cuentas personales, a cuentas de correo electrónico externo.
1. OBJETIVO
Establecer las políticas y lineamientos asociados al control de acceso a la información contenida en los
recursos tecnológicos en Colpensiones.
2. ALCANCE
La siguiente política establece directrices asociadas a la gestión de control de accesos y aplica a servidores
públicos, trabajadores oficiales, misionales, personal Sena y terceros que, para el cumplimiento de sus
responsabilidades laborales, contractuales con la entidad o de vigilancia y control requieren acceder a
recursos tecnológicos de Colpensiones.
El acceso físico a las instalaciones de Colpensiones se contempla en las Políticas para Seguridad Física y
Ambiental, contenidas en el manual de políticas y lineamientos de seguridad de la información y
ciberseguridad.
Cuando la Gerencia de Tecnologías de la Información crea una cuenta, los sistemas de control de accesos
deben individualizar a los usuarios a través del uso de identificadores únicos por usuario (cuenta de
usuario). Según el documento Lineamientos de creación de usuarios y contraseñas. En ninguna
circunstancia las cuentas de usuario deberán ser compartidas, transferidas, y su contraseña revelada.
Debe existir una relación única entre los usuarios y sus identificadores asignados, por lo que los
identificadores no podrán ser reasignados o reutilizados.
Los sistemas de información deben utilizar, salvo que existan impedimentos técnicos justificables que
impidan la utilización de los identificadores que Colpensiones asigna a cada uno de los servidores,
funcionarios y terceros dentro de su sistema de Directorio Activo.
● Algo que únicamente el usuario sabe: por ejemplo, contraseñas o códigos de acceso.
● Algo que únicamente el usuario posee: por ejemplo, tarjetas de proximidad, elementos físicos
como llaves, dispositivos tipo Token o códigos OTP, entre otros.
● Algo que únicamente el usuario es: corresponde a la validación de características físicas o
morfológicas del usuario mediante dispositivos biométricos.
Los sistemas de información utilizados para la administración de sistemas que soportan los procesos
misionales de la entidad, o que por el nivel de riesgo identificado lo requieran, deben implementar
múltiples factores de autenticación para la validación de la identidad de los usuarios.
Los sistemas de información deben utilizar en cuanto sea posible la autenticación de usuarios que
Colpensiones ha provisto de manera centralizada a través de su sistema de Directorio Activo.
Los sistemas de información deben seguir los lineamientos para la gestión de accesos para el inicio de
sesión descritos a continuación:
● Incluir un mensaje de inicio de sesión sobre el uso aceptable del sistema, aplicación o dispositivo
y sobre la necesidad de ser un usuario registrado y autorizado para poder acceder al mismo.
● Realizar enmascaramiento de las contraseñas o códigos de acceso al realizar el ingreso al sistema
para evitar que sean visualizados en pantalla o en tránsito por la red.
● Configurar las cuentas de usuario para que se bloqueen por un número de intentos de ingreso
fallidos para proteger el sistema de ataques de fuerza bruta.
● El proceso de autenticación debe únicamente generar mensajes de error al finalizar el proceso de
validación sin dar detalles del fallo. En los casos en los que se requiere más de un factor de
autenticación no se debe informar en cada paso el éxito o error de la validación.
● Evitar los mensajes de ayuda durante el ingreso a las aplicaciones.
● Configurar el sistema para que el usuario realice cambio de contraseña cuando la use por primera
vez.
● Almacenar registros o logs de auditoría de los intentos exitosos y fallidos de ingreso.
Las aplicaciones y los sistemas de información deben gestionar las sesiones de usuario contemplando los
siguientes lineamientos:
● Las sesiones iniciadas de forma simultánea en los aplicativos o plataformas se debe limitar
exclusivamente a las necesidades y autorizaciones establecidas.
● Todos los módulos de los sistemas de información deben manejar métodos de validación de las
sesiones, con el fin de verificar la autenticidad del usuario, el estado de este y las autorizaciones o
permisos.
● Las sesiones de usuario deben tener un parámetro para configurar el tiempo de inactividad del
usuario, el cual una vez transcurrido deberá solicitar nuevamente la autenticación del usuario o
cerrar la sesión para impedir el acceso no autorizado.
Los sistemas de información utilizados en Colpensiones deben permitir configurar permisos o privilegios
agrupados en roles o perfiles de aplicación o técnicos que consideren los siguientes criterios:
● Estar alineados con los permisos y atribuciones requeridos en los roles empresariales definidos.
● Permitir la asignación de permisos con base en los requerimientos del negocio.
● Ser construidos identificando los posibles riesgos por acumulación de funciones y su mitigación
con la debida segregación de responsabilidades.
● Principio de menores privilegios y segregación de funciones.
Los líderes de proceso de Colpensiones deben definir, documentar y mantener actualizados los roles
empresariales asociados a los cargos que tienen responsabilidades en el desarrollo de las actividades de
su proceso, identificando las necesidades mínimas de acceso a los activos de información, de acuerdo con
las actividades definidas en el subproceso de gestión de accesos y las actividades de segundo nivel
“definición y actualización de roles empresariales, de aplicación y técnicos”, con el apoyo de la Gerencia
de Riesgos y Seguridad de la Información. Los roles empresariales deben contener las aplicaciones o
sistemas de información a los que el usuario debe acceder y los roles/perfiles de aplicación o técnicos en
la aplicación.
Los roles/perfiles de aplicación o técnicos, de las aplicaciones o sistemas de información deben asociar un
conjunto de permisos o atribuciones dentro de la misma y deben estar alineados con los roles
empresariales requeridos por los procesos de la entidad. Los roles/perfiles de aplicación o técnicos, deben
ser definidos por el propietario de la aplicación y mantenidos y documentados por la Gerencia de
Tecnologías de Información.
Cualquier modificación que se requiera realizar sobre los roles empresariales y los roles/perfiles de
aplicación o técnicos debe ser aprobada por los líderes de proceso / jefes de área y por los propietarios de
los activos de información involucrados, previo concepto de la Gerencia de Riesgos y Seguridad de la
Información.
El grupo de gestión de accesos tendrá como único insumo los roles empresariales para la asignación de
permisos a aplicaciones.
El acceso a las bases de datos productivas está restringido únicamente a los profesionales que tienen el
rol de Administrador de Bases de Datos (DBA por sus siglas en inglés) o Gestor de Accesos en ambientes
productivos. Los demás usuarios sólo podrán acceder a la información de las bases de datos a través de
las aplicaciones o sistemas de información que se dispongan para tal fin. El acceso a las bases de datos
debe ser robustecido con controles de red para impedir el acceso a ellas desde otros dispositivos
diferentes a los designados para tal fin.
El acceso al código fuente de las aplicaciones o sistemas de información desarrollados por Colpensiones,
o por quien la entidad designe para tal fin, debe ser restringido únicamente al personal encargado de los
proyectos de desarrollo, y cualquier acceso u operación sobre el código debe dejar los registros de
auditoría necesarios. Ningún usuario que tenga un rol diferente podrá acceder a dicho código fuente ni
siquiera en modo consulta o solo lectura.
Los sistemas de información deben dejar registros o logs de auditoría de las actividades de gestión de
usuarios y de los ingresos que los usuarios realizan, para tal fin, la Gerencia de Tecnologías de la
Información debe definir e implementar el registro de logs de las actividades de los usuarios de acuerdo
con lo definido por los propietarios de la información, así como la depuración de estos.
Los registros de los sistemas de control de accesos deben ser monitoreados por la Gerencia de prevención
del Fraude de acuerdo con la criticidad de los activos de información que dichos sistemas protejan.
Los sistemas de información deben mostrar al usuario en cuanto sea posible, la fecha y hora de su último
ingreso para facilitar la identificación de posibles incidentes de seguridad relacionados con suplantación y
compromiso de credenciales de autenticación.
Colpensiones ha definido las actividades de control y seguimiento operativo de accesos que la Gerencia
de Prevención de Fraude debe realizar para identificar posibles desviaciones en la gestión de los accesos
que puedan derivar en eventos de riesgo.
La Gerencia de Riesgos y Seguridad de la Información debe realizar revisiones periódicas para garantizar
la coherencia entre los accesos otorgados, perfiles técnicos asignados y la definición de los roles
empresariales de la entidad, considerando:
● Los roles empresariales y de aplicación serán revisados periódicamente, como mínimo una vez al año
o cuando sea requerido, en conjunto con los líderes de proceso / jefes de área y administradores
técnicos, para garantizar la vigencia y aplicabilidad de la respectiva matriz.
● Las autorizaciones de acceso privilegiado deben ser revisadas por lo menos cada tres (3) meses o
cuando exista un cambio significativo que afecte la matriz de roles empresariales
● Todas las cuentas de servidores, colaboradores o terceros de Colpensiones que no ha presentado
actividad de inicio de sesión en los sistemas de información en más de 30 días, serán deshabilitadas.
La responsabilidad de este control es de los administradores de cuentas de usuario de los sistemas de
información.
● Todas las cuentas de servidores, colaboradores o terceros de Colpensiones que lleven deshabilitadas
más de 180 días, deben ser eliminadas, manteniendo la respectiva trazabilidad y registro. La
responsabilidad de este control es de los administradores de cuentas de usuario de los sistemas.
● En caso de identificar cuentas activas de usuarios retirados de la compañía, se procederá a deshabilitar
o eliminar inmediatamente dicha cuenta según corresponda y se analizarán los LOGS de los usuarios
asociados por cada aplicación donde se encuentre activos, generando las posibles alertas o riesgos.
Cualquier inconsistencia encontrada en la revisión periódica de los accesos debe ser reportada como
evento de riesgo y ser gestionada como un incidente de seguridad de la información y ciberseguridad.
El acceso de usuarios con permisos de administración o que brinden soporte remoto, de las aplicaciones,
sistemas de información y dispositivos de almacenamiento, procesamiento y transferencia de información
debe estar restringido únicamente a los servidores, trabajadores oficiales, colaboradores y terceros que lo
requieren como parte de sus funciones contractuales o laborales.
Las cuentas privilegiadas del sistema tales como administrador, root, sysadmin, admin, etc, no deberán
ser usadas de forma directa, en caso de requerir utilizar sus funciones deberán ser invocadas por medio
de las cuentas asignadas a cada servidor, colaborador y tercero a través de las características de cada
sistema, siempre y cuando este lo permita.
Los usuarios privilegiados deben ser asignados al menor número de funcionarios y servidores que lo
requieran, garantizando la individualización y trazabilidad de todas las acciones realizadas.
Los sistemas de control de accesos deben dejar registro de todas las actividades realizadas por los usuarios
privilegiados los cuales deben ser monitoreados por la Gerencia de Prevención de Fraude.
Los usuarios privilegiados deben tener control de máximo número de sesiones o restricciones de sesiones
concurrentes.
● Cuando existen aplicaciones o servicios que requieren utilizar autenticación para la ejecución de
procesos o tareas automáticas sin intervención humana.
● Cuando para la administración o configuración de un sistema o una aplicación se requiere un
usuario con privilegios específicos.
● Cuando un sistema de control, monitoreo o seguridad requiere autenticarse en otros
componentes para garantizar su funcionamiento o estado.
Los usuarios de servicio deben ser asignados a servidores, funcionarios o proveedores que lo requieran
como parte de sus funciones contractuales o laborales y justificados por los casos definidos anteriormente.
Las credenciales de autenticación de los usuarios de servicio deben mantenerse en custodia dual por
colaboradores de planta de la Gerencia de Tecnologías de la Información y de la Gerencia de Riesgos y
Seguridad de la Información. Los lineamientos asociados a las contraseñas se encuentran en el documento
Lineamientos de creación de usuarios y contraseñas publicada en la herramienta de gestión documental
de Colpensiones en la cual se alojan para consulta de los colaboradores los documentos oficiales de la
Entidad.
Siempre que se requiera almacenar una contraseña esta deberá ser almacenada de forma cifrada con un
algoritmo de cifrado fuerte.
1. OBJETIVO
Garantizar la aplicación de los procedimientos y análisis de riesgo para la realización de cambios o
modificaciones directas de datos e información en ambientes de producción de Colpensiones, teniendo
en cuenta los impactos y la identificación de los riesgos que estos puedan generar. Así mismo, contar con
las debidas autorizaciones para realizar los cambios, y garantizar la integridad de la información de sus
bases de datos.
2. ALCANCE
Esta política aplica a todos los dueños de los procesos de Colpensiones, los cuales soliciten cambios
directos de información o datos en los ambientes productivos de la entidad, cuando los sistemas de
información o aplicaciones no puedan realizar dichos cambios.
3. POLÍTICAS
El mecanismo de modificación de datos que se regula mediante la presente política se aplica a los cambios
directos de información o datos de manera excepcional y no podrán ser utilizados como mecanismos
habituales para suplir acciones que pueden ser ejecutadas por los aplicativos o sistemas que interactúan
con las bases de datos donde se almacena dicha información. Es responsabilidad del propietario de la
información velar por la integridad de la información acorde con los cambios solicitados.
Todas las solicitudes de modificaciones directas de datos deben realizarse mediante el envío del Formato
de Modificación de Información en Bases de Datos vigente a través de la herramienta de gestión de
solicitudes definida por Colpensiones.
En dicho formato debe registrarse la justificación de la necesidad de dicha modificación considerando los
siguientes aspectos:
● Ausencia de una funcionalidad que soporte el cambio requerido. En dicho evento, las solicitudes
deben adjuntar la evidencia de la existencia de un requerimiento hacia la Dirección de Sistemas
de Información donde se soliciten nuevas funcionalidades o la modificación a las ya existentes
enfocadas a solucionar la causa raíz que origina la modificación de datos a realizar, informando la
fecha programada de solución. En caso de que lo anterior no sea viable, se deberá adjuntar el
documento que soporta la justificación, funcional y/o técnica detallando al menos la siguiente
información:
○ La justificación de la no viabilidad de la solicitud del desarrollo.
○ El análisis de riesgos que significa mantener la práctica de la modificación directa de datos
○ Los controles compensatorios implementados.
● Volumen de datos a modificar. En dicho caso, el área funcional debe adjuntar el análisis de cargas
de trabajo que implicaría realizar la modificación a través de las funcionalidades de las
aplicaciones, el tiempo que esto llevaría de acuerdo con la capacidad del proceso y el plazo
establecido para realizar la modificación, señalando las implicaciones de su no cumplimiento. En
todo caso, si la modificación masiva de información se realizará de forma recurrente, se debe
adjuntar la evidencia de la existencia de un requerimiento hacia la Dirección de Sistemas de
Información donde se solicite la funcionalidad para soportar los cambios de información
requeridos.
● Plazo en el cual se requiere la modificación de datos: En los casos en los cuales el tiempo requerido
para realizar la modificación a través de la funcionalidad de los aplicativos es superior al plazo
requerido por el negocio, se debe señalar en la justificación respectiva, las implicaciones del
incumplimiento de este plazo. En todo caso si el evento presentado es recurrente, adjuntar la
evidencia de la existencia de un requerimiento hacia la Dirección de Sistemas de Información
donde se soliciten nuevas funcionalidades o la modificación a las ya existentes enfocadas a
solucionar la causa raíz que origina la modificación de datos a realizar.
Toda autorización realizada deberá ser remitida a través de la herramienta de gestión de solicitudes
definida por la Gerencia de Tecnologías de la Información.
En los casos en que se requiere la modificación o inactivación de restricciones propias de la base de datos,
se debe garantizar que una vez terminada la modificación de datos dichas restricciones quedan activas
nuevamente. No es permitido agregar, modificar o eliminar restricciones de manera permanente por este
mecanismo; dichos cambios deberá surtir el procedimiento definido por la Gerencia de Tecnologías de la
Información para la gestión de cambios y liberaciones.
● Contar con los soportes necesarios que justifiquen la necesidad de la modificación solicitada, la
cual debe estar avalada por el Vicepresidente, Gerente o Director del área.
● Justificar las solicitudes de modificación de datos e información en los ambientes de producción.
● Solicitar el desarrollo que atienda la solicitud de manera definitiva, y realizar el seguimiento para
que el dimensionamiento de la solicitud se legalice y se cumplan los tiempos de desarrollos
definidos.
En los casos en que el cumplimiento de esta política no sea viable, se deberá dejar constancia del análisis
realizado y de las acciones y controles a realizar en caso de daño, mal funcionamiento o interrupción
abrupta del script de modificación ejecutado.
En todo caso, todos los incidentes asociados a daños, mal funcionamiento o interrupción abrupta de un
script de modificación de datos, debe reportarse a la Gerencia de Riesgos y Seguridad de la Información
como incidente de seguridad, detallando las acciones y controles aplicados para evitar la pérdida de
integridad de la información que esto pueda causar.
Se debe propender por validar el cien por ciento de los cambios solicitados, utilizando para ello las
consultas y reportes de los aplicativos. Cuando su volumen no lo permita, se deben establecer muestras
representativas de los cambios solicitados para la respectiva verificación.
Todas las solicitudes de modificación directa de datos deben permitir validar su trazabilidad de principio a
fin, es decir desde la solicitud hasta su ejecución en ambiente productivo y posterior validación y
aceptación del cambio por el área funcional.
La Gerencia de Tecnologías de la información debe definir los mecanismos requeridos para almacenar de
manera centralizada las evidencias que soporten la trazabilidad de las modificaciones directas de datos
ejecutadas.
4. LINEAMIENTOS
En toda modificación de datos, se debe contemplar el impacto de los cambios sobre dichos registros con
respecto a otras tablas o bases de datos relacionales con el fin de mantener la integridad referencial,
asegurando que en todo momento dichos datos sean correctos, sin repeticiones innecesarias, o
inconsistentes. Es responsabilidad de la Gerencia de Tecnologías de la información, realizar este análisis,
dejando debidamente documentado el mismo.
Las modificaciones de datos deben contemplar la categoría de acción desarrollada sobre los mismos, para
lo cual se podrán clasificar en:
● Los solicitantes, propietarios de la información y líderes técnicos deben ser conscientes del
impacto de la modificación de los datos para el negocio, cuando se modifique entre otros datos:
● Razón Social
● Género
● Fecha de Nacimiento
● Fecha de expedición de documento de identidad
● Información de contacto y ubicación
○ Dirección
○ Teléfono
○ Correo electrónico
● Información de aportantes
● Novedades laborales
● Valores de pagos, recaudos y sus respectivas relaciones laborales.
● Datos de parametrización o reglas de negocio.
● O cualquier otra información relacionada con la misión del negocio.
● No deben llevarse a cabo cambios o modificaciones de los datos de negocio o técnicos de las bases
de datos productivas si las partes involucradas no comprenden de manera sistemática los
impactos y la afectación para su proceso y el de los demás.
● Si se presenta una solicitud que involucre un volumen de datos superior a 50 cambios, se deberá
tener en cuenta un control adicional en los ambientes que permitan asegurar que las
modificaciones que se realicen correspondan a lo que efectivamente se necesita modificar.
● En dichos casos, se deberán realizar los análisis y pruebas que garanticen que el cambio va a surtir
el resultado esperado y no tiene efectos indeseables.
● Según la evaluación del impacto realizada sobre la modificación de los datos, se deberá
contemplar un procedimiento de reversión de cambio en el evento que la modificación de datos
no sea exitosa, que garantice dejar en el estado inicial solamente los datos modificados, cuando
éste afecte principalmente datos del negocio (información relacionada con la misión y objeto del
negocio).
Adicional a lo anterior, en línea con las responsabilidades que le atañen en la gestión de riesgos a la
segunda línea de defensa, la Gerencia de Riesgos y Seguridad de la Información, es responsable de:
● Definir las metodologías que permitan identificar adecuadamente los riesgos por parte de los
responsables de la información y la Gerencia de Tecnologías de la Información
● Asesorar cuando se requiera por parte de las gerencias involucradas, la identificación de riesgos
asociados a la solicitud de modificación de datos.
● Mantener un registro de las solicitudes de modificación de datos, realizadas por las áreas de
negocio.
● Monitorear y alertar sobre las modificaciones realizadas mediante este procedimiento y que no
cumplan con la política de modificación de datos.
● Revisar periódicamente el uso del proceso de modificación de datos y verificar que los actores
implicados soliciten la generación de soluciones tecnológicas que permitan minimizar el uso de
modificación de datos como alternativa de solución a la actualización de la información.
● Ejecutar o rechazar la solicitud de modificación de datos realizada por el área funcional de acuerdo
con el análisis realizado sobre complejidad, impacto, volumen o cantidad de registros a intervenir.
En el evento de rechazar la solicitud, ésta deberá ser radicada mediante el proceso de
implementación y entrega del servicio de TI.
● Ejecutar los scripts o solicitudes de modificación de datos, autorizados por los propietarios de
información y la Dirección de Sistemas de Información.
● Informar los resultados de la ejecución de la modificación de datos, a los solicitantes, propietarios,
Líder Técnico y a la Gerencia de Riesgos y Seguridad de la Información.
1. OBJETIVO
Definir las políticas asociadas con la posibilidad de acceder a los recursos desde cualquier sede de la
entidad (movilidad) y acceder a los recursos sin necesidad de estar en la entidad (Acceso remoto), para
garantizar la adecuada protección de la información de la entidad.
2. ALCANCE
La siguiente política aplica a:
3. POLÍTICAS
3.1. MOVILIDAD
Colpensiones reconoce que por el objeto de su misión, y por su naturaleza y tamaño, cuenta con diferentes
sedes entre las cuales están distribuidas sus áreas, funcionarios y servidores; por tal razón define
estrategias de movilidad que faciliten el desplazamiento sin afectar la operación.
Las estrategias de movilidad definidas deben garantizar que la información permanece confidencial,
íntegra y disponible en niveles acordes con su clasificación.
Las estrategias de movilidad deben contemplar como mínimo: repositorios de información centralizados,
terminales livianas, dispositivos móviles de usuario final y de procesamiento de información e
infraestructura de comunicaciones; cada uno de los anteriores con los controles de seguridad requeridos
según el análisis de riesgos realizado y revisado al menos una vez al año.
Es responsabilidad de los usuarios que de acuerdo con sus funciones, les sea permitido el uso de
dispositivos “móviles propios” o de “Colpensiones”, para el desempeño de sus funciones, deben cumplir
con:
La Gerencia de Tecnologías de la Información solo podrá instalar en los dispositivos móviles las
aplicaciones previamente autorizadas y evaluadas junto con la Gerencia de Riesgos y Seguridad de
la Información.
La Gerencia de Tecnologías de la Información debe mantener activas y sin modificación en su
configuración las protecciones de seguridad definidas para dispositivos móviles.
Activar las características de cifrado del dispositivo móvil
Mantener en todo momento el sistema operativo actualizado
aplicaciones gratis que generalmente son pagas, active las opciones de los dispositivos que le
permiten verificar si la aplicación es maliciosa e instale un antivirus y manténgalo actualizado.
3.2.1. Asignación
Los dispositivos móviles propiedad de Colpensiones deben ser asignados y entregados a usuarios
específicos que aceptarán y garantizarán su uso adecuado y responderán por ellos de acuerdo con los
términos y políticas de uso aceptable definidos.
El sistema de cifrado deberá eliminar la información del dispositivo móvil después de un número
determinado de intentos de acceso fallidos para garantizar que no será accedida por usuarios no
autorizados.
La autenticación debe realizarse preferiblemente contra los sistemas centralizados que Colpensiones
defina para tal fin, o ante la imposibilidad de hacerlo, debe garantizarse que los sistemas locales de
autenticación cumplan con los parámetros de complejidad de contraseñas definidos en los Lineamientos
de creación de usuarios y contraseñas, publicada en la herramienta de gestión documental de
Colpensiones en la cual se alojan para consulta de los colaboradores los documentos oficiales de la
Entidad. Los controles de acceso para dispositivos móviles deberán cumplir con las Políticas de Gestión de
Accesos definidos en este manual. Es responsabilidad de la Gerencia de Tecnologías de Información
instalar y configurar adecuadamente los controles de restricción de tráfico.
3.2.7. Geolocalización
Los dispositivos móviles propiedad de Colpensiones, que soporten la funcionalidad, deben mantener la
geolocalización activada para permitir su rastreo remoto, a través del sistema de posicionamiento global
(GPS por sus siglas en inglés), en caso de pérdida o hurto.
El software antivirus y antimalware debe estar configurado para que se actualice automáticamente sin
intervención de los usuarios finales.
El software antivirus y antimalware debe estar configurado para realizar análisis periódicos y remediación
sin intervención de los usuarios finales.
El software antivirus y antimalware no podrá ser desactivado, desinstalado o inhabilitado por los usuarios
finales.
El software de antivirus y antimalware debe cumplir con las Políticas contra Código Malicioso definidos
por la Gerencia de Riesgos y Seguridad de la Información.
En los dispositivos móviles propiedad de Colpensiones solo se debe instalar software aprobado
previamente por la Gerencia de Tecnologías de la Información y por la Gerencia de Riesgos y Seguridad de
la Información.
La Gerencia de Tecnologías de Información debe configurar adecuadamente los controles de acceso a los
dispositivos móviles.
Cuando los funcionarios y servidores autorizados a utilizar los escritorios virtuales de manera remota no
posean dispositivos móviles de propiedad de Colpensiones, podrán acceder a ellos utilizando sus
dispositivos móviles o equipos de escritorio mediante la URL provista para tal fin.
La utilización de escritorios virtuales a través de Internet, especialmente cuando se realice desde equipos
que no son propiedad de Colpensiones, no deben permitir portapapeles compartido, carga o descarga de
información y archivos.
1. OBJETIVO
Definir las políticas asociadas con el aseguramiento de las redes cableadas e inalámbricas de Colpensiones,
para garantizar la adecuada protección de la información de la entidad y el uso responsable de los recursos.
2. ALCANCE
La siguiente política aplica a servidores, trabajadores oficiales, trabajadores en misión, personal Sena y
terceros de Colpensiones e invitados ocasionales que tengan acceso a las redes provistas por
Colpensiones.
3. POLÍTICAS
Las redes internas y las conexiones a redes externas deben ser gestionadas por la Gerencia de Planeación
y Tecnologías de la Información, para garantizar la seguridad de la información y de los servicios de la
entidad, y el uso responsable de los recursos.
La Gerencia de Tecnologías de la Información, debe mantener un mapa de red actualizado que contenga
información detallada de los segmentos de red interna, zonas desmilitarizadas o DMZ, de las conexiones
a Internet, con terceros a redes WAN y cualquier otro que se incluya dentro de la infraestructura de red
de la entidad.
La Gerencia de Tecnologías de la Información debe definir las medidas de seguridad mínimas exigidas a
los equipos que se conectarán a la red de la entidad. No se debe permitir la conexión de dispositivos que
incumplan dichas medidas de seguridad.
Los equipos, dispositivos o componentes que almacenan información “Pública clasificada” o “Pública
reservada” deben estar en segmentos internos de red sin conectividad directa a redes públicas o internet.
Los sistemas de información que provean servicios a los usuarios internos deben estar ubicados en redes
o segmentos de red específicos de servidores, separados de las redes o segmentos de usuarios y DMZ.
En las zonas desmilitarizadas o DMZ deben estar ubicados todos los equipos y componentes de la
infraestructura de red de Colpensiones que reciban tráfico, peticiones de red o consumo de servicios desde
redes públicas o Internet. Los sistemas de información que sean consultados desde redes públicas o
Internet deben tener únicamente sus componentes de presentación en estos segmentos desmilitarizados,
mientras que los que contienen lógica de negocio y almacenamiento de datos deben estar ubicados en
segmentos internos y protegidos de red.
No está permitido ubicar en las zonas desmilitarizadas o DMZ, equipos o componentes de red que
almacenen información clasificada como “Pública clasificada” o “Pública Reservada” ni ningún otro
sistema de información, equipo o componente que sea únicamente usado desde el interior de la red de
Colpensiones.
Antes de aplicar cambios en dispositivos activos de la red de Colpensiones, estos deberán evaluarse, y
aprobarse y aplicarse en ambientes controlados.
El tráfico entrante y saliente entre las zonas desmilitarizadas hacia redes públicas o Internet o hacia
segmentos de red internos debe estar claramente identificado, justificado y controlado por dispositivos
tipo Firewall y preferiblemente con características avanzadas para la detección o prevención de intrusos
(IDS o IPS).
Las políticas de firewall deben tener claramente identificadas y documentadas las direcciones de origen y
destino, así como los puertos, protocolos o servicios permitidos. No podrán existir políticas de firewall con
orígenes, destinos, puertos, protocolos o servicios no determinados o con comodines tipo ANY.
Está prohibida la utilización de dispositivos que hagan conexiones tipo puente o by pass entre zonas de
red con distinto nivel de confianza. Todo el tráfico entre diferentes segmentos de red debe ser controlado
por dispositivos tipo Firewall.
3.4.2. Cobertura
Colpensiones a través de la Gerencia de Tecnologías de la Información evaluará las necesidades de
conexión inalámbrica y definirá la prestación de dicho servicio en caso de requerirse.
Todos los AP instalados en la entidad deben ser aprobados, debidamente configurados e instalados por la
Dirección de Infraestructura Tecnológica o por el tercero que ella disponga para tal fin. No está permitida
la instalación de AP por parte de funcionarios, servidores o terceros sin la debida aprobación y
autorización.
Las inspecciones pueden realizarse mediante inspección física o mediante la utilización de analizadores de
redes inalámbricas o sniffers.
Así mismo, La Gerencia de Prevención del Fraude tiene las siguientes responsabilidades:
Definir e implementar las reglas de navegación en la entidad.
Monitorear la navegación de la entidad para garantizar el uso racional del recurso de Internet.
Definir e implementar configuración segura sobre los dispositivos de transferencia segura de
información.
Definir e implementar controles para evitar fuga de información.
Monitorear los logs de eventos de los dispositivos de red y comunicaciones para identificar
oportunamente eventos de riesgo.
3.4.7. Cifrado
La Gerencia de Tecnologías de la Información debe implementar medidas de seguridad para garantizar
que el proceso de autenticación y el envío y recepción de tráfico se haga de manera cifrada evitando así
comprometer las credenciales de autenticación y la información sensible.
Cualquier conexión desde redes externas a la red de Colpensiones, debe ser autorizada por la Gerencia de
Tecnologías de la Información y debe contar con las medidas de seguridad adecuadas para llevar los riesgos
identificados a niveles aceptados por la entidad, incluyendo el cumplimiento de los requerimientos
regulatorios aplicables.
Está prohibido conectar a la red de Colpensiones dispositivos móviles propios para conectarse a Internet,
por medio de conexiones WIFI, bluetooth, cableadas o de cualquier otro tipo.
El tráfico desde y hacia redes públicas e internet debe preferiblemente ser enviado o recibido por
dispositivos o equipos ubicados en zonas de red desmilitarizadas o DMZ.
El uso de las redes de Colpensiones está limitado al cumplimiento de las responsabilidades que cada
usuario tenga con la entidad y no para fines personales.
El acceso de terceros a la red de Colpensiones debe ser solicitado y justificado por el supervisor de cada
contrato, validados por la Gerencia de Riesgos y Seguridad de la Información y, concedido y configurado
por la Dirección de Infraestructura Tecnológica.
El control de acceso de la red debe cumplir con las Políticas de Control de Accesos incluidos en el presente
manual.
El monitoreo de la red y la navegación debe proveer la información que se requiera para apoyar la gestión
de incidentes de seguridad de la información y ciberseguridad, y, en caso de ser necesario, tomar las
acciones administrativas o legales a las que haya lugar contra los usuarios que realicen actos en contra de
los acuerdos contractuales o legales vigentes.
La Gerencia de Tecnologías de la Información debe tener configurados los sistemas y dispositivos para
suministrar registro de eventos y logs de auditoría a la Gerencia de prevención del Fraude de los eventos
de seguridad y administración que permitan apoyar la gestión de incidentes de seguridad de la información
y ciberseguridad o incidentes de disponibilidad tecnológica.
4. LINEAMIENTOS
4.1. REQUISITOS MÍNIMOS PARA DISPOSITIVOS PERSONALES QUE SE CONECTAN A LAS REDES DE
COLPENSIONES
Es responsabilidad de los usuarios que accedan a las redes alámbricas o inalámbricas de Colpensiones
contar con el software y las configuraciones de seguridad en su equipo para minimizar el riesgo de ataques
al que se pueden ver expuestos. Como mínimo todos los dispositivos que se conecten a la red de
Colpensiones por cualquiera de sus medios deben:
● Contar con usuario y contraseña de arranque. La contraseña de acceso al sistema deberá tener
una complejidad mínima de: 8 caracteres, mayúsculas y minúsculas, números y caracteres
especiales.
● Contar con una herramienta o solución de software antivirus/malware actualizada y activa.
● Mantener al día la instalación de parches y actualizaciones de sistema operativo y de aplicaciones
instaladas en el equipo, especialmente las de seguridad.
● Tener activo el protector o bloqueo de pantalla con un tiempo máximo 5 minutos. Para salir de
dicho protector se deberá utilizar contraseña.
● Contar con software debidamente licenciado.
● Para el acceso a la red inalámbrica, los equipos deberán soportar el estándar de comunicación
802.11 b/g/n y soportar cifrado WPA2 o superior.
Lo anterior será requisito previo al ingreso a la red de Colpensiones y controlado por la Gerencia de
Tecnologías de la Información.
Cuando el acceso a la red o los servicios de red haya sido otorgado, está estrictamente prohibido:
● El uso personal de los recursos de red para fines distintos a los permitidos.
● El uso para generar ganancias monetarias personales o propósitos comerciales.
● Distribuir virus, gusanos u otro software malicioso de propagación automática y de forma
involuntaria.
● Efectuar descargas de manera desmesurada, que afecten el desempeño del servicio de los demás
usuarios de la red alámbrica y/o inalámbrica.
● Transmitir o distribuir cualquier material que viole la ley o regulación. Incluyen sin estar limitados
a: material que viole derechos de autor u otros derechos de propiedad intelectual, como software
sin licencia, música, videos, películas, etc.
● Revelar o compartir las credenciales de autenticación de la red de Colpensiones a personal no
autorizado.
● Descargar servicios broadcast como audio y video.
● Usar programas “peer to peer” (P2P) o alguna otra tecnología que permita el intercambio de
archivos en volumen.
● Realizar conexiones a la red The Onion Router, abreviada en inglés como 'Tor'.
● Extender el alcance de la red por medio de cualquier dispositivo físico o lógico.
● Transmisión de contenido inapropiado.
MACROPROCESO / PROCESO: CÓDIGO: VERSIÓN: PÁGINA
1. OBJETIVO
Establecer los lineamientos para la gestión de los incidentes de seguridad de la información y
ciberseguridad con el fin de prevenir, detectar oportunamente y gestionar los incidentes materializados
que afecten a los activos de información o recursos tecnológicos de Colpensiones, teniendo especial
consideración con aquellos que se encuentran expuestos al ciberespacio.
2. ALCANCE
La política de gestión de incidentes de seguridad de la información y ciberseguridad está dirigida a todo el
personal que tenga permitido el acceso a los sistemas informáticos de Colpensiones, incluso aquellos que
son administrados mediante contratos con terceros.
3. POLÍTICAS
Cargo Reportar
Funcionario de planta Vigia o ext. 3010,
3015, 3016, 3017, 3018.
Personal en misión Vigia o ext. 3010,
3015, 3016, 3017, 3018.
Aprendiz Sena Vigia o ext. 3010,
3015, 3016, 3017, 3018.
Contratistas gestionderiesgos@colpensiones.gov.co
● Definir, implementar, analizar y mejorar el proceso definido para gestionar los incidentes de
seguridad de la información y ciberseguridad, de acuerdo con buenas prácticas de industria y con
la legislación aplicable vigente.
● Realizar actividades de análisis o retroalimentación post-incidente para aprender de los incidentes
de seguridad de la información y ciberseguridad.
● Preparar los reportes a la Junta Directiva de la gestión de incidentes de seguridad de la información
y Ciberseguridad
La Gerencia de Riesgos y Seguridad de la Información debe establecer los equipos especializados, los
terceros y los canales de reporte con dichos entes externos con quienes se debe gestionar o a quienes se
debe reportar incidentes de seguridad de la información y ciberseguridad de acuerdo con criterios internos
y en cumplimiento de la legislación aplicable vigente.
El ERI debe estar conformado al menos por representantes de la Gerencia de Riesgos y Seguridad de la
Información, la Gerencia de Prevención de Fraude y la Gerencia de Tecnologías de la Información.
Son responsabilidades del Equipo de Respuesta a incidentes –ERI de acuerdo al 8“Instructivo para la
gestión de incidentes de seguridad de la información y ciberseguridad”:
8
Instructivo para la gestión de incidentes de seguridad de la información y ciberseguridad”:
El ERI debe contactar e involucrar a cualquier funcionario, servidor, tercero, área o grupo de Colpensiones
que sea necesario para dar gestión adecuada de un incidente de seguridad de la información o de
ciberseguridad.
La Gerencia de Riesgos y Seguridad de la Información debe garantizar que para cada incidente de seguridad
hay documentación amplia y suficiente que soporte cada una de las actividades de la gestión de incidentes,
especialmente las relacionadas con lecciones aprendidas y actividades de control implementadas para la
contención, erradicación y recuperación. La documentación deberá almacenarse en una carpeta
administrada por la Gerencia de Riesgos y seguridad de la Información destinada para tal fin.
3.9. REPORTE
El ERI debe reportar los incidentes de seguridad de la información y ciberseguridad, su gestión, respuesta
y lecciones aprendidas a las entidades u organismos a los que haya lugar, de acuerdo con la normatividad
aplicable vigente y los criterios definidos por la entidad.
1. OBJETIVO
Esta Política tiene como objetivo garantizar la confidencialidad, integridad, disponibilidad y privacidad de
la información expuesta en el ciberespacio, y cumplir con el marco normativo vigente, buscando un
equilibrio entre los niveles de riesgo y el uso eficiente de los recursos.
2. ALCANCE
La política de gestión de la ciberseguridad está dirigida a todo el personal que tenga permitido el acceso a
los sistemas informáticos de Colpensiones, incluso aquellos que son administrados mediante contratos
con terceros.
3. POLÍTICAS
Colpensiones deberá informar al usuario final a través de un acuerdo con lenguaje apropiado su política
de codificación, así como la política de privacidad y los medios por los cuales los usuarios puedan cambiar
su aceptación o escalar cualquier asunto aclaratorio sobre dichas políticas. Para estos acuerdos, la
Gerencia de Tecnologías de la Información deberá tener control de versiones y deberá asegurar que todos
los usuarios lo suscriban.
Los usuarios de los sistemas que Colpensiones expone en el ciberespacio deben ser conscientes y hacer
seguimiento de la política de Colpensiones respecto al uso de herramientas de software de seguridad y
cada uno de ellos debe solicitar a Colpensiones información sobre software recomendado, suministrado o
descontinuado.
Esta apropiación se debe realizar a través del uso de herramientas tecnológicas proveídas por los
navegadores y herramientas comerciales que requieran ser adquiridas por Colpensiones.
La infraestructura tecnológica que Colpensiones tiene implementada para soportar los servicios internos
y de cara al cliente, debe mantener e implementar las actualizaciones de seguridad más recientes
publicadas.
3.8. SOBRE EL USO DE FIREWALL PERSONAL Y HIDS (Host-Based Intrusion Detection System)
La Gerencia de Tecnologías de Información debe controlar que todos los funcionarios que usen sus
servicios y accedan a la infraestructura en el ciberespacio tengan activados el firewall y demás
herramientas nativas del sistema operativo usadas para el control de acceso de tráfico de red; debe
controlar que los funcionarios no deshabiliten este tipo de herramientas.
Los usuarios deberán entender y aceptar su responsabilidad sobre él buen uso y entendimiento de
incidentes de ingeniería social y no podrán alegar ignorancia sobre tales riesgos.
Todo el personal de Colpensiones debe omitir la distribución de información sensible que pueda afectar
la privacidad de las personas y debe determinar el nivel de detalle para cada una de las categorías y
clasificación de la información antes de ser compartida.
1. OBJETIVO
Este capítulo tiene como objetivo definir las políticas que se aplicarán durante el ciclo de vida de desarrollo
de Colpensiones así como los mecanismos de control que se deberán utilizar en las diferentes fases con el
fin de certificar la calidad y seguridad de las aplicaciones.
2. ALCANCE
La política de desarrollo seguro está dirigida al ciclo de vida de desarrollo de aplicaciones que sean
contratadas a través de terceros o desarrolladas al interior de Colpensiones para dar cumplimiento a los
criterios seguridad de la información y ciberseguridad.
3. POLÍTICAS
El ciclo de vida de desarrollo de software de Colpensiones contará con las siguientes etapas y requisitos
que deberá cumplir la Gerencia de Tecnologías de la Información.
3.2. REQUERIMIENTOS
● Se debe generar un documento de arquitectura de diseño que responda a los siguientes dominios
Estrategia, Negocio, Sistemas de información, Información (datos), Tecnología, Interoperabilidad,
Gobierno (Componentes, Responsabilidades, Roles y Alertas), seguridad.
● Las funciones y componentes deben ser descritos en detalle en el documento.
● Los componentes de la aplicación deben planificarse de manera consistente con los datos y la
seguridad de la red.
● Dividir el sistema, proceso o problema en unidades o módulos discretos y utilizar artefactos y
herramientas visuales para analizar los requerimientos (diagramas, plantillas, prototipos, etc.)
3.4. DESARROLLO
3.5. PRUEBAS
● Se deben ejecutar pruebas funcionales y de eficiencia sobre la aplicación para verificar que
cumplen con los requerimientos solicitados.
● Se debe aplicar un proceso de pruebas que permita analizar, diseñar y ejecutar validaciones que
identifiquen no conformidades sobre el producto, antes de su salida a producción.
● Evaluar y analizar los requisitos no funcionales de la aplicación que sean susceptibles para ejecutar
pruebas técnicas.
● Se deben ajustar, corregir los defectos y errores funcionales y de seguridad identificados durante
las pruebas.
● Se deben probar todas las características de seguridad de la aplicación a través del análisis de
vulnerabilidades.
● Se debe incluir en la documentación las características de la aplicación junto con la
implementación instrucciones sobre las configuraciones de seguridad adecuadas.
● Se deben establecer controles de acceso para la separación de los diferentes ambientes de
pruebas.
● En caso de requerirse hacer uso de datos de producción para realizar las pruebas, es necesario
que se establezcan mecanismos de ofuscación y/o enmascaramiento de los datos para que no
puedan ser consultados en su estado real.
● Se deben establecer mecanismos de segregación de funciones entre las fases de desarrollo y
pruebas.
3.6. PRODUCCIÓN
La puesta en producción no debe comprometer los controles de seguridad existentes o introducir
nuevas vulnerabilidades.
● El paso a producción de una nueva aplicación estará sujeto a una evaluación completa previa a la
aprobación de la documentación de control de cambios.
● Las versiones nuevas y la liberación de parches estarán sujetas a un nivel de evaluación apropiado
basado en el riesgo de los cambios en la funcionalidad de la aplicación.
● Se deben ejecutar pruebas de funcionamiento y de seguridad a los nuevos sistemas,
actualizaciones y/o aplicaciones en ambiente de pruebas, para validar la necesidad y operatividad
de estos, previo a la aprobación e implementación.
● Se deben establecer controles de acceso para la separación de los diferentes ambientes de
pruebas al de producción.
● El despliegue del código de la aplicación en el entorno producción debe ser ejecutado por un
agente designado.
● Se deben mantener y documentar controles de versionamiento del software y sus componentes.
4. EXCEPCIONES
Toda excepción a la política debe ser aprobada por la Gerencia de Tecnologías de la Información.
Los siguientes son los documentos utilizados para el desarrollo de software en Colpensiones:
6. POLÍTICA DE REUTILIZACIÓN
La reutilización del software cubre más que solo el código fuente. El desarrollo de aplicaciones considerará
el siguiente ciclo de desarrollo de software para reutilización:
● Planes de proyectos.
● La arquitectura.
● Requisitos Modelos y Especificaciones.
● Diseños.
● Código fuente.
● Usuario y documentación técnica.
● Los datos.
7. LICENCIAS
● El software desarrollado para Colpensiones deberá realizarse por medio de herramientas y/o
software legalmente licenciado.
● Crear conciencia en los funcionarios acerca de los derechos de autor del software.
● Cumplir con los términos y condiciones para el software obtenido, tanto comercial como código
abierto.
● Verificar el cumplimiento de los derechos de autor y los derechos de patentes, de acuerdo con los
términos de aceptación de la licencia.
● Mantener un registro actualizado del software utilizado por Colpensiones y el número de licencias
autorizadas y controlar su cumplimiento.
1. OBJETIVO
Identificar cada activo de información y ciberseguridad, estableciendo y manteniendo un inventario de
estos activos, incluyendo un propietario asignado y que la naturaleza y el valor de cada activo se maximice
mediante una adecuada gestión durante todas las etapas de su ciclo de vida incluyendo su creación,
procesamiento, almacenamiento, transmisión, eliminación y destrucción. También asegura que los límites
de uso aceptable estén claramente definidos para cualquiera que tenga acceso a la información, y que se
protejan acorde con la criticidad que tengan para Colpensiones.
2. ALCANCE
Esta política aplica a todos los procesos de Colpensiones, desde la identificación del Propietario del activo,
valoración de riesgos, clasificación de la información y publicación de los activos.
1. Hardware.
2. Software.
3. Red
4. Recurso humano
5. Información. (Física o Digital)
6. Organización
3. POLÍTICAS
El ciclo de vida del activo de información y ciberseguridad contará con las etapas y requisitos incluyendo
su creación, procesamiento, almacenamiento, transmisión, eliminación y destrucción.
1. DEFINICIONES
Activo de Información Se denomina activo a aquello que tiene valor para Colpensiones y por lo tanto debe
protegerse. De manera que un activo de información es aquel que contiene o manipula información,
abarcando seguridad digital y continuidad de la operación
Inventario de activos:
Todos los activos deben estar claramente identificados y Colpensiones debe elaborar y mantener un
inventario de los mismos.
Clasificación de la información:
Es el ejercicio por medio del cual se determina que la información pertenezca a uno de los niveles de
clasificación estipulados por Colpensiones, teniendo un inventario de activos. La clasificación tiene como
objetivo asegurar que la información tenga el nivel de protección adecuado. La información debe
clasificarse en términos de sensibilidad e importancia para Colpensiones según la ley 1581 de 2012 y la ley
1712 de 2014.
Áreas Seguras
Son lugares en donde reside y procesa información de carácter reservada y/o critica para Colpensiones
Dato personal:
Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o
determinables. Por ejemplo, su documento de identidad, el lugar de nacimiento, estado civil, edad, lugar
de residencia, trayectoria académica, laboral, o profesional
Gestión de activos:
Proceso que determina la clasificación y valoración de los activos de información, manteniendo
actualizado el inventario de activos.
Los líderes de los procesos deben tener y mantener actualizado el inventario de los activos de
información, entre ellos, pero sin limitarse a los mismos se encuentran los siguientes: recursos
humanos, información recursos tecnológicos (sub redes, servidores, aplicaciones, dispositivos de
red, estaciones de trabajo, portátiles, base de datos información, software, servicios y licencias de
software), infraestructura física (aire acondicionado, generadores de energía, unidades de
potencia UPS y circuitos). El inventario de activos se debe realizar teniendo en cuenta los
lineamientos definidos en la Instructivo Gestión de Activos y Clasificación de la Información y
Ciberseguridad.
Todo activo de información de Colpensiones es de uso exclusivo de la Entidad y será utilizado
únicamente para su propósito específico.
Los propietarios de los activos de información deberán identificar, clasificar y mantener registro
documentado de los activos de información por cada uno de sus procesos.
El inventario de activos de información y ciberseguridad deberá incluir como mínimo: nombre,
descripción, propietario, custodio, tipo de activo, atributos, valor, clasificación, acceso y ubicación.
El inventario de activos de información y ciberseguridad será actualizado por el líder del proceso
cada vez que el proceso identifique un nuevo activo, se presente un cambio significativo en el
mismo o deba retirarlo.
El inventario de activos de información y ciberseguridad debe ser exacto, actualizado, consistente
y alineado con otros inventarios.
Todos los activos de información de Colpensiones serán identificados, clasificados y valorados de
acuerdo a los procedimientos establecidos para tal fin.
El custodio no está autorizado a cambiar los niveles de seguridad ni clasificación de los activos que
cuida; esta tarea es responsabilidad directa del propietario.
Todos los funcionarios, terceros (proveedores y contratistas) tendrán que cumplir las siguientes
reglas para el uso de los activos de información y ciberseguridad:
Los usuarios (servidores públicos, trabajadores oficiales, personal en misión, personal Sena y
terceros) son responsables del uso apropiado de la información y los recursos tecnológicos
asignados para el cumplimiento de sus actividades, según lo establecido en Colpensiones. Así
mismo, las políticas internas y las leyes colombianas, incluyendo, pero no limita las normas sobre
propiedad intelectual y derechos de autor y la Ley 1581 Protección de Datos Personales.
7. CLASIFICACIÓN DE LA INFORMACIÓN
Los activos de Información y ciberseguridad de Colpensiones serán clasificados para definir un conjunto
apropiado de niveles de protección. Para tal efecto la clasificación y etiquetado de la información se debe
hacer de acuerdo a los riesgos que existan en la divulgación de la información.
Todos los activos de información y ciberseguridad se deben etiquetar claramente para advertir el nivel de
la clasificación de la información (Información Reservada, Información Clasificada o Información pública).
Los dispositivos móviles no deben tener almacenada información pública clasificada o pública reservada
de forma permanente, a menos que esté autorizado por el propietario de la información.
La información una vez clasificada puede ser reclasificada con base en criterios objetivos del propietario
de esta, conforme a los procedimientos establecidos para tal efecto.
Información Pública:
Es toda información que los afiliados a Colpensiones generen, obtengan, adquieran, o controlen en su
calidad de ciudadanos y que no se encuentre dentro de la clasificación de información pública clasificada
o publica reservada.
MACROPROCESO / PROCESO: CÓDIGO: VERSIÓN: PÁGINA
Esta información puede ser entregada o publicada sin restricciones a los funcionarios o a cualquier persona
sin que esto implique daños a terceros ni a las actividades y procesos de Colpensiones
De acuerdo con el esquema de clasificación anterior, cada tipo de información debe ser etiquetado
teniendo las siguientes consideraciones para cuando se realiza una copia, impresión,
almacenamiento, transmisión electrónica, intercambio físico y destrucción de esta:
La salida procedente de los sistemas de información que traten información clasificada como
Pública, Pública Clasificada o Pública Reservada, deben llevar una etiqueta de clasificación
adecuada.
1. OBJETIVO
Colpensiones debe prevenir la revelación, modificación, remoción o destrucción no autorizada de activos
de la información y ciberseguridad, e interrupciones a las actividades que soportan los procesos de la
organización. Los medios removibles deben ser controlados y físicamente protegidos.
2. ALCANCE
Esta política aplica a todos medios removibles los cuales deben ser controlados y físicamente protegidos.
3. POLÍTICAS
La Gerencia de Gestión Documental establece los procedimientos operativos adecuados para proteger los
documentos, medios informáticos (discos, cintas, etc.), datos de entrada o salida y documentación del
sistema contra la divulgación, modificación, retirada o destrucción de activos no autorizadas.
De igual manera la Gerencia de Gestión Documental asegura los soportes y la información en tránsito no
sólo física sino digital (a través de las redes).
Deben existir procedimientos para la administración de medios removibles tales como cintas, discos,
unidades USB, CD002C DVD. En todo caso se deberá considerar:
Las personas autorizadas para el uso de medios removibles son responsables de no utilizar los mismos
en dispositivos externos a la entidad que puedan configurar un riesgo para la misma. Cafés internet,
equipos de cómputo sin antivirus actualizados, son un ejemplo de ellos.
Se debe borrar o eliminar toda información que no se requiera o no sea útil en los medios
removibles, de tal forma que no pueda ser restaurada o reconstruida teniendo en cuenta lo
establecido en el presente manual.
Debe solicitarse autorización para el uso de los medios extraídos de la organización, dejar registro
de las actividades y guardar o mantener una pista de auditoría.
Todos los medios deben ser almacenados en un ambiente seguro de acuerdo con las
especificaciones de los fabricantes.
Todos los datos almacenados en medios removibles deben ser evaluados contra los estándares de
gestión de activos y clasificación de la información y ciberseguridad, y deben ser protegidos de la
manera que se indica en el instructivo de administración de medios magnéticos.
móviles deben protegerse con mecanismos de cifrado para evitar el acceso, las modificaciones o
la eliminación no autorizados.
La información puede ser susceptible a accesos no autorizados, uso inadecuado y pérdida o
corrupción durante el transporte físico, cuando se envían medios a través del servicio postal o
empresas de mensajería, por lo cual se deben aplicar controles como los siguientes sin limitarse a
los mismos. (Instructivo de Administración de Medios Magnéticos)
La presente política tiene como base los instructivos - (Instructivo de Administración de Medios
Magnéticos) y (Gestión de Espacios de Almacenamiento) los cuales se encuentran actualizados y alineados
a los procesos de gestión documental de Colpensiones.
Colpensiones garantiza que la seguridad es parte integral de los sistemas de información y que se
encuentra presente en las fases del ciclo de vida de desarrollo y mantenimiento de software, incluyendo
los requisitos de seguridad de la información y ciberseguridad y las pruebas de seguridad que
correspondan adoptando las mejores prácticas y dando cumplimiento a los requerimientos regulatorios.
Los sistemas de información incluyen sistemas operativos, infraestructura, aplicaciones del negocio,
servicios y aplicaciones desarrolladas para usuarios y terceros que desarrollan aplicaciones.
5. OBJETIVO
Definir las políticas que se aplicarán para la adquisición, desarrollo y mantenimiento de Sistemas de
Información de Colpensiones así como los mecanismos de control que se deberán utilizar en las diferentes
fases por la Gerencia de Tecnologías de la Información, con el fin de garantizar la seguridad de las
aplicaciones.
6. ALCANCE
Esta Política se aplica para la adquisición, mantenimiento y desarrollo de aplicaciones que sean
contratadas a través de terceros o desarrolladas al interior de Colpensiones para dar cumplimiento a los
criterios seguridad de la información y ciberseguridad.
Colpensiones en cualquier momento podrá realizar revisiones o auditorías a terceros que manejen
o hagan uso de datos de información confidencial en sus sistemas de prueba, con el fin de
La introducción de nuevos sistemas y cambios mayores a sistemas existentes deben cumplir con
el procedimiento formal de documentación, especificación, pruebas, control de calidad y gestión
de implementación.
Se debe contar con los controles que se deben tener en cuenta en el proceso de control de
cambios:
o Mantener un registro de los niveles de autorización acordados.
o Asegurar que los cambios son propuestos por usuarios autorizados.
o Revisar los controles y los procedimientos de integridad para garantizar que no serán
comprometidos por los cambios.
Identificar todo el software, información, bases de datos y el hardware que requieren
modificaciones.
Garantizar que los usuarios autorizados acepten los cambios antes de la implementación.
Garantizar que la implementación se lleve a cabo minimizando la discontinuidad de las actividades
del negocio.
Asegurar que la documentación del sistema se actualice cuando se complete el cambio y se archiva
o elimina la documentación que no se encuentre actualizada.
Mantener un control de versiones para todas las actualizaciones de software.
Mantener pistas de auditoría de todas las solicitudes de cambios.
Asegurar que la documentación operativa y los procedimientos de usuarios se modifiquen según
las necesidades.
Asegurar una adecuada segregación de funciones (la persona que solicite el cambio y la que
apruebe y haga los cambios no sea la misma.
Ante cambios de criticidad urgente, los procedimientos de control de cambios deben seguirse con
las restricciones adecuadas sobre el personal de soporte que ejecute los cambios de programas.
Se debe certificar que en el proceso de control de cambios en los ambientes de contingencia son
actualizados.
Se debe verificar periódicamente la integridad de los sistemas de contingencia en relación con
producción.
Los paquetes de software suministrados por terceros deben utilizarse sin modificación o limitados
a cambios necesarios y estrictamente controlados.
Cuando se considere esencial modificar un paquete de software, se deben tener en cuenta los
siguientes puntos:
El desarrollo de software tercerizado debe ser supervisado y monitoreado por Colpensiones. Los
terceros contratados para el desarrollo de software deben cumplir con las políticas de seguridad
de Colpensiones, en especial las consideradas en los numerales en el Manual de Políticas
Desarrollo.
Para los desarrollos de aplicaciones realizado por externos, Colpensiones tendrá en cuenta los
siguientes aspectos:
ANEXOS