Manual de Politicas y Lineamientos de Seguridad de La Informacion y Ciberseguridad - Colpensiones

MANUAL
DE POLITICAS DE SEGURIDAD DE LA INFORMACIÓN Y CIBERSEGURIDAD
ASEGURAMIENTO DE LA GESTIÓN
GESTIÓN DE RIESGOS
MANUAL DE POLITICAS DE SEGURIDAD DE LA INFORMACIÓN Y
CIBERSEGURIDAD
MANUAL DE POLITICAS DE SEGURIDAD DE LA INFORMACIÓN Y CIBERSEGURIDAD .......................6

1. OBJETIVO ......................................................................................................................................6
2. ALCANCE .......................................................................................................................................6
3. CUMPLIMIENTO ...........................................................................................................................6
4. DEFINICIONES ..................................................................... ¡ERROR! MARCADOR NO DEFINIDO.
CAPÍTULO I PARA EL CORREO ELECTRÓNICO ................................................................................. 12
1. OBJETIVO ................................................................................................................................... 12
2. ALCANCE.................................................................................................................................... 12
3. POLÍTICAS PARA EL CORREO ELECTRÓNICO CORPORATIVO ..................................................... 12
3.1. RESERVA DE PRESTACIÓN DEL SERVICIO ................................................................................ 12
3.2. ACCESO EXTERNO AL CORREO ELECTRÓNICO DE COLPENSIONES ......................................... 12
3.3. ACEPTACIÓN DE LOS TÉRMINOS Y CONDICIONES DEL SERVICIO ........................................... 13
3.4. MONITOREO........................................................................................................................... 13
3.5. ENVÍO DE INFORMACIÓN PÚBLICA CLASIFICADA Y RESERVADA............................................. 13
3.6. TAMAÑO DE LOS BUZONES DE CORREO................................................................................. 14
3.7. CIFRADO, FIRMA DIGITAL Y OTRAS CONSIDERACIONES DE SEGURIDAD ................................ 14
3.8. CREACIÓN DE CUENTAS DE CORREO ELECTRÓNICO ............................................................... 15
3.10. ENVÍO Y REENVÍO DE INFORMACIÓN MALICIOSA ................................................................ 16
3.11. OBLIGACIÓN DE REPORTE .................................................................................................... 17
3.12. INFORMACIÓN DEL REMITENTE Y FIRMA.............................................................................. 17
3.13. USO INTRANSFERIBLE DE CUENTAS ...................................................................................... 17
3.14. REENVÍO DE CORREO ELECTRÓNICO .................................................................................... 17
4. LINEAMIENTOS DE USO DEL CORREO ELECTRÓNICO CORPORATIVO ....................................... 18
4.1. CUENTAS DE CORREO ELECTRÓNICO CORPORATIVO............................................................. 18
4.1.1. CUENTAS INDIVIDUALES O PERSONALES DE NATURALEZA CORPORATIVA ............................................. 18
4.1.2. CUENTAS DE ÁREA ................................................................................................................... 18
4.1.3. GRUPO O LISTAS ....................................................................................................................... 18
4.1.4. CUENTAS DE SERVICIO .............................................................................................................. 18
4.1.5. OTRAS CUENTAS ...................................................................................................................... 19
4.2. INFORMACIÓN DEL REMITENTE Y FIRMA ............................................................................... 19
4.3. RECOMENDACIONES Y DEBERES PARA EL ADECUADO USO DEL CORREO ELECTRÓNICO ...... 19
4.4. PROHIBICIONES EN EL USO DEL CORREO ELECTRÓNICO......................................................... 21
CAPÍTULO II PARA LA GESTIÓN DE ACCESOS .................................................................................. 22
1. OBJETIVO ................................................................................................................................... 22
2. ALCANCE .................................................................................................................................... 22
3. POLÍTICAS DE CONTROL DE ACCESOS........................................................................................ 22
3.1. IDENTIFICACIÓN DE LOS USUARIOS ........................................................................................ 22
3.2. AUTENTICACIÓN DE LOS USUARIOS........................................................................................ 23
3.3. AUTORIZACIÓN DE ACCESOS................................................................................................... 24
3.4. CONTROL DE ACCESOS BASADO EN ROLES ............................................................................. 24
MACROPROCESO / PROCESO: CÓDIGO: VERSIÓN: PÁGINA
ASEGURAMIENTO DE LA GESTIÓN / GESTIÓN DE RIESGOS AGE-GRI-ODT-010 1 1 de 79

CIBERSEGURIDAD
3.5. PRIVILEGIOS DE ACCESO EN LA ADMINISTRACIÓN DE RECURSOS TECNOLÓGICOS ................ 25

3.6. REGISTRO Y AUDITORÍA DE ACCESOS...................................................................................... 25
3.7. GESTIÓN DEL CICLO DE VIDA DE LOS ACCESOS ....................................................................... 25
3.8. REVISIÓN PERIÓDICA DE ACCESOS .......................................................................................... 27
3.9. GESTIÓN DE USUARIOS PRIVILEGIADOS.................................................................................. 28
3.10. GESTIÓN DE USUARIOS DE SERVICIO .................................................................................... 28
3.11. ALMACENAMIENTO DE CONTRASEÑAS PARA PROCESOS AUTOMÁTICOS Y APLICACIONES 29
CAPÍTULO III PARA MODIFICACIÓN DIRECTA DE DATOS ................................................................ 30
1. OBJETIVO ....................................................................................................................................30
2. ALCANCE .................................................................................................................................... 30
3. POLÍTICAS .................................................................................................................................. 30
3.1. MODIFICACIÓN DIRECTA DE DATOS........................................................................................ 30
3.1.1. SOLICITUD DE ACCESO PARA REALIZAR MODIFICACIÓN DIRECTA DE DATOS .......................................... 30
3.1.2. AUTORIZACIÓN DE ACCESO PARA REALIZAR MODIFICACIÓN DIRECTA DE DATOS .................................... 31
3.1.3. MODIFICACIONES PERMITIDAS .................................................................................................... 31
3.1.4. SEGREGACIÓN DE RESPONSABILIDADES ......................................................................................... 32
3.1.5. COPIAS DE SEGURIDAD DE LOS DATOS .......................................................................................... 32
3.1.6. TERMINACIÓN DELIBERADA ........................................................................................................ 32
3.1.7. VALIDACIÓN DE LA MODIFICACIÓN DE DATOS EN AMBIENTE PRODUCTIVO .......................................... 32
3.1.8. TRAZABILIDAD DE LA MODIFICACIÓN DIRECTA DE DATOS .................................................................. 33
4. LINEAMIENTOS .......................................................................................................................... 33
4.1. TIPOS DE MODIFICACIÓN DE DATOS ....................................................................................... 33
4.2. EVALUACIÓN DE RIESGOS DE LA MODIFICACIÓN DIRECTA DE LOS DATOS ............................. 33
4.3. CONSIDERACIONES TÉCNICAS................................................................................................. 35
CAPÍTULO IV DISPOSITIVOS PARA MOVILIDAD Y ACCESO REMOTO .............................................. 36
1. OBJETIVO .............................................................................................................................. 36
2. ALCANCE............................................................................................................................... 36
3. POLÍTICAS .................................................................................................................................. 36
3.1. MOVILIDAD ............................................................................................................................. 36
3.2. DISPOSITIVOS MÓVILES PROVISTOS POR COLPENSIONES ...................................................... 38
3.2.1. ASIGNACIÓN ............................................................................................................................ 38
3.2.2. INVENTARIADO Y ETIQUETADO .................................................................................................... 38
3.2.3. ALMACENAMIENTO CIFRADO ...................................................................................................... 38
3.2.4. BORRADO REMOTO................................................................................................................... 38
3.2.5. CONTROLES DE ACCESO ............................................................................................................. 39
3.2.6. BLOQUEO AUTOMÁTICO ............................................................................................................ 39
3.2.7. GEOLOCALIZACIÓN ................................................................................................................... 39
3.2.8. WIFI, BLUETOOTH, NFC Y OTRAS OPCIONES DE CONECTIVIDAD ....................................................... 39
3.2.9. SOFTWARE ANTIVIRUS Y ANTIMALWARE ....................................................................................... 39
3.2.10. INSTALACIÓN DE SOFTWARE ..................................................................................................... 40
3.2.11. CONTROL DE NAVEGACIÓN ....................................................................................................... 40
3.2.12. FIREWALL LOCAL O DE HOST ..................................................................................................... 40
3.2.13. ACTUALIZACIÓN PERIÓDICA ...................................................................................................... 40
3.3. POLÍTICAS DE SEGURIDAD PARA ACCESO REMOTO ................................................................ 41

CIBERSEGURIDAD
CAPÍTULO V PARA LAS REDES DE COLPENSIONES ..........................................................................42

1. OBJETIVO ...................................................................................................................................42
2. ALCANCE.................................................................................................................................... 42
3. POLÍTICAS .................................................................................................................................. 42
3.1. SOBRE LAS REDES Y CONECTIVIDAD ........................................................................................ 42
3.2. SEGMENTACIÓN DE LA RED .................................................................................................... 43
3.2.1. SEGMENTOS DE RED INTERNOS ................................................................................................... 43
3.2.2. SEGMENTOS DE RED CON CARACTERÍSTICAS DE ZONAS DESMILITARIZADAS (DMZ) ............................... 43
3.2.3. SEPARACIÓN DE AMBIENTES ....................................................................................................... 43
3.3. CONTROL DE TRÁFICO ENTRE SEGMENTOS DE RED................................................................ 44
3.4. REDES INALÁMBRICAS ............................................................................................................ 44
3.4.1. IDENTIFICADORES DE REDES INALÁMBRICAS (SSID) ........................................................................ 44
3.4.2. COBERTURA............................................................................................................................. 44
3.4.3. PUNTOS DE ACCESO INALÁMBRICOS (AP) ..................................................................................... 45
3.4.4. REDES AD HOC ........................................................................................................................ 45
3.4.5. INSPECCIONES A LA RED ............................................................................................................. 45
3.4.7. CIFRADO ................................................................................................................................. 46
3.5. CONEXIONES CON REDES EXTERNAS, PÚBLICAS E INTERNET ................................................. 46
3.6. AUTORIZACIÓN DE ACCESO A LAS REDES DE COLPENSIONES ................................................. 46
3.7. CONTROL DE ACCESO A LAS REDES DE COLPENSIONES .......................................................... 46
3.8. ACEPTACIÓN DE LOS TÉRMINOS Y CONDICIONES DEL SERVICIO ............................................ 47
3.8. CONTROL DE LA NAVEGACIÓN EN INTERNET.......................................................................... 47
3.9. MONITOREO DE LA RED .......................................................................................................... 48
3.10. DISPONIBILIDAD DE LA RED................................................................................................... 48
3.11. DISPOSITIVOS DE RED, SEGURIDAD, MONITOREO Y CONTROL............................................. 48
3.12. PREVENCIÓN DE FUGA DE INFORMACIÓN ............................................................................ 48
3.13. DETECCIÓN Y PREVENCIÓN DE INTRUSOS ............................................................................ 48
4. LINEAMIENTOS .......................................................................................................................... 49
4.1. REQUISITOS MÍNIMOS PARA DISPOSITIVOS PERSONALES QUE SE CONECTAN A LAS REDES DE
COLPENSIONES .............................................................................................................................. 49
4.2. USO PROHIBIDO DEL SERVICIO DE RED ................................................................................... 49
CAPÍTULO VI PARA LA GESTIÓN DE INCIDENTES DE SEGURIDAD Y CIBERSEGURIDAD ................... 51
1. OBJETIVO ................................................................................................................................... 51
2. ALCANCE.................................................................................................................................... 51
3. POLÍTICAS .................................................................................................................................. 51
CAPÍTULO VII PARA LA GESTIÓN DE CIBERSEGURIDAD .................................................................. 55
1. OBJETIVO ................................................................................................................................... 55
2. ALCANCE.................................................................................................................................... 55
3. POLÍTICAS .................................................................................................................................. 55
3.1. SOBRE LA PROTECCIÓN DE LA IDENTIDAD .............................................................................. 55
3.2. SOBRE LA CODIFICACIÓN DE APLICACIONES ........................................................................... 55
3.3. SOBRE EL USO DE SISTEMAS OPERATIVOS CON SOPORTE ...................................................... 56
3.4. SOBRE EL USO DE SOFTWARE DE APLICACIÓN SOPORTADO .................................................. 56
3.5. SOBRE EL USO DE HERRAMIENTAS DE SOFTWARE DE SEGURIDAD ........................................ 56
3.6. SOBRE EL USO DE APLICACIONES ANTIPHISHING ................................................................... 56

CIBERSEGURIDAD
3.7. SOBRE LOS SERVICIOS DE ACTUALIZACIONES ......................................................................... 56

3.8. SOBRE EL USO DE FIREWALL PERSONAL Y HIDS (HOST-BASED INTRUSION DETECTION SYSTEM) ..... 56
3.9. SOBRE EL COMPORTAMIENTO DEL PERSONAL ....................................................................... 57
3.10. SOBRE LA CONCIENCIA DE RIESGOS DE CIBERSEGURIDAD ................................................... 57
3.11. SOBRE EL USO DE REDES SOCIALES EXTERNAS Y APLICACIONES EN EL CIBERESPACIO ......... 57
3.12. POLÍTICA DE CATEGORIZACIÓN Y CLASIFICACIÓN DE LA INFORMACIÓN ............................ 57
3.13. SOBRE LA LIMITACIÓN DE AUDIENCIA DE DISTRIBUCIÓN Y MINIMIZACIÓN DE LA
INFORMACIÓN ............................................................................................................................... 57
CAPÍTULO VIII PARA EL DESARROLLO SEGURO .............................................................................. 58
1. OBJETIVO ................................................................................................................................... 58
2. ALCANCE .................................................................................................................................... 58
3. POLÍTICAS ................................................................................................................................... 58
3.1. ANÁLISIS DE LA NECESIDAD..................................................................................................... 58
3.2. REQUERIMIENTOS................................................................................................................... 58
3.3. DISEÑO CONCEPTUAL ............................................................................................................. 59
3.4. DESARROLLO ........................................................................................................................... 59
3.5. PRUEBAS ................................................................................................................................. 59
3.6. PRODUCCIÓN .......................................................................................................................... 60
3.7. OPERACIÓN Y SOPORTE .......................................................................................................... 60
4. EXCEPCIONES ............................................................................................................................. 60
5. DOCUMENTOS DE BUENAS PRÁCTICAS Y LINEAMIENTOS ......................................................... 60
6. POLÍTICA DE REUTILIZACIÓN ...................................................................................................... 60
7. LICENCIAS ................................................................................................................................... 61
CAPÍTULO IX PARA LA GESTIÓN DE ACTIVOS DE INFORMACIÓN Y CIBERSEGURIDAD ................... 62
1. OBJETIVO .............................................................................................................................. 62
2. ALCANCE.................................................................................................................................... 62
3. POLÍTICAS .................................................................................................................................. 62
1. DEFINICIONES .......................................................................................................................62
4. INVENTARIO DE ACTIVOS DE INFORMACIÓN Y CIBERSEGURIDAD ............................................ 63
5. PROPIEDAD DE LOS ACTIVOS DE INFORMACIÓN Y CIBERSEGURIDAD ...................................... 64
5.1 RESPONSABILIDADES DEL CUSTODIO TI DEL ACTIVO DE INFORMACIÓN Y
CIBERSEGURIDAD .......................................................................................................................... 64
6. USO ACEPTABLE DE LOS ACTIVOS DE INFORMACIÓN Y CIBERSEGURIDAD ............................... 65
7. CLASIFICACIÓN DE LA INFORMACIÓN ....................................................................................... 65
7.1. CATEGORIAS DE CLASIFICACION DE LA INFORMACIÓN .......................................................... 65
8. ETIQUETADO, MANIPULACIÓN Y ELIMINACIÓN DE LA INFORMACIÓN ..................................... 66
CAPÍTULO X PARA LA GESTIÓN DE MEDIOS DE ALMACENAMIENTO ............................................. 68
1. OBJETIVO ................................................................................................................................... 68
2. ALCANCE.................................................................................................................................... 68
3. POLÍTICAS .................................................................................................................................. 68
4. GESTIÓN DE MEDIOS REMOVIBLES ........................................................................................... 68
5. ELIMINACIÓN DE LOS MEDIOS .................................................................................................. 69
6. TRANSFERENCIA DE SOPORTES FÍSICOS .................................................................................... 69
7. SEGURIDAD DE LA DOCUMENTACIÓN DE SISTEMAS................................................................. 69
8. TRANSFERENCIA DE MEDIOS DE SOPORTES FÍSICOS ................................................................. 69

CIBERSEGURIDAD
CAPÍTULO XI PARA LA ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE

INFORMACIÓN ............................................................................................................................... 71
5. OBJETIVO .............................................................................................................................. 71
6. ALCANCE............................................................................................................................... 71
7. POLÍTICAS DE ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE APLICACIONES............ 71
8. SEGURIDAD EN LOS PROCESOS DE DESARROLLO Y SOPORTE .............................................. 74
9. RESTRICCIONES SOBRE CAMBIOS A PAQUETES DE SOFTWARE............................................ 75
10. DESARROLLO DE APLICACIONES EXTERNO ........................................................................... 75
11. MANEJO DE DATOS DE PRUEBA ........................................................................................... 75
ANEXOS ...........................................................................................................................................77
CONTROL DE CAMBIOS DEL DOCUMENTO.....................................................................................78

CIBERSEGURIDAD
MANUAL DE POLITICAS DE SEGURIDAD DE LA INFORMACIÓN Y CIBERSEGURIDAD
1. OBJETIVO
Definir y comunicar a las partes interesadas las políticas complementarias alineadas a la política del
sistema de Administración de Riesgos de Seguridad de la Información y Ciberseguridad de Colpensiones
(parte V), para gestionar adecuadamente la integridad, confidencialidad y disponibilidad de los activos de
información, según el marco de la norma ISO 27001:2013 y su anexo A.
2. ALCANCE
Los siguientes lineamientos aplican para todos el personal que labora en Colpensiones servidores públicos,
trabajadores oficiales, personal en misión, personal Sena y terceros que accedan a las instalaciones,
información y sistemas informáticos de la Entidad con el fin de aplicar los controles necesarios para
preservar la confidencialidad, integridad y disponibilidad de la información de los activos de información
de la Entidad.
3. CUMPLIMIENTO
Colpensiones cumplirá con todos los requerimientos contractuales y regulatorios definidos en las políticas
por la entidad, y su incumplimiento será causal de sanciones de acuerdo a lo establecido en los
lineamientos internos de Colpensiones.
4. DEFINICIONES
 Accesos: Permisos otorgados a los usuarios para acceder a un área, recurso, sistema o aplicación.
Dentro de su ciclo de vida se encuentran las siguientes actividades: definición de privilegios de acceso,
asignación técnica del acceso, revisión periódica de los privilegios de acceso definidos y concedidos,
actualización y borrado.
 Acceso Privilegiado: hacen referencia a cuentas dotadas de una importante carga de información
sensible y con altos derechos como configurar cuentas, restaurar contraseñas o instalar las
actualizaciones de software.
 Activos de información y Ciberseguridad: Recursos del sistema de información o relacionados con

éste, necesarios para que Colpensiones funcione correctamente y alcance los objetivos propuestos
por su dirección. Se pueden estructurar en seis categorías: Personal (funcionarios, terceros y clientes),
la información en cualquiera que sea su medio (oral, escrita, magnética, digital), la organización
correspondiente a los procesos de Colpensiones, el hardware (equipos de cómputo centrales y locales,
equipos de comunicaciones entre otros sin limitarse solo a los anteriores ), el software (programas
aplicativos en general y sistemas operacionales entre otros sin limitarse a solo a los anteriores) y red
(redes de comunicación y redes eléctricas).
 Activos de información críticos: Todos los activos de información que fueron clasificados como:
“Información clasificada” o “Información Reservada”.

CIBERSEGURIDAD
 Aleatorización: Proceso por el cual se reemplaza información completa o parcialmente por valores
aleatorios o pseudoaleatorios. En paso de datos productivos a ambientes de pruebas se puede por
ejemplo reemplazar salarios, edades o números de afiliación por valores aleatorios.
 Bóveda de contraseñas: herramienta software que mantiene las contraseñas en una ubicación digital
segura. Al cifrar el almacenamiento de contraseñas, ofrece a los usuarios la posibilidad de usar una
única contraseña maestra para acceder a una cantidad de contraseñas diferentes utilizadas para
diferentes sitios web o servicios.
 Clasificación de la información: Es la asignación de un nivel de sensibilidad de la información cuando

se están creando, corrigiendo, almacenando o transmitiendo. La clasificación de la información
determina el grado en que necesita ser controlada y asegurada
 Confidencialidad: es la característica o condición que específica que la divulgación de información solo

debe corresponder a individuos, entidades o procesos autorizados.
 Custodio: Es la persona o área encargada de administrar y hacer efectivos los controles de seguridad
que el propietario de la información ha definido. Responsables por implementar (a nivel técnico) los
controles requeridos para proteger los activos de información, con base en el nivel de clasificación
asignado por el dueño correspondiente.
 Información: Datos relacionados que tienen significado para la Entidad. La información es un activo
que, como otros activos importantes del negocio, es esencial para las actividades de la Entidad y, en
consecuencia, necesita una protección adecuada
 Información Clasificada (privada y semiprivada): Es aquella información que estando en poder o

custodia de Colpensiones, pertenece al ámbito propio, particular y privado o semiprivado de una
persona natural o jurídica por lo que su acceso podrá ser negado o exceptuado, siempre que se trate
de las circunstancias legítimas y necesarias y los derechos particulares o privados consagrados en el
artículo 18 de la ley 1712/2014.1
 Información privada: La información privada es aquella que por versar sobre información personal o
no, y que, por encontrarse en un ámbito privado, sólo puede ser obtenida y ofrecida por orden de
autoridad judicial en el cumplimiento de sus funciones. Si se trata de información reservada, tal y como
ocurre por ejemplo con la relativa a datos sensibles, a la inclinación sexual, a los hábitos personales o
los datos relativos a la pertenencia a un partido o movimiento político de los ciudadanos votantes, ella
no puede siquiera ser obtenida ni ofrecida por autoridad judicial en el cumplimiento de sus funciones.
 Dato Personal Privado: Es un dato personal que por su naturaleza íntima o reservada solo interesa a
su titular y para su tratamiento requiere de su autorización expresa.

CIBERSEGURIDAD
 Dato Personal Semiprivado: Son datos que no tienen una naturaleza íntima, reservada, ni pública y
cuyo conocimiento o divulgación puede interesar no solo a su titular, sino a un grupo de personas o a
la sociedad en general. Para su tratamiento se requiere la autorización expresa del titular de la
información. (Ej. Dato financiero).2
 Dato público: Es el dato que no sea semiprivado, privado o sensible. Son considerados datos públicos,
entre otros, los datos relativos al estado civil de las personas, a su profesión u oficio ya su calidad de
comerciante o de servidor público. Por su naturaleza, los datos públicos pueden estar contenidos,
entre otros, en registros públicos, documentos públicos, gacetas y boletines oficiales y sentencias
judiciales debidamente ejecutoriadas que no estén sometidas a reserva.3
 Datos sensibles: Se entiende por datos sensibles aquellos que afectar la intimidad del Titular o cuyo
uso indebido puede generar su discriminación, tales como aquello que revelen el origen racial o étnico,
la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos,
organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político
o que garanticen los derechos y garantías de partidos políticos de oposición, así como los datos
relativos a la salud, a la vida sexual, y los datos biométricos. 4
 Información Pública: Es toda información que los afiliados a Colpensiones generen, obtengan,
adquieran, o controlen en su calidad de ciudadanos y que no se encuentre dentro de la clasificación
privada, semiprivada o sensible.
Esta información puede ser entregada o publicada sin restricciones a los funcionarios o a cualquier
persona sin que esto implique daños a terceros ni a las actividades y procesos de Colpensiones5
 Información Reservada: Información que es utilizada por un grupo reducido de personas y que no
debe ser de conocimiento para otros funcionarios, terceros o ciudadanos sin autorización del
propietario del activo, por daño a intereses públicos y bajo cumplimiento de la totalidad de los
requisitos consagrados en el artículo 19 de la ley 1712/20146.
 Información Semiprivada: Corresponde a aquella información que no es pública, pero que se

encuentra sometida a algún grado de limitación para su acceso de manera que se trata de información
que sólo puede accederse por orden de autoridad judicial o administrativa y para los fines propios de
sus funciones, o a través del cumplimiento de los principios de administración de datos personales7
 Despersonalización: Proceso por medio del cual a la información asociada con un usuario o persona
es modificada para romper el vínculo asociativo y evitar así establecer o conocer la identidad del
usuario o persona. Para el paso de datos productivos a ambientes de pruebas se busca evitar que se

CIBERSEGURIDAD
conozca la identidad de los usuarios reales, para proteger su derecho a la privacidad y la

confidencialidad de su información.
 Derecho de Acceso: Son los privilegios que se le asignan a un usuario sobre la información (Por
ejemplo: escritura, lectura, almacenamiento, ejecución o borrado).
 Disponibilidad: es la característica, cualidad o condición de acceso a la información y a los sistemas

por personas autorizadas en el momento que así lo requieran.
 Dispositivo Móvil: Dispositivos de procesamiento o comunicaciones que pueden ser fácilmente

transportados por los usuarios. Incluye, pero no se limita a: teléfonos celulares inteligentes
(smartphones), dispositivos tipo tableta, agendas digitales y computadores portátiles.
 Enmascaramiento: Proceso por medio del cual la información sensible es reemplazada completa o
parcialmente para proteger su confidencialidad. Para el paso a de datos productivos a ambientes de
pruebas se puede por ejemplo reemplazar los dígitos intermedios de una cédula o un NIT con un dígito
preestablecido, evitando así que se conozca el número real.
 Fuga de Información: Se denomina fuga de información al incidente que pone en poder de una
persona ajena a Colpensiones, información clasificada y reservada fuera de los medios tecnológicos
(redes, servidores, equipos portátiles, equipos móviles, medios de almacenamiento externos) y físicos
(Carpetas, documentos) de Colpensiones sin autorización y que sólo debería estar disponible para
funcionarios de la Entidad.
 Guía de hardening: Documento que detalla los pasos o actividades de configuración que se deben
seguir para asegurar un sistema o componente tecnológico.
 Hardening: Proceso por medio del cual se configura un sistema o componente tecnológico para
reducir las vulnerabilidades derivadas de malas prácticas de instalación, configuración o
administración.
 Integridad: La información debe ser precisa, coherente y completa desde su creación hasta su
destrucción. Garantiza que la información y los métodos de procesamiento se conserven precisos y
completos.
 Listas de distribución: Tipo de cuentas de correo que sin tener un buzón de entrada puede recibir
correos electrónicos que son redireccionados a las cuentas de correo de los integrantes de la lista.
Estas cuentas no tienen usuario y contraseña de autenticación por lo que no pueden enviar correos
electrónicos.
 Medios Removibles: Dispositivos de almacenamiento que pueden ser fácilmente conectados y

desconectados de equipos de cómputo, servidores y otros dispositivos. Incluyen sin limitarse a: cintas,
discos, memorias de almacenamiento, unidades de almacenamiento removibles, discos compactos,
discos de video digital (DVD).

CIBERSEGURIDAD
 Mensajes “cadena”: Mensaje de correo electrónico enviado con el fin de convencer al receptor de
realizar copias o reenvíos del mensaje a nuevos receptores. Estos mensajes generalmente incluyen
esquemas piramidales con fines económicos apelando a la superstición o violencia para conseguir su
fin.
 Mensaje masivo: Mensaje de correo electrónico enviado a diez (10) o más destinatarios, incluidos
quienes están copiados y copiados de manera oculta.
 Modificación directa a la Base de Datos: Es una solicitud de modificación de datos que implica la
ejecución de acciones de insertar, eliminar, actualizar sobre registros específicos y explícitos;
excluyendo la ejecución de procedimientos almacenados para su modificación.
 Movilidad: Es una estrategia organizacional para que los funcionarios, servidores o terceros tengan
acceso a los recursos tecnológicos y a la información necesaria para el desarrollo de sus actividades
contractuales o laborales, desde el lugar en donde sea más producto. Generalmente implica que los
usuarios no tienen sitios o puestos fijos de trabajo, sino que se pueden mover entre instalaciones de
la organización, sitios de proveedores o incluso lugares abiertos (como pozos petroleros) en caso de
ser necesario.
 Propietario del Activo de Información y Ciberseguridad: Es la persona, proceso, grupo que tiene la
responsabilidad de definir quienes tienen acceso y que pueden hacer con la información y de
determinar cuáles son los requisitos para salvaguardarla. El término 'El dueño o propietario' no
significa que la persona en realidad tenga cualquier derecho de (propiedad) al activo.
 Recursos tecnológicos: bases de datos, aplicaciones, redes, servicios web y directorios de archivos
compartidos.
 Redes Tecnológicas: Es Una red de computadoras, (también llamada red de ordenadores o red
informática) es un conjunto de equipos conectados por medio de cables, señales, ondas o cualquier
otro método de transporte de datos, que comparten información, recursos y servicios, etc
 Primera Línea de Defensa: Está conformada por las vicepresidencias misionales y de apoyo, las cuales
son las áreas originadoras y propietarias de los riesgos y las primeras llamadas a definir y tomar
decisiones en cómo gestionarlos.
 Segunda Línea de Defensa: Función a cargo de la Vicepresidencia de Seguridad y Riesgos

Empresariales. Esta línea de defensa busca ayudar y crear y/o monitorear los controles de la primera
línea de defensa.
 Tercera Línea de Defensa: Rol desempeñado por la Oficina de Control Interno. Tiene como principal
función, verificar de manera independiente a la primera y segunda línea de defensa, la adecuada
gestión de riesgos dentro de la Entidad.
 Script: Guion, archivo de órdenes o archivo de procesamiento por lotes, que contiene instrucciones a
ser ejecutadas en un sistema.

CIBERSEGURIDAD
 Acceso remoto: acceder desde una computadora a un recurso ubicado físicamente en otra
computadora, a través de una red local o externa (como internet)
 TOR: The Onion Router (El Router Cebolla). Es un software cuyo objetivo principal es el
establecimiento de una red oculta de comunicaciones distribuida de
baja latencia y superpuesta sobre internet, con el ánimo de eludir los controles de seguridad
establecidos por medio del ocultamiento de su dirección IP.
 DMZ: o Zona Desmilitarizada, es una red local que se ubica entre la red interna de una organización y
una red externa, generalmente Internet. El objetivo de una DMZ es que las conexiones desde la red
interna y la externa a la DMZ estén permitidas, mientras que las conexiones desde la DMZ sólo se
permitan a la red externa, es decir: los equipos locales (hosts) en la DMZ no pueden conectar con la
red interna.
 Incidente de Seguridad de la Información: Es evento único o una serie de eventos indeseados o

inesperados de seguridad de la información que tienen una probabilidad significativa de comprometer
las operaciones de negocio y de amenazar la seguridad de la información.
 Sistema Informático: Es un sistema que permite o hacen parte los ordenadores y redes de
comunicación electrónica así como los datos electrónicos almacenados, procesados, recuperados o
transmitidos por los mismos para su operación, uso, protección y mantenimiento.

CIBERSEGURIDAD
DESCRIPCIÓN DEL DOCUMENTO
A continuación se relacionan las políticas y lineamientos de Seguridad de la Información y Ciberseguridad

de Colpensiones para garantizar la confidencialidad, integridad y disponibilidad de la información.
CAPÍTULO I PARA EL CORREO ELECTRÓNICO
1. OBJETIVO
Definir las políticas asociadas con el correo electrónico corporativo dispuesto por Colpensiones, con el fin
de garantizar la adecuada protección de la información de la entidad y mitigar el riesgo de fuga de
información.
2. ALCANCE
La siguiente política aplica a servidores públicos, trabajadores oficiales, misionales, personal Sena y
terceros contratados por Colpensiones que poseen cuentas de correo electrónico corporativo.
3. POLÍTICAS PARA EL CORREO ELECTRÓNICO CORPORATIVO
Colpensiones ha dispuesto el servicio de correo electrónico para facilitar el envío y recepción de

información relacionada con los procesos internos y externos de la entidad, razón por la cual la propiedad
de la información transmitida por este medio es de la entidad; y la prestación de dicho servicio será
potestativo de Colpensiones.
3.1. RESERVA DE PRESTACIÓN DEL SERVICIO
Colpensiones se reserva el derecho de prestar el servicio de correo electrónico corporativo, o autorizar el

acceso a servidores públicos, trabajadores oficiales, misionales, personal Sena y terceros contratados de
acuerdo con la necesidad que se tenga para realizar las actividades propias de sus funciones laborales o
contractuales.
Colpensiones se reserva el derecho de revocar la autorización de acceso al servicio de correo electrónico

a cualquier usuario de acuerdo con el uso que él o ella haya hecho del servicio.
3.2. ACCESO EXTERNO AL CORREO ELECTRÓNICO DE COLPENSIONES
El acceso al correo electrónico corporativo debe realizarse desde la red LAN de la entidad, en
consecuencia, el acceso externo al correo electrónico corporativo se encuentra restringidoSólo podrán
acceder externamente al correo los funcionarios, servidores o terceros que por sus roles y
responsabilidades deban hacerlo y que autorice el Director del área o si ocupa alguno de los siguientes
cargos:
● Presidente

CIBERSEGURIDAD
● Jefe de oficina adscrita a la presidencia

● Vicepresidente
● Gerente
● Director regional
● Director
● Subdirector
● Asesor de presidencia
● Asesor de vicepresidencia
Cualquier excepción adicional, debe ser solicitada a través de la mesa de servicios de TI, previo análisis y
justificación soportada en las funciones y responsabilidades de los cargos y remitida por el presidente, los
vicepresidentes, gerentes, directores, directores regionales y/o jefes de oficina adscrita a la Presidencia,
quien autoriza el acceso externo al correo.
Dicha solicitud será evaluada por la Gerencia de Riesgos y Seguridad de la Información quien dará su
concepto para que la Gerencia de Tecnologías de la Información proceda a implementar la excepción. En
los casos en los que el concepto generado considere riesgos adicionales que deban ser evaluados, el
solicitante deberá valorar la aplicación de controles adicionales y decidir si aplica o no la excepción
asumiendo los riesgos y consecuencias derivadas de su decisión.
3.3. ACEPTACIÓN DE LOS TÉRMINOS Y CONDICIONES DEL SERVICIO
Los usuarios que tengan acceso al correo electrónico deben utilizarlo de acuerdo con las políticas y
lineamientos contenidos en este documento, los cuales deben ser leídos y aceptados y para tal efecto, la
utilización del servicio de correo electrónico corporativo por primera vez se considera como una
aceptación formal por parte del usuario.
3.4. MONITOREO
El servicio de correo electrónico provisto por Colpensiones debe garantizar controles de accesode
autorización y de monitoreo administrados por la Gerencia de Tecnologías de Información y la Gerencia
de Prevención del Fraude, los cuales no pueden ser desactivados ningún usuario, funcionario o
colaborador de la entidad, incluso si dentro de sus funciones tiene la administración del servicio
corporativo del correo electrónico.
Toda la información enviada o recibida a través del servicio de correo electrónico corporativo, puede ser
monitoreada, almacenada y accedida por la Gerencia de Prevención de Fraude de la entidad, según
se requiera o se considere pertinente, con el ánimo de garantizar su uso adecuado y la protección
de la información de la entidad. El usuario acepta que, al enviar información diferente a la
relacionada con el ejercicio de sus funciones, concede autorización a Colpensiones sobre dicha
información para monitorearla, almacenarla o revisarla según sus criterios.
3.5. ENVÍO DE INFORMACIÓN PÚBLICA CLASIFICADA Y RESERVADA

CIBERSEGURIDAD
No se encuentra permitido el envío y recepción de información clasificada como “Clasificada” y/o

“Reservada” sin la aplicación de controles para su protección, a través del servicio de correo electrónico
de Colpensiones.
El envío o recepción de información clasificada como “clasificada” y/o “reservada” debe realizarse a través
de los canales y medios seguros dispuestos por Colpensiones y definidos en las Políticas de transferencia
de información. Además, deberá contar con una justificación de negocio válida, autorización expresa del
dueño del activo de información y requerirá que esta información se envíe de manera cifrada de acuerdo
con las Políticas de cifrado de información de Colpensiones.
La Gerencia de Tecnologías de Información es la responsable de la administración del servicio de correo

electrónico e incorporar parámetros para detectar y prevenir la recepción y el envío de mensajes no
deseados o con posibles infecciones por software malicioso.
3.6. TAMAÑO DE LOS BUZONES DE CORREO
La Gerencia de Tecnologías de la Información debe definir, de acuerdo con las necesidades de los
servidores, funcionarios y terceros y con los recursos de la entidad, el tamaño de los buzones de correo
electrónico y el tamaño máximo de los archivos adjuntos a enviar y recibir.
La Gerencia de Tecnologías de la Información debe evaluar, aprobar y mantener documentados los casos
en que se requiera ampliar los tamaños de los buzones.
Es responsabilidad de la Gerencia de Tecnologías de la Información implementar y mantener los controles

definidos en las Políticas para el Correo Electrónico Corporativo, para la prestación segura del servicio.
La Gerencia de Tecnologías de la Información debe mantener un inventario actualizado de las cuentas de

correo electrónico corporativo, relacionando su responsable y las particularidades que puedan existir con
las debidas aprobaciones.
3.7. CIFRADO, FIRMA DIGITAL Y OTRAS CONSIDERACIONES DE SEGURIDAD
La Gerencia de Riesgos y Seguridad de la Información debe recomendar controles de cifrado, firma digital
y otras consideraciones de seguridad que permitan mitigar o evitar riesgos asociados al servicio de correo
electrónico corporativo. Dichos controles deben ser analizados y si se consideran pertinentes,
implementados por la Gerencia de Tecnologías de la Información o los terceros que se designen para tal
fin. La Gerencia de Riesgos y Seguridad de la Información debe recomendar controles de cifrado, firma
digital y otras consideraciones de seguridad que permitan mitigar o evitar riesgos asociados al servicio de
correo electrónico corporativo. Dichos controles deben ser analizados y si se consideran pertinentes,
implementados por la Gerencia de Tecnologías de la Información o los terceros que se designen para tal
fin.

CIBERSEGURIDAD
3.8. CREACIÓN DE CUENTAS DE CORREO ELECTRÓNICO
Colpensiones la debe asignar una cuenta de correo electrónico a cada uno de los funcionarios, servidores
o terceros que lo requieran para el cumplimiento de sus obligaciones. Así mismo se podrán crear cuentas
de correo electrónico de servicio o para áreas, grupos o procesos específicos si existen razones válidas y
documentadas que lo justifiquen.
Colpensiones debe usar listas de distribución para el envío de comunicaciones masivas sin que para ello
se requiera un buzón de entrada.
La creación de los identificadores de las cuentas de correo electrónico de Colpensiones debe regirse por
los Lineamientos de creación de usuarios y contraseñas, documento publicado en el SIG.
En este marco, es responsabilidad de la Gerencia de Tecnologías de Información administrar el servicio de

correo electrónico corporativo de acuerdo con las Políticas y Lineamientos de Seguridad de la
Información y Ciberseguridad.
Del mismo modo, es responsabilidad de la Gerencia de Riesgos y Seguridad de la información:
 Publicar, comunicar y monitorear el cumplimiento de las Políticas de seguridad para el Correo

Electrónico Corporativo.
 Dar su concepto sobre las solicitudes de acceso externo al servicio de correo electrónico
corporativo.
 Analizar los reportes de los usuarios sobre correos electrónicos sospechosos y gestionar los
incidentes de este servicio corporativo.
 Mantenerse actualizada sobre los riesgos y amenazas emergentes asociadas a este servicio
corporativo y proponer los proyectos de mitigación o control asociados.
La Gerencia de Prevención del Fraude debe realizar monitoreo del servicio de correo electrónico
corporativo y la información enviada y recibida a través de este, para identificar desviaciones del
cumplimiento de las políticas asociadas a dicho servicio, manteniendo en estricta reserva cualquier
información de la entidad o de los usuarios que tienen acceso al servicio de correo electrónico corporativo
y que sea observada dentro del proceso de monitoreo que se realiza al servicio.
Es responsabilidad de los directores del área evaluar y autorizar el acceso externo al correo electrónico
por parte de los servidores públicos, trabajadores oficiales, misionales, personal Sena y terceros de su área
según corresponda y de acuerdo a sus funciones.
Los Gerentes deben administrar de manera responsable las credenciales de acceso a cuentas de correo
electrónico asignadas a su área (cuentas genéricas). En línea con lo anterior, los usuarios del correo
electrónico deben:
 Leer, entender y aceptar las políticas y lineamientos de seguridad y los términos y condiciones del
servicio de correo electrónico corporativo.

CIBERSEGURIDAD
 Dar uso adecuado y responsable al servicio de correo electrónico corporativo bajo las políticas de
seguridad de la información y ciberseguridad, los lineamientos definidos por Colpensiones y la
regulación aplicable vigente.
 Reportar fallas detectadas en el servicio
 No deben abrir o descargar información adjunta de mensajes de correo electrónicos que parezcan
sospechosos.
 No utilizar el servicio de correo electrónico para fines diferentes a los relacionados con el
cumplimiento de sus obligaciones contractuales o laborales.
 No deben enviar información de la entidad etiquetada como “reservada” a través del servicio de
correo electrónico corporativo, sin la aplicación de controles que permitan mantener su integridad
y confidencialidad.
 No utilizar cuentas de correos de otras personas, ni intentar suplantar la identidad en el envío de
mensajes.
 No compartir ni prestar las credenciales de acceso al correo electrónico corporativo.
 No deben enviar mensajes masivos, mensajes cadenas u otro tipo de correos a listas o grupos de
distribución cuando no es parte de sus funciones o responsabilidades.
 No deben utilizar el correo electrónico con fines difamatorios, ofensivos, irrespetuosos, racistas,
obscenos, sexuales, comerciales o políticos.
 Enviar mensajes a quienes lo requieren recibir y evitar la copia innecesaria a otros usuarios.
 Enviar mensajes de correo electrónico firmados de acuerdo con los lineamientos definidos.
 Reportar cuando evidencie o tenga sospechas de violación o incumplimiento a alguna de las
políticas descritas en este documento.
 Reportar cuando pierda acceso a su cuenta de correo electrónico o sospeche que sus credenciales
están comprometidas ver 3.9. ENVÍO DE MENSAJES MASIVOS
No está permitido el envío de mensajes masivos, a listas de distribución o de usuarios, internos o externos,
con propósitos diferentes a los que requieren sus funciones u obligaciones laborales o contractuales.
El envío de información clasificada como “Clasificada” y que es de interés general para la organización
debe realizarse únicamente desde las cuentas de correo electrónico dispuestas para tal fin.
El envío de la información clasificada como “Clasificada” desde cuentas personales está prohibido, así
como el reenvío de dicha información a cuentas de correo electrónico externo.
El envío masivo de correo que es generado desde los sistemas de información e infraestructura de
Colpensiones debe realizarse de acuerdo a la necesidad del servicio y manteniendo las configuraciones y
controles de seguridad correspondientes para evitar que Colpensiones sea categorizado como fuente de
spam por parte de los organismos internacionales de listas negras.
3.10. ENVÍO Y REENVÍO DE INFORMACIÓN MALICIOSA

CIBERSEGURIDAD
No se permite enviar archivos o reenviar mensajes con archivos de tipo ejecutable (por ejemplo, con las
siguientes extensiones .exe, .pif, .scr, .vbs, .cmd, .com, .bat, entre otros) debido a que este tipo de archivos
son frecuentemente utilizados para la propagación de software malicioso.
Colpensiones, a través de la Gerencia de Tecnologías de la Información, o el tercero que disponga para tal
fin, debe mantener configurado el servicio de correo electrónico para que realice detección y prevenga el
reenvío de mensajes no deseados o con posibles infecciones por software malicioso.
3.11. OBLIGACIÓN DE REPORTE

Los correos electrónicos recibidos que parezcan sospechosos o generen duda, o las fallas detectadas sobre
el servicio de correo electrónico corporativo deben ser reportados a la Gerencia de Riesgos y Seguridad de
la Información, de acuerdo con lo definido en las Políticas y lineamientos de Seguridad de la Información
y Ciberseguridad para la Gestión de Incidentes de seguridad y ciberseguridad
3.12. INFORMACIÓN DEL REMITENTE Y FIRMA

Los mensajes enviados desde las cuentas de correo electrónico corporativo deben incluir al final del texto
del mensaje una firma con la información del remitente.
No está permitido enviar mensajes anónimos, así como aquellos que consignen seudónimos, títulos,
cargos o funciones no oficiales.
No está permitido utilizar mecanismos y sistemas que intenten ocultar o suplantar la identidad del emisor
de correo u otras características propias del mismo.
3.13. USO INTRANSFERIBLE DE CUENTAS

Está prohibido que los usuarios del servicio de correo electrónico corporativo envíen y reciban mensajes
a través de cuentas de correo diferentes a las que le hayan sido asignadas. Las credenciales de acceso al
correo electrónico son personales e intransferibles. Para las cuentas de correo electrónico asignadas a
grupos, áreas o procesos específicos, el jefe de área o el dueño del proceso será el responsable del uso
que a dicha cuenta se le dé por lo que debe tomar las precauciones necesarias al compartir la información
de acceso.
3.14. REENVÍO DE CORREO ELECTRÓNICO
No está permitido que los usuarios del servicio de correo electrónico corporativo reenvíen o configuren
redirección automática de los mensajes hacia cuentas de correo electrónico externas.

CIBERSEGURIDAD
4. LINEAMIENTOS DE USO DEL CORREO ELECTRÓNICO CORPORATIVO
4.1. CUENTAS DE CORREO ELECTRÓNICO CORPORATIVO
Se ha dispuesto la creación de todas las cuentas de correo electrónico corporativo según la siguiente
clasificación:
4.1.1. Cuentas individuales o personales de naturaleza corporativa

Los funcionarios, servidores y terceros que lo requieran, deben tener una cuenta de correo electrónico
para el uso diario en el desarrollo de sus actividades laborales o contractuales. Esta cuenta no podrá ser
utilizada para fines comerciales o para atender temas personales del funcionario, servidor o tercero.
El nombre de dicha cuenta se debe ajustar al formato iddeusuario@colpensiones.gov.co de acuerdo con

los Lineamientos de creación de usuarios y contraseñas, documento publicado en el sistema de
almacenamiento documental definido por la Entidad y debe ser utilizada únicamente por el titular de dicha
cuenta. Su contraseña es personal e intransferible.
4.1.2. Cuentas de área

Estas cuentas son creadas para dar solución a las necesidades de comunicación Interna de la entidad en
torno a la gestión de áreas específicas. Deben ser solicitadas directamente por el Presidente,
Vicepresidente, Gerente, Director, Subdirector o Jefe de Oficina del área interesada quien será dueño y
responsable del uso que se dé a dicha cuenta.
El nombre de la cuenta de correo se debe ajustar al formato nombredearea@colpensiones.gov.co y para

su acceso requerirá una contraseña y cambio periódico de la misma, de la cual será responsable el dueño
o solicitante de la cuenta.
4.1.3. Grupo o listas

Estas direcciones de correo electrónico son creadas para dar solución a las necesidades de comunicación
Interna de la entidad, comités u otras asociaciones con propósitos específicos. Deben ser solicitados por
el responsable del grupo.
Los grupos o listas no tendrán un buzón de entrada específico ni podrán enviar mensajes en nombre del
grupo.
4.1.4. Cuentas de servicio

Estas cuentas son creadas para dar solución a las necesidades de administración de sistemas específicos o
para centralizar comunicaciones desde el exterior de la entidad. Deben ser solicitadas directamente por el
Presidente, Vicepresidente, Gerente, Director o Jefe de Oficina del área interesada quien será dueño y
responsable del uso que se dé a dicha cuenta.

CIBERSEGURIDAD
El nombre de la cuenta de correo se debe ajustar al formato

nombredeusuariodeservicio@colpensiones.gov.co y para su acceso requerirá una contraseña, de la cual
será responsable el dueño o solicitante de la cuenta.
Las cuentas de correo que por sus características o impacto al servicio no permitan cumplir con los
requerimientos establecidos en el documento Lineamiento Creación Usuarios y Contraseñas. Deberá
dejarse debidamente documentado el análisis y la justificación de la excepción y presentar el cambio de
la contraseña como mínimo 2 veces al año, acción que debe ser realizada por parte del dueño o solicitante
de la cuenta.
4.1.5. Otras cuentas

En caso de requerirse una excepción, se deberá realizar la solicitud a la mesa de servicios de TI, previo
análisis y autorización del Presidente, los Vicepresidentes o Gerentes con la respectiva justificación; en
todo caso, en la aplicación de las excepciones, se deberá considerar el concepto de la Gerencia de Riesgos
y Seguridad de la Información de acuerdo con el nivel de riesgo que ella represente.
4.2. INFORMACIÓN DEL REMITENTE Y FIRMA

Los mensajes enviados desde las cuentas de correo electrónico corporativo deben incluir al final del texto
del mensaje una firma con la información del remitente
4.3. RECOMENDACIONES Y DEBERES PARA EL ADECUADO USO DEL CORREO ELECTRÓNICO
1 Al redactar un correo tenga presente:

1.1 ¿Qué requiere? Solicítelo al principio del mensaje.
1.2 Escriba de manera puntual, clara y concreta.
1.3 Defina qué, cuándo y cómo. Si no está a su alcance, proponga opciones.
1.4 Tenga en cuenta la ortografía y puntuación. Recuerde que las mayúsculas sostenidas son entendidas
como gritos y predisponen al lector.
1.5 Escriba un buen asunto: corto y que facilite conocer el contenido del mensaje.
2 Cuando reciba correos dirigidos a un grupo o a toda la entidad: Si tiene inquietudes sobre el mismo,
puede responderle a quien lo emitió, pero cerciórese que sea solo a dicha persona y no a todo el
grupo. Cuando no esté seguro de la procedencia del correo evite abrir archivos adjuntos o reenviar
ese correo a otros usuarios. Reporte el evento de riesgo de acuerdo con el Instructivo de Gestión de
Incidentes de seguridad y ciberseguridad.
3 Lea cuidadosamente su mensaje antes de enviarlo: Así evitará que el contenido salga con información
errónea o diferente a como se requiere.
4 Escriba correos cortos y directos, pero no por ello olvide saludar, despedirse y otros buenos modales.
5 Pregúntese cuántas personas necesitan recibir su correo: Limite la distribución a aquellos
destinatarios que realmente requieren conocer la información.

CIBERSEGURIDAD
6 Las leyes que gobiernan las comunicaciones también se aplican a los correos, por ello no olvide lo
referente a Derechos Propiedad Intelectual, privacidad, confidencialidad, difamación y suplantación,
entre otros.
7 Cuando reenvíe un correo: si no es necesario mantener la información previa, elimínela y reenvíe sólo
la información puntual que considere, así le facilitará la lectura a su destinatario.
8 Cuando requiera responder un correo interno pregúntese cuantas personas necesitan recibir su
correo. Limite la distribución a aquellos destinatarios objeto de su interés que realmente requieren
conocer la información usted desea compartir la información objeto de su interés y asegúrese que su
comentario o respuesta no fue enviado a todo el grupo original.
9 Cuando se retire de su puesto de trabajo, no olvide cerrar su sesión: así evitará que otras personas
ingresen a su correo, revisen su buzón o envíen mensajes en su nombre. Todo funcionario debe
asegurarse de que la información reenviada por correo electrónico se haga de manera correcta y
solamente a los destinatarios apropiados. Es responsabilidad de quien envía un correo, que la
información contenida en él no llegue a personas no autorizadas para recibirla.
10 Acorde con lo establecido en la política de cero papel, las comunicaciones oficiales internas
(memorando, circulares, etc.) deben ser transmitidas preferiblemente a través del correo electrónico.
11 Es responsabilidad de los usuarios leer y responder oportunamente los correos electrónicos dado que
son mecanismos oficiales de comunicación.
12 El correo no solicitado, no deseado, o SPAM, debe ser tratado con precaución y por ninguna razón
debe ser contestado.
13 Realizar la depuración de los mensajes de la bandeja de entrada: una vez leídos los correos se
recomienda vaciar la bandeja de entrada de mensajes por completo al menos una vez cada dos días.
Lo anterior opera solamente para correos de carácter informativo los cuales se consideran
documentos de apoyo; los demás correos que impliquen una gestión administrativa deberán ser
conservados en la serie documental correspondiente.
14 Comunicación asertiva: evite discusiones por correo electrónico y ofrezca siempre soluciones al
alcance de su tiempo y capacidad.
DEBERES
15 La información enviada mediante correo electrónico o que sea almacenada en los recursos
informáticos de Colpensiones será monitoreada, incluso después de eliminada. Por lo anterior no se
debe enviar o recibir información personal a través del correo corporativo.
16 Todo funcionario debe asegurarse de que la información reenviada internamente por correo
electrónico se haga de manera correcta y solamente a los destinatarios apropiados. Es
responsabilidad de quien envía un correo, que la información contenida en él no llegue a personas
no autorizadas para recibirla.
17 Acorde con lo establecido en la política de cero papel, las comunicaciones oficiales internas
(memorando, circulares, etc.) deben ser transmitidas preferiblemente a través del correo electrónico.

CIBERSEGURIDAD
18 Es responsabilidad de los usuarios leer y responder oportunamente los correos electrónicos dado que
son mecanismos oficiales de comunicación.
19 El correo no solicitado, no deseado, o SPAM, debe ser tratado con precaución y por ninguna razón
debe ser contestado.
20 Cada usuario del correo electrónico cuenta con un espacio limitado de almacenamiento en el buzón
de entrada, por tal motivo, es responsabilidad de cada usuario mantener el buzón de correo de
acuerdo a los criterios de depuración con el fin de evitar superar el espacio establecido.
21 Ausencia prolongada: el usuario debe habilitar la opción de respuesta automática o de reenvío de
correo al funcionario delegado por su superior inmediato, en el caso de ausencia por licencias,
vacaciones o incapacidades por tiempo prolongado.
22 Archivo de mensajes: los usuarios deben organizar los mensajes de correo de conformidad con las
Tablas de Retención Documental y las series que conforman el archivo según la estructura orgánica
funcional. Los correos, tales como borradores o mensajes informativos, deben eliminarse
periódicamente. La identificación y el asunto en los mensajes de correo facilitan su archivo en su
correspondiente expediente
4.4. PROHIBICIONES EN EL USO DEL CORREO ELECTRÓNICO
Se prohíbe explícitamente:
1 Compartir o prestar las credenciales de acceso al correo electrónico corporativo.
2 Enviar o reenviar mensajes con contenido difamatorio, ofensivo, irrespetuoso, racista, obsceno o
sexual.
3 Utilizar el correo electrónico para propósitos personales, económicos, políticos o comerciales ajenos
a las actividades propias de sus responsabilidades laborales o contractuales con Colpensiones.
4 Enviar, reenviar o recibir información o archivos adjuntos con contenidos diferentes a sus
responsabilidades laborales o contractuales, entre los que se encuentran, sin limitarse a: imágenes,
fotos, archivos de música, películas, vídeos o documentos.
5 Participar en la propagación de mensajes en “cadenas”, o esquemas piramidales dentro y fuera de
Colpensiones.
6 Distribuir de forma masiva mensajes con contenidos que desborden el ámbito de competencias de la
entidad o que pongan en riesgo su operación o la seguridad de la información.
7 Enviar mensajes anónimos, así como aquellos que consignen seudónimos, títulos, cargos o funciones
no oficiales.
8 Utilizar mecanismos y sistemas que intenten ocultar o suplantar la identidad del emisor de correo.
9 Enviar correos SPAM de cualquier índole. Se consideran correos SPAM aquellos enviados de forma
masiva no relacionados con las funciones específicas y generales del cargo y con los procesos y misión
general de Colpensiones.
10 Utilizar el correo electrónico de otro funcionario incluso con su consentimiento.

CIBERSEGURIDAD
11 Enviar por correo electrónico a personas o entidades ajenas a Colpensiones, información catalogada
como “pública clasificada” o “pública reservada” sin la debida autorización expresa de su superior
inmediato, aún si se tiene acceso a dicha información.
12 Enviar archivos ejecutables tales como; .exe.bat entre otros. Los cuales pueden contener código
malicioso
13 Enviar o reenviar información “Pública clasificada o pública reservada” de Colpensiones desde
cuentas personales, a cuentas de correo electrónico externo.
CAPÍTULO II PARA LA GESTIÓN DE ACCESOS
1. OBJETIVO
Establecer las políticas y lineamientos asociados al control de acceso a la información contenida en los
recursos tecnológicos en Colpensiones.
2. ALCANCE
La siguiente política establece directrices asociadas a la gestión de control de accesos y aplica a servidores
públicos, trabajadores oficiales, misionales, personal Sena y terceros que, para el cumplimiento de sus
responsabilidades laborales, contractuales con la entidad o de vigilancia y control requieren acceder a
recursos tecnológicos de Colpensiones.
El acceso físico a las instalaciones de Colpensiones se contempla en las Políticas para Seguridad Física y
Ambiental, contenidas en el manual de políticas y lineamientos de seguridad de la información y
ciberseguridad.
3. POLÍTICAS DE CONTROL DE ACCESOS
3.1. IDENTIFICACIÓN DE LOS USUARIOS
Cuando la Gerencia de Tecnologías de la Información crea una cuenta, los sistemas de control de accesos
deben individualizar a los usuarios a través del uso de identificadores únicos por usuario (cuenta de
usuario). Según el documento Lineamientos de creación de usuarios y contraseñas. En ninguna
circunstancia las cuentas de usuario deberán ser compartidas, transferidas, y su contraseña revelada.
Debe existir una relación única entre los usuarios y sus identificadores asignados, por lo que los
identificadores no podrán ser reasignados o reutilizados.
Los sistemas de información deben utilizar, salvo que existan impedimentos técnicos justificables que
impidan la utilización de los identificadores que Colpensiones asigna a cada uno de los servidores,
funcionarios y terceros dentro de su sistema de Directorio Activo.

CIBERSEGURIDAD
Los lineamientos asociados al nombramiento de identificadores de usuarios se encuentran en el

documento Lineamientos de creación de usuarios y contraseñas publicado en el SIG.
3.2. AUTENTICACIÓN DE LOS USUARIOS
Los sistemas de información utilizados en Colpensiones deben realizar procesos de validación de la

identidad de los usuarios (autenticación) mediante uno de los siguientes factores:
● Algo que únicamente el usuario sabe: por ejemplo, contraseñas o códigos de acceso.
● Algo que únicamente el usuario posee: por ejemplo, tarjetas de proximidad, elementos físicos
como llaves, dispositivos tipo Token o códigos OTP, entre otros.
● Algo que únicamente el usuario es: corresponde a la validación de características físicas o
morfológicas del usuario mediante dispositivos biométricos.
La Gerencia de Tecnologías de la información debe analizar e implementar los métodos de autenticación

y control de acceso a los sistemas de información, bases de datos y servicios que hacen parte de dichos
sistemas.
Los sistemas de información utilizados para la administración de sistemas que soportan los procesos
misionales de la entidad, o que por el nivel de riesgo identificado lo requieran, deben implementar
múltiples factores de autenticación para la validación de la identidad de los usuarios.
Los sistemas de información deben utilizar en cuanto sea posible la autenticación de usuarios que
Colpensiones ha provisto de manera centralizada a través de su sistema de Directorio Activo.
Los sistemas de información deben seguir los lineamientos para la gestión de accesos para el inicio de
sesión descritos a continuación:
● Incluir un mensaje de inicio de sesión sobre el uso aceptable del sistema, aplicación o dispositivo
y sobre la necesidad de ser un usuario registrado y autorizado para poder acceder al mismo.
● Realizar enmascaramiento de las contraseñas o códigos de acceso al realizar el ingreso al sistema
para evitar que sean visualizados en pantalla o en tránsito por la red.
● Configurar las cuentas de usuario para que se bloqueen por un número de intentos de ingreso
fallidos para proteger el sistema de ataques de fuerza bruta.
● El proceso de autenticación debe únicamente generar mensajes de error al finalizar el proceso de
validación sin dar detalles del fallo. En los casos en los que se requiere más de un factor de
autenticación no se debe informar en cada paso el éxito o error de la validación.
● Evitar los mensajes de ayuda durante el ingreso a las aplicaciones.
● Configurar el sistema para que el usuario realice cambio de contraseña cuando la use por primera
vez.
● Almacenar registros o logs de auditoría de los intentos exitosos y fallidos de ingreso.
Las aplicaciones y los sistemas de información deben gestionar las sesiones de usuario contemplando los
siguientes lineamientos:

CIBERSEGURIDAD
● Las sesiones iniciadas de forma simultánea en los aplicativos o plataformas se debe limitar
exclusivamente a las necesidades y autorizaciones establecidas.
● Todos los módulos de los sistemas de información deben manejar métodos de validación de las
sesiones, con el fin de verificar la autenticidad del usuario, el estado de este y las autorizaciones o
permisos.
● Las sesiones de usuario deben tener un parámetro para configurar el tiempo de inactividad del
usuario, el cual una vez transcurrido deberá solicitar nuevamente la autenticación del usuario o
cerrar la sesión para impedir el acceso no autorizado.
3.3. AUTORIZACIÓN DE ACCESOS
Los sistemas de información utilizados en Colpensiones deben permitir configurar permisos o privilegios
agrupados en roles o perfiles de aplicación o técnicos que consideren los siguientes criterios:
● Estar alineados con los permisos y atribuciones requeridos en los roles empresariales definidos.
● Permitir la asignación de permisos con base en los requerimientos del negocio.
● Ser construidos identificando los posibles riesgos por acumulación de funciones y su mitigación
con la debida segregación de responsabilidades.
● Principio de menores privilegios y segregación de funciones.
3.4. CONTROL DE ACCESOS BASADO EN ROLES
Los líderes de proceso de Colpensiones deben definir, documentar y mantener actualizados los roles
empresariales asociados a los cargos que tienen responsabilidades en el desarrollo de las actividades de
su proceso, identificando las necesidades mínimas de acceso a los activos de información, de acuerdo con
las actividades definidas en el subproceso de gestión de accesos y las actividades de segundo nivel
“definición y actualización de roles empresariales, de aplicación y técnicos”, con el apoyo de la Gerencia
de Riesgos y Seguridad de la Información. Los roles empresariales deben contener las aplicaciones o
sistemas de información a los que el usuario debe acceder y los roles/perfiles de aplicación o técnicos en
la aplicación.
Los roles/perfiles de aplicación o técnicos, de las aplicaciones o sistemas de información deben asociar un
conjunto de permisos o atribuciones dentro de la misma y deben estar alineados con los roles
empresariales requeridos por los procesos de la entidad. Los roles/perfiles de aplicación o técnicos, deben
ser definidos por el propietario de la aplicación y mantenidos y documentados por la Gerencia de
Tecnologías de Información.
La definición de los roles empresariales, y en consecuencia de los roles/perfiles de aplicación o técnicos,

debe garantizar que respeta los principios de “Segregación de Funciones” y “Mínimo privilegio requerido”.
Cualquier modificación que se requiera realizar sobre los roles empresariales y los roles/perfiles de
aplicación o técnicos debe ser aprobada por los líderes de proceso / jefes de área y por los propietarios de
los activos de información involucrados, previo concepto de la Gerencia de Riesgos y Seguridad de la
Información.

CIBERSEGURIDAD
El grupo de gestión de accesos tendrá como único insumo los roles empresariales para la asignación de
permisos a aplicaciones.
3.5. PRIVILEGIOS DE ACCESO EN LA ADMINISTRACIÓN DE RECURSOS TECNOLÓGICOS
La Gerencia de Tecnologías de la Información debe garantizar la segregación de responsabilidades entre

ambientes tecnológicos (Ambientes de prueba, desarrollo y producción), preservando siempre con
especial consideración los ambientes productivos. Por tal razón no se permite el acceso de personal
encargado del desarrollo de aplicaciones y sistemas de información a los ambientes de producción. En los
casos que se haga necesario se debe conceder un acceso por demanda por periodos mínimos de tiempo y
se debe garantizar que todas las acciones realizadas por estos usuarios son supervisadas por profesionales
encargados de los ambientes productivos.
El acceso a las bases de datos productivas está restringido únicamente a los profesionales que tienen el
rol de Administrador de Bases de Datos (DBA por sus siglas en inglés) o Gestor de Accesos en ambientes
productivos. Los demás usuarios sólo podrán acceder a la información de las bases de datos a través de
las aplicaciones o sistemas de información que se dispongan para tal fin. El acceso a las bases de datos
debe ser robustecido con controles de red para impedir el acceso a ellas desde otros dispositivos
diferentes a los designados para tal fin.
El acceso al código fuente de las aplicaciones o sistemas de información desarrollados por Colpensiones,
o por quien la entidad designe para tal fin, debe ser restringido únicamente al personal encargado de los
proyectos de desarrollo, y cualquier acceso u operación sobre el código debe dejar los registros de
auditoría necesarios. Ningún usuario que tenga un rol diferente podrá acceder a dicho código fuente ni
siquiera en modo consulta o solo lectura.
3.6. REGISTRO Y AUDITORÍA DE ACCESOS
Los sistemas de información deben dejar registros o logs de auditoría de las actividades de gestión de
usuarios y de los ingresos que los usuarios realizan, para tal fin, la Gerencia de Tecnologías de la
Información debe definir e implementar el registro de logs de las actividades de los usuarios de acuerdo
con lo definido por los propietarios de la información, así como la depuración de estos.
Los registros de los sistemas de control de accesos deben ser monitoreados por la Gerencia de prevención
del Fraude de acuerdo con la criticidad de los activos de información que dichos sistemas protejan.
Los sistemas de información deben mostrar al usuario en cuanto sea posible, la fecha y hora de su último
ingreso para facilitar la identificación de posibles incidentes de seguridad relacionados con suplantación y
compromiso de credenciales de autenticación.
3.7. GESTIÓN DEL CICLO DE VIDA DE LOS ACCESOS
El proceso de gestión de usuarios definido por Colpensiones se encuentra documentado en el Instructivo

de Gestión de Accesos, el cual debe considerar el cumplimiento de las siguientes políticas:

CIBERSEGURIDAD
 La recepción, validación y ejecución de requerimientos de accesos a los recursos tecnológicos

administrados por Colpensiones debe realizarse únicamente por el grupo de gestión de accesos
de la Gerencia de Tecnologías de la Información.
 La Dirección de Talento Humano debe notificar las novedades de ingreso de servidores,
funcionarios, estudiantes en práctica o trabajadores en misión, para que el grupo de accesos
realice el aprovisionamiento básico establecido en el Instructivo de Gestión de Accesos.
 La asignación de accesos a las aplicaciones para un servidor o funcionario con un vínculo laboral
con la entidad debe darse de acuerdo con la solicitud de acceso del jefe del área y con base en los
roles empresariales establecidos para el cargo previa autorización del propietario de la aplicación.
 Para la asignación de accesos a un tercero contratista de la entidad, el supervisor del contrato
debe definir y solicitar dicha asignación a través de los canales dispuestos para tal fin, previa
autorización del propietario de la aplicación.
 Para la asignación de accesos a un tercero perteneciente a un ente de control o vigilancia, se debe
definir y solicitar dicha asignación a través de los canales dispuestos para tal fin, previa
autorización del propietario de la aplicación.
 El supervisor de contrato o convenio debe acordar con el contratista bajo su administración, el
procedimiento para la solicitud de asignación, modificación o retiro de accesos, manteniendo un
inventario actualizado de las solicitudes realizadas al proveedor.
 En los casos de reubicación o traslado, cambio de dependencia o de actividad de servidores
públicos o trabajadores en misión que ingresen a la planta, la Dirección de Gestión del Talento
Humano debe realizar la notificación para que el área encargada de la gestión de accesos remueva
los que tenía inicialmente y el Gerente del área solicite la asignación de los nuevos accesos
requeridos. No se podrán asignar accesos sin antes haber retirado los anteriores. En estos casos
se podrá mantener el mismo identificador de usuario (ID) que había sido asignado anteriormente,
manteniendo la respectiva trazabilidad de los requerimientos.
 Cuando un usuario ingrese en un periodo cesante, la Dirección de Gestión del Talento Humano
debe realizar la notificación para que el área encargada de la gestión de accesos bloquee
temporalmente el ingreso del usuario a todos los sistemas a los que tiene acceso. Con respecto a
las incapacidades, permisos, calamidades y licencias, estas deben ser reportadas si se superan tres
(3) días calendario, por otro lado, en relación con las novedades de vacaciones, se debe notificar
por lo menos un día antes del disfrute de estas.
 El cambio de accesos o la suspensión de estos para los usuarios de terceros surtirá el mismo
trámite descrito anteriormente salvo que la notificación debe ser reportada por parte del
supervisor del contrato o el responsable del convenio.
 El cambio de accesos o la suspensión de estos para los usuarios de terceros pertenecientes a
entidades de control y vigilancia surtirá el mismo trámite descrito anteriormente salvo que la
notificación debe ser reportada por parte de la Gerencia de Planeación Institucional.
 Cuando un servidor público, Trabajador oficial, trabajador en misión, aprendiz SENA o practicante
se retira de la entidad, la Dirección de Gestión del Talento Humano debe realizar la notificación
para que el área encargada de la gestión de accesos retire todos los accesos del usuario, indicado
la fecha y hora de la inactivación.
 El usuario deberá informar la novedad a su jefe directo y realizar la entrega del cargo o de su
puesto, incluyendo toda la información, procedimientos, actividades que realizaba y lo
relacionado con las aplicaciones y accesos a carpetas compartidas, que le habían sido asignados

CIBERSEGURIDAD
en el desempeño de sus funciones, actividades o labores. El jefe por su parte es responsable de

verificar que los accesos que ya no hacen parte de su dependencia sean comunicados de acuerdo
con el Instructivo de Gestión de Accesos para que sean inactivados por el área correspondiente.
 Cuando un tercero se retira de su entidad o finaliza la Prestación del servicio, el supervisor del
contrato o convenio debe realizar la notificación de forma inmediata para que el área encargada
de la gestión de accesos retire todos los accesos del usuario.
 Cuando un tercero perteneciente a una entidad de control y vigilancia, la Gerencia de Planeación
Institucional debe realizar la notificación para que el área encargada de la gestión de accesos retire
todos los accesos del usuario.
 Cuando funcionarios o servidores de Colpensiones requieran acceso a aplicaciones o sistemas de
información administrados por proveedores, se debe coordinar con el proveedor el respectivo
responsable autorizado de solicitar accesos, acorde con el Instructivo de Gestión de Accesos,
garantizando la centralización de los requerimientos y el reporte oportuno de las novedades de
personal. Los responsables autorizados deberán mantener un inventario actualizado de las
solicitudes realizadas al proveedor y los accesos concedidos.
 Para todos los casos, el solicitante debe diligenciar la información completa y legible contenida en
el formulario de solicitud de gestión de accesos en la herramienta definida para tal fin.
3.8. REVISIÓN PERIÓDICA DE ACCESOS
Colpensiones ha definido las actividades de control y seguimiento operativo de accesos que la Gerencia
de Prevención de Fraude debe realizar para identificar posibles desviaciones en la gestión de los accesos
que puedan derivar en eventos de riesgo.
La Gerencia de Riesgos y Seguridad de la Información debe realizar revisiones periódicas para garantizar
la coherencia entre los accesos otorgados, perfiles técnicos asignados y la definición de los roles
empresariales de la entidad, considerando:
● Los roles empresariales y de aplicación serán revisados periódicamente, como mínimo una vez al año
o cuando sea requerido, en conjunto con los líderes de proceso / jefes de área y administradores
técnicos, para garantizar la vigencia y aplicabilidad de la respectiva matriz.
● Las autorizaciones de acceso privilegiado deben ser revisadas por lo menos cada tres (3) meses o
cuando exista un cambio significativo que afecte la matriz de roles empresariales
● Todas las cuentas de servidores, colaboradores o terceros de Colpensiones que no ha presentado
actividad de inicio de sesión en los sistemas de información en más de 30 días, serán deshabilitadas.
La responsabilidad de este control es de los administradores de cuentas de usuario de los sistemas de
información.
● Todas las cuentas de servidores, colaboradores o terceros de Colpensiones que lleven deshabilitadas
más de 180 días, deben ser eliminadas, manteniendo la respectiva trazabilidad y registro. La
responsabilidad de este control es de los administradores de cuentas de usuario de los sistemas.
● En caso de identificar cuentas activas de usuarios retirados de la compañía, se procederá a deshabilitar
o eliminar inmediatamente dicha cuenta según corresponda y se analizarán los LOGS de los usuarios
asociados por cada aplicación donde se encuentre activos, generando las posibles alertas o riesgos.

CIBERSEGURIDAD
Cualquier inconsistencia encontrada en la revisión periódica de los accesos debe ser reportada como
evento de riesgo y ser gestionada como un incidente de seguridad de la información y ciberseguridad.
3.9. GESTIÓN DE USUARIOS PRIVILEGIADOS
El proceso de gestión de usuarios privilegiados definido por Colpensiones se encuentra documentado en

el Instructivo de Gestión de Accesos, el cual debe considerar el cumplimiento de las siguientes políticas:
El acceso de usuarios con permisos de administración o que brinden soporte remoto, de las aplicaciones,
sistemas de información y dispositivos de almacenamiento, procesamiento y transferencia de información
debe estar restringido únicamente a los servidores, trabajadores oficiales, colaboradores y terceros que lo
requieren como parte de sus funciones contractuales o laborales.
Las cuentas privilegiadas del sistema tales como administrador, root, sysadmin, admin, etc, no deberán
ser usadas de forma directa, en caso de requerir utilizar sus funciones deberán ser invocadas por medio
de las cuentas asignadas a cada servidor, colaborador y tercero a través de las características de cada
sistema, siempre y cuando este lo permita.
Los usuarios privilegiados deben ser asignados al menor número de funcionarios y servidores que lo
requieran, garantizando la individualización y trazabilidad de todas las acciones realizadas.
Cada sistema de información, aplicación, dispositivo de almacenamiento, procesamiento y transferencia

de información debe tener un usuario privilegiado bajo custodia para garantizar que nunca se pierde la
posibilidad de realizar administración. Cuando no se puedan crear varios usuarios privilegiados, se debe
mantener el usuario privilegiado bajo custodia o en control compartido.
Los sistemas de control de accesos deben dejar registro de todas las actividades realizadas por los usuarios
privilegiados los cuales deben ser monitoreados por la Gerencia de Prevención de Fraude.
Los usuarios privilegiados deben tener control de máximo número de sesiones o restricciones de sesiones
concurrentes.
3.10. GESTIÓN DE USUARIOS DE SERVICIO
La creación de usuarios de servicio se permite en Colpensiones en los siguientes casos:
● Cuando existen aplicaciones o servicios que requieren utilizar autenticación para la ejecución de
procesos o tareas automáticas sin intervención humana.
● Cuando para la administración o configuración de un sistema o una aplicación se requiere un
usuario con privilegios específicos.
● Cuando un sistema de control, monitoreo o seguridad requiere autenticarse en otros
componentes para garantizar su funcionamiento o estado.

CIBERSEGURIDAD
Los usuarios de servicio deben ser asignados a servidores, funcionarios o proveedores que lo requieran
como parte de sus funciones contractuales o laborales y justificados por los casos definidos anteriormente.
Las credenciales de autenticación de los usuarios de servicio deben mantenerse en custodia dual por
colaboradores de planta de la Gerencia de Tecnologías de la Información y de la Gerencia de Riesgos y
Seguridad de la Información. Los lineamientos asociados a las contraseñas se encuentran en el documento
Lineamientos de creación de usuarios y contraseñas publicada en la herramienta de gestión documental
de Colpensiones en la cual se alojan para consulta de los colaboradores los documentos oficiales de la
Entidad.
3.11. ALMACENAMIENTO DE CONTRASEÑAS PARA PROCESOS AUTOMÁTICOS Y APLICACIONES

Para los casos en que es necesario almacenar contraseñas para que sean utilizadas por aplicaciones o
procesos automáticos, no es permitido almacenarlas en archivos de configuración en texto claro, ni
registrarlas al interior de los códigos fuentes de las aplicaciones.
Siempre que se requiera almacenar una contraseña esta deberá ser almacenada de forma cifrada con un
algoritmo de cifrado fuerte.

CIBERSEGURIDAD
CAPÍTULO III PARA MODIFICACIÓN DIRECTA DE DATOS
1. OBJETIVO
Garantizar la aplicación de los procedimientos y análisis de riesgo para la realización de cambios o
modificaciones directas de datos e información en ambientes de producción de Colpensiones, teniendo
en cuenta los impactos y la identificación de los riesgos que estos puedan generar. Así mismo, contar con
las debidas autorizaciones para realizar los cambios, y garantizar la integridad de la información de sus
bases de datos.
2. ALCANCE
Esta política aplica a todos los dueños de los procesos de Colpensiones, los cuales soliciten cambios
directos de información o datos en los ambientes productivos de la entidad, cuando los sistemas de
información o aplicaciones no puedan realizar dichos cambios.
3. POLÍTICAS
3.1. MODIFICACIÓN DIRECTA DE DATOS
El mecanismo de modificación de datos que se regula mediante la presente política se aplica a los cambios
directos de información o datos de manera excepcional y no podrán ser utilizados como mecanismos
habituales para suplir acciones que pueden ser ejecutadas por los aplicativos o sistemas que interactúan
con las bases de datos donde se almacena dicha información. Es responsabilidad del propietario de la
información velar por la integridad de la información acorde con los cambios solicitados.
3.1.1. Solicitud de acceso para realizar modificación directa de datos
Todas las solicitudes de modificaciones directas de datos deben realizarse mediante el envío del Formato
de Modificación de Información en Bases de Datos vigente a través de la herramienta de gestión de
solicitudes definida por Colpensiones.
En dicho formato debe registrarse la justificación de la necesidad de dicha modificación considerando los
siguientes aspectos:
● Ausencia de una funcionalidad que soporte el cambio requerido. En dicho evento, las solicitudes
deben adjuntar la evidencia de la existencia de un requerimiento hacia la Dirección de Sistemas
de Información donde se soliciten nuevas funcionalidades o la modificación a las ya existentes
enfocadas a solucionar la causa raíz que origina la modificación de datos a realizar, informando la
fecha programada de solución. En caso de que lo anterior no sea viable, se deberá adjuntar el
documento que soporta la justificación, funcional y/o técnica detallando al menos la siguiente
información:
○ La justificación de la no viabilidad de la solicitud del desarrollo.
○ El análisis de riesgos que significa mantener la práctica de la modificación directa de datos
○ Los controles compensatorios implementados.

CIBERSEGURIDAD
○ La aceptación del riesgo por parte de la Vicepresidencia o Gerencia dueña de la

información.
● Volumen de datos a modificar. En dicho caso, el área funcional debe adjuntar el análisis de cargas
de trabajo que implicaría realizar la modificación a través de las funcionalidades de las
aplicaciones, el tiempo que esto llevaría de acuerdo con la capacidad del proceso y el plazo
establecido para realizar la modificación, señalando las implicaciones de su no cumplimiento. En
todo caso, si la modificación masiva de información se realizará de forma recurrente, se debe
adjuntar la evidencia de la existencia de un requerimiento hacia la Dirección de Sistemas de
Información donde se solicite la funcionalidad para soportar los cambios de información
requeridos.
● Plazo en el cual se requiere la modificación de datos: En los casos en los cuales el tiempo requerido
para realizar la modificación a través de la funcionalidad de los aplicativos es superior al plazo
requerido por el negocio, se debe señalar en la justificación respectiva, las implicaciones del
incumplimiento de este plazo. En todo caso si el evento presentado es recurrente, adjuntar la
evidencia de la existencia de un requerimiento hacia la Dirección de Sistemas de Información
donde se soliciten nuevas funcionalidades o la modificación a las ya existentes enfocadas a
solucionar la causa raíz que origina la modificación de datos a realizar.
3.1.2. Autorización de acceso para realizar modificación directa de datos

Las solicitudes recibidas para realizar modificación directa de datos deben ser revisadas, evaluadas y
autorizadas por los propietarios de los activos de información que se solicitan modificar, considerando los
riesgos asociados a la modificación. Dicha responsabilidad está en cabeza de los vicepresidentes, Jefes de
Oficina nivel central, Gerentes o Directores de la entidad.
Toda autorización realizada deberá ser remitida a través de la herramienta de gestión de solicitudes
definida por la Gerencia de Tecnologías de la Información.
3.1.3. Modificaciones permitidas

La ejecución de modificaciones directas de datos está limitada a acciones específicas como insertar, borrar
y actualizar. No está permitida la utilización de otros mecanismos como la ejecución de procedimientos
almacenados.
En los casos en que se requiere la modificación o inactivación de restricciones propias de la base de datos,
se debe garantizar que una vez terminada la modificación de datos dichas restricciones quedan activas
nuevamente. No es permitido agregar, modificar o eliminar restricciones de manera permanente por este
mecanismo; dichos cambios deberá surtir el procedimiento definido por la Gerencia de Tecnologías de la
Información para la gestión de cambios y liberaciones.
Son responsabilidades del solicitante de modificación de datos:

CIBERSEGURIDAD
● Contar con los soportes necesarios que justifiquen la necesidad de la modificación solicitada, la
cual debe estar avalada por el Vicepresidente, Gerente o Director del área.
● Justificar las solicitudes de modificación de datos e información en los ambientes de producción.
● Solicitar el desarrollo que atienda la solicitud de manera definitiva, y realizar el seguimiento para
que el dimensionamiento de la solicitud se legalice y se cumplan los tiempos de desarrollos
definidos.
3.1.4. Segregación de responsabilidades

Colpensiones debe garantizar que en todas las modificaciones directas de datos se respeta el principio de
segregación de funciones entre los funcionarios de tecnología que construyen los scripts de modificación,
las áreas funcionales y dueños de la información que los validan o prueban y los funcionarios de tecnología
que los ejecutan. Estos tres roles deben pertenecer a áreas de reporte independientes dentro de la
Gerencia de Tecnologías de la información.
3.1.5. Copias de seguridad de los datos

Toda modificación directa de datos requiere que desde el Área de Infraestructura antes de su ejecución,
se realice una copia de seguridad de los datos y objetos de bases de datos que van a ser alterados por la
modificación, la cual debe ser siempre restaurada desde los medios provistos por el área de Infraestructura
en caso de que se identifique daño, mal funcionamiento o interrupción abrupta del script de modificación
ejecutado.
En los casos en que el cumplimiento de esta política no sea viable, se deberá dejar constancia del análisis
realizado y de las acciones y controles a realizar en caso de daño, mal funcionamiento o interrupción
abrupta del script de modificación ejecutado.
3.1.6. Terminación deliberada

Los scripts de modificación directa de datos están construidos para ejecutarse sin interrupciones y su
terminación abrupta puede generar inconsistencias en las bases de datos. Por tal motivo, si una
modificación directa de datos se debe terminar antes de su finalización, es obligatorio restaurar la copia
de seguridad tomada antes de empezar el proceso de ejecución.
En todo caso, todos los incidentes asociados a daños, mal funcionamiento o interrupción abrupta de un
script de modificación de datos, debe reportarse a la Gerencia de Riesgos y Seguridad de la Información
como incidente de seguridad, detallando las acciones y controles aplicados para evitar la pérdida de
integridad de la información que esto pueda causar.
3.1.7. Validación de la modificación de datos en ambiente productivo
Es responsabilidad de los propietarios de la información, realizar las verificaciones respectivas para

asegurar que se realizaron las modificaciones en los datos solicitadas, dejando documentada dicha
verificación.

CIBERSEGURIDAD
Se debe propender por validar el cien por ciento de los cambios solicitados, utilizando para ello las
consultas y reportes de los aplicativos. Cuando su volumen no lo permita, se deben establecer muestras
representativas de los cambios solicitados para la respectiva verificación.
3.1.8. Trazabilidad de la modificación directa de datos
Todas las solicitudes de modificación directa de datos deben permitir validar su trazabilidad de principio a
fin, es decir desde la solicitud hasta su ejecución en ambiente productivo y posterior validación y
aceptación del cambio por el área funcional.
La Gerencia de Tecnologías de la información debe definir los mecanismos requeridos para almacenar de
manera centralizada las evidencias que soporten la trazabilidad de las modificaciones directas de datos
ejecutadas.
4. LINEAMIENTOS
4.1. TIPOS DE MODIFICACIÓN DE DATOS
En toda modificación de datos, se debe contemplar el impacto de los cambios sobre dichos registros con
respecto a otras tablas o bases de datos relacionales con el fin de mantener la integridad referencial,
asegurando que en todo momento dichos datos sean correctos, sin repeticiones innecesarias, o
inconsistentes. Es responsabilidad de la Gerencia de Tecnologías de la información, realizar este análisis,
dejando debidamente documentado el mismo.
Las modificaciones de datos deben contemplar la categoría de acción desarrollada sobre los mismos, para
lo cual se podrán clasificar en:
 Modificación: Solicitud de cambio de información en un registro por otra.

 Eliminación: Solicitud de borrado o supresión un registro.
 Inserción: Solicitud de adición de información de un registro.
4.2. EVALUACIÓN DE RIESGOS DE LA MODIFICACIÓN DIRECTA DE LOS DATOS
Es responsabilidad del propietario de la información y de la Gerencia de Tecnologías de la Información,

como primera línea de defensa, identificar los riesgos de la modificación o cambio de la información que
se solicite, dejándolos debidamente documentados en el formato respectivo. En este marco, se debe
considerar:
● Los solicitantes, propietarios de la información y líderes técnicos deben ser conscientes del
impacto de la modificación de los datos para el negocio, cuando se modifique entre otros datos:
● Tipo y número de documento de identidad

● Nombres y Apellidos

CIBERSEGURIDAD
● Razón Social
● Género
● Fecha de Nacimiento
● Fecha de expedición de documento de identidad
● Información de contacto y ubicación
○ Dirección
○ Teléfono
○ Correo electrónico
● Información de aportantes
● Novedades laborales
● Valores de pagos, recaudos y sus respectivas relaciones laborales.
● Datos de parametrización o reglas de negocio.
● O cualquier otra información relacionada con la misión del negocio.
● No deben llevarse a cabo cambios o modificaciones de los datos de negocio o técnicos de las bases
de datos productivas si las partes involucradas no comprenden de manera sistemática los
impactos y la afectación para su proceso y el de los demás.
● Si se presenta una solicitud que involucre un volumen de datos superior a 50 cambios, se deberá
tener en cuenta un control adicional en los ambientes que permitan asegurar que las
modificaciones que se realicen correspondan a lo que efectivamente se necesita modificar.
● En dichos casos, se deberán realizar los análisis y pruebas que garanticen que el cambio va a surtir
el resultado esperado y no tiene efectos indeseables.
● Según la evaluación del impacto realizada sobre la modificación de los datos, se deberá
contemplar un procedimiento de reversión de cambio en el evento que la modificación de datos
no sea exitosa, que garantice dejar en el estado inicial solamente los datos modificados, cuando
éste afecte principalmente datos del negocio (información relacionada con la misión y objeto del
negocio).
Adicional a lo anterior, en línea con las responsabilidades que le atañen en la gestión de riesgos a la
segunda línea de defensa, la Gerencia de Riesgos y Seguridad de la Información, es responsable de:
● Definir las metodologías que permitan identificar adecuadamente los riesgos por parte de los
responsables de la información y la Gerencia de Tecnologías de la Información
● Asesorar cuando se requiera por parte de las gerencias involucradas, la identificación de riesgos
asociados a la solicitud de modificación de datos.
● Mantener un registro de las solicitudes de modificación de datos, realizadas por las áreas de
negocio.
● Monitorear y alertar sobre las modificaciones realizadas mediante este procedimiento y que no
cumplan con la política de modificación de datos.

CIBERSEGURIDAD
● Revisar periódicamente el uso del proceso de modificación de datos y verificar que los actores
implicados soliciten la generación de soluciones tecnológicas que permitan minimizar el uso de
modificación de datos como alternativa de solución a la actualización de la información.
4.3. CONSIDERACIONES TÉCNICAS

Los solicitantes, propietarios de la información y líderes técnicos deben tener presentes las siguientes
consideraciones de seguridad al momento de construir, verificar y autorizar los scripts y/o procedimientos
de modificación directa de los datos:
● Por medio de este mecanismo no se permite la construcción, modificación o eliminación de

restricciones, índices, procedimientos almacenados, tablas, vistas u otros elementos de bases de
datos permanentes, por lo que cualquier elemento que se cree para realizar la modificación debe
ser eliminado una vez termine el script.
● La creación de objetos de bases de datos debe utilizar nombres únicos que estén relacionados con
la modificación y en ninguna circunstancia puede utilizar nombres de otros objetos de bases de
datos ya existentes.
● Si se reutilizan scripts para realizar modificación directa de datos se debe garantizar que los
objetos de bases de bases de datos tienen nombres diferentes.
● Es responsabilidad de la Gerencia de tecnologías de información:
○ Asignar un Líder Técnico o responsable para cada solicitud de modificación de datos e
información.
○ Gestionar los aspectos técnicos que sean requeridos para realizar la modificación de
datos.
○ Mantener el registro de la ejecución de scripts o solicitudes de modificación de datos.
Es responsabilidad de la Dirección de Infraestructura tecnológica:
● Ejecutar o rechazar la solicitud de modificación de datos realizada por el área funcional de acuerdo
con el análisis realizado sobre complejidad, impacto, volumen o cantidad de registros a intervenir.
En el evento de rechazar la solicitud, ésta deberá ser radicada mediante el proceso de
implementación y entrega del servicio de TI.
● Ejecutar los scripts o solicitudes de modificación de datos, autorizados por los propietarios de
información y la Dirección de Sistemas de Información.
● Informar los resultados de la ejecución de la modificación de datos, a los solicitantes, propietarios,
Líder Técnico y a la Gerencia de Riesgos y Seguridad de la Información.

CIBERSEGURIDAD
CAPÍTULO IV DISPOSITIVOS PARA MOVILIDAD Y ACCESO REMOTO
1. OBJETIVO
Definir las políticas asociadas con la posibilidad de acceder a los recursos desde cualquier sede de la
entidad (movilidad) y acceder a los recursos sin necesidad de estar en la entidad (Acceso remoto), para
garantizar la adecuada protección de la información de la entidad.
2. ALCANCE
La siguiente política aplica a:
● Servidores, trabajadores oficiales, trabajadores en misión y terceros de Colpensiones, que tienen

acceso a los recursos de la entidad, especialmente a quienes tienen asignados dispositivos móviles
propiedad de Colpensiones.
● Funcionarios y servidores de Colpensiones con funciones de mesa de ayuda, soporte técnico y
seguridad informática, que implementan y mantienen la configuración y el funcionamiento de los
dispositivos móviles.
3. POLÍTICAS
3.1. MOVILIDAD
Colpensiones reconoce que por el objeto de su misión, y por su naturaleza y tamaño, cuenta con diferentes
sedes entre las cuales están distribuidas sus áreas, funcionarios y servidores; por tal razón define
estrategias de movilidad que faciliten el desplazamiento sin afectar la operación.
Las estrategias de movilidad definidas deben garantizar que la información permanece confidencial,
íntegra y disponible en niveles acordes con su clasificación.
Las estrategias de movilidad deben contemplar como mínimo: repositorios de información centralizados,
terminales livianas, dispositivos móviles de usuario final y de procesamiento de información e
infraestructura de comunicaciones; cada uno de los anteriores con los controles de seguridad requeridos
según el análisis de riesgos realizado y revisado al menos una vez al año.
Es responsabilidad de los usuarios que de acuerdo con sus funciones, les sea permitido el uso de
dispositivos “móviles propios” o de “Colpensiones”, para el desempeño de sus funciones, deben cumplir
con:
 Reportar cualquier evento de riesgo que pueda afectar la protección de la información,

particularmente cuando su dispositivo ha sido robado o extraviado.
 Las Políticas, lineamientos y procedimientos de Seguridad de la Información y Ciberseguridad de
Colpensiones.

CIBERSEGURIDAD
 La Gerencia de Tecnologías de la Información solo podrá instalar en los dispositivos móviles las
aplicaciones previamente autorizadas y evaluadas junto con la Gerencia de Riesgos y Seguridad de
la Información.
 La Gerencia de Tecnologías de la Información debe mantener activas y sin modificación en su
configuración las protecciones de seguridad definidas para dispositivos móviles.
 Activar las características de cifrado del dispositivo móvil
 Mantener en todo momento el sistema operativo actualizado
Recomendaciones para usuarios de dispositivos móviles de Colpensiones:
 No descuidar el dispositivo móvil en ningún momento. Mantenga la pantalla bloqueada si no está

utilizando dispositivo móvil, activando la opción de desbloqueo por código de acceso o huella
 Navegar responsablemente por Internet de acuerdo con las políticas y lineamientos de seguridad
de la información y ciberseguridad del presente manual
 No conectar el móvil a puertos USB desconocidos y no aceptar ninguna relación de confianza a
través de USB sin estar seguros de que el ordenador es de confianza.
 No mantener activas las opciones de conexión inalámbricas que no vayan a ser utilizadas.
 No conectarse a redes Wi-Fi públicas abiertas.
 Proteger las contraseñas de acceso asignadas para los sistemas de información.
 Está prohibido descargar información clasificada como Pública Clasificada o información Pública
Reservada en el dispositivo móvil. Se debe mantener siempre en su perfil de escritorio virtual
asignado.
 Participar en las campañas de concientización sobre temas de riesgos, seguridad de la información
y ciberseguridad, adelantadas por Colpensiones.
 No compartir sus contraseñas de acceso con otras personas. Se debe garantizar que mientras las
digita en su dispositivo móvil nadie la está observando.
 Permitir los procesos de actualización de aplicaciones y sistema operativo de acuerdo con los
lineamientos de la Gerencia de Tecnologías de la Información.
Recomendaciones para usuarios de dispositivos móviles propios
 En equipos personales se Evitar la instalación de programas, juegos, videos, o cualquier otro

software que provenga de sitios no seguros. Cerciórese de los comentarios sobre la aplicación que
va a instalar
 Evitar divulgar su información personal y corporativa en páginas web de encuestas, compras por
internet u otras diferentes al ejercicio de sus funciones
 Evitar la instalación de programas, juegos, videos, o cualquier otro software que provenga de sitios
no seguros. Cerciórese de los comentarios sobre la aplicación que va a instalar, sospeche de

CIBERSEGURIDAD
aplicaciones gratis que generalmente son pagas, active las opciones de los dispositivos que le
permiten verificar si la aplicación es maliciosa e instale un antivirus y manténgalo actualizado.
3.2. DISPOSITIVOS MÓVILES PROVISTOS POR COLPENSIONES
3.2.1. Asignación
Los dispositivos móviles propiedad de Colpensiones deben ser asignados y entregados a usuarios
específicos que aceptarán y garantizarán su uso adecuado y responderán por ellos de acuerdo con los
términos y políticas de uso aceptable definidos.
Es responsabilidad de la Gerencia de Tecnologías de la Información definir los procedimientos y criterios

de asignación para la entrega y devolución dispositivos móviles.
3.2.2. Inventariado y etiquetado

Los dispositivos móviles propiedad de Colpensiones deben estar claramente identificados, inventariados
y etiquetados para facilitar su reconocimiento visual.
 Es responsabilidad de la Gerencia de Tecnologías de la Información mantener actualizado el

inventario de dispositivos móviles propiedad de Colpensiones, sus características y sus
responsables asignados.
 La Gerencia de Tecnologías de la información debe alistar y etiquetar los dispositivos móviles
propiedad de Colpensiones antes de su entrega a los usuarios responsables.
3.2.3. Almacenamiento cifrado

Los dispositivos móviles propiedad de Colpensiones que puedan llegar a almacenar información clasificada
como Pública Clasificada o Pública Reservada, deben contar con controles de cifrado en su
almacenamiento con sistemas de autenticación diferentes a los propios de los sistemas operativos
utilizados para su funcionamiento.
El sistema de cifrado deberá eliminar la información del dispositivo móvil después de un número
determinado de intentos de acceso fallidos para garantizar que no será accedida por usuarios no
autorizados.
La Gerencia de Tecnologías de la información debe Instalar y configurar adecuadamente los controles de

cifrado de disco.
3.2.4. Borrado remoto

Los dispositivos móviles propiedad de Colpensiones que puedan llegar a almacenar información clasificada
como Pública clasificada o Pública clasificada, deben contar con controles de borrado o inactivación
remota para garantizar la información no será accedida usuarios no autorizados en caso de hurto o
pérdida.
Es responsabilidad de la Gerencia de Tecnologías de Información instalar y configurar adecuadamente los

controles de borrado o inactivación remota.

CIBERSEGURIDAD
3.2.5. Controles de acceso

Los dispositivos móviles propiedad de Colpensiones deben tener controles de acceso que garanticen la
identificación de los usuarios y limiten el acceso a la información en ellos contenidos de acuerdo con su
perfil.
La autenticación debe realizarse preferiblemente contra los sistemas centralizados que Colpensiones
defina para tal fin, o ante la imposibilidad de hacerlo, debe garantizarse que los sistemas locales de
autenticación cumplan con los parámetros de complejidad de contraseñas definidos en los Lineamientos
de creación de usuarios y contraseñas, publicada en la herramienta de gestión documental de
Colpensiones en la cual se alojan para consulta de los colaboradores los documentos oficiales de la
Entidad. Los controles de acceso para dispositivos móviles deberán cumplir con las Políticas de Gestión de
Accesos definidos en este manual. Es responsabilidad de la Gerencia de Tecnologías de Información
instalar y configurar adecuadamente los controles de restricción de tráfico.
3.2.6. Bloqueo automático

Los dispositivos móviles propiedad de Colpensiones deben estar configurados para bloquearse
automáticamente después de un tiempo determinado de inactividad.
3.2.7. Geolocalización
Los dispositivos móviles propiedad de Colpensiones, que soporten la funcionalidad, deben mantener la
geolocalización activada para permitir su rastreo remoto, a través del sistema de posicionamiento global
(GPS por sus siglas en inglés), en caso de pérdida o hurto.
3.2.8. WIFI, Bluetooth, NFC y otras opciones de conectividad

Los dispositivos móviles propiedad de Colpensiones deben mantenerse con las opciones de conectividad
Wifi, Bluetooth, NFC y otras tecnologías de conexión remota apagadas. Únicamente deberán encenderse
cuando sean estrictamente necesario.
La conexión a redes fuera del control de Colpensiones debe realizarse con todas las precauciones
requeridas y bajo la responsabilidad total del usuario.
3.2.9. Software antivirus y antimalware

Los dispositivos móviles propiedad de Colpensiones deben contar con controles de protección antivirus y
antimalware que tengan soporte y aseguren actualizaciones de firmas periódicamente en tiempos
aceptados por la entidad.
El software antivirus y antimalware debe estar configurado para que se actualice automáticamente sin
intervención de los usuarios finales.
El software antivirus y antimalware debe estar configurado para realizar análisis periódicos y remediación
sin intervención de los usuarios finales.
El software antivirus y antimalware no podrá ser desactivado, desinstalado o inhabilitado por los usuarios
finales.

CIBERSEGURIDAD
El software de antivirus y antimalware debe cumplir con las Políticas contra Código Malicioso definidos
por la Gerencia de Riesgos y Seguridad de la Información.
3.2.10. Instalación de software

En los dispositivos móviles propiedad de Colpensiones la instalación y desinstalación de software sólo la
podrá realizar el personal de la Vicepresidencia de Planeación y Tecnologías de la Información, o quien
ellos designe para tal fin. Los usuarios finales de los dispositivos deben abstenerse de instalar cualquier
tipo de software, incluso si este está autorizado y permitido.
En los dispositivos móviles propiedad de Colpensiones solo se debe instalar software aprobado
previamente por la Gerencia de Tecnologías de la Información y por la Gerencia de Riesgos y Seguridad de
la Información.
Es responsabilidad de la Gerencia de Tecnologías de Información definir los procedimientos, manuales o

automáticos, para la actualización del sistema operativo y aplicaciones instaladas en los dispositivos
móviles.
3.2.11. Control de navegación

Los dispositivos móviles propiedad de Colpensiones deben contar con soluciones de control de navegación
local, con software de propósito específico o a través del software antivirus y antimalware, para garantizar
el no acceso a páginas web con contenido explícitamente prohibido que nombra la política de Control de
la navegación en internet y los que considere la Gerencia de Prevención de Fraude constituyan un riesgo
para la organización.
3.2.12. Firewall local o de host

Los dispositivos móviles propiedad de Colpensiones que lo permitan deben contar con controles para
restringir el tráfico de información entrante y saliente. Dichos controles no deben permitir ser
configurados, desactivados, desinstalados o inhabilitados por los usuarios que no tengan estas
atribuciones para el ejercicio de sus funciones.
3.2.13. Actualización periódica

La Gerencia de Tecnologías de la información debe mantener Los dispositivos móviles propiedad de
Colpensiones con versiones estables y actualizadas de los sistemas operativos utilizados para su
funcionamiento y de las aplicaciones en ellos instaladas.
Es responsabilidad de la Gerencia de tecnologías de la información configurar los dispositivos móviles para

su actualización automática y llevar control de las actualizaciones manuales para garantizar que los
dispositivos móviles tienen versiones actualizadas y seguras.
La Gerencia de Tecnologías de Información debe configurar adecuadamente los controles de acceso a los
dispositivos móviles.

CIBERSEGURIDAD
3.3. POLÍTICAS DE SEGURIDAD PARA ACCESO REMOTO

Colpensiones reconoce que para la ejecución de algunas funciones críticas se requiere que algunos
funcionarios y servidores accedan a los sistemas de información o a otros recursos dispuestos por la
entidad, por tal motivo se permite, previa justificación del Gerente del área el acceso remoto a los
escritorios virtuales.
Cuando los funcionarios y servidores autorizados a utilizar los escritorios virtuales de manera remota no
posean dispositivos móviles de propiedad de Colpensiones, podrán acceder a ellos utilizando sus
dispositivos móviles o equipos de escritorio mediante la URL provista para tal fin.
La utilización de escritorios virtuales a través de Internet, especialmente cuando se realice desde equipos
que no son propiedad de Colpensiones, no deben permitir portapapeles compartido, carga o descarga de
información y archivos.

CIBERSEGURIDAD
CAPÍTULO V PARA LAS REDES DE COLPENSIONES
1. OBJETIVO
Definir las políticas asociadas con el aseguramiento de las redes cableadas e inalámbricas de Colpensiones,
para garantizar la adecuada protección de la información de la entidad y el uso responsable de los recursos.
2. ALCANCE
La siguiente política aplica a servidores, trabajadores oficiales, trabajadores en misión, personal Sena y
terceros de Colpensiones e invitados ocasionales que tengan acceso a las redes provistas por
Colpensiones.
3. POLÍTICAS
3.1. SOBRE LAS REDES Y CONECTIVIDAD
La Gerencia de Tecnologías de la Información debe determinar las necesidades de conectividad interna y

externa en el cumplimiento de sus objetivos misionales y estratégicos, para garantizar la oportunidad,
efectividad y eficiencia de las operaciones.
Las redes internas y las conexiones a redes externas deben ser gestionadas por la Gerencia de Planeación
y Tecnologías de la Información, para garantizar la seguridad de la información y de los servicios de la
entidad, y el uso responsable de los recursos.
La Gerencia de Tecnologías de la Información, debe mantener un mapa de red actualizado que contenga
información detallada de los segmentos de red interna, zonas desmilitarizadas o DMZ, de las conexiones
a Internet, con terceros a redes WAN y cualquier otro que se incluya dentro de la infraestructura de red
de la entidad.
La Gerencia de Tecnologías de la Información debe definir las medidas de seguridad mínimas exigidas a
los equipos que se conectarán a la red de la entidad. No se debe permitir la conexión de dispositivos que
incumplan dichas medidas de seguridad.
Así las cosas, La Gerencia de Tecnologías de la Información debe:
● Definir y documentar las necesidades de conectividad de la entidad y proveer los recursos

necesarios para suplirlas.
● Mantener actualizado el inventario de dispositivos de comunicaciones propiedad de
Colpensiones, sus características y sus responsables asignados.
● Mantener actualizado el mapa de red de Colpensiones.
● Instalar, configurar y ubicar adecuadamente los dispositivos de comunicaciones y de red.

CIBERSEGURIDAD
● Mantener copias de seguridad de la configuración de los dispositivos de comunicaciones de la

entidad que por su criticidad así lo requieran.
3.2. SEGMENTACIÓN DE LA RED

La red de Colpensiones debe segmentarse para agrupar componentes o equipos con funciones similares
o que necesiten estar en el mismo segmento de red de otros para garantizar su funcionamiento. La
segmentación de la red debe permitir identificar, controlar y monitorear el tráfico en toda la red.
Es responsabilidad de la Gerencia de Tecnologías de la Información definir, implementar, mantener y

documentar la arquitectura y segmentación de red.
3.2.1. Segmentos de red internos

Se deben definir diferentes segmentos de red internos por tipo o función y ubicar en ellos equipos con
funcionamiento similar que no deban tener acceso directo desde o hacia redes públicas o internet.
Los equipos, dispositivos o componentes que almacenan información “Pública clasificada” o “Pública
reservada” deben estar en segmentos internos de red sin conectividad directa a redes públicas o internet.
Los sistemas de información que provean servicios a los usuarios internos deben estar ubicados en redes
o segmentos de red específicos de servidores, separados de las redes o segmentos de usuarios y DMZ.
3.2.2. Segmentos de red con características de zonas desmilitarizadas (DMZ)

Para garantizar el intercambio seguro de tráfico entre las redes de Colpensiones y otras redes públicas
como Internet, se deben configurar segmentos de red con características de zonas desmilitarizadas o DMZ
por donde fluya y sea monitoreado y controlado todo el tráfico entrante y saliente.
En las zonas desmilitarizadas o DMZ deben estar ubicados todos los equipos y componentes de la
infraestructura de red de Colpensiones que reciban tráfico, peticiones de red o consumo de servicios desde
redes públicas o Internet. Los sistemas de información que sean consultados desde redes públicas o
Internet deben tener únicamente sus componentes de presentación en estos segmentos desmilitarizados,
mientras que los que contienen lógica de negocio y almacenamiento de datos deben estar ubicados en
segmentos internos y protegidos de red.
No está permitido ubicar en las zonas desmilitarizadas o DMZ, equipos o componentes de red que
almacenen información clasificada como “Pública clasificada” o “Pública Reservada” ni ningún otro
sistema de información, equipo o componente que sea únicamente usado desde el interior de la red de
Colpensiones.
3.2.3. Separación de ambientes

Se debe garantizar la segmentación de entornos de desarrollo, pruebas, producción y los demás que se
requieran, impidiendo el tráfico entre ellos y asegurando así los ambientes productivos. En los casos en
que se requiera transportar información entre ambientes se deben usar aplicaciones o sistemas que
permitan limitar el tráfico únicamente al estrictamente necesario.

CIBERSEGURIDAD
Antes de aplicar cambios en dispositivos activos de la red de Colpensiones, estos deberán evaluarse, y
aprobarse y aplicarse en ambientes controlados.
Es responsabilidad de la Gerencia de Tecnologías de la Información mantener un ambiente pre productivo

de la red para probar y aprobar los cambios antes de aplicarlos en los dispositivos productivos de red.
3.3. CONTROL DE TRÁFICO ENTRE SEGMENTOS DE RED

El tráfico entrante y saliente entre segmentos de red debe estar claramente identificado, justificado y
controlado. No se permite tráfico de ningún tipo entre dos segmentos de red que no lo requieran.
El tráfico entrante y saliente entre las zonas desmilitarizadas hacia redes públicas o Internet o hacia
segmentos de red internos debe estar claramente identificado, justificado y controlado por dispositivos
tipo Firewall y preferiblemente con características avanzadas para la detección o prevención de intrusos
(IDS o IPS).
Las políticas de firewall deben tener claramente identificadas y documentadas las direcciones de origen y
destino, así como los puertos, protocolos o servicios permitidos. No podrán existir políticas de firewall con
orígenes, destinos, puertos, protocolos o servicios no determinados o con comodines tipo ANY.
Está prohibida la utilización de dispositivos que hagan conexiones tipo puente o by pass entre zonas de
red con distinto nivel de confianza. Todo el tráfico entre diferentes segmentos de red debe ser controlado
por dispositivos tipo Firewall.
3.4. REDES INALÁMBRICAS

Colpensiones puede ofrecer, si lo considera necesario, conectividad a funcionarios, servidores, terceros o
invitados por medio de redes inalámbricas. Este servicio debe contar con procedimientos y lineamientos
explícitos para su solicitud, justificación y aprobación, los cuales deben estar publicados en el sistema de
almacenamiento documental definido por la Entidad.
3.4.1. Identificadores de redes inalámbricas (SSID)

Los identificadores de las redes inalámbricas (SSID) deben configurarse de manera oculta y de acuerdo con
el estándar de nombramiento y seguridad que defina la Gerencia de Tecnologías de la Información. Se
debe garantizar que no se irradian SSID por defecto.
3.4.2. Cobertura
Colpensiones a través de la Gerencia de Tecnologías de la Información evaluará las necesidades de
conexión inalámbrica y definirá la prestación de dicho servicio en caso de requerirse.

CIBERSEGURIDAD
3.4.3. Puntos de Acceso inalámbricos (AP)

Los puntos de acceso (AP) a la red inalámbrica se deben instalar en ubicaciones físicas de difícil acceso y
manipulación y se deben configurar en segmentos de red específicos para la administración de dichos
dispositivos. Deben existir mecanismos que controlen las conexiones entre los APs y otros recursos de red.
Todos los AP instalados en la entidad deben ser aprobados, debidamente configurados e instalados por la
Dirección de Infraestructura Tecnológica o por el tercero que ella disponga para tal fin. No está permitida
la instalación de AP por parte de funcionarios, servidores o terceros sin la debida aprobación y
autorización.
3.4.4. Redes Ad Hoc

Los equipos de cómputo dotados de acceso inalámbrico deben configurarse para deshabilitar la posibilidad
de conexión directa entre estaciones (enlaces Ad Hoc); para esto, la Gerencia de Tecnologías de la
Información debe definir las guías de configuración segura que garanticen el cumplimiento de la presente
política.
3.4.5. Inspecciones a la red

La Gerencia de Tecnologías de información a través del equipo de seguridad informática debe realizar
inspecciones periódicas para la detección de AP no autorizados (rogue AP), dispositivos en modo
promiscuo, honeypots vecinos, redes inalámbricas no autorizadas (dispositivos dentro del área irradiando
otros SSID) así como AP con configuraciones de red incorrectas o inseguras.
Las inspecciones pueden realizarse mediante inspección física o mediante la utilización de analizadores de
redes inalámbricas o sniffers.
Es responsabilidad de la Gerencia de Tecnologías de la Información:
 Definir y mantener guías de configuración segura (hardening) para los dispositivos de

comunicaciones y de red de la entidad.
 Definir, implementar y monitorear los procedimientos y controles de seguridad sobre la red
cableada e inalámbrica.
 Monitorear las redes de la entidad para garantizar su disponibilidad, rendimiento y facilitar la
gestión de incidentes sobre ellas.
 Instalar y configurar adecuadamente los controles de restricción de tráfico.
Así mismo, La Gerencia de Prevención del Fraude tiene las siguientes responsabilidades:
 Definir e implementar las reglas de navegación en la entidad.
 Monitorear la navegación de la entidad para garantizar el uso racional del recurso de Internet.
 Definir e implementar configuración segura sobre los dispositivos de transferencia segura de
información.
 Definir e implementar controles para evitar fuga de información.

CIBERSEGURIDAD
 Monitorear los logs de eventos de los dispositivos de red y comunicaciones para identificar
oportunamente eventos de riesgo.
3.4.7. Cifrado
La Gerencia de Tecnologías de la Información debe implementar medidas de seguridad para garantizar
que el proceso de autenticación y el envío y recepción de tráfico se haga de manera cifrada evitando así
comprometer las credenciales de autenticación y la información sensible.
3.5. CONEXIONES CON REDES EXTERNAS, PÚBLICAS E INTERNET
Cualquier conexión desde redes externas a la red de Colpensiones, debe ser autorizada por la Gerencia de
Tecnologías de la Información y debe contar con las medidas de seguridad adecuadas para llevar los riesgos
identificados a niveles aceptados por la entidad, incluyendo el cumplimiento de los requerimientos
regulatorios aplicables.
Está prohibido conectar a la red de Colpensiones dispositivos móviles propios para conectarse a Internet,
por medio de conexiones WIFI, bluetooth, cableadas o de cualquier otro tipo.
El tráfico desde y hacia redes públicas e internet debe preferiblemente ser enviado o recibido por
dispositivos o equipos ubicados en zonas de red desmilitarizadas o DMZ.
3.6. AUTORIZACIÓN DE ACCESO A LAS REDES DE COLPENSIONES

Colpensiones debe definir las necesidades propias de los servidores públicos, trabajadores oficiales,
trabajadores en misión, personal Sena y terceros para identificar los requisitos de conectividad requeridos
por cada uno, y garantizar que dichos requisitos son suplidos mediante los recursos y tecnologías de la
entidad.
El uso de las redes de Colpensiones está limitado al cumplimiento de las responsabilidades que cada
usuario tenga con la entidad y no para fines personales.
El acceso de terceros a la red de Colpensiones debe ser solicitado y justificado por el supervisor de cada
contrato, validados por la Gerencia de Riesgos y Seguridad de la Información y, concedido y configurado
por la Dirección de Infraestructura Tecnológica.
3.7. CONTROL DE ACCESO A LAS REDES DE COLPENSIONES

El acceso a la red de Colpensiones debe contar con un sistema de control de acceso que permita identificar,
individualizar y restringir la posibilidad de conexión y el tráfico de los equipos y usuarios que usen los
recursos de red.
El control de acceso de la red debe cumplir con las Políticas de Control de Accesos incluidos en el presente
manual.

CIBERSEGURIDAD
Es responsabilidad de Gerencia de Tecnologías dela Información definir e implementar los controles de

acceso asociados a las redes de Colpensiones, de conformidad a las Políticas de Control de Accesos
dispuestos en el presente manual.
Así mismo, es responsabilidad del usuario de las redes de Colpensiones:
 Cumplir con las Políticas y Lineamientos de Seguridad de la Información y Ciberseguridad de

Colpensiones.
 Utilizar los recursos de red provistos por Colpensiones de acuerdo con los términos y condiciones
definidos.
 Reportar cualquier evento de riesgo que pueda afectar la protección de la información,
particularmente cuando su dispositivo ha sido robado o extraviado, de acuerdo con el Instructivo
de Gestión de Incidentes de Seguridad y ciberseguridad. Ver tabla1
 Evitar visitar sitios con contenido explícito para la descarga, utilización o instalación de programas,
juegos, videos, o cualquier otro software que no haya sido previamente autorizado por el Director
o Gerente del área, teniendo en cuenta las consideraciones de la Gerencia de Riesgos y Seguridad
de la Información.
 Abstenerse de visitar sitios en internet de dudosa procedencia o con contenidos explícitos de ocio,
piratería, pornografía, trata de personas, hacking, virus y malware.
 Evitar divulgar su información personal y corporativa en páginas web de encuestas, compras por
internet u otras diferentes al ejercicio de sus funciones.
 Evitar instalar puntos de acceso (AP) o establecer conexiones a redes públicas e Internet a través
de dispositivos no autorizados por Colpensiones.
 Participar en las campañas de concientización sobre temas de riesgos, seguridad de la información
y ciberseguridad, adelantadas por Colpensiones.
3.8. ACEPTACIÓN DE LOS TÉRMINOS Y CONDICIONES DEL SERVICIO

Los usuarios que tengan acceso a las redes provistas por Colpensiones deben utilizarlas de acuerdo con
las políticas y lineamientos contenidos en este documento, los cuales deben ser leídos y aceptados, para
tal efecto, la utilización del servicio por primera vez se considera como una aceptación formal, por parte
del usuario.
3.8. CONTROL DE LA NAVEGACIÓN EN INTERNET

La Gerencia de Prevención del Fraude, con el ánimo de garantizar el uso adecuado del recurso de Internet
y la seguridad de la información y de los sistemas de información internos, debe definir e implementar,
reglas de navegación en Internet, evitando el ingreso a páginas de correo electrónico, herramientas
colaborativas diferentes a las dispuestas por la entidad y almacenamiento en la nube, pornografía, ocio,
piratería, trata de personas, redes sociales, actividades al margen de la ley, hacking, virus y malware,
encuestas, compras y otras que considere necesarias.

CIBERSEGURIDAD
3.9. MONITOREO DE LA RED

Las redes de Colpensiones deben ser objeto de monitoreo por parte de la Gerencia de Tecnologías de la
Información para garantizar su disponibilidad, rendimiento y facilitar la gestión de incidentes.
Colpensiones debe realizar monitoreo de la navegación en Internet, a través de la Gerencia de Prevención

del Fraude, para garantizar su uso racional, identificar nuevas amenazas y mantener las políticas de
navegación actualizadas.
El monitoreo de la red y la navegación debe proveer la información que se requiera para apoyar la gestión
de incidentes de seguridad de la información y ciberseguridad, y, en caso de ser necesario, tomar las
acciones administrativas o legales a las que haya lugar contra los usuarios que realicen actos en contra de
los acuerdos contractuales o legales vigentes.
3.10. DISPONIBILIDAD DE LA RED

La Gerencia de Tecnologías de la Información debe garantizar que los recursos de red se mantienen
disponibles y configurados acorde a las necesidades del negocio orientado al cumplimiento de los
objetivos estratégicos de la entidad. Los dispositivos de red que lo requieran deben contar con backup de
su configuración, permitiendo restaurarla cuando sea requerido.
3.11. DISPOSITIVOS DE RED, SEGURIDAD, MONITOREO Y CONTROL

La Gerencia de Tecnologías de la Información y la Gerencia de Prevención del Fraude deben configurar y
documentar los sistemas y dispositivos de comunicaciones, seguridad, monitoreo o control conectados a
la red correctamente y endurecidos (hardening) con guías de configuración segura para evitar la
posibilidad de que se pueda explotar vulnerabilidades que afecten la seguridad, disponibilidad o
rendimiento de la red.
La Gerencia de Tecnologías de la Información debe tener configurados los sistemas y dispositivos para
suministrar registro de eventos y logs de auditoría a la Gerencia de prevención del Fraude de los eventos
de seguridad y administración que permitan apoyar la gestión de incidentes de seguridad de la información
y ciberseguridad o incidentes de disponibilidad tecnológica.
3.12. PREVENCIÓN DE FUGA DE INFORMACIÓN
La Gerencia de Tecnologías de la Información debe instalar herramientas y procedimientos para reducir el

riesgo de fuga de información por envío o recepción no controlados de información “pública confidencial”
o “Pública reservada” mediante técnicas de monitoreo y restricción.
La Gerencia de Prevención del Fraude debe garantizar monitoreo permanente sobre los sistemas de
intercambio seguro de información, correo electrónico y herramientas colaborativas en la nube,
3.13. DETECCIÓN Y PREVENCIÓN DE INTRUSOS

La Gerencia de tecnologías de la información debe instalar y administrar sistemas de detección y
protección frente a intrusiones en las redes cableadas e inalámbricas (IPS/IDS – WIDS/WIPS) con el objeto
de monitorear y evitar amenazas e incidentes.

CIBERSEGURIDAD
4. LINEAMIENTOS
4.1. REQUISITOS MÍNIMOS PARA DISPOSITIVOS PERSONALES QUE SE CONECTAN A LAS REDES DE
COLPENSIONES
Es responsabilidad de los usuarios que accedan a las redes alámbricas o inalámbricas de Colpensiones
contar con el software y las configuraciones de seguridad en su equipo para minimizar el riesgo de ataques
al que se pueden ver expuestos. Como mínimo todos los dispositivos que se conecten a la red de
Colpensiones por cualquiera de sus medios deben:
● Contar con usuario y contraseña de arranque. La contraseña de acceso al sistema deberá tener
una complejidad mínima de: 8 caracteres, mayúsculas y minúsculas, números y caracteres
especiales.
● Contar con una herramienta o solución de software antivirus/malware actualizada y activa.
● Mantener al día la instalación de parches y actualizaciones de sistema operativo y de aplicaciones
instaladas en el equipo, especialmente las de seguridad.
● Tener activo el protector o bloqueo de pantalla con un tiempo máximo 5 minutos. Para salir de
dicho protector se deberá utilizar contraseña.
● Contar con software debidamente licenciado.
● Para el acceso a la red inalámbrica, los equipos deberán soportar el estándar de comunicación
802.11 b/g/n y soportar cifrado WPA2 o superior.
Lo anterior será requisito previo al ingreso a la red de Colpensiones y controlado por la Gerencia de
Tecnologías de la Información.
4.2. USO PROHIBIDO DEL SERVICIO DE RED
Cuando el acceso a la red o los servicios de red haya sido otorgado, está estrictamente prohibido:
● El uso personal de los recursos de red para fines distintos a los permitidos.
● El uso para generar ganancias monetarias personales o propósitos comerciales.
● Distribuir virus, gusanos u otro software malicioso de propagación automática y de forma
involuntaria.
● Efectuar descargas de manera desmesurada, que afecten el desempeño del servicio de los demás
usuarios de la red alámbrica y/o inalámbrica.
● Transmitir o distribuir cualquier material que viole la ley o regulación. Incluyen sin estar limitados
a: material que viole derechos de autor u otros derechos de propiedad intelectual, como software
sin licencia, música, videos, películas, etc.
● Revelar o compartir las credenciales de autenticación de la red de Colpensiones a personal no
autorizado.
● Descargar servicios broadcast como audio y video.
● Usar programas “peer to peer” (P2P) o alguna otra tecnología que permita el intercambio de
archivos en volumen.
● Realizar conexiones a la red The Onion Router, abreviada en inglés como 'Tor'.
● Extender el alcance de la red por medio de cualquier dispositivo físico o lógico.
● Transmisión de contenido inapropiado.

CIBERSEGURIDAD
● Realizar actividades que incurran en delito informático (Ley 1273 de 2009)

● Envío de mensajes no solicitados (spam).
● Atentar contra la disponibilidad, integridad, confidencialidad de la red.
● Manipular o intentar manipular cualquier componente de la infraestructura de red.
● Manipular los equipos de transmisión de la red inalámbrica.
● Instalar o realizar labores de recolección o escucha de información en tránsito por la red.
● El uso del servicio para interferir a otros usuarios o entorpecer asuntos propios de Colpensiones.
● El uso del servicio para violar las políticas de uso aceptable del correo electrónico o plataformas
colaborativas.
● Transgredir cualquier recurso informático, sistema o sitios de telecomunicaciones a los que no le
está permitido acceder.
● Instalar equipos y/o software que genere interrupción o interferencia con la emisión normal de la
red inalámbrica.
● Realizar el escaneo de vulnerabilidades de la red o de cualquier equipo de la misma sin la expresa
autorización por parte del comité de cambios.
● Monitorear los canales de transmisión y comunicación por personas que no pertenezcan a la
Vicepresidencia de planeación y tecnologías de la información y estén debidamente autorizadas.

CIBERSEGURIDAD
CAPÍTULO VI PARA LA GESTIÓN DE INCIDENTES DE SEGURIDAD Y CIBERSEGURIDAD
1. OBJETIVO
Establecer los lineamientos para la gestión de los incidentes de seguridad de la información y
ciberseguridad con el fin de prevenir, detectar oportunamente y gestionar los incidentes materializados
que afecten a los activos de información o recursos tecnológicos de Colpensiones, teniendo especial
consideración con aquellos que se encuentran expuestos al ciberespacio.
2. ALCANCE
La política de gestión de incidentes de seguridad de la información y ciberseguridad está dirigida a todo el
personal que tenga permitido el acceso a los sistemas informáticos de Colpensiones, incluso aquellos que
son administrados mediante contratos con terceros.
3. POLÍTICAS
3.1. OBLIGACIÓN DE REPORTE Y GESTIÓN

Los funcionarios, servidores y terceros relacionados con Colpensiones deben reportar o registrar cualquier
evento de riesgo o situación que pueda constituir o generar un incidente de seguridad de la información
o de ciberseguridad a través de los medios que Colpensiones ha dispuesto y autorizado para tal fin. Así
mismo, en caso de ser necesario, deberán participar activamente en la gestión de incidentes si así lo
considera el funcionario a cargo de la gestión de incidentes o el Equipo de Respuesta a Incidentes – ERI.
Cargo Reportar
Funcionario de planta Vigia o ext. 3010,
3015, 3016, 3017, 3018.
Personal en misión Vigia o ext. 3010,
3015, 3016, 3017, 3018.
Aprendiz Sena Vigia o ext. 3010,
3015, 3016, 3017, 3018.
Contratistas gestionderiesgos@colpensiones.gov.co
Tabla1. Reporte Incidentes
La Gerencia de Riesgos y Seguridad de la información, es uno de los principales participantes en la gestión

de incidentes de seguridad. En este marco debe:
● Definir, implementar, analizar y mejorar el proceso definido para gestionar los incidentes de
seguridad de la información y ciberseguridad, de acuerdo con buenas prácticas de industria y con
la legislación aplicable vigente.
● Realizar actividades de análisis o retroalimentación post-incidente para aprender de los incidentes
de seguridad de la información y ciberseguridad.
● Preparar los reportes a la Junta Directiva de la gestión de incidentes de seguridad de la información
y Ciberseguridad

CIBERSEGURIDAD
Es responsabilidad de la Vicepresidencia de Seguridad y Riesgos Empresariales presentar un informe

al menos semestral a la Junta Directiva, sobre la gestión de incidentes de seguridad de la información
y ciberseguridad.
3.2. PREPARACIÓN PARA LA GESTIÓN DE INCIDENTES

La Vicepresidencia de Seguridad y Riesgos Empresariales debe disponer los recursos necesarios para
realizar la adecuada gestión de incidentes de seguridad de la información y ciberseguridad, por ejemplo y
sin limitarse a ellos, recurso humano capacitado y disponible, herramientas de software y hardware
propias o tercerizadas, estrategias, guías o instructivos de comunicación interna y externa y otras
actividades que considere oportuno o necesario.
Para garantizar una conciencia de ciberseguridad en la entidad, la Gerencia de Riesgos y seguridad de la

Información debe establecer una estrategia de divulgación y capacitación dirigida a los servidores públicos,
trabajadores oficiales, personal en misión, personal Sena y terceros, incluyendo en ella al menos la
tipificación de los incidentes de seguridad de la información y ciberseguridad, los vectores comunes de
ataque y las estrategias de prevención.
La Gerencia de Riesgos y Seguridad de la Información debe establecer los equipos especializados, los
terceros y los canales de reporte con dichos entes externos con quienes se debe gestionar o a quienes se
debe reportar incidentes de seguridad de la información y ciberseguridad de acuerdo con criterios internos
y en cumplimiento de la legislación aplicable vigente.
Con el ánimo de prevenir o reducir la probabilidad de ocurrencia de incidentes de seguridad de la

información y ciberseguridad, la Gerencia de Riesgos y Seguridad de la Información debe definir
estrategias que le permitan tener alertas tempranas y gestionarlas de acuerdo con su aplicabilidad en la
entidad.
Es responsabilidad de la Gerencia de Riesgos y Seguridad de la Información definir y disponer los recursos

necesarios para realizar la gestión de incidentes de seguridad de la información y ciberseguridad.
3.3. EQUIPO DE RESPUESTA A INCIDENTES (ERI)

Es responsabilidad de la Vicepresidencia de Seguridad y Riesgos empresariales constituir, formalizar y
mantener un grupo de servidores y funcionarios responsables y entrenados en el manejo de incidentes de
seguridad de la información y ciberseguridad, los cuales conformarán el Equipo de Respuesta a Incidentes
(ERI).
El ERI debe estar conformado al menos por representantes de la Gerencia de Riesgos y Seguridad de la
Información, la Gerencia de Prevención de Fraude y la Gerencia de Tecnologías de la Información.
Son responsabilidades del Equipo de Respuesta a incidentes –ERI de acuerdo al 8“Instructivo para la
gestión de incidentes de seguridad de la información y ciberseguridad”:
8
Instructivo para la gestión de incidentes de seguridad de la información y ciberseguridad”:

CIBERSEGURIDAD
 Analizar cada incidente de seguridad de la información o ciberseguridad reportado para definir la

adecuada gestión de acuerdo con la Guía de Respuesta a Incidentes de Seguridad de la
Información y Ciberseguridad.
 Articular a las diferentes áreas que deben participar en la gestión de cada incidente de seguridad
de la información y ciberseguridad.
 Garantizar que cada incidente es gestionado de acuerdo con los planes y en los tiempos definidos
hasta que tenga una adecuada solución.
 Reportar los incidentes de seguridad de la información y ciberseguridad, su gestión, respuesta y
lecciones aprendidas a las entidades u organismos a los que haya lugar, de acuerdo con las
políticas de Colpensiones y la normatividad aplicable vigente.
3.4. CLASIFICACIÓN Y PRIORIZACIÓN DE INCIDENTES

Es responsabilidad de la Gerencia de Riesgos y Seguridad de la información definir los parámetros de
clasificación y priorización utilizados en la Gestión de Incidentes de Seguridad de la Información y
Ciberseguridad, así como los criterios de activación del Equipo de Respuesta a Incidentes (ERI).
3.5. DETECCIÓN AUTOMÁTICA DE EVENTOS DE RIESGO

La Vicepresidencia de Riesgos empresariales debe definir estrategias automáticas para el monitoreo y
detección de posibles eventos de riesgo que puedan constituir o generar incidentes de seguridad de la
información y ciberseguridad.
3.6. GESTIÓN DE INCIDENTES

La gestión de incidentes de seguridad de la información y ciberseguridad que cumplan con los criterios
definidos por la Gerencia de Riesgos y Seguridad de la Información será responsabilidad del Equipo de
Respuesta a Incidentes. Para los demás incidentes de seguridad de la información y ciberseguridad, la
Gerencia de Riesgos y Seguridad de la Información debe coordinar su gestión y respuesta involucrando a
las áreas de Colpensiones relacionadas.
El ERI debe contactar e involucrar a cualquier funcionario, servidor, tercero, área o grupo de Colpensiones
que sea necesario para dar gestión adecuada de un incidente de seguridad de la información o de
ciberseguridad.
La estrategia de gestión de incidentes de seguridad de la información y ciberseguridad debe contemplar

actividades relacionadas con la prevención, detección, análisis, contención, erradicación, recuperación y
reporte.
Es responsabilidad de la Gerencia de Riesgos y Seguridad de la Información analizar cada uno de los

eventos de riesgo reportados para determinar si se trata de un incidente de seguridad de la información
o de ciberseguridad que afecta la infraestructura tecnológica, los procesos y la información de
Colpensiones.

CIBERSEGURIDAD
3.7. DOCUMENTACIÓN DE LA GESTIÓN DE INCIDENTES
La Gerencia de Riesgos y Seguridad de la Información debe garantizar que para cada incidente de seguridad
hay documentación amplia y suficiente que soporte cada una de las actividades de la gestión de incidentes,
especialmente las relacionadas con lecciones aprendidas y actividades de control implementadas para la
contención, erradicación y recuperación. La documentación deberá almacenarse en una carpeta
administrada por la Gerencia de Riesgos y seguridad de la Información destinada para tal fin.
3.8. USO DE EVIDENCIA DIGITAL

Colpensiones debe definir y garantizar los recursos, propios o a través de terceros, requeridos para
levantar, preservar y analizar evidencia digital bajo la normatividad interna y en cumplimiento de la
legislación vigente aplicable.
En la gestión de un incidente de seguridad de la información o de ciberseguridad el ERI debe determinar

la necesidad y oportunidad de realizar un proceso de levantamiento, preservación y análisis de evidencia
digital de acuerdo con el Instructivo para la Gestión de Incidentes de Seguridad de la Información y
Ciberseguridad.
Es responsabilidad de la Gerencia de Tecnologías de Información garantizar la custodia de las evidencias

que se puedan adquirir de los elementos tecnológicos necesarios en cualquier evento que desencadene
un incidente de seguridad de la información en Colpensiones o un tercero crítico.
3.9. REPORTE
El ERI debe reportar los incidentes de seguridad de la información y ciberseguridad, su gestión, respuesta
y lecciones aprendidas a las entidades u organismos a los que haya lugar, de acuerdo con la normatividad
aplicable vigente y los criterios definidos por la entidad.
La Vicepresidencia de Seguridad y Riesgos Empresariales debe informar al menos semestralmente a la

Junta Directiva los incidentes de seguridad de la información y ciberseguridad ocurridos, las actividades
de gestión realizadas y las actividades de control implementadas para evitar su recurrencia.

CIBERSEGURIDAD
CAPÍTULO VII PARA LA GESTIÓN DE CIBERSEGURIDAD
1. OBJETIVO
Esta Política tiene como objetivo garantizar la confidencialidad, integridad, disponibilidad y privacidad de
la información expuesta en el ciberespacio, y cumplir con el marco normativo vigente, buscando un
equilibrio entre los niveles de riesgo y el uso eficiente de los recursos.
2. ALCANCE
La política de gestión de la ciberseguridad está dirigida a todo el personal que tenga permitido el acceso a
los sistemas informáticos de Colpensiones, incluso aquellos que son administrados mediante contratos
con terceros.
3. POLÍTICAS
3.1. SOBRE LA PROTECCIÓN DE LA IDENTIDAD
Colpensiones deberá realizar el tratamiento de los datos personales, la privacidad y protección de la

identidad de las partes interesadas que se encuentren bajo su custodia; Colpensiones respeta la privacidad
de cada una de ellas en el ciberespacio, por lo tanto deberá implementar controles necesarios para la
protección de dicha información.
3.2. SOBRE LA CODIFICACIÓN DE APLICACIONES

La Gerencia de Tecnologías de la Información podrá liberar complementos que ofrezcan valor agregado a
los usuarios finales y que sean requeridos para el acceso de algunos servicios en el ciberespacio; estos
elementos estarán alineados a lo estipulado en la política de seguridad en los procesos de desarrollo y
soporte de Colpensiones.
Colpensiones deberá informar al usuario final a través de un acuerdo con lenguaje apropiado su política
de codificación, así como la política de privacidad y los medios por los cuales los usuarios puedan cambiar
su aceptación o escalar cualquier asunto aclaratorio sobre dichas políticas. Para estos acuerdos, la
Gerencia de Tecnologías de la Información deberá tener control de versiones y deberá asegurar que todos
los usuarios lo suscriban.
La Gerencia de Tecnologías de la Información deberá definir y establecer los mecanismos necesarios de

seguridad en las etapas de análisis, diseño, desarrollo, pruebas e implementación de arquitectura de
servicios con el fin de asegurar la comunicación y sus componentes en la interacción entre los sistemas
orientados a servicios

CIBERSEGURIDAD
3.3. SOBRE EL USO DE SISTEMAS OPERATIVOS CON SOPORTE

La Gerencia de Tecnologías de la Información debe asegurar que Los funcionarios de Colpensiones que se
conectan a los sistemas que Colpensiones tiene expuestos al ciberespacio, deben utilizar un equipo de
cómputo o dispositivo móvil que tenga un sistema operativo licenciado, con soporte y con las últimas
actualizaciones de seguridad para protegerlos de aprovechamientos y ciberataques.
3.4. SOBRE EL USO DE SOFTWARE DE APLICACIÓN SOPORTADO

La Gerencia de Tecnologías de la Información deberá hacer uso de aplicaciones de software actualizadas
y soportadas, instalando los parches de seguridad recientes, los clientes deben conocer y hacer
seguimiento a la política organizacional.
3.5. SOBRE EL USO DE HERRAMIENTAS DE SOFTWARE DE SEGURIDAD

La Gerencia de Tecnologías de la Información deberá implementar el uso de herramientas de software de
seguridad, herramientas antivirus y antispyware; Colpensiones deberá realizar alianzas con proveedores
de servicios de confianza y reconocidos de este tipo de soluciones con el fin de ofrecer a los usuarios finales
protección contra software malicioso.
Los usuarios de los sistemas que Colpensiones expone en el ciberespacio deben ser conscientes y hacer
seguimiento de la política de Colpensiones respecto al uso de herramientas de software de seguridad y
cada uno de ellos debe solicitar a Colpensiones información sobre software recomendado, suministrado o
descontinuado.
3.6. SOBRE EL USO DE APLICACIONES ANTIPHISHING

La Gerencia de Tecnologías de la Información deberá implementar el uso de filtros antiphishing, con el fin
de protegerse de posible fraude en la Web y minimizar el riesgo de robo de datos personales.
Esta apropiación se debe realizar a través del uso de herramientas tecnológicas proveídas por los
navegadores y herramientas comerciales que requieran ser adquiridas por Colpensiones.
3.7. SOBRE LOS SERVICIOS DE ACTUALIZACIONES

Los usuarios de los sistemas que Colpensiones tiene expuestos al ciberespacio deben utilizar las
aplicaciones recomendadas por Colpensiones y mantenerlas actualizadas con los últimos parches de
seguridad publicados.
La infraestructura tecnológica que Colpensiones tiene implementada para soportar los servicios internos
y de cara al cliente, debe mantener e implementar las actualizaciones de seguridad más recientes
publicadas.
3.8. SOBRE EL USO DE FIREWALL PERSONAL Y HIDS (Host-Based Intrusion Detection System)
La Gerencia de Tecnologías de Información debe controlar que todos los funcionarios que usen sus
servicios y accedan a la infraestructura en el ciberespacio tengan activados el firewall y demás

CIBERSEGURIDAD
herramientas nativas del sistema operativo usadas para el control de acceso de tráfico de red; debe
controlar que los funcionarios no deshabiliten este tipo de herramientas.
3.9. SOBRE EL COMPORTAMIENTO DEL PERSONAL

La Gerencia de Riesgos y Seguridad de la Información debe fijar línea base para el comportamiento del
personal, buscando controlar la proliferación de engaños y posibles fraudes. Colpensiones debe
asegurarse que los empleados y contratistas tomen conciencia de sus responsabilidades de seguridad de
la información y las cumplan a través de planes de sensibilización en responsabilidades y uso adecuado de
la información y el comportamiento en el ciberespacio.
3.10. SOBRE LA CONCIENCIA DE RIESGOS DE CIBERSEGURIDAD

La Gerencia de Riesgos y Seguridad de la Información deberá promover la conciencia y entendimiento de
los riesgos de ciberseguridad dentro de la organización, alineada a la sensibilización y exigencia de
aprendizaje y desarrollo de destrezas contra ataques de ciberseguridad, en particular ataques de
ingeniería social.
3.11. SOBRE EL USO DE REDES SOCIALES EXTERNAS Y APLICACIONES EN EL CIBERESPACIO

La Gerencia de Riesgos y Seguridad de la Información debe promover conciencia en riesgos puntuales de
ingeniería social, implementando las mejores prácticas y las políticas esperadas en el comportamiento en
redes sociales y otras aplicaciones en el ciberespacio, ajustándose al nivel de riesgo y exposición asociado,.
Los usuarios deberán entender y aceptar su responsabilidad sobre él buen uso y entendimiento de
incidentes de ingeniería social y no podrán alegar ignorancia sobre tales riesgos.
3.12. POLÍTICA DE CATEGORIZACIÓN Y CLASIFICACIÓN DE LA INFORMACIÓN

La Gerencia de Riesgos y Seguridad de la Información debe implementar procesos para categorización y
clasificación de la información, realizando promoción de conciencia en los usuarios y promoviendo la
protección de información corporativa clasificada e información personal sensible.
3.13. SOBRE LA LIMITACIÓN DE AUDIENCIA DE DISTRIBUCIÓN Y MINIMIZACIÓN DE LA INFORMACIÓN

Todo el personal de Colpensiones debe minimizar la información a ser distribuida en el ciberespacio,
haciendo un uso eficiente del sistema para compartir información sin comprometer la eficacia.
Todo el personal de Colpensiones debe omitir la distribución de información sensible que pueda afectar
la privacidad de las personas y debe determinar el nivel de detalle para cada una de las categorías y
clasificación de la información antes de ser compartida.

CIBERSEGURIDAD
CAPÍTULO VIII PARA EL DESARROLLO SEGURO
1. OBJETIVO
Este capítulo tiene como objetivo definir las políticas que se aplicarán durante el ciclo de vida de desarrollo
de Colpensiones así como los mecanismos de control que se deberán utilizar en las diferentes fases con el
fin de certificar la calidad y seguridad de las aplicaciones.
2. ALCANCE
La política de desarrollo seguro está dirigida al ciclo de vida de desarrollo de aplicaciones que sean
contratadas a través de terceros o desarrolladas al interior de Colpensiones para dar cumplimiento a los
criterios seguridad de la información y ciberseguridad.
3. POLÍTICAS
El ciclo de vida de desarrollo de software de Colpensiones contará con las siguientes etapas y requisitos
que deberá cumplir la Gerencia de Tecnologías de la Información.
3.1. ANÁLISIS DE LA NECESIDAD
● Se debe recolectar la información asociada a una necesidad u oportunidad y generar de

alternativas de solución.
● Se debe establecer una priorización de los requerimientos.
● Se debe realizar un análisis de factibilidad.
● Se debe entender el proceso de negocio.
● Se debe tener en cuenta que las aplicaciones que manejan datos confidenciales cumplan con los
controles de seguridad y se implementarán durante todo el ciclo de vida del desarrollo.
3.2. REQUERIMIENTOS
● Se deben establecer técnicas para reducir, eliminar y obtener requerimientos funcionales.

● Se debe incluir el flujo del proceso en el documento del proceso.
● Cualquier requisito No Funcional debe ser definido.
● Se debe evaluar la tecnología requerida.
● Se deben identificar requerimientos normativos y/o regulatorios.
● Se debe evaluar la integración a aplicaciones existentes
● Se deben incluir los lineamientos de arquitectura, estándares y seguridad definidos por
COLPENSIONES.

CIBERSEGURIDAD
3.3. DISEÑO CONCEPTUAL
● Se debe generar un documento de arquitectura de diseño que responda a los siguientes dominios
Estrategia, Negocio, Sistemas de información, Información (datos), Tecnología, Interoperabilidad,
Gobierno (Componentes, Responsabilidades, Roles y Alertas), seguridad.
● Las funciones y componentes deben ser descritos en detalle en el documento.
● Los componentes de la aplicación deben planificarse de manera consistente con los datos y la
seguridad de la red.
● Dividir el sistema, proceso o problema en unidades o módulos discretos y utilizar artefactos y
herramientas visuales para analizar los requerimientos (diagramas, plantillas, prototipos, etc.)
3.4. DESARROLLO
● Se deben transformar los documentos de diseño detallados en un producto o solución terminados.

● Se debe ejecutar la revisión de código en las aplicaciones para identificar problemas de seguridad.
● Los desarrolladores de sistemas o software deben realizar pruebas manuales y automatizadas a
nivel de unidad o módulo a lo largo de esta fase. Las consideraciones de seguridad se tienen en
cuenta durante las pruebas.
● Se debe establecer manejo adecuado de errores y/o excepciones en el software
3.5. PRUEBAS
● Se deben ejecutar pruebas funcionales y de eficiencia sobre la aplicación para verificar que
cumplen con los requerimientos solicitados.
● Se debe aplicar un proceso de pruebas que permita analizar, diseñar y ejecutar validaciones que
identifiquen no conformidades sobre el producto, antes de su salida a producción.
● Evaluar y analizar los requisitos no funcionales de la aplicación que sean susceptibles para ejecutar
pruebas técnicas.
● Se deben ajustar, corregir los defectos y errores funcionales y de seguridad identificados durante
las pruebas.
● Se deben probar todas las características de seguridad de la aplicación a través del análisis de
vulnerabilidades.
● Se debe incluir en la documentación las características de la aplicación junto con la
implementación instrucciones sobre las configuraciones de seguridad adecuadas.
● Se deben establecer controles de acceso para la separación de los diferentes ambientes de
pruebas.
● En caso de requerirse hacer uso de datos de producción para realizar las pruebas, es necesario
que se establezcan mecanismos de ofuscación y/o enmascaramiento de los datos para que no
puedan ser consultados en su estado real.
● Se deben establecer mecanismos de segregación de funciones entre las fases de desarrollo y
pruebas.

CIBERSEGURIDAD
3.6. PRODUCCIÓN
 La puesta en producción no debe comprometer los controles de seguridad existentes o introducir
nuevas vulnerabilidades.
● El paso a producción de una nueva aplicación estará sujeto a una evaluación completa previa a la
aprobación de la documentación de control de cambios.
● Las versiones nuevas y la liberación de parches estarán sujetas a un nivel de evaluación apropiado
basado en el riesgo de los cambios en la funcionalidad de la aplicación.
● Se deben ejecutar pruebas de funcionamiento y de seguridad a los nuevos sistemas,
actualizaciones y/o aplicaciones en ambiente de pruebas, para validar la necesidad y operatividad
de estos, previo a la aprobación e implementación.
● Se deben establecer controles de acceso para la separación de los diferentes ambientes de
pruebas al de producción.
● El despliegue del código de la aplicación en el entorno producción debe ser ejecutado por un
agente designado.
● Se deben mantener y documentar controles de versionamiento del software y sus componentes.
3.7. OPERACIÓN Y SOPORTE
● Todo el mantenimiento futuro de la aplicación no debe comprometer los controles de seguridad

existentes o introducir nuevas vulnerabilidades. Cualquier código nuevo será revisado y probado.
● Se debe asegurar que el software adquirido cuenta con el soporte requerido durante su ciclo de
vida.
4. EXCEPCIONES
Toda excepción a la política debe ser aprobada por la Gerencia de Tecnologías de la Información.
5. DOCUMENTOS DE BUENAS PRÁCTICAS Y LINEAMIENTOS
Los siguientes son los documentos utilizados para el desarrollo de software en Colpensiones:
● OWASP Testing Guide

● OWASP Development Guide
● OWASP Code Review Guide
● Lineamientos de seguridad en el desarrollo de aplicaciones.
6. POLÍTICA DE REUTILIZACIÓN
La reutilización del software cubre más que solo el código fuente. El desarrollo de aplicaciones considerará
el siguiente ciclo de desarrollo de software para reutilización:

CIBERSEGURIDAD
● Planes de proyectos.
● La arquitectura.
● Requisitos Modelos y Especificaciones.
● Diseños.
● Código fuente.
● Usuario y documentación técnica.
● Los datos.
7. LICENCIAS
● El software desarrollado para Colpensiones deberá realizarse por medio de herramientas y/o
software legalmente licenciado.
● Crear conciencia en los funcionarios acerca de los derechos de autor del software.
● Cumplir con los términos y condiciones para el software obtenido, tanto comercial como código
abierto.
● Verificar el cumplimiento de los derechos de autor y los derechos de patentes, de acuerdo con los
términos de aceptación de la licencia.
● Mantener un registro actualizado del software utilizado por Colpensiones y el número de licencias
autorizadas y controlar su cumplimiento.

CIBERSEGURIDAD
CAPÍTULO IX PARA LA GESTIÓN DE ACTIVOS DE INFORMACIÓN Y CIBERSEGURIDAD
1. OBJETIVO
Identificar cada activo de información y ciberseguridad, estableciendo y manteniendo un inventario de
estos activos, incluyendo un propietario asignado y que la naturaleza y el valor de cada activo se maximice
mediante una adecuada gestión durante todas las etapas de su ciclo de vida incluyendo su creación,
procesamiento, almacenamiento, transmisión, eliminación y destrucción. También asegura que los límites
de uso aceptable estén claramente definidos para cualquiera que tenga acceso a la información, y que se
protejan acorde con la criticidad que tengan para Colpensiones.
2. ALCANCE
Esta política aplica a todos los procesos de Colpensiones, desde la identificación del Propietario del activo,
valoración de riesgos, clasificación de la información y publicación de los activos.
Se consideran activos de información los siguientes:
1. Hardware.
2. Software.
3. Red
4. Recurso humano
5. Información. (Física o Digital)
6. Organización
3. POLÍTICAS
El ciclo de vida del activo de información y ciberseguridad contará con las etapas y requisitos incluyendo
su creación, procesamiento, almacenamiento, transmisión, eliminación y destrucción.
1. DEFINICIONES
Activo de Información Se denomina activo a aquello que tiene valor para Colpensiones y por lo tanto debe
protegerse. De manera que un activo de información es aquel que contiene o manipula información,
abarcando seguridad digital y continuidad de la operación
Inventario de activos:
Todos los activos deben estar claramente identificados y Colpensiones debe elaborar y mantener un
inventario de los mismos.
Propiedad de los activos:

Los activos de información del inventario deben tener un propietario.
Clasificación de la información:
Es el ejercicio por medio del cual se determina que la información pertenezca a uno de los niveles de
clasificación estipulados por Colpensiones, teniendo un inventario de activos. La clasificación tiene como
objetivo asegurar que la información tenga el nivel de protección adecuado. La información debe

CIBERSEGURIDAD
clasificarse en términos de sensibilidad e importancia para Colpensiones según la ley 1581 de 2012 y la ley
1712 de 2014.
Etiquetado y manipulado de la información:

Colpensiones desarrolló un conjunto adecuado de procedimientos para el etiquetado de la información,
de acuerdo con el esquema de clasificación de información adoptado por la Entidad
Áreas Seguras
Son lugares en donde reside y procesa información de carácter reservada y/o critica para Colpensiones
Dato personal:
Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o
determinables. Por ejemplo, su documento de identidad, el lugar de nacimiento, estado civil, edad, lugar
de residencia, trayectoria académica, laboral, o profesional
Gestión de activos:
Proceso que determina la clasificación y valoración de los activos de información, manteniendo
actualizado el inventario de activos.
4. INVENTARIO DE ACTIVOS DE INFORMACIÓN Y CIBERSEGURIDAD
 Los líderes de los procesos deben tener y mantener actualizado el inventario de los activos de
información, entre ellos, pero sin limitarse a los mismos se encuentran los siguientes: recursos
humanos, información recursos tecnológicos (sub redes, servidores, aplicaciones, dispositivos de
red, estaciones de trabajo, portátiles, base de datos información, software, servicios y licencias de
software), infraestructura física (aire acondicionado, generadores de energía, unidades de
potencia UPS y circuitos). El inventario de activos se debe realizar teniendo en cuenta los
lineamientos definidos en la Instructivo Gestión de Activos y Clasificación de la Información y
Ciberseguridad.
 Todo activo de información de Colpensiones es de uso exclusivo de la Entidad y será utilizado
únicamente para su propósito específico.
 Los propietarios de los activos de información deberán identificar, clasificar y mantener registro
documentado de los activos de información por cada uno de sus procesos.
 El inventario de activos de información y ciberseguridad deberá incluir como mínimo: nombre,
descripción, propietario, custodio, tipo de activo, atributos, valor, clasificación, acceso y ubicación.
 El inventario de activos de información y ciberseguridad será actualizado por el líder del proceso
cada vez que el proceso identifique un nuevo activo, se presente un cambio significativo en el
mismo o deba retirarlo.
 El inventario de activos de información y ciberseguridad debe ser exacto, actualizado, consistente
y alineado con otros inventarios.
 Todos los activos de información de Colpensiones serán identificados, clasificados y valorados de
acuerdo a los procedimientos establecidos para tal fin.

CIBERSEGURIDAD
5. PROPIEDAD DE LOS ACTIVOS DE INFORMACIÓN Y CIBERSEGURIDAD
 La función de los responsables o propietarios de los activos de información y ciberseguridad estará

en cabeza de Vicepresidentes, Jefes de Oficina, ó Gerentes. y/o quien sea designado como
propietario de la información, quienes son los encargados de administrar la información para el
cumplimiento de los objetivos del proceso y son los responsables por cumplir, mantener los
controles de seguridad y reportar cualquier incidente que se presente.
 Es función del custodio de TI administrar y gestionar los activos de información y ciberseguridad
entre los cuales están las comunicaciones electrónicas, copias de seguridad (back up), desarrollo
de software y cualquier otra información generada, procesada, almacenada o transmitida a través
de procesos y recursos de Colpensiones.
 El propietario del activo de Información y ciberseguridad tiene las siguientes responsabilidades:
o Asegurar que los activos de información y ciberseguridad están inventariados.

o Asegurar que los activos de información y ciberseguridad de los cuales es responsable
están clasificados y protegidos apropiadamente.
o Definir y revisar periódicamente las restricciones y clasificaciones de acceso a activos
importantes, teniendo en cuenta las políticas de control de acceso aplicables.
o Asegurar el manejo apropiado del activo de información y ciberseguridad cuando es
eliminado o destruido.
o Decidir si se aprueban o se rechazan las solicitudes de acceso asociadas con las
aplicaciones e información asignadas.
o Las actividades realizadas por el propietario de la información podrán ser delegadas
(identificar, clasificar, priorizar e inventariar activos), pero con la salvedad que la
responsabilidad siempre permanecerá sobre su propietario.
o Los propietarios de los activos tienen la responsabilidad por el mantenimiento de los
controles adecuados sobre sus activos.
5.1 RESPONSABILIDADES DEL CUSTODIO TI DEL ACTIVO DE INFORMACIÓN Y CIBERSEGURIDAD
 Proteger los activos de información y ciberseguridad acorde con su confidencialidad, integridad o

disponibilidad.
 Asignar las claves y accesos de acuerdo a lo solicitado por el Propietario del activo funcional y de
conformidad con lo establecido en la solicitud.
 Administrar los dispositivos de seguridad incluyendo la implementación y configuración de
controles para firewalls, sistemas de detección de intrusos, anti-virus y cualquier otro componente
de seguridad pertinente.
 Respaldo periódico de los datos, verificación regular de la integridad, restauración a partir de los
respaldos cuando sea necesario y cumplimiento de las políticas de seguridad establecidas por
Colpensiones.
 Apoyar y validar la clasificación de los activos de información y ciberseguridad, así como la
evaluación de riesgos basado en la confidencialidad, integridad y disponibilidad.
 Establecer e implementar mecanismos de monitoreo y auditoria de los activos de información y
ciberseguridad basado en la confidencialidad, integridad y disponibilidad.

CIBERSEGURIDAD
 El custodio no está autorizado a cambiar los niveles de seguridad ni clasificación de los activos que
cuida; esta tarea es responsabilidad directa del propietario.
6. USO ACEPTABLE DE LOS ACTIVOS DE INFORMACIÓN Y CIBERSEGURIDAD
 Todos los funcionarios, terceros (proveedores y contratistas) tendrán que cumplir las siguientes
reglas para el uso de los activos de información y ciberseguridad:
 Todo funcionario que tenga acceso a cualquiera de los activos de información y

ciberseguridad de Colpensiones deberá utilizarlos sólo para labores relacionadas con sus
funciones, procedimientos en los que participa, servicios que presta o responsabilidades
asignadas.
 Todo funcionario es responsable del uso de cualquier recurso o activo de información y
ciberseguridad y de cualquier trabajo realizado bajo su responsabilidad.
 Los usuarios (servidores públicos, trabajadores oficiales, personal en misión, personal Sena y
terceros) son responsables del uso apropiado de la información y los recursos tecnológicos
asignados para el cumplimiento de sus actividades, según lo establecido en Colpensiones. Así
mismo, las políticas internas y las leyes colombianas, incluyendo, pero no limita las normas sobre
propiedad intelectual y derechos de autor y la Ley 1581 Protección de Datos Personales.
7. CLASIFICACIÓN DE LA INFORMACIÓN
Los activos de Información y ciberseguridad de Colpensiones serán clasificados para definir un conjunto
apropiado de niveles de protección. Para tal efecto la clasificación y etiquetado de la información se debe
hacer de acuerdo a los riesgos que existan en la divulgación de la información.
Todos los activos de información y ciberseguridad se deben etiquetar claramente para advertir el nivel de
la clasificación de la información (Información Reservada, Información Clasificada o Información pública).
Los dispositivos móviles no deben tener almacenada información pública clasificada o pública reservada
de forma permanente, a menos que esté autorizado por el propietario de la información.
La información una vez clasificada puede ser reclasificada con base en criterios objetivos del propietario
de esta, conforme a los procedimientos establecidos para tal efecto.
7.1. CATEGORIAS DE CLASIFICACION DE LA INFORMACIÓN

Las categorías de clasificación de la información son definidas teniendo en cuenta los principios de la
seguridad de información (Confidencialidad, Integridad y Disponibilidad) y los principios de calidad de la
información (Exactitud, Completitud, Consistencia y Trazabilidad). Toda la información de Colpensiones es
clasificada en los siguientes niveles:
Información Pública:
Es toda información que los afiliados a Colpensiones generen, obtengan, adquieran, o controlen en su
calidad de ciudadanos y que no se encuentre dentro de la clasificación de información pública clasificada
o publica reservada.

CIBERSEGURIDAD
Esta información puede ser entregada o publicada sin restricciones a los funcionarios o a cualquier persona
sin que esto implique daños a terceros ni a las actividades y procesos de Colpensiones
Información Pública Clasificada:

Es aquella información que estando en poder o custodia de Colpensiones, pertenece al ámbito propio,
particular y privado o semi-privado de una persona natural o jurídica por lo que su acceso podrá ser negado
o exceptuado, siempre que se trate de las circunstancias legítimas y necesarias y los derechos particulares
o privados consagrados en el artículo 18 de la ley 1712 del 2014
Información Pública Reservada: Es aquella información "que estando en poder o custodia de

Colpensiones, es exceptuada, de acceso a la ciudadanía por daño a intereses públicos y bajo cumplimiento
de la totalidad de los requisitos consagrados en el artículo de esta ley (Ley 1712/2014).
8. ETIQUETADO, MANIPULACIÓN Y ELIMINACIÓN DE LA INFORMACIÓN
 De acuerdo con el esquema de clasificación anterior, cada tipo de información debe ser etiquetado
teniendo las siguientes consideraciones para cuando se realiza una copia, impresión,
almacenamiento, transmisión electrónica, intercambio físico y destrucción de esta:
 El etiquetado reflejará la clasificación establecida de forma visible.

 Los documentos con información del tipo “Pública Clasificada o Pública Reservada” deben
ser controlados y se debe llevar un registro de las personas que las tienen.
 La copia o transferencia por cualquier medio (electrónico, magnético, en papel) de “Información

Pública Clasificada o Pública Reservada” debe estar autorizada y controlada por el propietario de
la información.
 El envío de documentos con “Información Pública Clasificada o Pública Reservada”, debe hacerse
por medio de canales seguros tales como mensajería privada, correo electrónico cifrado, entrega
personal. Es importante evitar el uso del servicio postal, fax, internet o medios no controlados
para su envío.
 Toda recepción de información sensible debe acusar formalmente de recibido.
 El envío físico de información Pública Clasificada o Pública Reservada debe hacerse por medio de
paquetes debidamente cerrados y que no permitan observar su contenido.
 De ser necesario, debe considerarse un centro de destrucción de documentos restringidos o
confidenciales que garantice la no reutilización de la información.
 La información Pública, Pública Clasificada o Pública Reservada debe reflejar por medio de una
marca o etiqueta apropiada, la clasificación a la que pertenece, sin importar la forma o medio en
la que se encuentre.
 Colpensiones a través de sus instancias de Control correspondientes, se reserva el derecho de
sancionar a la persona que divulgue o destruya ilícitamente la información de la empresa, en
cualquier formato o medio, de acuerdo a la gravedad de la falta.

CIBERSEGURIDAD
 La salida procedente de los sistemas de información que traten información clasificada como
Pública, Pública Clasificada o Pública Reservada, deben llevar una etiqueta de clasificación
adecuada.

CIBERSEGURIDAD
CAPÍTULO X PARA LA GESTIÓN DE MEDIOS DE ALMACENAMIENTO
1. OBJETIVO
Colpensiones debe prevenir la revelación, modificación, remoción o destrucción no autorizada de activos
de la información y ciberseguridad, e interrupciones a las actividades que soportan los procesos de la
organización. Los medios removibles deben ser controlados y físicamente protegidos.
2. ALCANCE
Esta política aplica a todos medios removibles los cuales deben ser controlados y físicamente protegidos.
3. POLÍTICAS
La Gerencia de Gestión Documental establece los procedimientos operativos adecuados para proteger los
documentos, medios informáticos (discos, cintas, etc.), datos de entrada o salida y documentación del
sistema contra la divulgación, modificación, retirada o destrucción de activos no autorizadas.
De igual manera la Gerencia de Gestión Documental asegura los soportes y la información en tránsito no
sólo física sino digital (a través de las redes).
4. GESTIÓN DE MEDIOS REMOVIBLES

Los líderes de procesos deben proteger toda la información de Colpensiones, independientemente del
medio en el cual se mantenga, transporte y/o custodie la información.
Deben existir procedimientos para la administración de medios removibles tales como cintas, discos,
unidades USB, CD002C DVD. En todo caso se deberá considerar:
 Se debe evitar al máximo el uso de medios de almacenamiento removibles
 El uso de medios removibles solamente es autorizado por el Presidente, Vicepresidentes, o Gerentes

de la Entidad incluyendo el análisis de riesgos y justificando la necesidad de su uso frente a otras
alternativas, y enviando el mismo a la Gerencia de Riesgos y Seguridad de la Información.
 El manejo de la información de Colpensiones en Medios Removibles está expuesta a riesgos, como

pérdida, fuga o modificación, que compromete no solamente la información sino también la
infraestructura tecnológica de la entidad, por lo tanto, el colaborador que autorice su uso y el
autorizado será quien asuma las sanciones de ley aplicables en esta materia, siendo responsable de
la seguridad de uso de la Información en estos medios.
 No está permitido el almacenamiento de información clasificada como publica clasificada y pública

reservada en medios removibles, En caso de requerirse por necesidades del negocio, deberá cifrase
la misma o al menos colocar clave de apertura de los archivos que la contienen.
 Las personas autorizadas para el uso de medios removibles son responsables de no utilizar los mismos
en dispositivos externos a la entidad que puedan configurar un riesgo para la misma. Cafés internet,
equipos de cómputo sin antivirus actualizados, son un ejemplo de ellos.

CIBERSEGURIDAD
 Se debe borrar o eliminar toda información que no se requiera o no sea útil en los medios
removibles, de tal forma que no pueda ser restaurada o reconstruida teniendo en cuenta lo
establecido en el presente manual.
 Debe solicitarse autorización para el uso de los medios extraídos de la organización, dejar registro
de las actividades y guardar o mantener una pista de auditoría.
 Todos los medios deben ser almacenados en un ambiente seguro de acuerdo con las
especificaciones de los fabricantes.
 Todos los datos almacenados en medios removibles deben ser evaluados contra los estándares de
gestión de activos y clasificación de la información y ciberseguridad, y deben ser protegidos de la
manera que se indica en el instructivo de administración de medios magnéticos.
5. ELIMINACIÓN DE LOS MEDIOS

La información en el momento en que ya no resulte de utilidad para Colpensiones y cuando se haya
cumplido el período de retención exigido por ley, reglamento o contrato, dicha información será destruida
conforme a las tablas de retención documental. Para toda destrucción de información se debe dejar acta
firmada por el propietario de la información, (Líder del Proceso) y dejar constancia en la Gerencia de
Riesgos y Seguridad de la Información y Ciberseguridad.
6. TRANSFERENCIA DE SOPORTES FÍSICOS

Las transferencias de información pública clasificada y pública reservada deben protegerse con
mecanismos de cifrado robusto para evitar el acceso, las modificaciones o la eliminación no autorizados.
7. SEGURIDAD DE LA DOCUMENTACIÓN DE SISTEMAS

La documentación de sistemas se debe proteger contra el acceso no autorizado y garantizar su
almacenamiento en forma segura. Se debe proteger al menos la siguiente información sin limitarse a la
misma:
 Configuración y/o parámetros de los sistemas.
 Ambiente de comunicaciones.
 Versión de los programas y aplicativos en uso.
 Soportes de las pruebas realizadas.
 Procedimientos de instalación del software.
 Diagramas de arquitectura, contexto, secuencia, despliegue entre otros.
 Topología de red.
 Relación de ítems de configuración.
8. TRANSFERENCIA DE MEDIOS DE SOPORTES FÍSICOS
 La información Pública Clasificada y Pública Reservada que se almacene en medios de

almacenamiento removibles como (CD, DVD, USB Flash Drives, entre otros) o en dispositivos

CIBERSEGURIDAD
móviles deben protegerse con mecanismos de cifrado para evitar el acceso, las modificaciones o
la eliminación no autorizados.
 La información puede ser susceptible a accesos no autorizados, uso inadecuado y pérdida o
corrupción durante el transporte físico, cuando se envían medios a través del servicio postal o
empresas de mensajería, por lo cual se deben aplicar controles como los siguientes sin limitarse a
los mismos. (Instructivo de Administración de Medios Magnéticos)
 Se deben establecer e implementar mecanismos de seguridad suficientes para proteger

los contenidos de cualquier daño físico.
 Se debe cifrar los datos restringidos para prevenir pérdidas de datos si los medios son
hurtados o extraviados.
La presente política tiene como base los instructivos - (Instructivo de Administración de Medios
Magnéticos) y (Gestión de Espacios de Almacenamiento) los cuales se encuentran actualizados y alineados
a los procesos de gestión documental de Colpensiones.

CIBERSEGURIDAD
CAPÍTULO XI PARA LA ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE INFORMACIÓN
Colpensiones garantiza que la seguridad es parte integral de los sistemas de información y que se
encuentra presente en las fases del ciclo de vida de desarrollo y mantenimiento de software, incluyendo
los requisitos de seguridad de la información y ciberseguridad y las pruebas de seguridad que
correspondan adoptando las mejores prácticas y dando cumplimiento a los requerimientos regulatorios.
Los sistemas de información incluyen sistemas operativos, infraestructura, aplicaciones del negocio,
servicios y aplicaciones desarrolladas para usuarios y terceros que desarrollan aplicaciones.
5. OBJETIVO
Definir las políticas que se aplicarán para la adquisición, desarrollo y mantenimiento de Sistemas de
Información de Colpensiones así como los mecanismos de control que se deberán utilizar en las diferentes
fases por la Gerencia de Tecnologías de la Información, con el fin de garantizar la seguridad de las
aplicaciones.
6. ALCANCE
Esta Política se aplica para la adquisición, mantenimiento y desarrollo de aplicaciones que sean
contratadas a través de terceros o desarrolladas al interior de Colpensiones para dar cumplimiento a los
criterios seguridad de la información y ciberseguridad.
7. POLÍTICAS DE ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE APLICACIONES
La Gerencia de Tecnologías de la Información debe:
 Asegurar que se haga un adecuado análisis y especificación de los requerimientos de seguridad

del software desde su diseño, ya sea interno o adquirido, que incluya desde la validación de
usuarios y datos de entrada y salida, el procesamiento de información, de acuerdo con la
clasificación de los activos.
 Establecer los controles necesarios para cifrar la información pública clasificada y publica
reservada, con el fin de evitar la posibilidad de una acción indebida por parte de un usuario del
sistema. Igualmente, se deberán asegurar los archivos del sistema y mantener un control
adecuado de los cambios que puedan presentarse.
 Los datos de prueba usados en los sistemas y/o aplicaciones de Colpensiones considerados de
carácter confidencial deben controlarse y protegerse. Se debe mantener un acceso restringido y
controlado, haciendo uso de los mecanismos de seguridad para su acceso.
 Si los sistemas de información de prueba están fuera del dominio de Colpensiones, y son
controlados por un tercero, se deberá exigir cláusulas de confidencialidad, y deberán implementar
los mecanismos de seguridad necesarios para su protección.
 Implementar controles para restringir el acceso al código fuente de las aplicaciones y/o sistemas.

CIBERSEGURIDAD
 Controlar los cambios en los sistemas de información de Colpensiones, bajo procedimientos y

autorizaciones formales, por los responsables a cargo.
 Los sistemas de información y/o aplicaciones deben ser sometidas a revisiones y pruebas luego de
cualquier cambio, para asegurar que no hay impactos adversos en las operaciones o seguridad de
la información.
 Implementar los controles necesarios para evitar la fuga de información, por cualquiera de sus
medios.
 Supervisar y monitorear, los desarrollos contratados externamente, mediante acuerdos,
contratos, derechos de propiedad, certificaciones de calidad, pólizas, entre otros.
 Solo los administradores de sistemas de información autorizados por la Gerencia de Tecnologías
de la Información podrán realizar la instalación de software licenciado en los equipos de la entidad.
 Antes de la instalación de software en ambientes productivos, el software debe ser probado en
ambientes de prueba, garantizando su capacidad de uso, seguridad y compatibilidad con otros
programas.
 La Gerencia de Tecnologías de la Información debe implementar controles de restricción sobre los
Sistemas Operativos, para evitar que los usuarios no autorizados puedan instalar software.
 No se permitirá la instalación de software, que no haya sido previamente avalado y autorizado por
la Gerencia de Tecnologías de la Información, en cumplimento de las normas y regulaciones para
su uso.
 Colpensiones deberá obtener información oportuna sobre las vulnerabilidades técnicas de los
sistemas de información y/o aplicaciones, y evaluar la exposición a dichas vulnerabilidades y tomar
las acciones apropiadas para tratar los riesgos, con el fin de evitar la explotación de las mismas.
 La Gerencia de Tecnologías de la Información, garantizarán la disposición final de medios de
almacenamiento, y software de la entidad para dar de baja apropiadamente la información de
Colpensiones.
 Todos los equipos que hagan parte del inventario de Colpensiones, deben ser autorizados por la
Dirección de Infraestructura de Tecnológica para su retiro, borrado, y/o eliminación.
 Todo equipo de cómputo o medio de almacenamiento que sea retirado del funcionamiento de la
entidad y que contenga información o software licenciado, se le debe realizar un borrado seguro
de la información contenida o destruirse físicamente antes de darle una nueva destinación.
 La Gerencia de Tecnologías de la Información debe conservar adecuadamente en un sitio seguro
el software de instalación, de paquetes, aplicaciones o sistemas operativos que la organización
haya descontinuado su uso.
 El periodo de conservación de dicha información deberá estar acorde con la necesidad de
Colpensiones para el cumplimiento legal y regulatorio y las necesidades del negocio, en la que se
pueda necesitar el software en desuso para recuperar o acceder a información ligada a versiones
anteriores de programas.
 Cuando se determine la eliminación definitiva del software en desuso o descontinuado, este
deberá ser destruido físicamente si se encuentra en CD’s, DVD’s, cintas u otros medios o borrados
de manera segura para que no se pueda recuperar información contenido en discos duros o
dispositivos de almacenamiento
 Una estrategia de retorno (rollback) debe definirse antes que los cambios sean implementados y
debidamente autorizados.

CIBERSEGURIDAD
 La Gerencia de Tecnologías de la Información debe mantener un registro de auditoría de todas

las actualizaciones de programas en producción.
 Las versiones previas del software de aplicación se deben retener como una medida de
contingencia.
 El software usado en sistemas en producción debe ser mantenido en un nivel soportado por el
proveedor.
 Los desarrollos de software internos o externos deben cumplir con una metodología de desarrollo
seguro y certificación la realización de pruebas de vulnerabilidades realizadas por un tercero
certificado. (Ver Manual de Políticas Desarrollo).
 Todas las actualizaciones que se apliquen para el software implementado en Colpensiones deben
cumplir con el proceso y/o procedimiento de control de cambios.
 Colpensiones debe prevenir errores, pérdida, modificación no autorizada o uso indebido de
información en aplicaciones.
 Los datos de entrada en las aplicaciones deben validarse para asegurar que son correctos, no
generan errores y prevenir ataques estándar, incluyendo desbordamiento de pila (buffer
overflow) e inyección de código (code injection).
 Se deben aplicar controles a las entrada como:
o Entrada dual y otros chequeos de entrada para detectar errores como valores fuera de
rango, caracteres inválidos en campos de datos, datos incompletos o faltantes, control de
datos no autorizados o inconsistentes.
o Revisión periódica de contenidos de campos clave o archivos de datos para confirmar su
validez e integridad.
o Procedimientos para responder a errores de validación.
o Procedimientos para determinar la veracidad de los datos de entrada.
o Crear registros (logs) de las actividades relacionadas con el proceso de entrada de datos.
 Se deben aplicar controles de Procesamiento como:
o El diseño e implementación de aplicaciones debe asegurar que los riesgos de fallas de
procesamiento que llevan a pérdida de integridad son minimizados.
Esto incluye:
o El uso de funciones de adición, modificación y borrado para realizar cambios en los datos.
o Procedimientos para prevenir la ejecución de programas fuera de secuencia o cuando falla
el procesamiento previo.
o Uso de programas para recuperación de fallas, con el objeto de asegurar el procesamiento
correcto de los datos.
o Controles de lote (batch)
o Controles de balanceo como corrida a corrida, totales de archivos actualizados
o Totales hash de registros y archivos.
o Controles de integridad y autenticidad para datos que se cargan desde computadores
remotos o en procesos en lotes.
o Creación de registros (logs) de las actividades relacionadas con el procesamiento de datos.
 Colpensiones en cualquier momento podrá realizar revisiones o auditorías a terceros que manejen
o hagan uso de datos de información confidencial en sus sistemas de prueba, con el fin de

CIBERSEGURIDAD
garantizar su adecuada protección y podrá exigir el cumplimiento de los mecanismos de seguridad,

acorde con la criticidad de la información.
 Se deben aplicar controles de datos de salida como:

o Chequeos para probar si los datos de salida son razonables.
o Provisión de información suficiente, para que un lector o sistema de procesamiento
subsiguiente, determine la exactitud, totalidad, precisión y clasificación de la información.
o Procedimientos para responder a las pruebas de validación de salidas.
o Tener un registro (log) de las actividades del proceso de validación de datos de salida.
8. SEGURIDAD EN LOS PROCESOS DE DESARROLLO Y SOPORTE
Colpensiones mantiene la seguridad de la información, así mismo en las aplicaciones, sistemas de

información, recursos tecnológicos que soportan la Compañía.
 La introducción de nuevos sistemas y cambios mayores a sistemas existentes deben cumplir con
el procedimiento formal de documentación, especificación, pruebas, control de calidad y gestión
de implementación.
 Se debe contar con los controles que se deben tener en cuenta en el proceso de control de
cambios:
o Mantener un registro de los niveles de autorización acordados.
o Asegurar que los cambios son propuestos por usuarios autorizados.
o Revisar los controles y los procedimientos de integridad para garantizar que no serán
comprometidos por los cambios.
 Identificar todo el software, información, bases de datos y el hardware que requieren
modificaciones.
 Garantizar que los usuarios autorizados acepten los cambios antes de la implementación.
 Garantizar que la implementación se lleve a cabo minimizando la discontinuidad de las actividades
del negocio.
 Asegurar que la documentación del sistema se actualice cuando se complete el cambio y se archiva
o elimina la documentación que no se encuentre actualizada.
 Mantener un control de versiones para todas las actualizaciones de software.
 Mantener pistas de auditoría de todas las solicitudes de cambios.
 Asegurar que la documentación operativa y los procedimientos de usuarios se modifiquen según
las necesidades.
 Asegurar una adecuada segregación de funciones (la persona que solicite el cambio y la que
apruebe y haga los cambios no sea la misma.
 Ante cambios de criticidad urgente, los procedimientos de control de cambios deben seguirse con
las restricciones adecuadas sobre el personal de soporte que ejecute los cambios de programas.
 Se debe certificar que en el proceso de control de cambios en los ambientes de contingencia son
actualizados.
 Se debe verificar periódicamente la integridad de los sistemas de contingencia en relación con
producción.

CIBERSEGURIDAD
9. RESTRICCIONES SOBRE CAMBIOS A PAQUETES DE SOFTWARE
 Los paquetes de software suministrados por terceros deben utilizarse sin modificación o limitados
a cambios necesarios y estrictamente controlados.
 Cuando se considere esencial modificar un paquete de software, se deben tener en cuenta los
siguientes puntos:
o Validar en caso de requerir el consentimiento del proveedor.

o La posibilidad de obtener del proveedor los cambios requeridos como actualizaciones
estándar de programas.
o El impacto que se produciría si la organización se hace responsable del mantenimiento y
soporte en el futuro del software como resultado de los cambios.
o Si se consideran necesarios los cambios, el software original debe mantenerse y aplicar
los cambios a una copia claramente identificada.
o Todos los cambios deben ser completamente probados y documentados, a fin de que
puedan ser, si es necesario, nuevamente aplicados en futuras actualizaciones de software.
10. DESARROLLO DE APLICACIONES EXTERNO
 El desarrollo de software tercerizado debe ser supervisado y monitoreado por Colpensiones. Los
terceros contratados para el desarrollo de software deben cumplir con las políticas de seguridad
de Colpensiones, en especial las consideradas en los numerales en el Manual de Políticas
Desarrollo.
 Para los desarrollos de aplicaciones realizado por externos, Colpensiones tendrá en cuenta los
siguientes aspectos:
o Acuerdos de Licenciamiento, propiedad del código fuente y derechos de propiedad

intelectual.
o Certificación de calidad y seguimiento del supervisor del contrato en relación al trabajo
efectuado.
o Acuerdos de garantía en el evento de fallas de las terceras partes.
o Derechos de acceso para auditar la calidad y la exactitud del trabajo hecho.
o Requerimientos contractuales para la calidad y funcionalidad de la seguridad del código.
o Revisión del código fuente.
o Realizar Pruebas antes de la instalación para detectar código troyano y malicioso, entre
otros.
11. MANEJO DE DATOS DE PRUEBA
 Los datos de prueba deben ser seleccionados cuidadosamente, protegidos y controlados.
 El uso de bases de datos para propósitos de prueba conteniendo información de carácter

confidencial y otra información relevante debe evitarse; sin embargo, de ser requerido para uso
para pruebas, el contenido confidencial debe ser removido o modificado y deberá cumplir:

CIBERSEGURIDAD
o Identificar y documentar todos los datos confidenciales de los sistemas de información

que se usarán en ambientes de prueba.
o El copiado o el uso de estos datos en un sistema de información en etapa de pruebas debe
ser aprobado por el propietario de la información.
o Los procesos y/o procedimientos de control de acceso, que aplican a los sistemas de
aplicación en producción, deben también aplicarse a los sistemas de aplicación de prueba.
o Debe haber una autorización separada cada vez que la información de producción es
copiada para pruebas de aplicación.
o La información de producción debe borrarse del sistema de pruebas inmediatamente
después que las pruebas se terminan.
o La copia y el uso de la información de producción debe ser registrada para proveer una
pista de auditoría.
o Los datos de prueba no deben ser datos reales. Si los datos son extraídos de los datos
reales, se debe usar herramientas de enmascaramiento de los datos, donde sea posible,
para proteger los datos confidenciales de Colpensiones de ser divulgados sin necesidad
durante una prueba.

CIBERSEGURIDAD
ANEXOS
Anexo 1 Consolidado de Brechas Manual de Políticas de Seguridad de la Información y Ciberseguridad :

Documento que consolida la revisión por parte de cada una de las áreas identificando las brechas para
cumplimiento frente al Manual de Políticas y Lineamientos de Seguridad de la Información y
Ciberseguridad. La Gerencia de Riesgos y Seguridad de la Información realizará monitoreo sobre las
actividades indicadas en este Anexo 1 al menos 1 vez durante el año 2020.

CIBERSEGURIDAD
CONTROL DE CAMBIOS DEL DOCUMENTO

FECHA VERSIÓN MODIFICACIÓN ELABORÓ REVISÓ. APROBÓ.
Nombre: Marysol Nombre: Nombre:
Kattah Antonio José Antonio
Cargo: Coral Triana José Coral
Profesional Cargo: Gerente Triana
Master V de riesgos y Cargo:
Diciembre 2019 1 Versión inicial Seguridad de la Gerente de
información riesgos y
Seguridad
de la
informació
n

Manual de Politicas y Lineamientos de Seguridad de La Informacion y Ciberseguridad - Colpensiones

Загружено:

Сведения о документе

Оригинальное название

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Manual de Politicas y Lineamientos de Seguridad de La Informacion y Ciberseguridad - Colpensiones

Загружено:

Авторское право:

Доступные форматы

MANUAL

DE POLITICAS DE SEGURIDAD DE LA INFORMACIÓN Y CIBERSEGURIDAD

MANUAL DE POLITICAS DE SEGURIDAD DE LA INFORMACIÓN Y CIBERSEGURIDAD .......................6

ASEGURAMIENTO DE LA GESTIÓN / GESTIÓN DE RIESGOS AGE-GRI-ODT-010 1 1 de 79

3.5. PRIVILEGIOS DE ACCESO EN LA ADMINISTRACIÓN DE RECURSOS TECNOLÓGICOS ................ 25

MACROPROCESO / PROCESO: CÓDIGO: VERSIÓN: PÁGINA

ASEGURAMIENTO DE LA GESTIÓN / GESTIÓN DE RIESGOS AGE-GRI-ODT-010 1 2 de 79

CAPÍTULO V PARA LAS REDES DE COLPENSIONES ..........................................................................42

ASEGURAMIENTO DE LA GESTIÓN / GESTIÓN DE RIESGOS AGE-GRI-ODT-010 1 3 de 79

3.7. SOBRE LOS SERVICIOS DE ACTUALIZACIONES ......................................................................... 56

ASEGURAMIENTO DE LA GESTIÓN / GESTIÓN DE RIESGOS AGE-GRI-ODT-010 1 4 de 79

CAPÍTULO XI PARA LA ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE

MACROPROCESO / PROCESO: CÓDIGO: VERSIÓN: PÁGINA

ASEGURAMIENTO DE LA GESTIÓN / GESTIÓN DE RIESGOS AGE-GRI-ODT-010 1 5 de 79

MANUAL DE POLITICAS DE SEGURIDAD DE LA INFORMACIÓN Y CIBERSEGURIDAD

 Activos de información y Ciberseguridad: Recursos del sistema de información o relacionados con

ASEGURAMIENTO DE LA GESTIÓN / GESTIÓN DE RIESGOS AGE-GRI-ODT-010 1 6 de 79

 Clasificación de la información: Es la asignación de un nivel de sensibilidad de la información cuando

 Confidencialidad: es la característica o condición que específica que la divulgación de información solo

 Información Clasificada (privada y semiprivada): Es aquella información que estando en poder o

MACROPROCESO / PROCESO: CÓDIGO: VERSIÓN: PÁGINA

ASEGURAMIENTO DE LA GESTIÓN / GESTIÓN DE RIESGOS AGE-GRI-ODT-010 1 7 de 79

 Información Semiprivada: Corresponde a aquella información que no es pública, pero que se

MACROPROCESO / PROCESO: CÓDIGO: VERSIÓN: PÁGINA

ASEGURAMIENTO DE LA GESTIÓN / GESTIÓN DE RIESGOS AGE-GRI-ODT-010 1 8 de 79

conozca la identidad de los usuarios reales, para proteger su derecho a la privacidad y la

 Disponibilidad: es la característica, cualidad o condición de acceso a la información y a los sistemas

 Dispositivo Móvil: Dispositivos de procesamiento o comunicaciones que pueden ser fácilmente

 Medios Removibles: Dispositivos de almacenamiento que pueden ser fácilmente conectados y

MACROPROCESO / PROCESO: CÓDIGO: VERSIÓN: PÁGINA

ASEGURAMIENTO DE LA GESTIÓN / GESTIÓN DE RIESGOS AGE-GRI-ODT-010 1 9 de 79

 Segunda Línea de Defensa: Función a cargo de la Vicepresidencia de Seguridad y Riesgos

ASEGURAMIENTO DE LA GESTIÓN / GESTIÓN DE RIESGOS AGE-GRI-ODT-010 1 10 de 79

 Incidente de Seguridad de la Información: Es evento único o una serie de eventos indeseados o

MACROPROCESO / PROCESO: CÓDIGO: VERSIÓN: PÁGINA

ASEGURAMIENTO DE LA GESTIÓN / GESTIÓN DE RIESGOS AGE-GRI-ODT-010 1 11 de 79

DESCRIPCIÓN DEL DOCUMENTO

A continuación se relacionan las políticas y lineamientos de Seguridad de la Información y Ciberseguridad

CAPÍTULO I PARA EL CORREO ELECTRÓNICO

3. POLÍTICAS PARA EL CORREO ELECTRÓNICO CORPORATIVO

Colpensiones ha dispuesto el servicio de correo electrónico para facilitar el envío y recepción de

3.1. RESERVA DE PRESTACIÓN DEL SERVICIO

Colpensiones se reserva el derecho de prestar el servicio de correo electrónico corporativo, o autorizar el

Colpensiones se reserva el derecho de revocar la autorización de acceso al servicio de correo electrónico

3.2. ACCESO EXTERNO AL CORREO ELECTRÓNICO DE COLPENSIONES

ASEGURAMIENTO DE LA GESTIÓN / GESTIÓN DE RIESGOS AGE-GRI-ODT-010 1 12 de 79

● Jefe de oficina adscrita a la presidencia

3.3. ACEPTACIÓN DE LOS TÉRMINOS Y CONDICIONES DEL SERVICIO

3.5. ENVÍO DE INFORMACIÓN PÚBLICA CLASIFICADA Y RESERVADA

MACROPROCESO / PROCESO: CÓDIGO: VERSIÓN: PÁGINA

ASEGURAMIENTO DE LA GESTIÓN / GESTIÓN DE RIESGOS AGE-GRI-ODT-010 1 13 de 79

No se encuentra permitido el envío y recepción de información clasificada como “Clasificada” y/o

La Gerencia de Tecnologías de Información es la responsable de la administración del servicio de correo

3.6. TAMAÑO DE LOS BUZONES DE CORREO

Es responsabilidad de la Gerencia de Tecnologías de la Información implementar y mantener los controles

La Gerencia de Tecnologías de la Información debe mantener un inventario actualizado de las cuentas de

3.7. CIFRADO, FIRMA DIGITAL Y OTRAS CONSIDERACIONES DE SEGURIDAD

MACROPROCESO / PROCESO: CÓDIGO: VERSIÓN: PÁGINA

ASEGURAMIENTO DE LA GESTIÓN / GESTIÓN DE RIESGOS AGE-GRI-ODT-010 1 14 de 79

3.8. CREACIÓN DE CUENTAS DE CORREO ELECTRÓNICO

En este marco, es responsabilidad de la Gerencia de Tecnologías de Información administrar el servicio de

Del mismo modo, es responsabilidad de la Gerencia de Riesgos y Seguridad de la información:

 Publicar, comunicar y monitorear el cumplimiento de las Políticas de seguridad para el Correo