De Seguridad y Privacidad
INTRODUCCIÓN
La Corporación Programa de Desarrollo para La Paz –Prodepaz, consciente de la importancia de definir controles para preservar la confidencialidad, integridad y disponibilidad de la información que se gestiona en los procesos y a través de los procedimientos, debe aplicar políticas de seguridad que minimicen los riesgos que amenacen y vulneren la información de la corporación.
En este documento, se plantean políticas que, alineadas con los objetivos misionales de la Entidad, permitirán dar lineamientos que protejan y resguarden la información que tiene la corporación, donde colaboradores, contratistas, proveedores y terceros juegan un papel importante y vital en la conservación.
De acuerdo a lo anterior, para la Dirección Ejecutiva de la Corporación Prodepaz, es importante establecer un marco de confianza en el ejercicio de sus deberes con el Estado y los ciudadanos, todo enmarcado en el estricto cumplimiento de las leyes y en concordancia con la misión y visión de la corporación; para ello, se ha planteado la necesidad de construir un Manual de Política de Seguridad y Privacidad de la Información, que esté adaptada a las condiciones específicas y particulares de la Entidad, según corresponda, para que sea aprobada y guiada por la Dirección Ejecutiva.
De esta forma, una buena política es concisa, fácil de leer y comprender, flexible y fácil de hacer cumplir para todos aquellos dentro del alcance sin excepción. Son cortas, y enmarcan los principios que guían las actividades dentro de la corporación.
CAPITULO I. DISPOSICIONES GENERALES
Artículo 1º Objeto. El presente manual tiene como objeto adoptar la Política de Seguridad y Privacidad de la Información de la Corporación Programa de Desarrollo para la Paz (Prodepaz), las Políticas Generales de Manejo, busca definir los lineamientos frente a su uso y manejo.
Artículo 2º Política de Seguridad y Privacidad de la Información. La Corporación Prodepaz, protege, preserva y administra la integridad, confidencialidad, disponibilidad y autenticidad de la información, en cumplimiento de los requisitos legales y reglamentarios. La entidad previene incidentes, mediante la gestión de riesgos integrales en seguridad y privacidad de la información, con la implementación de controles de seguridad físicos y digitales, orientados a la mejora continua en la gestión y el alto desempeño del Sistema de Gestión de Seguridad de la Información, con la finalidad de prestar servicios con calidad y transparencia a las comunidades colombianas en donde tiene incidencia la corporación.
Artículo 3º Ámbito de Aplicación. La Política de Seguridad y Privacidad de la Información, y las Políticas Generales de Manejo aplica dónde la Corporación Prodepaz tenga presencia o desarrolle su acompañamiento a través de la recolección, procesamiento, almacenamiento, recuperación, intercambio y consulta de información, en el desarrollo de la misión institucional y cumplimiento de sus objetivos estratégicos.
Artículo 4º Objetivos. La Política de Seguridad y Privacidad de la Información, tendrá los siguientes objetivos:
- Brindar mecanismos de aseguramiento para el cumplimiento de la confidencialidad, integridad, disponibilidad, legalidad y confiabilidad de la información de la Corporación Prodepaz.
- Mitigar los incidentes de Seguridad en la Corporación Prodepaz.
- Gestionar los riesgos de seguridad y privacidad de la información de la Corporación Prodepaz.
- Establecer los lineamientos necesarios para el manejo de la información y los recursos tecnológicos de la Corporación Prodepaz.
CAPÍTULO II POLÍTICAS GENERALES DE MANEJO DE INFORMACIÓN
Artículo 5º Privacidad y Tratamiento de la Información. Para el tratamiento de la información de las comunidades a las cuales se les presta el acompañamiento por parte de la Corporación Prodepaz, así como la información de los colaboradores, contratistas y practicantes que participan en el desarrollo de las funciones, la Corporación Prodepaz se cuenta con el «Manual de Política de Tratamiento de Datos Personales», dando cumplimiento con lo dispuesto en la Ley 1581 de 2012, reglamentada por el Capítulo 25 del Título 2 de la Parte 2 del Libro 2 del Decreto 1074 de 2015, y las demás normas externas que los modifiquen, adicionen o complementen.
Artículo 6. Política de Seguridad de los Recursos Humanos. Prodepaz, a través de la Dirección Ejecutiva, debe propender para que los colaboradores, contratistas y terceros que contraten con la Entidad, entiendan sus responsabilidades frente a la seguridad de la información con el fin de reducir el riesgo de robo, fraude, mal uso de las instalaciones y medios, asegurando la confidencialidad, disponibilidad e integridad de información.
Parágrafo. Prodepaz tiene incluido en las minutas de los contratos, cualquiera que sea su modalidad, las cláusulas u obligaciones correspondientes al eje de Seguridad de la Información, con el fin de reducir el riesgo de robo, fraude, mal uso de las instalaciones y medios, asegurando la confidencialidad, disponibilidad e integridad de información.
Artículo 7. Política de Gestión de Activos de Información. Prodepaz, a través del proceso de Gestión del Conocimiento, establecerá y divulgará los lineamientos específicos para la identificación, clasificación y buen uso de los activos de información, con el objetivo de garantizar su protección.
a. Inventario de Activos de Información. Los activos información de Prodepaz deben ser identificados, clasificados y controlados para garantizar su uso adecuado, protección y la recuperación ante desastres. Por tal motivo, se debe llevar el inventario de los activos de información de propiedad de la organización.
Con el objetivo de establecer los controles de seguridad físicos y digitales, el proceso corporativo que tiene la custodia de la información generada en el marco de su función se encargará de proteger la información, mantener y actualizar el inventario de activos de información relacionado con sus servicios (información, software, hardware y recurso humano).
b. Archivos de Gestión Documental. La Dirección Ejecutiva a través del proceso de Gestión del Conocimiento, deberá implementar los controles necesarios para que los archivos de gestión documental cuenten con los mecanismos de seguridad, con el fin de proteger y conservar la confidencialidad, integridad y disponibilidad de la información de Prodepaz.
Artículo 8. Responsabilidades de los empleados, colaboradores, contratistas y terceros frente al uso de los Recursos Tecnológicos. Todo colaborador, contratista y tercero que haga uso de los activos de información de Prodepaz, tienen la responsabilidad de cumplir las políticas establecidas para su uso aceptable, entendiendo que el uso no adecuado de los recursos, pone en riesgo el cumplimiento del objeto misional.
a. Del uso del correo electrónico. El servicio de correo electrónico institucional es una herramienta de apoyo a las funciones y responsabilidades de los colaboradores, contratistas y terceros de Prodepaz, con los siguientes lineamientos:
1. El servicio de correo electrónico institucional debe ser empleado únicamente para enviar y recibir mensajes de carácter institucional. En consecuencia, no puede ser utilizado con fines personales, económicos, comerciales y/o cualquier otro, ajeno a los propósitos de la Entidad.
2. En cumplimiento de la iniciativa institucional del uso aceptable del papel y la eficiencia administrativa, se debe preferir el uso del correo electrónico al envío de documentos físicos, siempre que la ley lo permita.
3. Los mensajes de correo están respaldados por la Ley 527 de 1999, la cual establece la legalidad de los mensajes de datos y las implicaciones legales que conlleva el mal uso de estos.
4. El proceso de Gestión del Conocimiento deberá implementar herramientas tecnológicas que prevengan la pérdida o fuga de información de carácter reservada o clasificada.
5. Está prohibido el envío de correos masivos (más de 150 destinatarios), salvo a través de la Dirección Ejecutiva, proceso de Comunicaciones y proceso de Gestión Humana.
6. Todo mensaje sospechoso respecto de su remitente o contenido, debe ser inmediatamente reportado a la Dirección Ejecutiva, a través del proceso de Gestión del Conocimiento, como incidente de seguridad, según procedimiento establecido y proceder de acuerdo a las indicaciones de dicha dirección; lo anterior, debido a que puede ser contenido de virus, en especial si contiene archivos adjuntos con extensiones. Exe., bat, pif o tenga explicitas referencias no relacionadas con la misión de la Entidad (como, por ejemplo: contenidos eróticos, alusiones a personajes famosos).
7. La cuenta de correo institucional no debe ser revelada en páginas o sitios publicitarios, de comercio electrónico, deportivos, agencias matrimoniales, casinos, o cualquier otra ajena a los fines de la entidad.
8. Está expresamente prohibido el uso del correo para la transferencia de contenidos insultantes, ofensivos, injuriosos, obscenos, violatorios de los derechos de autor y/o que atenten contra la integridad moral de las personas o instituciones.
9. Está expresamente prohibido distribuir información de Prodepaz, a otras entidades o ciudadanos sin la debida autorización del Director Ejecutivo, previa revisión del proceso de Gestión del Conocimiento en caso de comunicados.
10. El cifrado de los mensajes de correo electrónico institucional será necesario siempre que la información transmitida esté catalogada como clasificada o reservada en el inventario de activos de información o en el marco de la Ley Colombiana Vigente.
11. Está expresamente prohibido distribuir, copiar, reenviar información de Prodepaz a través de correos personales o sitios web diferentes a los autorizados en el marco de sus funciones u obligaciones contractuales.
12. El único servicio de correo electrónico autorizado para el manejo o transmisión de la información institucional en la Entidad es el asignado por el proceso de sistemas y que cuenta con el dominio @prodepaz.org, el cual cumple con todos los requerimientos técnicos y de seguridad, evitando ataques de virus.
13. Prodepaz se reserva el derecho de monitorear los accesos y el uso de los buzones de correo institucional, de todos sus colaboradores, contratistas y terceros, además podrá realizar copias de seguridad en cualquier momento sin previo aviso, así como limitar el acceso temporal o definitivo, por solicitud expresa de la Dirección Ejecutiva, así como a todos los servicios y acceso a sistemas de información de la Entidad o de terceros.
b. Del uso de Internet. La Dirección Ejecutiva, a través del asesor de sistemas, establecerá políticas de navegación basadas en categorías y niveles de usuario por jerarquía y funciones, las cuales deberán ser implementadas por colaboradores, contratistas y terceros que contraten con Prodepaz. Además, tendrán como responsabilidad, entre otras, las siguientes:
1. El uso del servicio de internet está limitado exclusivamente para propósitos laborales, contractuales e institucionales.
2. Los servicios a los que un determinado usuario pueda acceder en internet dependerán del rol, obligaciones contractuales o funciones que desempeña en Prodepaz y para las cuales esté formal y expresamente autorizado.
3. Todo usuario es responsable de informar al Proceso de sistemas, los contenidos o acceso a servicios que no le estén autorizados y/o no corresponden a sus funciones u obligaciones dentro de Prodepaz.
4. Está expresamente prohibido el envío, descarga y visualización de páginas con contenido insultante, ofensivo, injurioso, obsceno, violatorio de los derechos de autor y/o que atenten contra la integridad moral de las personas o instituciones.
5. Está expresamente prohibido el acceso a páginas web, portales, sitios web y aplicaciones web que no hayan sido autorizadas por Prodepaz, a través de la política de navegación.
6. Está expresamente prohibido el envío y descarga de cualquier tipo de software o archivos de fuentes externas, y de procedencia desconocida.
7. Esta expresamente prohibida la propagación de virus o cualquier tipo de código malicioso.
8. Prodepaz se reserva el derecho de monitorear los accesos y el uso del servicio de internet de todos sus empleados, colaboradores, contratistas y terceros, además de limitar el acceso a determinadas páginas de internet, los honorarios de conexión, los servicios ofrecidos por la red, la descarga de archivos y cualquier otro ajeno a los fines de Prodepaz.
C. Del Uso de los Recursos Tecnológicos. Los recursos tecnológicos de Prodepaz, son herramientas de apoyo a las labores, obligaciones y responsabilidades de colaboradores, contratistas y terceros; por ello, su uso está sujeto a las siguientes directrices:
1. Los bienes de computo se emplearán de manera exclusiva y bajo la completa responsabilidad por los colaboradores, contratistas y terceros al cual han sido asignados, únicamente para el desempeño de las funciones del cargo o las obligaciones contractuales pactadas.
2. En caso de que los colaboradores, contratistas y terceros deban hacer uso de equipos ajenos a Prodepaz, estos deberán cumplir con la legalidad del software instalado, antivirus licenciado, actualizado y solo podrá conectarse a la red de Prodepaz, una vez esté avalado por el proceso de sistemas.
3. Es responsabilidad de los colaboradores, contratistas y terceros mantener copias de seguridad de la información contenida en sus estaciones de trabajo y entregarlas a Prodepaz en custodia al finalizar la vinculación con la Entidad.
4. Los usuarios no deben mantener almacenados en los discos duros de computadores de escritorio, portátiles o discos virtuales de red, archivos de video, música y fotos que no sean de carácter institucional o que atenten con los derechos de autor o propiedad intelectual de los mismos.
5. No está permitido fumar, ingerir alimentos o bebidas en el área de trabajo donde se encuentren elementos tecnológicos o información física que pueda estar expuesta a su daño parcial o total y, por ende, a la pérdida de la integridad de esta.
6. No está permitido realizar conexiones o derivaciones eléctricas que pongan en riesgo los elementos tecnológicos por fallas en el suministro eléctrico a los equipos de cómputo, salvo en aquellos casos que sean autorizados por la Dirección Ejecutiva o quien haga sus veces.
7. Las únicas personas autorizadas para hacer modificaciones o actualizaciones en los elementos y recursos tecnológicos, como destapar, agregar, desconectar, retirar, revisar y/o reparar sus componentes, son los designados por la Dirección Ejecutiva para tal labor.
8. La Dirección Ejecutiva, a través del proceso de sistemas, realizará monitoreo sobre los dispositivos de almacenamientos externos como USB, CD-ROM, DVD, Discos Duros externos, entre otros, con el fin de prevenir o detectar fuga de información.
9. La pérdida o daño de elementos o recursos tecnológicos, o de alguno de sus componentes, deberá ser informada de inmediato al proceso de sistemas por el colaborador o contratista a quien se le hubiera asignado.
10. La pérdida de información deberá ser informada con detalle al proceso de sistemas como incidente de seguridad.
11. Todo incidente de seguridad que comprometa la disponibilidad, integridad o confidencialidad de información física o digital deberá ser reportado a la mayor brevedad posible.
12. El proceso de sistemas es la única dependencia autorizada para la administración del software, el cual no deberá ser copiado, suministrado a terceros ni utilizado para fines personales.
13. Todo acceso a la red de Prodepaz mediante elementos o recursos tecnológicos no institucionales deberá ser informado, autorizado y controlado por el proceso de sistemas.
14. La conexión a la red wifi institucional para colaboradores, contratistas y terceros deberá ser administrada desde el proceso de sistemas, mediante un SSID (Service Set Identifier) único a nivel nacional, la autenticación deberá ser con usuario y contraseña de directorio activo.
15. La conexión a la red institucional para visitantes deberá tener un SSID y contraseñas diferentes a la de la sede administrativa, administrada por el proceso de sistemas o quien haga sus veces.
16. Los equipos deben quedar apagados cada vez que el colaborador, contratista o tercero, no se encuentre en el proceso o durante la noche, esto, con el fin de proteger la seguridad y distribuir bien los recursos de la Entidad, siempre y cuando no vaya a realizar actividades vía remota.
17. Todo dispositivo móvil institucional, que transmita y/o almacene información sensible de la Entidad, debe ser monitoreado por el proceso de sistemas.
18. Todo dispositivo móvil personal que requiera acceder a los servicios tecnológicos de la entidad, y que trasmita y/o almacene información sensible, debe ser monitoreado por el proceso de sistemas.
d. Del Uso de los Sistemas o Herramientas de Información: Todos los colaboradores o contratistas de Prodepaz, son responsables de la protección de la información que acceden y/o procesan, así como de evitar su pérdida, alteración, destrucción y uso indebido, para lo cual se dictan los siguientes lineamientos:
1. Las credenciales de acceso a la red y a los recursos informáticos (Usuario y Clave) son de carácter estrictamente personal e intransferible; colaboradores y contratistas no deben revelarlas a terceros ni utilizar claves ajenas.
2. Todo colaborador y contratista es responsable del cambio de clave de acceso a los sistemas de información o recursos informáticos periódicamente.
3. Todo colaborador y contratista es responsable de los registros y modificaciones de información que se hagan a nombre de su cuenta de usuario.
4. Cuando colaborador y contratista cesa en sus funciones o culmina la ejecución de contrato de Prodepaz, todos los privilegios sobre los recursos informáticos otorgados le serán suspendidos inmediatamente; la información del empleado y/o contratista serán almacenados en un repositorio de la Entidad.
5. Cuando un colaborador y contratista cesa en sus funciones o culmina la ejecución de contrato con Prodepaz, el supervisor o jefe inmediato es el encargado de la custodia de los recursos de información, incluyendo la cesión de derechos de propiedad intelectual de acuerdo con la normativa vigente.
6. Todos los colaboradores y contratistas de Prodepaz deben dar estricto cumplimiento a lo estipulado en la Ley 23 de 1982 «Sobre derechos de autor», así como cualquier otra que adicione, modifique o reglamente la materia.
Artículo Noveno. Política de Control de Acceso. Los propietarios de los activos de información deben establecer medidas de control de acceso a nivel de red, sistema operativo, sistemas de información, servicios de tecnologías de la información e infraestructura física, con el fin de mitigar riesgos asociados al acceso a la información y servicios de infraestructura tecnológica de personal no autorizado, salvaguardando la integridad, disponibilidad y confidencialidad de la información de Prodepaz.
Artículo Décimo. Política De Criptografía. El Asesor de sistemas deberá contar con controles en el uso adecuado y efectivo de la criptografía para proteger la confidencialidad, integridad y disponibilidad de la información.
Artículo Décimo Primero. Política De Seguridad Física y del Entorno. Prodepaz debe contar con controles para la protección del perímetro de seguridad de las instalaciones físicas, controlar el acceso del personal y la permanencia en las oficinas e instalaciones, así como controlar el acceso a áreas restringidas (áreas destinadas al procesamiento o almacenamiento de información sensible, así como aquellas en las que se encuentren los equipos y demás infraestructura de soporte a los sistemas de información y comunicaciones), además mitigar los riesgos y amenazas externas y ambientales, con el fin de evitar afectación a la confidencialidad disponibilidad e integridad de la información de la Entidad.
Parágrafo 1. Todos los colaboradores, contratistas y visitantes que se encuentren en las instalaciones físicas de Prodepaz deben estar debidamente identificados, con un documento que acredite su tipo de vinculación, el cual deberá portarse en un lugar visible.
Parágrafo 2. Los visitantes de Prodepaz siempre deben permanecer acompañados por un empleado o contratista debidamente identificado.
Artículo Décimo Segundo. Política de Seguridad de las Operaciones. El Asesor de sistemas, será el encargado de la operación y administración de los recursos tecnológicos que soportan la operación de Prodepaz. Así mismo, velará por la eficiencia de los controles asociados a los recursos tecnológicos protegiendo la confidencialidad, integridad y disponibilidad de la información, así como la de asegurar que los cambios efectuados sobre los recursos tecnológicos, sean controlados y debidamente autorizados. De igual manera, deberá proveer la capacidad de procesamiento requerida en los recursos tecnológicos y los sistemas de información de Prodepaz efectuando proyecciones de crecimiento y provisiones en la plataforma tecnológica de acuerdo con el crecimiento de la Entidad.
El Asesor de Sistemas, deberá realizar y mantener copias de seguridad de la información de la Entidad en medio digital, siempre que ésta sea reportada por el responsable de la misma, con el objetivo de recuperarla en caso de cualquier tipo de falla, ya sea de hardware, software, o de procedimientos operativos al interior de la Entidad.
Se efectuará la copia respectiva de acuerdo con el esquema definido previamente en el documento Procedimiento Gestión Copias de Seguridad de la Entidad, el cual deberá ser diseñado por el proceso de Gestión del Conocimiento, en conjunto con los líderes de procesos.
Artículo Décimo Tercero. Política de Seguridad de las Comunicaciones. El Asesor de Sistemas, establecerá los mecanismos necesarios para proveer la disponibilidad de las redes y de los servicios que dependen de ellas, así mismo, dispondrá y monitoreará los mecanismos necesarios de seguridad para proteger la integridad y la confidencialidad de la información de Prodepaz.
Parágrafo 1. Como parte de sus términos y condiciones iniciales de trabajo los colaboradores, contratistas y terceros, cualquiera sea su nivel jerárquico dentro de la entidad, firmarán un Compromiso de Confidencialidad y no divulgación, en lo que respecta al tratamiento de la información de la Entidad, y de igual manera la Autorización de tratamiento de datos personales, en los términos de la Ley 1581 de 2012, así como el capítulo 25 del Decreto 1074 de 2015 y la Ley 1712 de 2014 reglamentada por el capítulo 2 del Decreto 1081 de 2015 y las demás normas que las adicionen, modifiquen, reglamenten o complementen. Dicho compromiso y autorización (documento original) deberá ser retenido en forma segura por el proceso de Gestión del Conocimiento.
Así mismo, mediante el Compromiso de Confidencialidad, el empleado, colaborador o contratista declarará conocer y aceptar la existencia de determinadas actividades que pueden ser objeto de control y monitoreo. Estas actividades deben ser detalladas a fin de no violar el derecho a la privacidad ni los derechos del empleado, colaborador o contratista.
Parágrafo 2. Para el caso del personal que ejecute tareas propias de Prodepaz y haya sido contratado en el marco de un contrato o convenio con la organización, debe reposar en la carpeta de ejecución del contrato un compromiso de confidencialidad debidamente suscrito por el Representante Legal de Prodepaz o con la cual se realiza el convenio.
Artículo Décimo Cuarto. Política de Seguridad para la Adquisición, Desarrollo y Mantenimiento de Sistemas. El proceso de Gestión del Conocimiento, velará porque el desarrollo interno o externo de los sistemas de información cumpla con los requerimientos de seguridad adecuados, para la protección de la información de Prodepaz.
El proceso de sistemas será la única dependencia de la Entidad con la capacidad de adquirir, desarrollar o avalar la adquisición y recepción de software de cualquier tipo, conforme a los requerimientos de la Dirección Ejecutiva o Coordinadores de procesos, con el fin de garantizar la conveniencia, soporte, mantenimiento y seguridad de la información de los sistemas que operan en Prodepaz.
En consecuencia, cualquier software que opere en Prodepaz y no haya sido entregado al asesor de sistemas, no serán responsabilidad de la misma, no se le brindará soporte y no se le salvaguardará la información.
Artículo Décimo Quinto. Política de Seguridad para Relación con Proveedores. Prodepaz establecerá mecanismos de control en relaciones con sus proveedores, teniendo en cuenta que se debe asegurar la información a la que tengan acceso, supervisando el cumplimiento de lo establecido en el eje de seguridad de la información. Los Supervisores de los contratos o convenios en conjunto con el proceso de Gestión del Conocimiento, tendrán la responsabilidad de la divulgación y revisión del cumplimiento de las políticas y procedimientos de la seguridad de la información.
Artículo Décimo Sexto. Política de Gestión de Incidentes de Seguridad de la Información. Prodepaz promoverá entre los colaboradores y contratistas el reporte de incidentes relacionados con la seguridad de la información y sus medios, reporte y seguimiento. Así mismo, asignará responsables para el tratamiento de los incidentes de seguridad de la información, quienes tendrán la responsabilidad de investigar y solucionar los incidentes reportados, de acuerdo con su criticidad. El Director Ejecutivo o a quien éste delegue, son los únicos autorizados para reportar incidentes de seguridad ante las autoridades; así mismo, son los únicos canales de comunicación autorizados para hacer pronunciamientos oficiales ante entidades externas, medios de comunicación o la ciudadanía.
Artículo Décimo Séptimo. Política de Cumplimiento. Prodepaz velará por la identificación, documentación y cumplimiento de los requisitos legales enmarcados en la seguridad de la información, entre ella la referente a derechos de autor y propiedad intelectual, protección de datos personales, ley de transparencia y del derecho de acceso a la información pública.
CAPÍTULO III. REVISIÓN Y VIGENCIA
Artículo Décimo Octavo. Revisión. La Política de Seguridad y Privacidad de la Información, será revisada anualmente, o antes si existiesen modificaciones que así lo requieran, para que se mantenga oportuna, suficiente y eficaz. Esta revisión será liderada por el proceso de Gestión del Conocimiento.
Artículo Décimo noveno. Vigencia. El presente manual de política de seguridad y privacidad de la información rige a partir de la fecha de su expedición.