Políticas de Seguridad

1.
ALCANCE Y PROPÓSITO
La política de Seguridad de la Información es aplicable en todo el sistema de DIÁLOGO, incluyendo creación, distribución, almacenamiento y destrucción. De igual forma a todas las dependencias académicas y administrativas y se aplica a toda la comunidad educativa, incluyendo personal administrativo, personal docente y estudiantes. para todos los funcionarios, contratistas, y terceros que desempeñen alguna labor en DIÁLOGO.
El propósito de esta política es definir y reglamentar las normas generales de la seguridad informática, así como los procedimientos para proteger, preservar y administrar la información de DIÁLOGO frente a las amenazas informáticas internas o externas.
2.
MARCO REGULATORIO Y NORMATIVO
Ley 1581 de 2012.
Ley 1266 de 2008
Se tendrán en cuenta e incluirán nuevas normas, leyes, decretos y resoluciones que se generen en esta materia y temas relacionados.
3.
POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN
Se define la Política de Seguridad de la Información como la manifestación que hace el Centro de pensamiento, sobre la intención institucional de definir las bases para gestionar de manera adecuada y efectiva, la seguridad de la información; garantizando la confidencialidad, integridad y disponibilidad de sus activos de información.
DIÁLOGO, pretende mediante la adopción e implementación de un Modelo de Seguridad y Privacidad de la Información enmarcado en el Sistema de Gestión de Seguridad de la información, proteger, preservar y administrar la confidencialidad, integralidad y seguridad de la información.
La Política de seguridad informática es de aplicación obligatoria para todo el personal de DIÁLOGO, cualquiera sea su situación contractual, la dependencia a la cual se encuentre adscrito y el nivel de las tareas que desempeñe.
DIÁLOGO hará uso de fotos, imágenes y/o video, con o sin voz, recopiladas durante la jornada de capacitación, así mismo utilizará el material fílmico de forma parcial y/o total, para fines educativos o publicaciones en redes sociales y demás canales de divulgación y promoción institucional; sin ningún tipo de remuneración
4.
DEBERES INDIVIDUALES DE LOS USUARIOS DE LA INFORMACIÓN
●
Usar la información DE DIÁLOGO únicamente para propósitos autorizados y en cumplimiento de su labor.
●
Respetar la confidencialidad de la información DE DIÁLOGO
●
No compartir perfiles de usuario, contraseñas, sesiones en estaciones de trabajo, documentos o cualquier tipo de información confidencial.
●
No anotar y/o almacenar en lugares visibles las contraseñas de acceso a los sistemas.
●
Bloquear la sesión de la estación de trabajo al momento de ausentarse de la misma.
●
Devolver y no conservar ningún tipo de copia de sus activos de información en buen estado, una vez cese su relación laboral con el Centro de Pensamiento.
●
Está estrictamente prohibido la divulgación, cambio, retiro o pérdida no autorizada de información de DIÁLOGO almacenada en medios físicos removibles, como USB, cintas magnéticas, entre otros.
5.
DEBERES DE LOS RESPONSABLES DE PERSONAL
●
Conceder autorizaciones de acceso a la información acorde con las funciones a ser realizadas por las personas a quienes le coordinan el trabajo.
●
Asegurar que los privilegios de acceso individuales reflejan una adecuada segregación de funciones. Un usuario no debe tener los permisos suficientes para originar, registrar y corregir/verificar una transacción de DIÁLOGO sin controles adecuados o una revisión independiente.
●
Restringir el acceso del personal a aquellas áreas que hayan sido restringidas por razones de seguridad.
●
Ser el responsable de conocer, solicitar y ratificar los privilegios de acceso a los empleados que le reportan.
●
Conservar los registros de los empleados con privilegios de acceso a la información.
●
Cuando un empleado se ausenta de su trabajo por un periodo de tiempo superior al mínimo establecido para cumplir con las regulaciones su superior inmediato debe:
●
Determinar si los accesos a los recursos físicos y a la información deben ser suspendidos.
●
Notificar la fecha en que el acceso debe ser suspendido, de ser necesario.
●
Recoger los equipos de seguridad como por ejemplo llaves, claves, computadoras, etc.
●
Cuando un empleado es retirado (voluntaria 0 involuntariamente), su jefe inmediato es responsable por:
o
Solicitar la revocación de las autorizaciones.
o
Revocar o restringir los privilegios de acceso antes de notificarle la terminación del contrato, si es apropiado.
●
Recoger los equipos, los dispositivos físicos y la revocación de las autorizaciones a los sistemas de información.
●
La Asistente de Recursos Humanos cumplirá la función de notificar a todo el personal que se vincula contractualmente con el Centro de Pensamiento,
de las obligaciones respecto del cumplimiento de la Política de Seguridad
Informática. De igual forma, será responsable de la notificación de la presente política y de los cambios que en ella se produzcan a todo el personal, a través de la suscripción de los compromisos de confidencialidad.
6.
DIRECTRICES RELACIONADAS CON EL MANEJO DE INFORMACIÓN CONFIDENCIAL
●
Los documentos con esta información no pueden ser dejados desatendidos o inseguros.
●
Debe ser apropiadamente autorizado para la divulgación de acuerdo con los estándares de clasificación de la información por parte de los propietarios.
●
La divulgación cualquiera que fuere su medio, verbal, escrita, telefónica o electrónica, debe ser efectuada sobre la base de la necesidad de conocerla de acuerdo a sus funciones.
●
Para propósitos de seguridad toda la información debe ser etiquetada con la clasificación respectiva.
●
Antes de divulgar verbalmente información clasificada como Restringida o Confidencial debe indicarse su clasificación.
●
EI acceso o distribución de información de Uso Interno debe estar limitado a empleados u otros con la necesidad de conocerla o usarla para cumplir con sus funciones.
7.
USO ADECUADO DE SOFTWARE.
●
En las estaciones de trabajo de DIÁLOGO solo se puede instalar software desarrollado o adquirido legalmente y cuya licencia de uso esté a nombre del Centro de Pensamiento.
●
Las estaciones de trabajo de DIÁLOGO deben ser utilizadas por los empleados, proveedores o contratistas solo para el desarrollo de las funciones normales de su trabajo.
●
El personal de DIÁLOGO debe reportar con diligencia, prontitud y responsabilidad presuntas violaciones de seguridad al responsable de Sistemas, quien debe garantizar las herramientas informáticas para que formalmente se realice el reporte e investigación de incidentes de seguridad.
8.
CONTROL DE VIRUS.
●
Los computadores personales y servidores deben ser analizados contra virus periódica y automáticamente.
●
Cualquier información que venga por medio electrónico o magnético como correo electrónico o información de INTERNET, debe ser revisada por un software antivirus antes de ser descargada y utilizada.
●
Es responsabilidad de los usuarios reportar todos los incidentes de infección de virus a las áreas encargadas.
9.
CONTROL DE CONTRASEÑAS.
●
Los perfiles de usuario y la contraseña tienen que ser asignados individualmente para soportar el principio de responsabilidad individual.
●
Los usuarios no pueden prestar su contraseña, los que lo realicen con su perfil queda bajo la responsabilidad del dueño.
●
Todo acceso por parte de personal externo debe ser autorizado por un responsable interno, quien asume la responsabilidad por las acciones que pueda realizar el mismo.
●
EI personal externo debe firmar un acuerdo de confidencialidad o un acuerdo de no divulgación antes de obtener acceso a la información de la entidad.
●
Todos los empleados, contratistas, proveedores y terceros, que deban realizar labores dentro de DIÁLOGO, ya sea por medios lógicos o físicos que involucren el manejo de información, deben conocer, entender, firmar y aceptar el correspondiente acuerdo de confidencialidad de la información.
●
Se debe revisar a intervalos de tiempo regulares el texto, de los acuerdos de confidencialidad, avalando que reflejan las necesidades de la entidad para la protección y seguridad de la información.
10.
REVISIÓN DEL SISTEMA DE SEGURIDAD DE LA INFORMACIÓN
Las políticas de seguridad de la información, normas, procedimientos, estándares, controles, formatos y procedimientos, deben ser revisados y actualizados sistemáticamente, de forma periódica y planificada (mínimo una vez por periodo o cada vez que ocurra un cambio sustancial en los activos de información).
11.
COPIAS DE SEGURIDAD
Toda información que pertenezca a los activos de información institucional o que sea de interés para un proceso operativo o de misión crítica debe ser respaldada por copias de seguridad. Dicho procedimiento debe incluir las actividades de almacenamiento de las copias en sitios seguros. Las dependencias del Centro de Pensamiento deben realizar pruebas controladas para asegurar que las copias de seguridad pueden ser correctamente leídas y restauradas. La creación de copias de seguridad de archivos usados, custodiados o producidos por usuarios individuales es responsabilidad exclusiva de dichos usuarios. El Técnico de Sistemas se encarga de dar cumplimiento al cronograma de copias de seguridad establecido por la institución y es responsable de su custodia.
12.
POLÍTICA DE USO DE INTERNET
El Centro de Pensamiento permite el acceso a servicio de internet, estableciendo lineamientos que garanticen la navegación segura y el uso adecuado de la red por parte de los usuarios finales, evitando errores, pérdidas, modificaciones no autorizadas o uso inadecuado de la información en las aplicaciones WEB.