macroproceso de apoyo...las diferentes actividades bajo los parámetros del procedimiento y del...

MACROPROCESO DE APOYO RECURSOS DE APOYO A LA GESTIÓN

Código: A-TIC-DI-001

PROCESO GESTIÓN DE LAS TIC Versión: 7.0

DOCUMENTO - POLITICAS DE SEGURIDAD DE LA INFORMACIÓN

Vigencia desde: Noviembre de 2015

Recuerde: Si este documento se encuentra impreso no se garantiza su vigencia, por lo tanto se considera “Copia No Controlada”. La versión vigente se encuentra publicada en el Aplicativo SIG del DASCD.

Página 0 de 37

ALCALDÍA MAYOR DE BOGOTÁ D.C.

GESTIÓN

PÚBLICA Departamento Administrativo del Servicio Civil

Carrera 30 No 25 – 90, Piso 9 Costado Oriental. PBX: (1) 368 00 38 Código Postal: 111311 www.serviciocivil.gov.co

DOCUMENTO DE POLÍTICAS DE

SEGURIDAD DE LA INFORMACIÓN

Bogotá, D.C., Versión Año 2015

http://www.serviciocivil.gov.co/







Página 1 de 37


GESTIÓN



DEPARTAMENTO ADMINISTRATIVO DEL SERVICIO CIVIL DISTRITAL

DOCUMENTO DE POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN CÉSAR AUGUSTO MANRIQUE SOACHA Director HERNANDO VARGAS ACHE Subdirector Técnico HENRY HUMBERTO VILLAMARÍN SERRANO Subdirector de Gestión Corporativa y Control Disciplinario ROSA MARIA MARTÍNEZ GONZÁLEZ Subdirectora Jurídica JHON EMERSON ESPITIA SUÁREZ Jefe Oficina Asesora de Planeación ISMAEL MARTÍNEZ GUERRERO Asesor de Control Interno CONSUELO RODRÍGUEZ RÍOS Profesional Especializado Área de Sistemas e informática Subdirección de Gestión Corporativa y Control Disciplinario GERARDO GUTIERREZ SARMIENTO Profesional especializado Área de Sistemas e informática Subdirección de Gestión Corporativa y Control Disciplinario GUILLERMO RENGIFO Contratista Subdirección de Gestión Corporativa y Control Disciplinario








Página 2 de 37


GESTIÓN



CONTENIDO

CONTENIDO .................................................................................................................................................................. 2

1. INTRODUCCION .................................................................................................................................................... 5

2. OBJETIVO .............................................................................................................................................................. 5

2.1. Objetivos específicos: ................................................................................................................................... 5

3. POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN ............................................................................................. 5

3.1. Alcance del Sistema de Gestión de la Seguridad de la Información ............................................................. 6

3.2. Descripción de la Política .............................................................................................................................. 6

3.3. Responsabilidades ........................................................................................................................................ 7

3.4. Cumplimiento ................................................................................................................................................ 8

4. DEFINICIÓN DE POLÍTICAS ................................................................................................................................. 8

4.1. Políticas Generales de la Función Misional .................................................................................................. 8

4.1.1. Objetivo ......................................................................................................................................................... 8

4.1.2. Aplicabilidad .................................................................................................................................................. 8

4.1.3. Descripción de la Política .............................................................................................................................. 8

4.2. Políticas Específicas de los Usuarios ............................................................................................................ 9

4.2.1. Objetivo ......................................................................................................................................................... 9

4.2.2. Aplicabilidad .................................................................................................................................................. 9

4.2.3. Descripción de la Política .............................................................................................................................. 9

4.3. Políticas Específicas del Área de Sistemas e Informática ........................................................................... 11

4.3.1. Objetivo ....................................................................................................................................................... 11

4.3.2. Aplicabilidad ................................................................................................................................................ 11

4.3.3. Descripción de la Política ............................................................................................................................ 11

4.4. Política de Uso del Correo Electrónico........................................................................................................ 12

4.4.1. Objetivo ....................................................................................................................................................... 12

4.4.2. Aplicabilidad ................................................................................................................................................ 12


4.4.4. Usos NO aceptables del servicio ................................................................................................................ 13

4.4.5. Responsabilidades ...................................................................................................................................... 14

4.5. Política de Uso del Internet ......................................................................................................................... 15

4.5.1. Objetivo ....................................................................................................................................................... 15

4.5.2. Aplicabilidad ................................................................................................................................................ 15




4.6. Política Contra Software Malicioso y Hacking ............................................................................................. 17








Página 3 de 37


GESTIÓN



4.6.1. Objetivo ....................................................................................................................................................... 17

4.6.2. Aplicabilidad ................................................................................................................................................ 17


4.6.4.1 Usos NO aceptables del servicio ................................................................................................................ 18


4.7. Política de Uso de la Intranet ...................................................................................................................... 19

4.7.1. Objetivo ....................................................................................................................................................... 19

4.7.2. Aplicabilidad ................................................................................................................................................ 19




4.8. Política de Control de Acceso ..................................................................................................................... 20

4.8.1. Objetivo ....................................................................................................................................................... 20

4.8.2. Aplicabilidad ................................................................................................................................................ 20

4.8.3. Descripción de la política ............................................................................................................................ 20



4.9. Política de Escritorio y Pantalla Limpia ....................................................................................................... 22

4.9.1. Objetivo ....................................................................................................................................................... 22

4.9.2. Aplicabilidad ................................................................................................................................................ 22



4.9.5. Responsabilidades. ..................................................................................................................................... 23

4.10. Política de Backup y Restauración de Información ..................................................................................... 23

4.10.1. Objetivo ....................................................................................................................................................... 23

4.10.2. Aplicabilidad ................................................................................................................................................ 23


4.10.4. Tiempo máximo de interrupción permitido en aplicaciones ......................................................................... 24


4.11. Política de Outsourcing ............................................................................................................................... 25

4.11.1. Objetivo ....................................................................................................................................................... 25

4.11.2. Aplicabilidad ................................................................................................................................................ 25



4.12. Política para la Gestión de Incidentes de Seguridad................................................................................... 26

4.12.1. Objetivo ....................................................................................................................................................... 26








Página 4 de 37


GESTIÓN



4.12.2. Aplicabilidad ................................................................................................................................................ 26



4.13. Política para la Instalación de Software ...................................................................................................... 27

4.13.1. Objetivo ....................................................................................................................................................... 27

4.13.2. Aplicabilidad ................................................................................................................................................ 27



4.14. Política Adquisición, Desarrollo y Mantenimiento de Software ................................................................... 28

4.14.1. Objetivo ....................................................................................................................................................... 28

4.14.2. Aplicabilidad ................................................................................................................................................ 28



4.15. Política sobre el Cuidados en la Utilización de los Bienes Informáticos y la Prevención de virus informáticos .................................................................................................................................................................. 28

4.15.1. Objetivo ....................................................................................................................................................... 28

4.15.2. Aplicabilidad ................................................................................................................................................ 28

4.15.3. Descripción de la política ............................................................................................................................ 29



4.16. Política de Gestión Documental .................................................................................................................. 31

4.16.1. Objetivo ....................................................................................................................................................... 31

4.16.2. Aplicabilidad ................................................................................................................................................ 31



5. INVENTARIO DE LOS BIENES INFORMÁTICOS ............................................................................................... 32

6. NORMATIVIDAD .................................................................................................................................................. 34

7. TÉRMINOS Y DEFINICIONES ............................................................................................................................. 35








Página 5 de 37


GESTIÓN



1. INTRODUCCION Las políticas son elementos primordiales en el procedimiento de Seguridad de la Información y brindan las directrices que permiten alinear el pensamiento de la organización con los elementos normativos, estándares y buenas prácticas de un sistema de gestión. Las políticas deben ser consecuentes con los reglamentos y parámetros legales tanto internos como obligatorios que debe cumplir la organización como entidad distrital. Proveen la base para la implementación de controles de seguridad que reducen los riesgos del sistema y garantizan la continuidad de la organización. La alta dirección en compañía del Comité de Seguridad de la Información, son responsables de vigilar el cumplimiento y el mantenimiento de las diferentes políticas implementadas por la entidad. La socialización y divulgación de las políticas son tareas fundamentales para que toda la entidad conozca las responsabilidades que tienen frente a la implementación y cumplimiento del procedimiento de Seguridad de la información. 2. OBJETIVO Asegurar que los servicios ofrecidos por la entidad cumplan con lineamientos de seguridad y calidad, mediante el control y administración de los activos de información, incluida la infraestructura tecnológica, para garantizar la disponibilidad, integridad y confidencialidad de la información apoyando a la alta dirección en el cumplimiento del plan estratégico. 2.1. Objetivos específicos: a) Cumplimiento de las normativas legales b) Mejora continua de los procesos y servicios ofrecidos a los usuarios.

Brindar capacitación e información a todos los servidores públicos y contratistas sobre la responsabilidad directa de proteger la información que manejan, para evitar su pérdida, alteración, destrucción o mal uso.

c) Analizar y planificar la reducción del riesgo de pérdida, robo o revelación de información. d) Asegurar la confidencialidad, disponibilidad e integridad de la información generada para llevar a cabo

las diferentes actividades bajo los parámetros del procedimiento y del Documento de Políticas de Seguridad de la información.

e) Proteger los recursos de información de la entidad, frente a amenazas internas o externas, deliberadas o accidentales, con el fin de asegurar el cumplimiento de la confidencialidad, integridad, disponibilidad, legalidad y confiabilidad de la información en marcados en las políticas de seguridad de la información.

3. POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN En el Departamento Administrativo del Servicio Civil Distrital, la información es un activo importante para el desarrollo de su gestión institucional y la toma de decisiones, por lo tanto existe un compromiso expreso en generar cultura de seguridad y estrategias orientadas a la continuidad del negocio y la administración de riesgos.








Página 6 de 37


GESTIÓN



Por lo anterior, todos los servidores públicos, contratistas y terceros deben garantizar su confidencialidad, integridad y disponibilidad respecto al marco legal y normativo vigente relacionado con la seguridad de la información, comprometiéndose a desarrollar, implementar, mantener y mejorar el Sistema de Gestión de Seguridad de la Información, realizando acciones que eviten la destrucción, divulgación, modificación, pérdida, utilización no autorizada de información institucional, minimizado los riesgos asociados al manejo de la información, garantizando un mejor desempeño de los sistemas de información existentes y aplicándolos en los procesos de la entidad. El comité de Seguridad de la Información será el responsable del mantenimiento, revisión y mejora del Sistema de Gestión de Seguridad de la información 3.1. Alcance del Sistema de Gestión de la Seguridad de la Información Dentro del alcance del Sistema de Gestión de Seguridad de la Información –SGSI-, se encuentra toda la infraestructura tecnológica (servidores, equipos de red, computadores, impresoras, escáner, ups), los servicios de información (acceso a internet, correo electrónico, aplicaciones cliente/servidor) y lo relacionado con gestión documental (archivo digitalizado), para la administración de los mismos (en cualquiera de sus formas y medios de almacenamiento).

3.2. Descripción de la Política

La entidad define, implementa, opera y mejora de forma continua un Sistema de Gestión de Seguridad

de la Información alineado a las necesidades del negocio, a la metodología de análisis y gestión de riesgo y los requerimientos regulatorios.

Es responsabilidad de cada uno de los servidores públicos, contratistas y terceros la seguridad de la información.

La entidad protege la información creada, procesada, trasmitida o resguardada por los procesos de negocio, con el fin de minimizar la pérdida de información, causadas por amenazas de origen interno o externo.

La entidad vela por la protección de los activos de información y las instalaciones que soportan los servicios, de los riesgos a que se encuentran expuestos.

La entidad exigirá a los servidores públicos y contratistas firmar acuerdos de confidencialidad y declaración de aceptación de las políticas de seguridad.

La entidad aplicará los procedimientos de “Administración de cuentas de usuario” y “Paz y Salvo por retiro de la entidad” los cuales establecen las autorizaciones y restricciones para el acceso a los sistemas de información.

La entidad establece que los mecanismos de autenticación (Contraseñas) son personales e intransferibles. Los usuarios son responsables de tomar las debidas precauciones para mantener la confidencialidad de sus contraseñas.

La entidad aplica en sus sistemas de información lineamientos y estándares de autenticación de usuarios, los cuales son de obligatorio cumplimiento.

La entidad controla la gestión y operación de las tecnologías de la información y comunicaciones (TIC´s) y planea su actualización, conforme a las necesidades proyectadas y la optimización de los recursos.

La entidad vela que la seguridad sea planeada y administrada a través del ciclo de vida de los sistemas de información, implementando controles en el ingreso, procesamiento, salida y transmisión de los datos para mantener la integridad, disponibilidad, confidencialidad de la información de la entidad.

El acceso a la información y a los recursos, depende de las funciones propias de cada cargo o a los servicios contratados.








Página 7 de 37


GESTIÓN



La entidad exige que en los escritorios de los servidores públicos no debe permanecer información sensible de la entidad, en medios magnéticos o física, principalmente cuando no se encuentra en su lugar de trabajo.

La entidad aplica la normatividad legal y regulaciones que rigen a los entes de orden distrital y nacional, para contar con el respaldo en la protección de la información y los servicios.

La entidad aplica el esquema de mejora continua en el procedimiento “Plan de Continuidad del Negocio” fortaleciendo el análisis de riesgo y la estimación de su impacto, sobre los procesos misionales.

Se debe procurar que la información sea correcta y completa, que esté siempre a disposición de la entidad y que sea utilizada sólo por quienes tienen autorización para hacerlo.

Para información específica, respecto a seguridad de la información, uso de medios magnéticos de almacenamiento, responsabilidad por los activos, clasificación y el procesamiento de la información, copias de respaldo, riesgos tecnológicos y demás temas relacionados, se recomienda acudir al Manual de Políticas de Seguridad de la Información, que será publicado en la Intranet.

3.3. Responsabilidades

La Política de Seguridad de la Información es de aplicación obligatoria para todos los servidores

públicos y contratistas del Departamento, la dependencia a la cual se encuentre adscrito y el nivel de las actividades que desempeñe.

El Comité de Seguridad de la Información del Departamento es responsable de revisar y proponer a las directivas para su aprobación, el texto de la Política de Seguridad de la Información, las funciones generales en materia de seguridad de la información y la estructuración, recomendación, seguimiento y mejora del Sistema de Gestión de Seguridad de la Información. Es responsabilidad de dicho comité definir las estrategias de capacitación en materia de seguridad de la información al interior de la entidad.

Todos los servidores públicos de la entidad y contratistas son responsables de la clasificación, mantenimiento y actualización de la información; así como de documentar y mantener actualizada la clasificación efectuada, definiendo qué usuarios deben tener permisos de acceso de acuerdo a sus funciones y competencia. En general, tienen la responsabilidad de mantener íntegro, confidencial y disponible el activo de información mientras que es desarrollado, producido, mantenido y utilizado.

El área de Talento Humano notificará a todos los servidores públicos y contratistas que se vinculen a la Entidad, de las obligaciones respecto del cumplimiento de la Política de Seguridad de la Información y de todos los estándares, procesos, procedimientos, prácticas y guías que surjan del Sistema de Gestión de la Seguridad de la Información. De igual forma, será responsable de la notificación de la presente Política y de los cambios que en ella se produzcan a todo el personal, a través de la suscripción de los Compromisos de Confidencialidad y de tareas de capacitación continua en materia de seguridad, según lineamientos dictados por el Comité de Seguridad de la Información.

El área de sistemas e Informática debe seguir los lineamientos de la presente política y cumplir los requerimientos que en materia de seguridad informática se establezcan para la operación, administración, comunicación y mantenimiento de los sistemas de información y los recursos de tecnología de la entidad.

La Subdirección Jurídica verificará el cumplimiento de la presente Política en la gestión de todos los contratos, acuerdos u otra documentación de la entidad con los contratistas y terceros.

Los usuarios servidores públicos y contratistas que tienen a cargo información para su procesamiento son responsables de conocer y cumplir la Política de Seguridad de la Información vigente.

La Oficina de Control Interno es responsable de practicar auditorías periódicas sobre los sistemas y actividades vinculadas con la gestión de activos de información y la tecnología de información. Es su responsabilidad informar sobre el cumplimiento de las especificaciones y medidas de seguridad de la información establecidas por esta Política y por las normas, procedimientos y prácticas que de ella surjan.








Página 8 de 37


GESTIÓN



3.4. Cumplimiento La Política de Seguridad de la información, está de acuerdo a las normas internas así como a la legislación nacional en la materia de seguridad de la información. Constitución Política de Colombia Ley 527 de 1999 de comercio electrónico Ley 1266 de 2008 de Habeas Data Manual del Gobierno Electrónico en Línea Ley 1581 de 2012 y 1273 de 2009 sobre delitos informáticos MECI 1000:2005 Lineamientos generales para la implementación del Modelo Estándar de Control

Interno para el Estado Colombiano NTD-SIG 001:2011 Norma técnica distrital del sistema integrado de gestión para las entidades y

organismos distritales PIGA – Plan Institucional de Gestión Ambiental NTC 27001:2013. Sistema de Gestión de Seguridad de la Información ISO/IEC 17799:2005 Information technology Security techniques Code of practice for information

security management. 3.5 Organización para la Seguridad de la Información El Departamento administrativo del Servicio Civil Distrital garantiza el apoyo al proceso de establecimiento, implementación, operación, seguimiento, revisión, mantenimiento y mejora del Sistema de Gestión de la Seguridad de la Información, del cual hace parte integral la presente política, por medio de la creación del Comité de Seguridad de la Información mediante Resolución 126 del 3 de julio de 2015, cuya composición y funciones serán reglamentadas por una mesa de trabajo compuesta por el Director del Departamento o su delegado, el jefe de la Oficina Asesora de Planeación o su delegado, el Subdirector de Gestión Corporativa y Control Disciplinario o su delegado, el Subdirector Técnico o su delegado, el Subdirector Jurídico o su delegado y un profesional del área de Sistemas e Informática

4. DEFINICIÓN DE POLÍTICAS

4.1. Políticas Generales de la Función Misional 4.1.1. Objetivo Definir las pautas de propósito general de la entidad para asegurar una adecuada protección de la información del DEPARTAMENTO ADMINISTRATIVO DEL SERVICIO CIVIL. 4.1.2. Aplicabilidad Estas políticas aplican a todos los funcionarios y contratistas de la alta dirección, subdirecciones, oficinas de planeación y control interno para cumplir con los propósitos generales de la función misional del DEPARTAMENTO ADMINISTRATIVO DEL SERVICIO CIVIL, 4.1.3. Descripción de la Política








Página 9 de 37


GESTIÓN



Diseñar, programar y realizar por parte de la oficina de control interno, los programas de auditoría del sistema de gestión de seguridad de la información.

La alta dirección debe construir, implementar, revisar y actualizar la política de seguridad de la información

Todo el software que esté instalado en los equipos de cómputo debe ser comprado y/o aprobado por el área de Sistemas e informática, en concordancia con la política de adquisición de la entidad.

El Departamento debe contar con un firewall o un dispositivo de seguridad perimetral el cual está provisto dentro de lo servicios que brinda el contrato del canal de Internet.

Los responsables de todas las dependencias deben asegurarse que todos los procedimientos de seguridad de la información dentro de su área, se realizan correctamente conforme con las políticas y estándares de seguridad de la información.

En caso de tener un servicio de transferencia de archivos para intercambio de información, el Departamento no utilizará protocolos considerados obsoletos o inseguros como FTP o Telnet y utilizará protocolos de transferencia segura de archivos. Cuando el origen de la transferencia es una entidad externa se acogerán las políticas de esa entidad, sin embargo se deben revisar y proponer controles en concordancia con las políticas de seguridad de la información del DASCD. Esta revisión debe quedar documentada.

En el caso de transferencia de información con entidades del estado, bancarias o de la Alcaldía Mayor, se usaran los controles de seguridad de la información definidos por el receptor de la información, en caso de que no están definidas, se deben proponer los controles del DASCD.

El Comité de seguridad de Información del DASCD definirá, de acuerdo a la clasificación de la información, qué datos deben ser cifrados y darán las directrices necesarias para la implementación de los dispositivos necesarios para realizar el cifrado.

El Comité de Seguridad de Información del DASCD de acuerdo a la tecnología existente, definirá las directrices necesarias para la aprobación de conexión de equipos móviles a las redes del DASCD.

El Comité de Seguridad de Información del DASCD de acuerdo a las necesidades de la entidad, apoyará, según directrices, las actividades de trabajo remoto o teletrabajo, así como la conexión desde redes externas y la consulta de correo o acceso a sistemas de información desde redes externas.

4.2. Políticas Específicas de los Usuarios 4.2.1. Objetivo Definir las pautas generales para asegurar una adecuada protección de la información del DEPARTAMENTO ADMINISTRATIVO DEL SERVICIO CIVIL por parte de los usuarios de la entidad. 4.2.2. Aplicabilidad Estas políticas aplican a todos los servidores públicos y contratistas del DEPARTAMENTO ADMINISTRATIVO DEL SERVICIO CIVIL actuales o por ingresar. 4.2.3. Descripción de la Política El DASCD suministra a través de una cuenta de GOOGLE APP el servicio de almacenamiento de

información llamado DRIVE, con una capacidad de 30GB compartido entre almacenamiento y correo, con los permisos necesarios para que cada usuario guarde la información institucional en firme y sobre ella se garantice la disponibilidad en caso de un daño en el equipo asignado al usuario. Esta información será guardada de acuerdo a las tablas de retención documental de la entidad.








Página 10 de 37


GESTIÓN



Los programas instalados en los equipos son de propiedad del DASCD, la copia no autorizada de programas legales o de su documentación, implica una violación a las políticas de seguridad de la información del DASCD. Aquellos funcionarios o contratistas que realicen o utilicen copias no autorizadas de programas y su respectiva documentación, quedarán sujetos a las acciones disciplinarias o legales establecidas por la entidad y la legislación aplicable.

Los recursos tecnológicos y de software asignados a los funcionarios del DASCD son propiedad de la entidad y son suministrados a los funcionarios y contratistas para el desarrollo de las funciones misionales y de gestión de la entidad. Mientras están bajo custodia de los funcionarios o contratistas, estos recursos son su responsabilidad y debe hacer uso apropiado de los mismos siguiendo las políticas y procedimientos definidos por la entidad.

El uso de dispositivos de almacenamiento móvil tales como DVD, CD, memorias USB, Agendas Electrónicas, celulares o smartphones pueden ocasionalmente generar riesgos para la entidad al ser conectados a los computadores, ya que son susceptibles de transmisión código malicioso o pueden ser utilizados para fuga de información, por lo tanto su uso debe ser expresamente autorizado por el área de sistemas e informática de la entidad, y en consecuencia está prohibida la conexión de equipos de almacenamiento o procesamiento a la infraestructura de información y tecnología de la entidad.

Ningún tipo de información de tipo electrónica de la entidad debe almacenarse en discos duros, computadores personales de los funcionarios o en medios de almacenamiento removibles como USB, discos extraíbles, teléfonos o smarthphones. Para utilizar copiar cualquier tipo de información hacia y desde una USB, debe informar al área de sistemas e Informática la habilitación de este dispositivo.

Solamente los servidores públicos del área de sistemas e informática de la Entidad, instalarán copias de los programas que han sido adquiridos legalmente en los equipos asignados y en las cantidades necesarias para suplir sus necesidades.

El uso de programas o software obtenidos a partir de otras fuentes, implicar amenazas legales y de seguridad a la entidad, por lo que dicho uso está estrictamente prohibido. El DASCD podrá iniciar procesos disciplinarios si encuentra copias no autorizadas de software, videos música o información que los usuarios tengan en los equipos de cómputo a su cargo.

El uso de dispositivos de almacenamiento móvil tales como DVD, CD, memorias USB, agendas electrónicas, celulares o smartphones pueden ocasionalmente generar riesgos para la entidad al ser conectados a los computadores, ya que son susceptibles de transmisión código malicioso o pueden ser utilizados para fuga de información, por lo tanto está bajo responsabilidad de cada funcionario dar el uso adecuado a estos y la custodia y seguridad de la información.

Los programas instalados en los equipos son de propiedad del DASCD, la copia no autorizada de programas legales o de su documentación, implica una violación a las políticas de seguridad de la

Los usuarios solo tendrán acceso a los datos y recursos autorizados por el DASCD, y serán responsables de evitar la divulgación no autorizada de esta información.

Es responsabilidad de cada usuario proteger la información que está contenida en documentos, formatos, listados, etc., que son el resultado de los procesos informáticos, así como los datos de entrada a los mismos.

Los recursos (computadores, impresoras, fotocopiadores, escáner, etc.) solo deben utilizarse para los fines autorizados por la entidad.

Cuando sea necesario y esté autorizado el uso de los equipos de la entidad fuera de las instalaciones, no deben dejarse en sitios públicos sin una adecuada vigilancia y protección, como guayas de seguridad para portátiles.

Los equipos móviles del DASCD como portátiles, deben ser tratados y llevados como equipaje de mano cuando se realicen viajes. En caso de llevar varios equipos, debe contratarse un servicio de transporte adecuado y debe tomarse el seguro de transporte de equipos.

Cualquier incidente o posible evento de seguridad que afecte la información de la entidad debe ser reportada inmediatamente al área de sistemas e informática, para que tome las medidas pertinentes.








Página 11 de 37


GESTIÓN



Los servidores públicos y contratistas de la entidad deben tomar las precauciones necesarias para no revelar información confidencial o reservada a través de llamadas telefónicas, ya que pueden ser interceptadas mediante acceso físico a la línea o al auricular o escuchadas por personas que se encuentren cerca. Lo anterior se aplica también cuando el funcionario se encuentre en sitios públicos como restaurantes, transporte público o ascensores.

Los datos de los sistemas de información no deben intercambiarse utilizando archivos compartidos en los computadores, discos virtuales, CD, DVD, medios removibles o correo electrónico; deben usarse los servicios propios del sistema de información, los cuales deben estar controlados y auditados.

Todos los funcionarios, contratistas y demás colaboradores, en el desarrollo de sus tareas habituales u ocasionales, que utilicen cualquier servicio de tecnología de la información y comunicaciones (TIC) que provea la entidad son responsables del cumplimiento y seguimiento de esta política.

4.3. Políticas Específicas del Área de Sistemas e Informática 4.3.1. Objetivo Definir las pautas generales para asegurar una adecuada protección de la información del DEPARTAMENTO ADMINISTRATIVO DEL SERVICIO CIVIL, por parte de los administradores de los bienes informáticos, de la red y de infraestructura de información de la entidad. 4.3.2. Aplicabilidad Estas políticas aplican a los funcionarios del área de Sistemas e Informática del DEPARTAMENTO ADMINISTRATIVO DEL SERVICIO CIVIL actuales o por ingresar u otro que este encargado de la administración de los sistemas de información. 4.3.3. Descripción de la Política Toda licencia y sus medios se deben guardar y relacionar de tal forma que asegure su protección y

disposición en un futuro. Las copias licenciadas y registradas del software adquirido deben ser únicamente instaladas en los

equipos de cómputo y servidores de la entidad. Se deben hacer copias de seguridad en concordancia con las políticas definidas en el Documento de

Políticas de Seguridad de la Información No se pueden hacer copias de programas o su documentación sin el consentimiento por escrito del

DASCD. Los funcionarios del área de Sistemas e informática debe velar por que el ingreso al centro de cómputo

sólo sea de personal autorizado. Por defecto, en los equipos servidores, todos los protocolos y servicios deben ser bloqueados, no se

debe permitir ninguno a menos que sea solicitado y aprobado por el responsable de la administración de la red.

Los funcionarios del área de sistemas e informática debe evaluar los procedimientos y controles para asegurar los servicios, aplicaciones y programas de la entidad.

El acceso a cualquier servicio o a algún equipo servidor o sistema de información debe ser autenticado y autorizado por el área de sistemas e informática.

Todos los servidores deben ser configurados con el mínimo de servicios para desarrollar sus funciones asignadas.








Página 12 de 37


GESTIÓN



4.4. Política de Uso del Correo Electrónico 4.4.1. Objetivo Definir las pautas generales para asegurar una adecuada protección de la información del DEPARTAMENTO ADMINISTRATIVO DEL SERVICIO CIVIL en el uso del servicio de correo electrónico por parte de los usuarios autorizados. 4.4.2. Aplicabilidad El servicio de correo electrónico del Departamento está habilitado exclusivamente para apoyar la gestión misional y administrativa de la entidad. Con esta plataforma se permite el servicio de correo interno como el externo y se constituye en un componente fundamental de información, debiéndose garantizar la integridad, disponibilidad y confidencialidad de la información allí contenida. 4.4.3. Descripción de la Política Los usuarios autorizados para usar el servicio de correo electrónico son responsables de mantener un

comportamiento ético y acorde a la ley y de evitar prácticas o usos que puedan comprometer la seguridad de la información del DASCD.

El servicio de correo electrónico debe ser empleado para servir a una finalidad operativa y administrativa en relación con la entidad. Todas las comunicaciones establecidas mediante este servicio, sus buzones y copias de seguridad se consideran de propiedad del DASCD y pueden ser revisadas por sistemas e informática.

El acceso al servicio de correo electrónico podrá ser asignado a las personas que tengan vinculación con el DASCD, como son los funcionarios y contratista. Para la asignación de cuentas de correo se debe seguir los procedimientos definidos por el área de sistemas e informática.

El servicio de correo debe utilizarse única y exclusivamente para las tareas propias de la función desarrollada en el DASCD y no debe utilizarse para ningún otro fin como actividades personales o comerciales.

El password o clave de acceso al correo electrónico es la mejor defensa contra el uso no autorizado, la cuenta de acceso al servicio y/o a la red de datos del DASCD requiere que se mantenga en la mayor reserva posible, no debe suministrarse a otras personas o exhibirse en público.

El único servicio de correo electrónico institucional autorizado por el DASCD, es el asignado directamente por el Área de Sistemas e Informática, el cual cumple con todos los requerimientos técnicos y de seguridad, evitando ataques de virus, spyware y otro tipo de software malicioso.

Los funcionarios y contratistas que sean autorizados para usar el servicio de correo electrónico deben conocer y aceptar que el contenido de los mensajes enviados por este medio solo son de naturaliza confidencial cuando el DASCD los configura para ese fin.

Todo usuario es responsable por la destrucción de todo mensaje cuyo origen es desconocido, y asume la responsabilidad de las consecuencias que puede ocasionar la ejecución de cualquier archivo adjunto. En estos casos no se deben contestar dichos mensajes, ni abrir los archivos adjuntos.

Si se requiere que los contenidos de los correos electrónicos sean confidenciales, deben solicitar este servicio al Área de Sistemas e Informática e indicar el motivo

Los usuarios deben tener especial cuidado cuando envían sus correos de forma que seleccionen correctamente los destinatarios. En la mayoría de situaciones se deben enviar correos electrónicos a correos corporativos de otras entidades.

El tamaño del buzón de correo electrónico se asignará de acuerdo con el rol que desempeña el usuario en la entidad, la capacidad específica será definida y administrada por el Área de Sistemas e Informática.








Página 13 de 37


GESTIÓN



Si una cuenta de correo es capturada por hackers o se reciben excesiva cantidad de correo no deseado (SPAM), una nueva cuenta será generada y la anterior será borrada.

Todo usuario es responsable de informar de contenidos o acceso a servicios que no le estén autorizados y/o no correspondan a sus funciones dentro de la entidad.

La cuenta de correo de uso personal e intransferible. Por esto se deben tener claves seguras y no se puede compartir la cuenta.

Todos los servidores públicos del Departamento tienen derecho a una cuenta de correo institucional, que le permite, mediante el uso de la plataforma de correo, comunicarse al interior y exterior de la entidad.

Los correos que se envíen deben tener la imagen institucional (logos) y no llevar ningún color o imagen sobre el fondo en el que se escribe el mensaje.

Los funcionarios y contratistas deben configurar o solicitar al Área de Sistemas e Informática, la firma en los mensajes enviados para fortalecer la imagen corporativa. La firma corresponde a un texto breve con los datos de contacto definido en el Manual Estratégico de Comunicaciones, que se inserta de forma automática al final de todos los mensajes que se envían. NOMBRE COMPLETO Cargo Área [email protected] Teléfono: (57) (1) 3-68-00-38 ext xxx Twitter: @DASCD_2012 Facebook: Departamento Administrativo del Servicio Civil Distrital

Le corresponde a cada usuario verificar que todos los archivos que se copien a su computadora no contengan virus. Para tal fin debe ejecutar el antivirus que está instalado en cada equipo y verificar los archivos correspondientes.

La Subdirección de Gestión Corporativa y Control Disciplinario puede cancelar las cuentas de correo que no demuestren su uso durante más de un (1) mes consecutivo, exceptuando aquellos usuarios que se encuentren en vacaciones o licencias de trabajo. También el mal uso del correo ocasionará la cancelación de la cuenta.

Para enviar correos externos masivos institucionales se debe comunicar con el área de Comunicaciones, debidamente justificado, ya que es la única encargada de esta actividad.

La herramienta GOOGLE APP cuenta con un servicio adicional de ALMACENAMIENTO DE DATOS EN LA NUBE, en este espacio puede guardar archivos con un tamaño de hasta 10Mb en cualquier formato, de forma temporal, para que lo descarguen directamente en sus computadores en la oficina.

No atienda a sorteos u ofertas económicas de forma inmediata e impulsiva. 4.4.4. Usos NO aceptables del servicio A continuación se detallan usos que se consideran NO aceptables y que constituyen incidentes de seguridad de la información que serán tratados del DASCD: Envío, reenvío o intercambio de mensajes no deseados o considerados SPAM, cartas en cadena,

publicidad o grupos de personas. Este servicio debe utilizarse exclusivamente para las actividades propias de la función desarrollada en el DASCD, cualquier uso personal debe ser expresamente autorizado por el Jefe inmediato y el área de sistemas e informática

Envío de correos con archivos adjuntos que superen el tamaño autorizado por el administrador de correo del DASCD.








Página 14 de 37


GESTIÓN



Envío o intercambio de mensajes con contenido que atente contra la integridad de las personas o instituciones, tales como: ofensivo, obsceno, pornográfico, chistes, terroristas, o contenidos que represente riesgos de código malicioso.

Envío o intercambio de mensajes que promuevan la discriminación sobre la base de raza, género, nacionalidad de origen, edad, estado marital, orientación sexual, religión o discapacidad.

Envío de mensajes que contengan amenazas o mensajes violentos. Creación, almacenamiento o intercambio de mensajes que violen las leyes de material protegido por la

ley de derechos de autor, nacional o internacional. Distribuir información que pertenezca a la entidad, sin autorización expresa de una persona con

autoridad a empresas privadas, a otras entidades o ciudadanos. Crear, enviar, alterar, borrar mensajes de un usuario sin su autorización. Abrir, usar o revisar indebidamente la cuenta de correo electrónico de otro usuario como si fuera propia

sin la debida autorización. Cualquier otro propósito inmoral, ilegal o diferente al considerado Uso aceptable del servicio. Enviar o reenviar correos contentivos de propaganda o cualquier otra información de carácter político

partidista. Promocionar a través del correo interno o externo bienes o servicios particulares que no tengan relación

con los objetivos institucionales. Utilizar el correo electrónico para fines diferentes a los objetivos de la Entidad. Entrega de información total o parcial, en medios extraíbles a terceros sin consentimiento del

Departamento. Conectar computadores o equipos tecnológicos a la red cableada del Departamento sin previa

autorización del área de Sistemas e Informática Dejar el computador encendido sin bloquearlo, permitiendo el acceso de otras personas sin

consentimiento previo. Prestar la contraseña de acceso a la red de DASCD, para que otras personas diferentes las utilicen en

los computadores. Dejar información sensible en su escritorio o en la bandeja de la impresora. Colocar o pegar en los computadores, calcomanías, dibujos, muñecos, porcelanas. Comer o regar

alimentos sobre las partes del computador. Rayar la pantalla con esferos, lápices u otros utensilios. Abrir las partes internas de los computadores.

4.4.5. Responsabilidades

El área de Talento Humano y la Subdirección Jurídica, en el caso de contratistas; son las responsables de solicitar la creación, modificación o cancelación de las cuentas de acceso a la red y al servicio de correo electrónico corporativo al Área de Sistemas e Informática. Las cuentas de correo y acceso a la red serán desactivadas a partir de la fecha en la cual la persona termine oficialmente su vinculación con la entidad.

El Área de Sistemas e Informática es la responsable de administrar la plataforma tecnológica que soporta el acceso a la red/cuentas de usuario y/o al servicio de correo electrónico corporativo para los funcionarios, contratistas y demás colaboradores que desempeñen labores en la entidad.

El DASCD puede supervisar cualquier cuenta de correo para certificar que se está usando para los propósitos legítimos. El incumplimiento de esta política puede conducir a acciones disciplinarias o de índole legal. Cuando el usuario acepta el uso del servicio, acepta que el buzón de correo y su contenido son de propiedad de la entidad.

El Área de Sistemas se reserva el derecho de filtrar los contenidos que se trasmitan en la red de la entidad y en uso del servicio del correo electrónico corporativo. Dentro del filtrado de correos se tendrán en cuenta factores como: listas negras de spam, contenidos con código malicioso, mensajes de fuentes conocidas como riesgosas.








Página 15 de 37


GESTIÓN



4.5. Política de Uso del Internet 4.5.1. Objetivo Establecer los controles que permitan minimizar el riesgo generado por el acceso a Internet y a redes públicas, exponiendo los sistemas de información del Departamento a la propagación interna y externa de software con código malicioso o nocivo, el cual puede comprometer directamente la integridad, la disponibilidad y la confidencialidad de la información procesada por cada uno de los componentes de la red. 4.5.2. Aplicabilidad Esta es una política del DEPARTAMENTO ADMINISTRATIVO DEL SERVICIO CIVIL que se aplica a toda la entidad y a todos los usuarios autorizados para acceder al servicio. 4.5.3. Descripción de la Política Internet es una herramienta que permite la comunicación global y la búsqueda de información desde

sus puestos de trabajo para actividades que tengan relación directa con las funciones asignadas o las obligaciones contractuales.

Es una herramienta para consultar información relacionada con sus funciones únicamente y no como una herramienta de entretenimiento y diversión, por lo cual las páginas de chat y juegos están prohibidas.

Los usuarios autorizados para usar el servicio de Internet son responsables de evitar prácticas o usos que puedan comprometer la seguridad de la información del DASCD.

El servicio de acceso a internet debe ser empleado para servir a una finalidad operativa y administrativa en relación con el DASCD. Todas. las comunicaciones establecidas mediante este servicio pueden ser revisadas por el administrador del servicio o cualquier instancia de vigilancia y control.

Este servicio debe utilizarse exclusivamente para las tareas propias de la función desarrollada en el DASCD y no debe utilizarse para fines diferentes al cumplimiento de las funciones de la entidad.

El acceso al servicio podrá ser asignado a las personas que tengan algún tipo de vinculación con el DASCD, ya sea como funcionario, contratista o colaborador y para las cuales un funcionario de nivel directivo lo solicite formal y expresamente.

El servicio debe utilizarse única y exclusivamente para las tareas propias de la función desarrollada en el DASCD y no debe utilizarse para ningún otro fin.

El único navegador autorizado para el uso del servicio de Internet en el DASCD es el asignado directamente por el Área de Sistemas e Informática, el cual cumple con todos los requerimientos técnicos y de seguridad, evitando ataques de virus, spyware y otro tipo de software malicioso. Además este servicio tiene diferentes procesos de actualización que se aplican de manera periódica y segura.

Los servicios a los que un determinado usuario pueda acceder desde la Internet dependerán del rol que desempeña el usuario en la entidad y para los cuales este formal y expresamente autorizado.

Todo usuario es responsable de informar de contenidos o acceso a servicios que no le estén autorizados o no correspondan a sus funciones dentro de la entidad.

Todo usuario es responsable tanto del contenido de las comunicaciones como de cualquier otra información que se envíe o descargue desde su cuenta de acceso a internet.

El uso de comunicación interactiva temporal como Chats, ICQ, Messenger, Facebook, Skype, Sónico, H5, Ares, entre otros, son las vías que contienen más virus escondidos, por lo que se recomienda el no uso de ellos en el Departamento.








Página 16 de 37


GESTIÓN



Utilizar Chats que sólo sean institucionales. El servicio de WI-FI es para la conexión de cualquier dispositivo móvil sin necesidad de utilizar un cable

de conexión, tanto de los servidores públicos, como de los visitantes a la entidad, su alcance o cobertura únicamente cubre el piso 9 costado oriental.

La red inalámbrica provee acceso a recursos dentro y fuera de la entidad, tal acceso es un privilegio y no un derecho para lo cual se requiere que los diferentes usuarios actúen con un uso responsable, ético, moral y bajo las normas.

4.5.4. Usos NO aceptables del servicio Envío y/o descarga de información masiva que pueda congestionar la red como música, videos,

software. En especial con los servicios provistos por las páginas especializadas para tal fin, así como utilizar o participar en juegos de entretenimiento en línea.

Envío y/o descarga y/o visualización de información con contenidos que atenten contra la integridad moral de las personas o instituciones.

Acceso a páginas web, portales, sitios web y/o aplicaciones web que no hayan sido autorizadas por DEPARTAMENTO ADMINISTRATIVO DEL SERVICIO CIVIL.

Cualquier otro propósito diferente al considerado uso aceptable del servicio. El Código Disciplinario Único (Ley 734 de 2002), establece dentro de los deberes y prohibiciones para

los servidores públicos, los siguientes: Art. 34. Son deberes de todo servidor público:… "4. Utilizar los bienes y recursos asignados para el desempeño de su empleo, cargo o función…" "11. Dedicar la totalidad del tiempo reglamentario de trabajo al desempeño de las funciones encomendadas, salvo las excepciones legales". "21. Vigilar y salvaguardar los bienes y valores que le han sido encomendados y cuidar que sean utilizados debida y racionalmente, de conformidad con los fines a que han sido destinados". "22. Responder por la conservación de los útiles, equipos, muebles y bienes confiados a su guarda o administración y rendir cuenta oportuna de su utilización". Art. 35. A todo servidor público le está prohibido: … "9. Ejecutar en el lugar de trabajo actos que atenten contra la moral o las buenas costumbres".

La Resolución 307 del 2008, de la Comisión Distrital de Sistemas, en el TÍTULO I, SOBRE LAS POLÍTICAS BÁSICAS, CAPÍTULO SEGUNDO, PRIMERO POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN EN EL DISTRITO CAPITAL: ARTÍCULO 12. “LA INFORMACIÓN PATRIMONIO DISTRITAL. Los datos y la información utilizada por todos las entidades, organismos y órganos de control del Distrito Capital para su funcionamiento administrativo y el cumplimiento de sus funciones misionales, constituyen un patrimonio con valor económico que requiere las garantías administrativas y jurídicas para su conservación y ejercicio del derecho pleno de uso, por parte de la Administración Distrital, y en tal sentido, es un "bien público" de valor estratégico y patrimonial. PARÁGRAFO. Es responsabilidad de las entidades, organismos y órganos de control del Distrito Capital gestionar los recursos tecnológicos y administrativos que permitan el manejo de los datos y la información, así como controlar el uso de dichos recursos por parte de los funcionarios y contratistas que las conforman.”

Ingresar a páginas pornográficas así como de personas u organizaciones al margen de la ley o de contenidos ilegales.

Descargar programas que permitan realizar conexiones automáticas, la utilización de los recursos asignados por la entidad para distribución o reproducción de este tipo de programas (Ej: software conexión ftp) ya sea vía Web o medios magnéticos.

Utilizar los servicios de radio y TV a través de Internet, salvo que dicha información se requiera para el ejercicio de las funciones a cargo.








Página 17 de 37


GESTIÓN



Descargar o instalar programas, modificar los paquetes y configuraciones ya instalados en los computadores de la Entidad, para prevenir virus informáticos y reconfiguración de equipos personales. En caso de requerir algún software nuevo o la modificación de alguno ya instalado, el Subdirector o Jefe de Oficina deberá solicitar la respectiva instalación o modificación a la Subdirección de Gestión Corporativa y Control Disciplinario a través del área de Sistemas e Informática.

Descargar videos que no sean para uso institucionales, ya que esto conlleva a la saturación del canal dedicado de internet, pone el acceso lento y puede bloquearlo.

4.5.5. Responsabilidades El Área de Sistemas e Informática es la responsable de administrar la plataforma tecnológica que

soporta el acceso a la red/cuentas de usuario y/o al servicio de Internet para los funcionarios, contratistas y demás colaboradores que desempeñen labores en la entidad.

El Área de Sistemas e Informática se reserva el derecho de monitorear el acceso a páginas que presenten un comportamiento inusual o sospechoso.

El Área de Sistemas se reserva el derecho de filtrar los contenidos que se reciban desde Internet y/o se envíen desde la red de la entidad.

Todos los usuarios estarán identificados independientemente con permisos de acceso individual autorizados por razones básicas de la entidad. La utilización de la cuenta es personal e intransferible, por lo que si se utiliza su cuenta y los privilegios que la misma le ofrece para realizar acciones no permitidas, se asumirá inicialmente que fue el funcionario responsable y asociado a la cuenta quien las realizó, motivo por el cual se debe dar un uso responsable al manejo de claves de acceso evitando así la utilización por personas no autorizadas.

La Subdirección de Gestión Corporativa y Control Disciplinario será la encargada de proporcionar el servicio de acceso institucional a Internet, así como vigilar su correcto uso y funcionamiento.

El área de sistemas no tendrá ninguna responsabilidad por el uso inadecuado que pueda llegar a tener en el uso de la Red inalámbrica y la responsabilidad recaerá directamente sobre la persona que lo realice y si el dispositivo inalámbrico representa una amenaza a la seguridad de la red, este puede ser desconectado sin previo aviso.

Si se detecta la utilización irregular o mal uso del Internet o del servicio de correo electrónico institucional, se suspenderán temporalmente estos servicios. Tratándose de servidores públicos, se analizarán las circunstancias en que se presentó el hecho y con base en ellas se determinará acerca de la aplicación de la figura de "Preservación del Orden Interno" señalada en el artículo 51 del Código Disciplinario Único, o de su remisión a la Subdirección de Gestión Corporativa y Control Disciplinario para que se proceda a adelantar la investigación disciplinaria del caso.

Cuando la conducta se trate de acceso a páginas pornográficas, de personas u organizaciones al margen de la ley o de contenidos ilegales, no será posible la aplicación de la figura de preservación del orden interno, debiéndose remitir el informe respectivo a la Subdirección de Gestión Corporativa y Control Disciplinario.

4.6. Política Contra Software Malicioso y Hacking 4.6.1. Objetivo

Definir las pautas generales para asegurar una adecuada protección de la información del DEPARTAMENTO ADMINISTRATIVO DEL SERVICIO CIVIL contra software malicioso y hacking. 4.6.2. Aplicabilidad








Página 18 de 37


GESTIÓN



Esta es una política del DEPARTAMENTO ADMINISTRATIVO DEL SERVICIO CIVIL que aplica a todos los funcionarios y contratistas de la Entidad. 4.6.3. Descripción de la Política

Todos los equipos de cómputo, servidores y portátiles del Departamento deben estar protegidos por

software antivirus con capacidad de actualización automática. Los programas de antivirus deben ser instalados por el Área de Sistemas e informática en los

servidores y en las estaciones de trabajo de modo residente para que estén activados durante su uso. Los servicios de información y tecnología que se emplean para servir a una finalidad operativa y

administrativa en relación con la entidad y que intercambien información o los sistemas que la procesan, redes y demás infraestructura del DASCD se consideran bajo el control de la entidad y estarán bajo la supervisión del área de sistemas e informática para verificar la existencia de programas de protección contra código malicioso.

El servicio de antivirus debe utilizarse exclusivamente para las tareas propias de la función desarrollada en el DASCD y no debe utilizarse para ningún otro fin.

El área de sistemas e informática verificará frecuentemente el software antivirus instalado en los computadores o dispositivos y la no presencia de virus o código malicioso en los dispositivos de almacenamiento fijo, removibles, archivos en los computadores o dispositivos informáticos que esté autorizado el usuario a emplear.

El usuario puede ejecutar la verificación de existencia de virus o código malicioso con las herramientas antivirus provistos cada vez que detecte que algún equipo o dispositivo informático está funcionando de manera irregular o se sospeche de la presencia de virus en equipos, dispositivos, archivos o correos electrónicos.

Todo usuario es responsable por la destrucción de todo archivo o mensaje, que le haya sido enviado por cualquier medio provisto por la entidad, cuyo origen le sea desconocido o sospechoso, el usuario asume la responsabilidad y las consecuencias que puede ocasionar su apertura o ejecución. En estos casos no se deben contestar dichos mensajes, ni abrir los archivos adjuntos, el usuario debe notificar el incidente a la cuenta [email protected], indicando que ha recibido un correo sospechoso. El correo sospechoso no debe ser reenviado a ningún usuario.

El único servicio de antivirus autorizado en la entidad es el asignado directamente por el Área de Sistemas e informática del DASCD, el cual cumple con todos los requerimientos técnicos y de seguridad, evitando ataques de virus, spyware y otro tipo de software malicioso. Además este servicio tiene diferentes procesos de actualización que se aplican de manera periódica y segura. Excepcionalmente se podrá realizar la ejecución de otro programa antivirus, únicamente por personal autorizado por el Área de Sistemas e informática, a efectos de reforzar el control de presencia y/o programación de virus y/o código malicioso.

Todo usuario es responsable de reportar toda información cuyo origen le sea desconocido y asume la responsabilidad de las consecuencias que puede ocasionar la apertura o ejecución de cualquier archivo de origen desconocido.

4.6.4.1 Usos NO aceptables del servicio Abrir o descargar archivos o documentos de remitente desconocido, no confiable o sospechoso, se

debe evitar abrir archivos desconocidos con la herramienta de antivirus, debido a que estos archivos pueden contener código malicioso que puede no ser detectado por el antivirus si no está actualizado. En lo posible los archivos desconocidos deberán ser borrados de las carpetas donde se encuentren y eliminarlos de la papelera del computador.

El usuario no debe propiciar el intercambio de archivos que hayan sido identificados como infectados por virus o código malicioso o sean sospechosos de estar infectados.








Página 19 de 37


GESTIÓN



El usuario no debe desactivar o eliminar los programas antivirus y/o de detección de código malicioso en los equipos o sistemas en que estén instalados.

El usuario no debe Instalar, desinstalar o emplear programas no autorizados para manejo de antivirus.

4.6.4. Responsabilidades Todos los funcionarios, contratistas y demás colaboradores del DASCD son responsables del

cumplimiento y seguimiento de la política de antivirus. El Área de Sistemas e informática es la responsable de administrar la plataforma tecnológica que

soporta el servicio de Antivirus para los computadores y equipos informáticos de la red del DASCD que son empleados por funcionarios, contratistas y demás colaboradores que desempeñen labores en la entidad.

El Área de Sistemas e informática se reserva el derecho de monitorear las comunicaciones o la información que se generen, comuniquen, tramitan o trasporten y almacenen en cualquier medio en busca de virus o código malicioso.

El Área de Sistemas e informática se reserva el derecho de filtrar los contenidos que se trasmitan en la red del DASCD para evitar amenazas de virus. Todos los correos electrónicos serán revisados para evitar que tengan virus. Si el virus no puede ser eliminado, la información será borrada y el usuario será notificado.

El área de sistemas e informática del DASCD es responsable de coordinar y verificar la actualización periódica las versiones de los programas antivirus.

4.7. Política de Uso de la Intranet 4.7.1. Objetivo Definir las pautas generales para asegurar una adecuada protección de la información del DEPARTAMENTO ADMINISTRATIVO DEL SERVICIO CIVIL en el uso del servicio de Intranet por parte de los usuarios autorizados. 4.7.2. Aplicabilidad Esta es una política del DEPARTAMENTO ADMINISTRATIVO DEL SERVICIO CIVIL que aplica a todos los funcionarios y contratistas de la Entidad. 4.7.3. Descripción de la Política Los usuarios autorizados para usar el servicio de Intranet son responsables de evitar prácticas o usos

que puedan comprometer la seguridad de la información del DASCD. El servicio debe ser empleado para servir a una finalidad operativa y administrativa en relación con

DASCD. Todas las comunicaciones establecidas mediante este servicio pueden ser revisadas por el administrador del servicio o cualquier instancia de vigilancia y control.

Este servicio debe utilizarse exclusivamente para las tareas propias de la función desarrollada en el DASCD y no debe utilizarse para ningún otro fin.

El acceso al servicio podrá ser asignado a las personas que tengan algún tipo de vinculación con el DASCD, ya sea como funcionario, contratista o colaborador.

El servicio debe utilizarse única y exclusivamente para las tareas propias de la función desarrollada en la entidad y no debe utilizarse para ningún otro fin que sea expresamente autorizado, en particular pero sin limitarse a divulgación de información personal o comercial.








Página 20 de 37


GESTIÓN



El único navegador autorizado para el uso del servicio de Intranet en el DASCD es el asignado directamente por el Área de Sistemas e Informática, el cual cumple con todos los requerimientos técnicos y de seguridad, evitando ataques de virus, spyware y otro tipo de software malicioso. Además este servicio tiene diferentes procesos de actualización que se aplican de manera periódica y segura.

Todo usuario es responsable de informar de contenidos o acceso a servicios que no le estén autorizados y/o no correspondan a sus funciones dentro del DASCD.

Este servicio debe generar el ahorro en impresiones de los diferentes documentos y formatos del Sistema de Gestión de Calidad, Directivas y/o circulares, publicaciones y comunicaciones en general.

Permite que la información institucional interna se encuentre mucho más organizada y seleccionada, aplicando la misma metodología de manejo de los navegadores de internet

4.7.4. Usos NO aceptables del servicio Publicación de la información con contenidos que atenten contra la integridad moral de las personas o

instituciones. Divulgación de información clasificada como confidencial o reservada. Publicar información comercial o personal que no esté debidamente autorizada. Cualquier uso que incumpla los usos aceptables definidos en esta política. 4.7.5. Responsabilidades El Área de Comunicaciones es la responsable de administrar y actualizar la plataforma tecnológica que

soporta el servicio de Intranet para los funcionarios, contratistas y demás colaboradores que desempeñen labores en el DASCD

El área de Sistemas e informática es la responsable de la seguridad de la información de la plataforma tecnológica que soporta la Intranet en la Entidad .

4.8. Política de Control de Acceso 4.8.1. Objetivo Definir las pautas generales para asegurar un acceso controlado a la información, las aplicaciones, centro de cómputo y la red del DEPARTAMENTO ADMINISTRATIVO DEL SERVICIO CIVIL, así como el uso de medios de computación móvil y teletrabajo. 4.8.2. Aplicabilidad Esta política aplica a todos los funcionarios y contratistas del DEPARTAMENTO ADMINISTRATIVO DEL SERVICIO CIVIL actuales o por ingresar, que usen su infraestructura. 4.8.3. Descripción de la política El DASCD proporciona a los funcionarios y contratistas todos los recursos tecnológicos necesarios

para que puedan desempeñar las funciones para las cuales fueron contratados, por tal motivo no se permite conectar a la red o instalar dispositivos móviles o fijos (tales como portátiles, celulares, tabletas, Pcs, enrutadores, agendas electrónicas, access point) que no sean autorizados por el área de Sistemas e informática.








Página 21 de 37


GESTIÓN



El DASCD suministra a los usuarios las claves respectivas para el acceso a los servicios de red y sistemas de información a los que hayan sido autorizados, las claves son de uso personal e intransferible. Es responsabilidad del usuario el manejo que se les dé a las claves asignadas.

Solo personal designado por el área de Sistemas e Informática está autorizado para instalar software o hardware en los equipos, servidores e infraestructura de telecomunicaciones del DASCD.

Todo trabajo que utilice los servidores del DASCD que contenga información institucional se debe realizar en sus instalaciones, no se podrá realizar ninguna actividad de tipo remoto sin la debida aprobación del área de sistemas e informática.

El DASCD provee el acceso a los funcionarios y contratistas a sus sistemas de información, archivos e infraestructura de información y tecnología para el desarrollo de las funciones misionales de la entidad. Los usuarios deben hacer uso de estos permisos de acceso para los propósitos misionales de la entidad.

El acceso a los sistemas de información e infraestructura de información debe realizarse siguiendo las reglas y políticas de uso de esos sistemas.

El usuario es responsable de custodiar los accesos a aplicaciones e infraestructura de información y tecnología suministrados por el DASCD y asume las consecuencias de uso indebido de dichos permisos de acceso.

El acceso a los servicios, aplicaciones, sistemas de información o la infraestructura de información y tecnología podrá ser asignado a las personas que tengan algún tipo de vinculación con el DASCD como funcionario o contratista

El acceso a los servicios, aplicaciones, sistemas de información o la infraestructura de información y tecnología debe utilizarse única y exclusivamente para las tareas propias de la función desarrollada en el DASCD y no debe utilizarse para ningún otro fin que sea expresamente autorizado.

Los accesos a servicios, aplicaciones, sistemas de información o la infraestructura de información y tecnología a los que un determinado usuario pueda acceder dependerán del rol que desempeña el usuario en el DASCD y para los cuales este formal y expresamente autorizado.

Todo usuario es responsable de informar los accesos a servicios, aplicaciones, sistemas de información o la infraestructura de información y tecnología que no le estén autorizados y/o no correspondan a sus funciones dentro del DASCD.

Cuando un funcionario, contratista o colaborador al que le haya sido autorizado accesos a , aplicaciones, sistemas de información o la infraestructura de información y tecnología, deberá abstenerse de intentar utilizar esos acceso cuando finalice su vinculación con DASCD.

Las claves de administrador de los sistemas deben ser conservadas por el área de sistemas e informática y deben ser cambiadas en intervalos regulares de tiempo y en todo caso cuando el personal adscrito al cargo cambie

El acceso remoto a servicios de red ofrecidos por la Entidad debe estar sujeto a medidas de control definidas por el área de sistema e informática, las cuales deben incluir acuerdos escritos de seguridad de la información.

Se debe tener acceso controlado y restringido al centro de cómputo donde están los equipos servidores, la UPS y todos los equipos de comunicaciones

4.8.4. Usos NO aceptables del servicio Obtener lucro o beneficio personal de la información almacenada en sistemas de información,

aplicaciones o infraestructura del DASCD. Obtener acceso no autorizado a otros servicios, sistemas de información, aplicaciones o infraestructura

de información y tecnología empleando los accesos otorgados. Facilitar o proporcionar acceso a usuarios no autorizados o terceros a información, sistemas de

información, aplicaciones o infraestructura de información y tecnología del DASCD.








Página 22 de 37


GESTIÓN



Ejecutar, participar o propiciar incidentes de seguridad de la información que afecten los servicios, aplicaciones, sistemas de información o la infraestructura de información y tecnología del DASCD.

4.8.5. Responsabilidades Las áreas de Recursos Humanos y de Contratación son las responsables de solicitar la creación,

modificación o cancelación de los accesos a servicios, aplicaciones, sistemas de información o la infraestructura de información y tecnología.

Todos los funcionarios, contratistas y demás colaboradores son responsables tanto del contenido de las comunicaciones como de cualquier otra información que se envíe desde o hacia los servicios, aplicaciones, sistemas de información o la infraestructura de información y tecnología para los cuales se les ha otorgado acceso mientras estén en desarrollo de sus tareas habituales u ocasionales

El Área de Sistemas e Informática es la responsable de administrar la plataforma tecnológica que soporta los accesos a servicios, aplicaciones, sistemas de información o la infraestructura de información para los funcionarios, contratistas y demás colaboradores que desempeñen labores en el DASCD.

El Área de Sistemas e Informática se reserva el derecho de monitorear las comunicaciones y/o información que presenten un comportamiento inusual o sospechoso durante el acceso a servicios, aplicaciones, sistemas de información o la infraestructura de información.

El acceso al centro de cómputo y los datos que contienen es responsabilidad exclusiva del personal encargado de tales sistemas.

4.9. Política de Escritorio y Pantalla Limpia 4.9.1. Objetivo Definir las pautas generales para reducir el riesgo de acceso no autorizado, pérdida y daño de la información durante y fuera del horario de trabajo 4.9.2. Aplicabilidad Esta política aplica a todos los funcionarios y contratistas del DEPARTAMENTO ADMINISTRATIVO DEL SERVICIO CIVIL actuales o por ingresar, que usen su infraestructura. 4.9.3. Descripción de la Política El personal del DASCD debe conservar su escritorio libre de información propia de la entidad, que

pueda ser alcanzada, copiada o utilizada por terceros o por personal que no tenga autorización para su uso o conocimiento.

El personal del DASCD debe bloquear la pantalla de su computador, en los momentos que no esté utilizando el equipo o cuando por cualquier motivo deba dejar su puesto de trabajo.

Al imprimir documentos de carácter confidencial, estos deben ser retirados de la impresora inmediatamente.

Cuando no se esté usando información sensible o crítica para la entidad se deberá asegurar bajo llave u otro medio y protegerla de acceso no autorizado.

Las sesiones de usuario se deben cerrar y proteger con contraseña cuando el usuario se ausente en forma temporal o por largos períodos de tiempo








Página 23 de 37


GESTIÓN



Al finalizar sus actividades los usuarios deben verificar que en sus puestos de trabajo no quede expuesta información crítica o sensible para la entidad.

Los usuarios son responsables y asumen las consecuencias de la perdida de información que esté bajo su custodia.

Los usuarios deben concientizarse de ahorro del consumo de energía y uso racional, apagando el computador y dispositivos electrónicos a su cargo una vez termine la jornada de trabajo.

4.9.4. Usos NO aceptables del servicio Colocar protectores de pantalla que no sean institucionales Dejar carpetas o documentos institucionales encima de los escritorios sin ninguna seguridad No deben quedar a la vista documentos con niveles de clasificación de confidencial o reservado.

4.9.5. Responsabilidades. El Área de Sistemas e Informática es la responsable de verificar el cumplimiento de esta política en

todos los equipos de cómputo que hay en la entidad. Los funcionarios y contratistas de la entidad, que deben proteger, no sólo sus elementos personales,

sino la información institucional, ya sea digital o impresa

4.10. Política de Backup y Restauración de Información 4.10.1. Objetivo Proporcionar medios de respaldo adecuados para asegurar que toda la información institucional y de los aplicativos institucionales se puedan recuperar después de una falla. 4.10.2. Aplicabilidad

Esta política aplica a todos los funcionarios y contratistas del DEPARTAMENTO ADMINISTRATIVO DEL SERVICIO CIVIL actuales o por ingresar, que decidan sobre la disponibilidad e integridad de los datos. 4.10.3. Descripción de la Política

La información de cada aplicativo institucional debe ser respaldada regularmente sobre un medio de

almacenamiento como DVD, unidades de almacenamiento externo, arreglos de discos duros para almacenamiento en servidores, que el Departamento designe para ello.

Todas las copias de información crítica debe ser almacenada en un área adecuada y con control de acceso en el área de sistemas e informática.

Las copias de respaldo se guardaran únicamente con el objetivo de restaurar el sistema cuando por situaciones como: borrado de datos, incidente de seguridad de la información, defectos en los discos de almacenamiento, problemas de los servidores o computadores o por requerimientos legales sea necesario recuperar información.

Las copias de respaldo serán verificadas aleatoriamente, por el área de sistemas con el fin de certificar su validez y correcto funcionamiento.

Las copias de respaldo de sistemas de información y datos, serán el soporte para los procedimientos de contingencia del DASCD.








Página 24 de 37


GESTIÓN



Se hará copia de respaldo de las bases de los aplicativos, máquinas virtuales y la carpeta compartida SHARED, mensualmente y se enviará a un lugar diferente de la sede principal (archivo central del Departamento).

Se hará copia de respaldo de las carpetas de trabajo que reposan en los equipos asignados a cada funcionario, semestralmente y se enviará a un lugar diferente de la sede principal (archivo central del Departamento).

Todos los servidores públicos y contratistas deben publicar la información que se genere de las funciones inherentes al cargo que desempeñan, puesto que son propiedad intelectual de la Entidad y será la memoria institucional. Esta información debe ser guardada en la carpeta compartida SHARED, de acuerdo a la organización sugerida por los líderes de proceso, enmarcada dentro de la estructura de las tablas de retención de la entidad.

4.10.4. Tiempo máximo de interrupción permitido en aplicaciones A continuación se observa un cuadro que indica las diferentes aplicaciones que se manejan en la entidad, con el tiempo máximo de interrupción permitido, sin que el impacto cause mayores traumatismos en las actividades a las cuales éstas sirven de soporte.

Sistema o Aplicación Ambiente Operativo Tiempo máximo de interrupción permitido

APLICATIVO SICAPITAL

Módulo CORDIS (correspondencia) WINDOWS 1 días

Módulo LIMAY(contabilidad) WINDOWS 2 días

Módulo SAE (Almacén) WINDOWS 2 días

Módulo SAI (inventarios) WINDOWS 2 días

Módulo PERNO (Liquidación de nómina) WINDOWS 2 días

Módulo SISCO (contratos) WINDOWS 2 días

SISTEMA DE INFORMACIÓN DISTRITAL DEL EMPLEO Y LA ADMINISTRACIÓN PÚBLICA -SIDEAP

WIN SERVER 2008 R2 1 día

APLICATIVO SISTEMA INGTEGRADO DE GESTIÓN - SIG

WINDOWS 2 días

RECURSO LUNES MARTES MIÉRCOLES JUEVES VIERNES SÁBADO CANTIDAD COPIAS

LUGAR UBICACIÓN OBSERVACIONES

1-Correspondencia 14:00 14:00 14:00 4 Almacenamiento servidor DELL

\\192.168.0.6\d$\BACKUP\correo

2-SIG 23:00 23:00 23:00 23:00 23:00 6 Almacenamiento servidor DELL

\\192.168.0.6\d$\BACKUP\SIG\

3-Si Capital 02:00 02:00 02:00 02:00 02:00 5 Almacenamiento servidor DELL

\\192.168.0.6\d$\BACKUP\SI_CAPITAL\

4-Contabilidad 09:00 09:00 09:00 09:00 09:00 5 Almacenamiento servidor DELL

\\192.168.0.6\d$\BACKUP\CONTABILIDAD

5-1-Sideap_2010-2014

04:00 2 Almacenamiento servidor DELL

\\192.168.0.6\d$\BACKUP\SIDEAP

Respaldo información histórica de 2010 a 2014

5-2-Sideap_2015 07:00 07:00 07:00 4 Almacenamiento servidor DELL

\\192.168.0.6\d$\BACKUP\SIDEAP

Máquinas Virtuales ** ** ** ** ** ** 1 Almacenamiento servidor HP SERVER370G6

\\192.168.0.8\E$:\BKP HYPER-V

** Se realiza manualmente una vez al mes por demanda

Cámaras Continuo Continuo Continuo Continuo Continuo Continuo Continuo Disco Duro Contrato de vigilancia Contrato de vigilancia

4.10.5. Responsabilidades.








Página 25 de 37


GESTIÓN



El Área de Sistemas e Informática es la responsable de llevar a cabo las copias de respaldo de los aplicativos institucionales periódicamente y la custodia de los mismos

El Área de Sistemas e Informática es la responsable de realizar el proceso de recuperación de información, desde las copias de respaldo realizadas.

El área de sistemas e informática es la responsable de la administración de la red, servidores, sistemas de información y de los equipos de comunicación y tiene como responsabilidad definir la frecuencia de respaldo y requerimientos de seguridad de la información.

El administrador de la red tendrá como responsabilidad realizar los respaldos periódicos de la información.

La creación de copias de seguridad de archivos usados, custodiados o producidos por usuarios individuales es responsabilidad exclusiva de dichos usuarios.

Es responsabilidad de cada usuario que tenga a cargo equipos de cómputo, salvaguardar la información institucional en una unidad de almacenamiento diferente a C: del disco duro, (en otra partición) ya que en un eventual daño del mismo se pueden perder archivos, carpetas y datos importantes para el usuario, que ocasionarían traumatismos en el desarrollo de las actividades.

El Departamento con el fin de estandarizar la forma de acceder a la información corporativa, se crea en cada computador, una carpeta de trabajo institucional de la siguiente manera (DASCD_nombreusuario) remplace nombreusuario por el que se le asigno en la red a cada funcionario. En esta carpeta deben archivar todos los documentos electrónicos, si tienen archivos en otras ubicaciones deben reorganizarlos y colocarlos es esta carpeta.

Es responsabilidad de cada usuario, tener una copia de respaldo (backup) de la carpeta de trabajo, bien sea en la USB institucional que se entregó a cada funcionario, en CD, en una bodega de datos en la nube (Drive) o cualquier otro medio que utilice para hacer sus copias, teniendo en cuenta que el área de sistemas hace Backup periódico, únicamente a los aplicativos institucionales.

4.11. Política de Outsourcing 4.11.1. Objetivo Mantener la seguridad de la información y los servicios de procesamiento de información a los cuales tienen acceso las partes externas o que son procesados, comunicados o dirigidos por estas. 4.11.2. Aplicabilidad La política aplica para todos los funcionarios, proveedores, contratistas, personal que esté vinculado con las firmas que presten servicios al Departamento o que estén relacionados con el servicio de outsourcing 4.11.3. Descripción de la Política Se deben identificar los riesgos para la información y los servicios de procesamiento de información de

la Entidad de los procesos internos que involucren partes externas. El resultado del análisis de riesgos será la base para el establecimiento de los controles y debe ser presentado antes de firmar el contrato de outsourcing.

Para todos los terceros que tienen acceso a los activos de información de la entidad se deben considerar y aplicar todos los requisitos de seguridad de información que se aplican a los funcionarios y contratistas internos de la entidad, dentro de estos se encuentran las políticas, convenios, acuerdos de niveles de servicio, responsabilidades legales y derechos de propiedad intelectual entre otros.

Un contrato formal entre la entidad y el outsourcing debe existir para proteger ambas partes. El contrato definirá claramente el tipo de información que intercambiaran las partes.








Página 26 de 37


GESTIÓN



Se debe preparar, negociar y firmar un acuerdo de confidencialidad de información entre la entidad y el outsourcing para proteger la información de la entidad a la cual tendrá o tiene acceso el contratista. En todos los casos deben firmarse acuerdos de niveles de servicio que permitan cumplir con las políticas de seguridad de la información y con los objetivos misionales de la entidad.

En el contrato que se realice con la firma del outsourcing de debe definir con claridad el tipo de información que se intercambiada y el propósito con el que se utilizará

Dentro del contrato debe haber una cláusula de confidencial de la información y los datos que se vayan a intercambia

4.11.4. Responsabilidades. El supervisor del contrato es el responsable de verificar el cumplimiento, por parte del contratista, de

que se cumplan con estas políticas. El área de Sistemas e Informática será la responsable de generar los controles para la seguridad de la

información o datos, que la firma del outsourcing vaya a intercambiar

4.12. Política para la Gestión de Incidentes de Seguridad 4.12.1. Objetivo Identificar las actividades que se deben realizar si se presenta un incidente de seguridad de la información. 4.12.2. Aplicabilidad

Esta política será aplicada por el personal del área de sistemas e informática, que serán los encargados de atender el incidente, solucionarlo y documentar lo ocurrido. 4.12.3. Descripción de la Política

Con el fin de minimizar el riesgo de incidentes de seguridad, se deberán tomar las siguientes medidas: Medidas preventivas como contraseñas, planes de continuidad, políticas, firewalls, plan de backup,

concientización, etc. Medidas Correctivas como esquemas de tolerancia a fallos, procedimientos de Restauración, plan de

recuperación de desastres, etc. Medidas de Detección como registros de auditoría, revisiones de seguridad, logs, etc. La gestión de incidentes de seguridad consiste en la asignación oportuna de los recursos necesarios y

su uso adecuado, con el objeto de prevenir, detectar y corregir incidentes que afectan la seguridad de la información.

Prevención de incidentes Detección y el reporte del incidente Clasificación del incidente Análisis del incidente Respuesta al incidente Registro de incidentes Aprendizaje a partir de la experiencia Concientización Capacitación

Beneficios:








Página 27 de 37


GESTIÓN



Responder a los incidentes de forma sistemática. Facilitar una recuperación rápida y eficiente de incidentes de seguridad, minimizando la pérdida

de información e interrupción de servicios. Prevenir la ocurrencia reiterada de incidentes mediante el aprendizaje. Mejorar continuamente el marco de seguridad y el proceso de tratamiento de incidentes. Manejar correctamente los aspectos legales que pudieran surgir en el tratamiento de

incidentes. 4.12.4. Responsabilidades. El Área de Sistemas e Informática es la responsable de llevar a cabo las copias de respaldo de los

aplicativos institucionales periódicamente y la custodia de los mismos El área de sistemas e informática es la responsable de la implementación y actualización permanente

de los planes de Contingencia y de recuperación del negocio

4.13. Política para la Instalación de Software 4.13.1. Objetivo Uso de software debidamente licenciado en los equipos del Departamento Administrativo del Servicio Civil Distrital. 4.13.2. Aplicabilidad

Esta política será aplicada por el personal del área de sistemas e informática, que serán los encargados de verificar el software que se encuentra en los equipos de la entidad. 4.13.3. Descripción de la Política

El área de sistema e informática debe garantizar que los funcionarios y contratistas no puedan instalar

software distinto al autorizado por la entidad. En caso de que se requiera, debe solicitarlo a través del correo de soporte técnico, informando la necesidad del mismo

Los usuarios de computadores no podrán ingresar a los equipos como administradores, lo que limitará el riesgo de instalación de software pirata.

Todas las instalaciones de software que se realicen sobre sistemas de la entidad deben ser aprobadas por el área de sistemas e informática de acuerdo a los procedimientos elaborados para tal fin.

No se permite la instalación de software que viole las leyes de propiedad intelectual y derechos de autor en especial la ley 23 de 1982 y relacionadas.

El área de sistemas e informática debe desinstalar cualquier software ilegal y registrar este hecho como un incidente de seguridad que debe ser investigado.

4.13.4. Responsabilidades. El área de sistema e informática debe mantener una base de datos actualizada que contenga un

inventario del software autorizado para su uso e instalación en los sistemas informáticos institucionales.

Los servidores públicos del Departamento deben tener conciencia que el respeto a la propiedad intelectual es un deber. En el caso específico del software, la ley establece que solamente se podrá utilizar programas de acuerdo con los términos de licenciamiento correspondientes. Es decir, que cualquier uso diferente constituye una violación a la propiedad intelectual y a la ética institucional.








Página 28 de 37


GESTIÓN



El Departamento tiene expresamente prohibido el empleo de software de procedencia desconocida o cuya utilización no esté autorizada por la Dirección del Departamento (uso de software no autorizado o sin licenciamiento). Las consecuencias legales, penales y / o disciplinarias, son responsabilidad de quien instale o haga uso de este tipo de programas.

Con respecto a la utilización de software adquirido en forma personal por los funcionarios del Departamento, es conveniente aclarar que éste puede utilizarse, sólo si se tiene la licencia correspondiente y la utilización del mismo contribuye al desarrollo de los trabajos asignados por la entidad.

4.14. Política Adquisición, Desarrollo y Mantenimiento de Software 4.14.1. Objetivo Definir los criterios que se deben validar en el evento que se requiera adquirir o mantener el software de la entidad. 4.14.2. Aplicabilidad

Esta política será aplicada por el personal del área de sistemas e informática, que serán los encargados de verificar que el software adquirido o la actualización de un aplicativo existente, cumplan con los requerimientos establecidos por la entidad. 4.14.3. Descripción de la Política

El software que se vayan a adquirir o a actualizar deben ser adquirido a través de terceros Todo proyecto de desarrollo de software interno debe contar con un documento de Identificación y

Valoración de Riesgos del proyecto. La entidad no debe emprender procesos de desarrollo o de mantenimiento de software que tengan asociados riesgos altos no mitigados.

El software adquirido a través de terceras partes deben certificar el cumplimiento de estándares de calidad en el proceso de desarrollo.

4.14.4. Responsabilidades. El Área de Sistemas e Informática es la responsable de llevar a cabo la supervisión de la adquisición,

mantenimiento, soporte técnico o actualización del software o aplicativos que se requiera en la entidad

4.15. Política sobre el Cuidados en la Utilización de los Bienes Informáticos y la Prevención de virus informáticos

4.15.1. Objetivo Definir los criterios que se deben tener en cuenta para garantizar el buen uso de los activos de información, tales como equipos de cómputo, impresoras, escáner, videobeam, entre otros. Estos activos apoyan la gestión personal, grupal e institucional, consolidándose como elementos facilitadores y dinamizadores en el desarrollo de la función pública. 4.15.2. Aplicabilidad








Página 29 de 37


GESTIÓN



Esta política está orientada a todos los funcionarios y contratistas de la entidad, para que hagan buen uso de los bienes informáticos. 4.15.3. Descripción de la política

Al finalizar la jornada laboral, cada funcionario debe apagar debidamente el computador y los demás equipos electrónicos que tenga a cargo.

Los servidores que contengan información institucional deben ser mantenidos en un ambiente seguro y protegido por los menos con Controles de acceso y seguridad física, Detección de incendio, are acondicionado, Sistemas eléctricos regulados y respaldados por fuentes de potencia ininterrumpida (UPS).

No se permite el alojamiento de información institucional en servidores externos sin que medie una aprobación por escrito del Comité de Seguridad de la Información.

Equipos claves de comunicaciones deben se alimentados por sistemas de potencia eléctrica regulados y estar protegidos por UPS.

El área de sistemas e Informática debe asegurar que la todos los bienes informáticos estén cubiertos por un contrato de mantenimiento preventivo y correctivo de los mismos.

4.15.3.1 Equipos de cómputo:

Para iniciar o arrancar el computador de torre, primero debe accionar el interruptor correspondiente de la Unidad Central de Proceso (CPU), luego el monitor y finalmente la impresora o escáner si tiene asignado uno de estos. Este es el orden recomendado por las compañías fabricantes de Hardware. En el caso de los equipos TODO EN UNO, sólo deben prender la pantalla

En lo posible no mantener discos (CDs /DVDs) en la unidades de lectura mientras no se estén utilizando, porque su permanencia continua ocasiona desgaste o deterioro del dispositivo de lectura láser.

Tener cuidado con los monitores LCD porque no se deben limpiar con líquidos que contengan químicos y evitar rayarlas con las uñas o elementos puntiagudos como lápices o bolígrafos. Es los equipos TODO EN UNO, se debe tener mucho más cuidado, ya que si se daña la pantalla se debe reemplazar completamente el equipo.

Recuerde que está totalmente prohibido para cualquier funcionario diferente del área de Sistemas e Informática, abrir o manipular los equipos de cómputo, impresoras, escáner o video beam.

Se recomienda no utilizar memorias extraíbles (USB) que hayan sido trabajados en equipos diferentes a los del Departamento. Si por fuerza mayor es necesario utilizarlos, antes que todo deben asegurarse que estén libres de virus, revisándolas a través del antivirus que tiene instalado cada equipo, antes de abrir los archivos.

4.15.3.2. Para equipos portátiles:

Apague la computadora antes de colocarla en un bolso o cualquier espacio limitado donde se pueda acumular calor.

No tapar o boquear los orificios de ventilación del equipo, ya que el equipo puede sobrecalentarse rápidamente

Tenga cuidado con las pantallas LCD, no utilice solventes, alcohol ni detergentes; tampoco use toallas de papel, ya que contienen fibras de madera y pueden rayarla

4.15.3.3 Impresoras:








Página 30 de 37


GESTIÓN



Una vez haya terminado la impresión de cada trabajo, este debe ser retirado de la bandeja de salida correspondiente, con el fin de evitar pérdidas o confusiones con otros trabajos.

Al enviar un trabajo a imprimir, fijarse primero que tiene configurado tanto el documento como la impresora, con el tipo de papel y la bandeja que necesita, para que la impresora no solicite uno diferente

Colocar y/o mantener papel suficiente y adecuado para cada impresión, en la impresora que seleccione.

En caso de presentarse atascamiento de papel o cualquier otro desperfecto, solicitar soporte técnico a los funcionarios del área de Sistemas e Informática, para que atiendan la eventualidad. No manipulen las impresoras, ya que se corre el riesgo de desconfigurarlas o dañarlas.

Recuerde que está totalmente prohibido para cualquier funcionario diferente del área de Sistemas e Informática, abrir o manipular las impresoras y hacer cambio de tóner de una impresora a otra.

Al terminar la jornada laboral, las impresoras que tengan en los puestos de trabajo o las de red deben apagarse, Igualmente los estabilizadores de corriente, en caso de que los tengan.

4.15.3.4 Escáner:

Una vez haya terminado el escaneo de los documentos deje el equipo apagado.

Antes de cargar las bandejas de entrada, verificar cuidadosamente que las hojas no contengan ganchos de cosedora o clips, ya que podrán dañar el equipo.

En caso de presentarse atascamiento de papel o cualquier otro desperfecto, solicitar soporte técnico a los funcionarios del área de Sistemas e Informática, para que atiendan la eventualidad.

Antes de escanear, revise que el vidrio o pantalla del escáner este limpio.

4.15.3.5 Videobeam:

Los usuarios que utilicen la sala de juntas y la sala de capacitación deben tener en cuenta que al terminar la presentación deben dejar apagados tanto el equipo de cómputo como el Videobeam, oprimiendo dos (2) veces el botón POWER del mismo.

4.15.3.6 Virus Informáticos:

Los usuarios deben tener en cuenta que no existen antivirus que garanticen un 100% de protección y que algunos de ellos, inclusive, no son completamente inmunes a los virus informáticos; en consecuencia, deben prestar toda su cooperación para evitar la contaminación de los equipos, siguiendo los procedimientos descritos y siendo conscientes que la forma en que utilicen el computador, reducirá la exposición a las amenazas de los virus informáticos y, por ende, a la pérdida de tiempo, datos y equipos.

Si aparecen avisos de infección de programas que no se tienen instalados o la actualización de algún software, NUNCA hacer clic sobre ellos. Debe llamar al área de sistemas e informática para el correspondiente soporte.

Vacunar las USB o memorias extraíbles, cada vez que se insertan en los equipos, antes de abrirlas y/o hacer copia de archivos en el equipo.

4.15.3.7 Protección del medio ambiente:

Practique la cultura de cero papel utilizando el correo electrónico para enviar borradores o memorandos internos.

Antes de imprimir, utilice la “vista previa”.








Página 31 de 37


GESTIÓN



Ajustar en la medida de lo posible, los textos para que quepan en menos páginas.

Para todos los documentos internos, fotocopias, borradores usar papel reciclado e imprimir a doble cara.

Imprima en calidad de borrador para maximizar el uso del tóner.

Imprima por doble cara, para economizar papel.

En lo posible imprimir borradores o saca fotocopias en papel reciclable. Antes de cargar las bandejas de entrada, verificar cuidadosamente que las hojas no contengan ganchos de cosedora o clips, ya que podrán dañar el fusor de la impresora.

4.15.4. Usos NO aceptables del servicio Consumir y/o colocar recipientes con líquidos, bebidas o alimentos cerca o encima de cualquier equipo,

para evitar accidentes o daños irreversibles en los teclados, pantallas, mouse o CPU. En caso de presentarse algún tipo de inconveniente se debe reportar a las áreas de recursos físicos y sistemas e informática de la Subdirección de Gestión Corporativa.

Colocar documentos, papeles o cualquier otro tipo de elementos encima de los equipos de cómputo, ya que bloquean los sistemas de ventilación, ocasionando recalentamiento o daños.

Mover o manipular de manera inapropiada los equipos (CPU, monitores e impresoras). Se debe tener sumo cuidado con los cables y conectores de los mismos, para evitar su deterioro. El halarlos constantemente y de forma brusca daña los cables. Se recomienda no quitar ni mover los amarres (velcro) que mantienen los cables de los computadores organizados en cada puesto de trabajo.

En los circuitos dedicados para equipos de cómputo, o sea corriente regulada (toma corriente color naranja), no deben conectarse otros equipos eléctricos (grabadoras, radios, impresoras, teléfonos móviles, etc.). Esto recarga las UPS ubicada en el Centro de cómputo, exponiendo la red y el sistema en general.

4.15.5. Responsabilidades Todos los funcionarios y contratistas de la Entidad son los responsables del buen uso y el

funcionamiento correcto de los Bienes informáticos (hardware y software)

4.16. Política de Gestión Documental 4.16.1. Objetivo Hacer recomendaciones para la necesaria seguridad de la información en el ámbito de la gestión documental de la Entidad 4.16.2. Aplicabilidad

Esta política será aplicada por todos los funcionarios y contratistas del Departamento Administrativo del Servicio Civil Distrital 4.16.3. Descripción de la Política El área de sistemas e Informática creó en cada equipo de la Entidad, una carpeta de trabajo (ejem.:

DASCD_pperez) que permite el fácil acceso y consulta de la información institucional en el momento en que se requiera y una futura custodia de la misma en el caso de entrega del puesto de trabajo, si








Página 32 de 37


GESTIÓN



tienen archivos en otras ubicaciones deben reorganizarlos y colocarlos es esta carpeta. Los que ya conocen las tablas de retención asociados a sus funciones, deben crear las carpetas con esa estructura.

Se debe enviar a la carpeta institucional, todos los documentos oficiales que se producen a partir de la gestión de cada puesto de trabajo y de acuerdo al proceso al que pertenecen, en el servidor de la Entidad, el cual será de consulta para todos. Y a la vez, será la memoria institucional de la entidad.

4.16.4. Responsabilidades El área de Gestión Documental de la Entidad, será el responsable de socializar las políticas respecto

a este ítem, y hacer seguimiento del cumplimiento de las mismas. Todos los funcionarios y contratistas de la Entidad son los responsables de mantener su información

de trabajo actualiza en el repositorio o carpeta que se cree en el servidor de la entidad. 5. INVENTARIO DE LOS BIENES INFORMÁTICOS 5.1 Hardware

TIPO MARCA MODELO CANTIDAD

IMPRESORA B/N XEROX Phaser 4510N 3

IMPRESORA B/N XEROX PHASER 3500 1

IMPRESORA CÓDIGO BARRAS DATAMAX ONEIL E 4204B 1

IMPRESORA HP LASER JET ENTERPRISE COLOR 1

IMPRESORA HP LASER JET ENTERPRISE MONOCROMATICA 2

PC MICRO TORRE COMPAQ 505B MT 2

PC DESKTOP / TORRE DELL OPTIPLEX 390 MT 3

ALL ONE DELL OPTIPLEX 9020 22

ALL ONE LENOVO THINKCENTRE T400 42

PC DESKTOP / TORRE HP 7100 11

PC DESKTOP / TORRE LENOVO 9481-AP3 ThinkCentret 26

PORTÁTIL LENOVO 6475-DZ7 Thinkpad T400 3

PORTÁTIL COMPAQ 610 3

SERVIDOR HP PROLIANT ML 370 G6 1

SERVIDOR HP PROLIANT ML370 G5 1

SERVIDOR DELL POWEREDGE T620 1

5.2 Software

TIPO DE PRODUCTO NOMBRE LICENCIA VERSIÓN CANTIDAD

Aplicación Office Professional Plus 2013 42



Aplicación Project 2007 5

Aplicación Project Professional 2007 10

Aplicación Visio Professional 2007 15

Servers Exchange Server - Standard 2007 1

Servers Exchange Server Standard CAL - User CAL 2010 80

Servers Forefront Threat Management Gateway Standard Edition - Per Processor 2010 1

Servers Project Server - Device CAL 2007 10

Servers SQL Server Standard - 1 Processor 2008 2

Servers Windows Server - Device CAL 2008 92








Página 33 de 37


GESTIÓN



Servers Windows Server - Enterprise 2008 Release 2 1

Servers Windows Server - Standard 2012 R2 1

Servers Windows Server - User CAL 2008 80

Servers Windows Server External Connector 2008 1

Aplicación MS OFFICE PRO 2010 2010 11

Aplicación ADOBE CREATE SUITE 5 PRODUCTION PREMIUM CS5 2

Aplicación CORELDRAW GRAPHICS SUITE LICENCE ML ML 2

5.3 Otros Dispositivos

TIPO MARCA MODELO CANTIDAD

SWITCH 3COM 4210 1

SWITCH 3COM SUPERSTACK 5500 1

SWITCH 3COM SUPERSTACK 4500 3

ROUTER CISCO 2800 1

SCANER HP 7000 S2 2

SCANER HP Enterprice 7500 4

SCANER HP ScanJet N8460 1

SCANER KODAK i1220 1

DVD SAMSUNG DVDP781 2

VIDEO BEAM EPSON Powerlite 280d 2

VIDEO BEAM EPSON Powerlite 5550C 1

VIDEO BEAM EPSON H550A 2

DVR H264 DVR H264 TVS8408HA 1

CAMARAS GSECURITY AW-718FH 6

TELEVISOR SAMSUNG LN32A330J1XZL 2

TELEVISOR SAMSUNG LN40A46OC1 1

TELEVISOR SONY BRAVIA 1

CONSOLA DE SONIDO CON 2 BOCINAS SOUNDKING AE102CD 6CH MONO 2CH STEREO 1

LECTOR CÓDIGO BARRAS NEWLAND NLS CD15 2

5.4 Aplicativos Institucionales Sistema de Información Distrital del Empleo y la Administración Pública - SIDEAP. Este programa está

desarrollado bajo ambiente WEB, utilizando el motor de base de datos MS SQL SERVER, versión 2005 y la herramienta de programación JAVA, versión JDK1.5. El sistema cuenta con los módulos de Planta de personal, Información del formato de vida de la Función Pública, Sindicatos, Contratistas, Información de la entidad, Datos del funcionario, Salarios, Carrera administrativa, Bienes y rentas, acoso laboral,

Aplicativo SICAPITAL: La Secretaría de Hacienda, mediante convenio No. 001 de 2011, cedió la última versión que tiene de este aplicativo y el Departamento tiene implementados los módulos de PERNO, CORDIS, LIMAY, SAE, SAI, SISCO y TERCEROS.

Sistema Integrado de Gestión: Herramienta informática que administra la oficina de Planeación de la

entidad. Actualmente está conformado por los módulos de Gestión de Calidad, Control Interno, Gestión de riesgos y Gestión ambiental.

5.5 Aplicativos Externos








Página 34 de 37


GESTIÓN



Manejo del presupuesto: Para el manejo de la información presupuestal, el departamento utiliza el sistema PREDIS; diseñado y desarrollado por la Secretaría de Hacienda. El acceso al referido sistema, se hace mediante conexión WAN, vía fibra óptica al servidor PREDIS, ubicado en la Secretaría de Hacienda.

Programación, control y seguimiento a los proyectos de inversión: Para el manejo de la información referente a la programación, reprogramación, control y seguimiento a la ejecución física y financiera de los proyectos de inversión que adelanta el Departamento, se está utilizando el sistema SEGPLAN, diseñado y desarrollado por la Secretaría de Hacienda, en coordinación con el Departamento Administrativo de Planeación Distrital.

Operación y gestión de tesorería: A través del aplicativo de Operación y Gestión de Tesorería –OPGET, se tiene acceso y soporte, para servicios de recaudo, pagos, conciliaciones y calendario tributario, además del suministro de información de las diferentes operaciones realizadas para los registros contables del DASCD, ante la Dirección de Tesorería Distrital.

5.6 Infraestructura de Red Actualmente la entidad cuenta con una infraestructura de red, que permite tener respaldo y soporte para el cumplimiento de su gestión. Cuenta con la tecnología y equipamiento adecuado. Características y componentes más importantes de la red en general:

Cable cobrizado UTP, categoría 5

Noventa y ocho (98) puntos de voz certificados

Noventa y ocho (98) puntos de datos certificados

Noventa y ocho (98)tomas eléctricas reguladas y normales certificadas

Garantía de 25 años expedida por AMP NETCONNECT

Cinco (5) switch activos de red instalados y configurados en correcto funcionamiento, marca 3COM y HP. Estos equipos vienen con sus respectivos cables consola, garantías, manuales y CD de configuración e instalación

Tres (3) equipos servidores;

Backbone de fibra óptica para comunicación vía Internet y extranet con la SHD y SDP.

Diagrama lógico del centro de cableado y diagrama unifilar eléctrico.

Planta telefónica, marca PANASONIC, modelo KX-TDA200BX.

Una (1) Unidad de potencia ininterrumpida (UPS) de 30 KVA que soporta los servidores, enrutadores y los equipos de cómputo de la entidad.

Tres (3) Rack; Uno para voz, otro para datos y un tercero para servidores. 6. NORMATIVIDAD Normas que Rigen las áreas de sistemas e Informática del Distrito Capital

Norma Descripción

Decreto 2573 del 12 de diciembre de 2014

Por el cual se establecen los lineamientos generales de la Estrategia de Gobierno en Línea, se reglamenta parcialmente la Ley 1341 de 2009 y se dictan otras disposiciones.

Ley 1712 del 6 de marzo de 2014

Por el medio de la cual se crea la Ley de Transparencia y del Derecho de Acceso a la Información Pública nacional y de dictan otras disposiciones.

Ley 1581 de 2012 Por la cual se dictan disposiciones generales para la protección de datos personales

Manual Gobierno electrónico 2012

Que permite potenciar los cambios que se han presentado en la forma de operar de las naciones, aprovechando los avances de la tecnología para garantizar una








Página 35 de 37


GESTIÓN



mejor comunicación e interacción con la ciudadanía y permita además la prestación de más y mejores servicios por parte del Estado

Resolución 001del 2011

Por la cual se definen los estándares para la captura de huella dactilar, toma de fotografía y digitalización de documentos de identificación de los/as ciudadanos/as en las entidades, los organismos y los órganos de control de Bogotá, Distrito Capital."

Resolución 185 del 2011

Por la cual se adoptan Políticas de Conectividad para las Entidades del Distrito Capital

Decreto 235 del 2010

Por el cual se regula el intercambio de información entre entidades para el cumplimiento de funciones públicas.

Resolución 305 del Octubre 20 de 2008,

Por la cual se expiden políticas públicas para las entidades, organismos y órganos de control del Distrito Capital, en materia de Tecnologías de la Información y Comunicaciones respecto a la planeación, seguridad, democratización, calidad, racionalización del gasto, conectividad, infraestructura de Datos Espaciales y Software Libre

Resolución 378 de diciembre de 2008

Por la cual se adopta la Guía para el diseño y desarrollo de sitios Web de las entidades y organismos del Distrito Capital."

Decreto 619 de diciembre de 2007

Por la cual se establece la Estrategia de Gobierno Electrónico de los organismos y entidades del distrito Capital

7. TÉRMINOS Y DEFINICIONES Información: Toda forma de conocimiento objetivo con representación física o lógica explícita.

Activo de Información: Datos o información propiedad de la entidad que se almacena en cualquier

tipo de medio y que es considerada por la misma como sensitiva o crítica para el cumplimiento de los objetivos misionales.

Sistema de Información: Conjunto ordenado de elementos cuyas propiedades se relacionan e interaccionan permitiendo la recopilación, procesamiento, mantenimiento, transmisión y difusión de información utilizando diferentes medios y mecanismos tanto automatizados como manuales.

Propietario de Activos de Información: En el contexto de la norma NTC 27001, un propietario de activos de información es cualquier persona o entidad a la cual se le asigna la responsabilidad formal de custodiar y asegurar un activo de información o un conjunto de ellos.

Tecnología de la Información: Conjunto de hardware y software operados por la entidad o por un tercero en su nombre, que componen la plataforma necesaria para procesar y administrar la información que requiere la entidad para llevar a cabo sus funciones.

Evaluación de Riesgos: Evaluación de las amenazas y vulnerabilidades relativas a la información y a las instalaciones de procesamiento de la misma, la probabilidad de que ocurran y su potencial impacto.

Administración de Riesgos: Proceso de identificación, control y reducción o eliminación, a un costo aceptable, de los riesgos de seguridad que podrían afectar a la información. Dicho proceso es cíclico y debe llevarse a cabo en forma periódica.

Comité de Seguridad de la Información: El Comité de Seguridad de la Información, es un cuerpo integrado por diferentes representantes de la entidad, destinado a garantizar el apoyo manifiesto de








Página 36 de 37


GESTIÓN



las directivas a las iniciativas de seguridad. Su función principal es definir, estructurar, recomendar, hacer seguimiento y mejorar el Sistema de Gestión de Seguridad de la Información (SGSI) de la entidad, depende directamente de la Dirección.

Responsable de Seguridad Informática: Coordinador general del Comité de Seguridad de la Información, su función principal es supervisar el cumplimiento de la presente Política y los lineamientos del SGSI.

Incidente de Seguridad Informática: Un incidente de seguridad informática es un evento adverso en un sistema de computadoras, o red de computadoras, que compromete la confidencialidad, integridad, disponibilidad, legalidad o confiabilidad de la información. Puede ser causado mediante la explotación de alguna vulnerabilidad o un intento o amenaza de romper los mecanismos de seguridad existentes.

Cadena de custodia: En el ámbito de la seguridad de la información la cadena de custodia es la aplicación de una serie de normas y procedimientos tendientes a asegurar, depositar y proteger cada activo de información para evitar la pérdida de integridad, disponibilidad o confidencialidad.

CONTROL DE CAMBIOS:

ELABORACIÓN, REVISIÓN Y APROBACIÓN:

SERVIDOR PÚBLICO NOMBRE Y CARGO FECHA

Elaboró / Actualizó CONSUELO RODRÍGUEZ R. – GERARDO GUTIERRREZ S PROFESIONALES ESPECIALIZADOS

Revisó HENRY HUMBERTO VILLAMARÍN SERRANO SUBDIRECTOR GESTIÓN CORPORATIVA

Aprobó HENRY HUMBERTO VILLAMARÍN SERRANO – SUBDIRECTOR CORPORATIVO

Publicación CONSUELO RODRÍGUEZ R.

Declaramos que hemos revisado el presente documento y lo encontramos ajustado a las normas y disposiciones legales.

VERSIÓN No. FECHA DESCRIPCIÓN DE LA MODIFICACIÓN

1 Febrero 2009 Elaboración Políticas de Seguridad Informática

2 Enero 2010 Actualización Políticas de Seguridad Informática

3 Marzo 2011 Actualización Políticas de Seguridad Informática

4 Marzo 2012 Actualización Políticas de Seguridad Informática

5 Agosto 2013 Actualización Políticas de Seguridad Informática

6 Octubre 2014 Actualización Políticas de Seguridad Informática

7 Noviembre 2015 Actualización a Políticas de Seguridad de la Información


macroproceso de apoyo...las diferentes actividades bajo los parámetros del procedimiento y del...

Documents