1. SKIP_MENU
  2. SKIP_CONTENT
  3. SKIP_FOOTER

Política de seguridad

Tamaño letra:

INTRODUCCIÓN


El activo más valioso de la entidad es la información, ya que a través de esta, la Entidad da a conocer sus objetivos, misión, visión, funciones de funcionarios, ejecución de los proyectos entre otros. Por esta razón es de vital importancia que el Fondo Adaptación proteja la información desde su creación, durante su procesamiento y su emisión.

Con el fin de implementar el Sistema de Gestión de Seguridad de la Información, el Fondo Adaptación ha definido un conjunto de políticas, las cuales buscan asegurar la confidencialidad, integridad y disponibilidad de los activos de la información de acuerdo a las necesidades de continuidad incluidas en el Plan de Acción de la Entidad.

Las políticas presentadas en este documento buscan velar por la información y así, mantener la confianza de funcionarios, terceros, pasantes y proveedores del FONDO ADAPTACIÓN y la ciudadanía en general.


POLÍTICA DE SEGURIDAD DEL SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACIÓN

La Política de Seguridad de la Información es la forma como el FONDO ADAPTACIÓN manifiesta como se protegen los activos de información.

EL FONDO ADAPTACION, para el cumplimiento de su misión, visión y objetivo estratégico, establece la función de Seguridad de la Información en la Entidad, con el objetivo de:

  •  Minimizar el riesgo en las funciones más importantes de la entidad.
  •  Cumplir con los principios de seguridad de la información.
  • Cumplir con los principios de la función administrativa.
  • Garantizar la disponibilidad e integridad de la información.
  • Mantener la confianza de los funcionarios, ciudadanos y entidades.
  • Apoyar la innovación tecnológica.
  • Implementar el sistema de gestión de seguridad de la información.
  • Proteger los activos tecnológicos.
  • Establecer las políticas, procedimientos e instructivos en materia de seguridad de la información.
  • Fortalecer la cultura de seguridad de la información en los funcionarios, terceros, pasantes y ciudadanos.
  • Garantizar la continuidad del negocio frente a incidentes.

Alcance

  • Esta política aplica a toda la entidad, sus funcionarios, terceros, pasantes y proveedores del FONDO ADAPTACIÓN y la ciudadanía en general.
  • Aplica para todos los activos de información de la Entidad, los que incluyen: software, hardware, procesos, funcionarios, terceros, infraestructura e información en general de la entidad.


Nivel de cumplimiento
• Todas las personas cubiertas por el alcance y aplicabilidad se espera que se adhieran en un 100% de la política

A continuación se establecen las políticas de seguridad que soportan el Sistema de Gestión de Seguridad de la Información del FONDO ADAPTACIÓN:

Generales

  • Definir, implementar, operar y mejorar de forma continua un Sistema de Gestión de Seguridad de la Información, soportado en lineamientos claros alineados a las necesidades de la entidad y a los requerimientos regulatorios.
  • Los activos de información, serán identificados y clasificados para establecer los mecanismos de protección necesarios
  • Proteger la información creada, procesada, transmitida o resguardada por sus procesos, con el fin de minimizar impactos financieros, operativos o legales debido a un uso incorrecto de esta. Para ello es fundamental la aplicación de controles de acuerdo con la clasificación de la información de su propiedad o en custodia.
  • Proteger su información de las amenazas originadas por parte del personal.
  • Proteger la infraestructura tecnológica que soporta sus procesos críticos.
  • Controlar la operación de sus procesos de negocio garantizando la seguridad de los recursos tecnológicos y las redes de datos
  • Implementar control de acceso a la información, sistemas y recursos de red.
  • Garantizar que la seguridad sea parte integral del ciclo de vida de los sistemas de información.
  • Garantizar a través de una adecuada gestión de los eventos de seguridad y las debilidades asociadas con los sistemas de información una mejora efectiva de su modelo de seguridad
  • Garantizar la disponibilidad de sus procesos de negocio y la continuidad de su operación basado en el impacto que pueden generar los eventos
  • Garantizar el cumplimiento de las obligaciones legales, regulatorias y contractuales establecidas.


Específicas

1. La Entidad brindará las herramientas que permiten proteger la información generada, procesada o resguardada por los procesos de cada área, por esta razón todos los equipos del Fondo deben estar protegidos a través de contraseñas de acceso (personales e intransferibles), las cuales serán renovadas de forma obligatoria cada 42 días.

2. Así mismo cada funcionario es responsable de la información que se encuentre en el equipo que tenga asignado.

3. Todo funcionario es responsable de cualquier actividad llevada a cabo desde su cuenta de correo. Por lo tanto el usuario no debe compartir su cuenta, compartirla, cederla, rentarla, alquilarla o prestarla. Debe mantener la confidencialidad, control y buen manejo de su contraseña.

4. Todo computador adquirido para la Entidad se conectará a la red interna del Fondo y tendrá como mínimo instalado software de propósito general (Microsoft Office) y el antivirus. Todo software instalado debe estar debidamente licenciado.

5. Es responsabilidad del funcionario velar por los recursos tecnológicos asignados, así como mantenerlos con la guaya para impedir su sustracción, destrucción, ocultamiento o utilización indebida.

6. Está prohibido instalar software no autorizado en los equipos, debido a que cada funcionario es responsable del uso de software instalado en el equipo que tiene asignado.
En caso de requerir algún software:
i. Software gratis: Podrá realizarse la instalación previa autorización al área de tecnología
ii. Software pago: El jefe de área debe realizar la solicitud formal al área de tecnología para realizar el respectivo estudio y proceder con su compra.

7. No se deben realizar actividades que tengan la intención de bajar programas maliciosos (tales como virus, gusanos, troyanos), programas que rastreen o exploten alguna vulnerabilidad en los equipos o que puedan comprometer los servicios informáticos propios o ajenos a la red del Fondo.

8. Solo se podrá tener acceso a la red del Fondo en los dispositivos autorizados por área de TI y únicamente en equipos de propiedad del Fondo o aquellos debidamente autorizados.

9. Cada vez que ingrese un funcionario a la Entidad, el responsable de Recursos Humanos deberá realizar la solicitud de computador, cuenta de correo y usuario y contraseña para acceder a los sistemas de información; a través del sistema de soporte (Helpdesk). Así mismo deberá realizarse el acta de entrega correspondiente.

10. Cuando se presente el caso de retiro de un funcionario de la Entidad, el responsable de Recursos Humanos deberá notificar al área de Tecnología para desactivar la cuenta de correo y el acceso a los sistemas de información a los que tuviera acceso.

11. No debe realizarse copia del software que se haya suministrado y en caso de ser necesario transferirlo a otro equipo, debe realizarse previa autorización escrita del área de Tecnología.

12. Todo funcionario que disponga de un usuario y contraseña para el acceso al correo electrónico y/o a los sistemas de información, debe ser uso adecuado de estos, por lo tanto si llegase a realizar un uso inadecuado de los mismos se responsabilizará al funcionario propietario del usuario.

13. Es responsabilidad de todos los funcionarios y contratistas reportar los Incidentes de Seguridad, eventos sospechosos y el mal uso de los recursos que identifique

14. El área de Tecnología realizará copia de seguridad de la información con una frecuencia diaria. Se realizará la copia a toda la información que se encuentre guardada en C:\Usuarios\nombre de usuario\Documentos.

15. El área de Tecnología se encarga de realizar una revisión periódica del software y hardware instalado en cada equipo.

16. Debido a que los sistemas de información PSA, SRI, ORFEO y Registro de Proveedores se encuentran implementados bajo la modalidad SAS, cada uno de los contratistas que ofrecen estos sistemas, brindan el respaldo a toda la información, de acuerdo con los Acuerdo de Niveles de Servicio definidos para cada uno de los contratos.

17. El área de Tecnología realizará copia de seguridad de la información con una frecuencia diaria. Se realizará la copia a toda la información que se encuentre guardada en:

C:\Usuarios\nombre de usuario\Documentos
C:\Usuarios\nombre de usuario\Escritorio.
C:\Usuarios\nombre de usuario\Google Drive


Por lo tanto es muy importante que cada funcionario tenga en cuenta que la información que no se encuentre guardada en la ubicación indicada, no tendrá ningún respaldo.

18. Para garantizar la seguridad en la red, la entidad cuenta con un Firewall, el cual es ofrecido por el proveedor de servicios de internet y telefonía.