Loading presentation...

Present Remotely

Send the link below via email or IM

Copy

Present to your audience

Start remote presentation

  • Invited audience members will follow you as you navigate and present
  • People invited to a presentation do not need a Prezi account
  • This link expires 10 minutes after you close the presentation
  • A maximum of 30 users can follow your presentation
  • Learn more about this feature in our knowledge base article

Do you really want to delete this prezi?

Neither you, nor the coeditors you shared it with will be able to recover it again.

DeleteCancel

Make your likes visible on Facebook?

Connect your Facebook account to Prezi and let your likes appear on your timeline.
You can change this under Settings & Account at any time.

No, thanks

Manual del Sistema de Gestión de Seguridad de la Información

No description
by

Jenny Andrea Lozano Medina

on 10 June 2015

Comments (0)

Please log in to add your comment.

Report abuse

Transcript of Manual del Sistema de Gestión de Seguridad de la Información

Manual del Sistema de Gestión de Seguridad de la Información para la Policía Nacional
Seguridad de la información
Preservación de la Confidencialidad, Integridad y Disponibilidad de la información Institucional y propender por la autenticidad, trazabilidad, no repudio y fiabilidad de la misma.
PRINCIPIOS FUNDAMENTALES DE SEGURIDAD DE LA INFORMACIÓN
Integridad
Prohibiciones y obligaciones
GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN
Diseño de políticas, normas, líneas bases, guías, procedimientos y educación a los usuarios y propietarios de los activos de información.
Disponibilidad
Nadie podrá adquirir software y hardware sin la autorización de la Jefatura de la Oficina de Telemática.

No se permite el uso de procesamiento de información personal en la infraestructura tecnológica de la Policía Nacional.

Los funcionarios responsables de la realización y/o firma de contratos, acuerdos o convenios con personal externo deben, en otras cosas:

Diligenciar y firmar los acuerdos de confidencialidad y acuerdos de intercambios de información con personal externo, unidades y dependencias.

De acuerdo al objeto del contrato y al acceso a la información por parte del personal externo estos deben someterse a un estudio de confiabilidad y de ser necesario estudio de credibilidad y confianza.

Antes de permitir el acceso o la entrega de información a un tercero, se debe realizar una evaluación del riesgo, por parte del propietario del activo de información, el Asesor Jurídico, el Jefe del Grupo de Telemática y el Jefe del Grupo de Gestión Documental de cada unidad; con el fin de establecer la viabilidad de permitir el acceso a la información, para salvaguardar la confidencialidad, integridad y disponibilidad de la información.
Clasificación de la información
Según su confidencialidad
ULTRASECRETO
Relativa a actividades o planes de la defensa nacional interna o externa y/o a operaciones de inteligencia, cuya divulgación no autorizada podría conducir a un rompimiento diplomático que afecte los intereses de la Nación, a un ataque armado o a destruir la estabilidad interna.
RESERVADO
Información cuya divulgación no autorizada puede ser perjudicial para los intereses o prestigio de la Institución, proporcionar ventajas a la amenaza actual o potencial, o causar bajas o pérdidas propias en acciones de defensa nacional.
CONFIDENCIAL
Información que por su contenido solo interesa a quienes va dirigida y cuya divulgación no autorizada puede ocasionar perjuicios a una unidad o persona.
INTERNO
Información entregada o publicada sin restricciones, sin que esto conlleve un impacto negativo de ninguna índole para la institución.
SECRETO
Relativa a una actividad o planes de defensa nacional interna o externa y a operaciones de inteligencia relativas a la misma, cuya divulgación no autorizada podría afectar las relaciones diplomáticas, lesionar el prestigio del país o poner en peligro la estabilidad interna.
Información dirigida a los miembros de la Institución, cuya divulgación, uso, alteración o destrucción podría resultar en pérdidas recuperables para la institución, pero implica asuntos de conveniencia, facilidad de la operación, credibilidad o reputación u otros asuntos relacionados con la privacidad.
PÚBLICA
Según su integridad
No puede repararse y ocasiona pérdidas graves para el país.
No puede repararse y ocasiona pérdidas graves para la institución.
Difícil reparación y pérdidas significativas
Puede repararse, pérdidas leves.
No afecta la operación y puede repararse fácilmente.
Según su disponibilidad
Es necesario determinar el tiempo máximo tolerable MTD de indisponibilidad que puede soportar la Policía Nacional sin un activo determinado, para lo cual se tendrá en cuenta la siguiente clasificación:
CRÍTICOS
La interrupción es de minutos y hasta 12 horas
URGENTES
Interrupción hasta por 24 horas
IMPORTANTE
Interrupción hasta por 72 horas
NORMAL
Interrupción de hasta siete días
NO ESENCIALES
Interrupción hasta por 30 días
ACCIONES QUE AFECTAN LA SEGURIDAD DE LA INFORMACIÓN
1. Dejar los computadores encendidos en horas no laborables.
2. Permitir que personas ajenas a la Policía Nacional, ingresen sin previa autorización a las áreas restringidas o donde se procese información sensible para la Institución.
3. No clasificar y/o etiquetar la información.
4. No guardar bajo llave, documentos impresos que contengan información clasificada, al terminar la jornada laboral.
5. Hacer uso de la red de datos de la Institución, para obtener, mantener o difundir material publicitario o comercial, así como distribución de cadenas de correos.
6. Instalar software en la plataforma tecnológica de la Policía Nacional, cuyo uso no esté autorizado por el comité de cambios de la Oficina de Telemática de la Dirección General, que puedan atentar contra las leyes de derechos de autor o propiedad intelectual.
7. Destruir la documentación institucional, sin seguir los parámetros establecidos en el manual de Gestión Documental.
8. Descuidar información clasificada de la institución, sin las medidas apropiadas de seguridad que garanticen su protección.
9. Enviar información clasificada como no pública de la institución a través de correos electrónicos personales, diferentes a los asignados por la institución.
10. Enviar información clasificada como no pública por correo físico, copia impresa o electrónica sin la debida autorización y/o sin la utilización de los protocolos establecidos para la divulgación.
11. Guardar información clasificada en cualquier dispositivo de almacenamiento que no pertenezca a la Policía Nacional.
12. Conectar computadores portátiles u otros dispositivos electrónicos personales a la red de datos de la Policía Nacional.
13. Conectar dispositivos de red para acceso inalámbricos a la red de datos institucional.
14. Ingresar a la red de datos institucional por cualquier servicio de acceso remoto sin la autorización de la Oficina de Telemática.
15. Usar servicios de internet en los equipos de la institución, diferente al provisto por el proceso de Direccionamiento Tecnológico o autorizado por este.
16. Promoción o mantenimiento de actividades personales, o utilización de los recursos tecnológicos de la Policía Nacional para beneficio personal.
17. Uso de la identidad policial digital (cuenta de usuario y contraseña) de otro usuario o facilitar, prestar o permitir el uso de su cuenta personal a otro funcionario.
18. Descuidar dejando al alcance de personas no autorizadas los dispositivos portátiles, móviles y de almacenamiento removibles, entregados para actividades propias de la Policía Nacional.
19. Retirar de las instalaciones de la institución, computadores de escritorios, portátiles e información física o digital, clasificada, sin autorización o abandonarla en lugares públicos o de fácil acceso.
20. Entregar, enseñar y divulgar información clasificada de la Policía Nacional a personas o entidades no autorizadas
21. Llevar a cabo actividades ilegales, o intentar acceso no autorizado a la plataforma tecnológica de la Policía Nacional o de terceras partes.
22. Ejecutar cualquier acción que difame, afecte la reputación o imagen de la Policía Nacional o alguno de sus funcionarios desde la Plataforma Tecnológica de la Institución.
23. Realizar cambios no autorizados en la Plataforma Tecnológica de la Policía Nacional.
24. Otorgar privilegios de acceso a los activos de información a funcionarios o terceros no autorizados.
25. Ejecutar acciones para eludir y/o modificar los controles establecidos en el presente manual.
26. Comer, beber y fumar cerca a los equipos de cómputo.
27. Conectar dispositivos diferentes a equipos de cómputo, a la corriente regulada.
28. Realizar cualquier otra acción que contravenga disposiciones constitucionales, legales o institucionales.
La realización de alguna de estas prácticas u otras que afecten la seguridad de la información, acarrearán medidas administrativas, acciones disciplinarias y/o penales a que haya lugar, de acuerdo a los procedimientos establecidos para cada caso.
NORMAS DE ESCRITORIOS Y PANTALLAS LIMPIAS
1. Almacenar bajo llave, los documentos en papel y los dispositivos de almacenamiento removibles, en cajones u otro tipo de archivo seguro cuando no están siendo utilizados, especialmente fuera del horario laboral.
2. Guardar bajo llave la información clasificada en nivel 3 o superior (preferiblemente en una caja fuerte o gabinete a prueba de incendios) cuando no está en uso.
3. Bloquear la sesión de los computadores personales cuando no se está usando.
4. Proteger los puntos de recepción y envío de correo postal y las máquinas de fax no atendidas.
5. Bloquear las fotocopiadoras fuera del horario normal de trabajo.
6. Retirar inmediatamente la información sensible, una vez impresa.
7. El escritorio de los equipos de cómputo no deben tener accesos directos a archivos.
Establece que la información debe estar disponible para su uso en todo momento, para ser usada o vista solo por personal autorizado.
Salvaguardar la exactitud y estado completo de los activos de información, es decir que la información solo pueda ser modificada por personal autorizado.
Confidencialidad
Que la información no esté disponible ni sea revelada a individuos, entidades o procesos no autorizados.
Full transcript