Esquemas y mapas conceptuales, Resúmenes de Seguridad Informática

¡Descarga Esquemas y mapas conceptuales y más Resúmenes en PDF de Seguridad Informática solo en Docsity! GESTIÓN DIRECTIVA DIRECCIONAMIENTO ESTRATÉGICO POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Código: GDI-DIE-PL010 Versión: 02 Fecha de Emisión: 16/01/2017 Página 1 de 36 ESTE DOCUMENTO IMPRESO ES UNA COPIA NO CONTROLADA Para ver el documento controlado ingrese a https://www.invima.gov.co/procesos 1. OBJETIVOS 1.1 OBJETIVO GENERAL Determinar los lineamientos que permitan proteger la Información del Invima a través de acciones de aseguramiento de la Información teniendo en cuenta los requisitos legales, operativos, tecnológicos, de seguridad y de la entidad alineados con el contexto de direccionamiento estratégico y de gestión del riesgo con el fin de asegurar el cumplimiento de la integridad, no repudio, disponibilidad, legalidad y confidencialidad de la información. 1.2 OBJETIVOS ESPECÍFICOS El Invima, para el cumplimiento de su misión, visión, objetivos estratégicos y alineados a sus valores corporativos, establece la función de Seguridad de la Información en la Entidad, con el objetivo de:  Mantener la confianza de los ciudadanos en general y el compromiso de todos los funcionarios, contratistas o practicantes del Instituto respecto al correcto manejo y protección de la información que es gestionada y resguardada en el Invima.  Identificar e implementar las tecnologías necesarias para fortalecer la función de la seguridad de la información.  Implementar el Sistema de Gestión de Seguridad de la Información.  Proteger la información y los activos tecnológicos de la Institución.  Asegurar la identificación y gestión de los riegos a los cuales se expone los activos de información del Instituto.  Cumplir con los principios de seguridad de la información: disponibilidad, integridad y confidencialidad.  Atender las necesidades para el cumplimiento de la función administrativa.  Proteger la información y los activos tecnológicos de la Institución.  Concientizar a los funcionarios, contratistas y practicantes del Instituto sobre el uso adecuado de los activos de información puestos a su disposición para la realización de las funciones y actividades diarias, garantizando la confidencialidad, la privacidad y la integridad de la información  Dar cumplimiento a los lineamientos establecidos en la Estrategia de Gobierno en Línea respecto a la Seguridad de la Información. 2. ALCANCE La Política de Seguridad de la Información aplica a todo el Instituto, sus funcionarios, contratistas y practicantes del Invima, que tengan acceso a información a través de los documentos, equipos de cómputo, infraestructura tecnológica y canales de comunicación de la Institución. 3. DEFINICIONES Activo1 (asset): Todo lo que tiene valor para la Organización.Hay varios tipos de activos entre los que se incluyen:  Información  Software, como un programa de cómputo.  Físico, como un computador  Servicios 1 INTERNATIONAL ORGANIZATION FOR STANDARDIZATION. Information Technology. SecurityTechniques. Information Security Management Systems. Overview and vocabulary. Geneva, ISO. pp 2(ISO/IEC 27000: 2009). GESTIÓN DIRECTIVA DIRECCIONAMIENTO ESTRATÉGICO POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Código: GDI-DIE-PL010 Versión: 02 Fecha de Emisión: 16/01/2017 Página 2 de 36 ESTE DOCUMENTO IMPRESO ES UNA COPIA NO CONTROLADA Para ver el documento controlado ingrese a https://www.invima.gov.co/procesos  Personas, sus calificaciones, habilidades y experiencia;  Intangibles, tales como la reputación y la imagen. Clave:2contraseña, clave o password es una forma de autentificación que utiliza información secreta para controlar el acceso hacia algún recurso. La contraseña debe mantenerse en secreto ante aquellos a quien no se le permite el acceso. A aquellos que desean acceder a la información se les solicita una clave; si conocen o no conocen la contraseña, se concede o se niega el acceso a la información según sea el caso. En ocasiones clave y contraseña se usan indistintamente. (Asimismo llamado PIN - Personal Identificación Number). Confidencial:3significa que la información no esté disponible o revelada a individuos, entidades o procesos no autorizados. Correo Electrónico Institucional: Es el servicio basado en el intercambio de información a través de la red y el cual es provisto por el Invima, para los funcionarios, contratistas y practicantes autorizados para su acceso. El propósito principal es compartir información de forma rápida, sencilla y segura. El sistema de correo electrónico puede ser utilizado para el intercambio de información, administración de libreta de direcciones, manejo de contactos, administración de agenda y el envío y recepción de documentos, relacionados con las responsabilidades institucionales. Custodio de la información:4es el encargado de la administración de seguridad de información. Dentro de sus responsabilidades se encuentra la gestión del Plan de Seguridad de Información así como la coordinación de esfuerzos entre el personal de sistemas y los responsables de las otras áreas de la Entidad, siendo estos últimos los responsables de la información que utilizan. Asimismo, es el responsable de promover la seguridad de información en todo el Instituto con el fin de incluirla en el planteamiento y ejecución de los objetivos institucionales. Disponibilidad de la información:5La disponibilidad es la característica, cualidad o condición de la información de encontrarse a disposición de quienes deben acceder a ella, ya sean personas, procesos o aplicaciones. A groso modo, la disponibilidad es el acceso a la información y a los sistemas por personas autorizadas en el momento que así lo requieran. Estrategia de Gobierno en Línea:6Estrategia definida por el Gobierno Nacional que busca apoyar y homologar los contenidos y servicios ofrecidos por cada una de las entidades públicas para el cumplimiento de los objetivos de un Estado más eficiente, transparente y participativo, donde se presten servicios más eficientes a los ciudadanos a través del aprovechamiento de las tecnologías de información. Hardware:7Conjunto de los componentes que integran la parte material de una computadora. Integridad:8Propiedad de salvaguardar la exactitud de la información y sus métodos de procesamiento los cuales deben ser exactos. Información9. Se refiere a un conjunto organizado de datos contenido en cualquier documento que los sujetos obligados generen, obtengan, adquieran, transformen o controlen. 2DEFINICIÓN DE CLAVE. Wikipedia la enciclopedia libre. En Línea disponible: http://es.wikipedia.org/wiki/Contraseña. [Recuperado en mayo 29 de 2015] – La Oficina de Tecnologías de la Información del Invima, avala esta definición como válida para la Entidad. 3DEFINICIÓN DE CONFIDENCIALIDAD. ISO 27000: Information technology — Security techniques — Information security management systems — Overview and vocabulary - 2009. (ISO: the International Organization for Standardization). Traducción en mayo 29 de 2015]. 4DEFINICIÓN DE CUSTODIA DE LA INFORMACIÓN. Adaptado del texto "Plan de seguridad informática para una entidad financiera". Fuente en Línea disponible: http://sisbib.unmsm.edu.pe/bibvirtualdata/tesis/basic/Cordova_RN/Cap4.pdf. [Recuperado en enero de 2017]. 5DEFINICIÓN DE DISPONIBILIDAD DE LA INFORMACIÓN. http://www.coreoneit.com/disponibilidad-de-la-informacion/. – La Oficina de Tecnologías de la Información del Invima, avala esta definición como válida para la Entidad. 6DEFINICIÓN DE ESTRATEGIA DE GOBIERNO EN LÍNEA. Ministerio de Tecnologías de la Información y las comunicaciones. En línea disponible: http://wsp.presidencia.gov.co/Normativa/DAPRE/Paginas/Gobierno. [Recuperado en enero de 2017]. 7DEFINICIÓN DE HARDWARE. Diccionario de la Real Academia Española; Sitio: http://lema.rae.es/drae/. 8DEFINICIÓN DE INTEGRIDAD. MinTIC (Ruta) Inicio / Atención al público; Sitio: http://www.mintic.gov.co/portal/604/w3-propertyvalue- 1051.html. GESTIÓN DIRECTIVA DIRECCIONAMIENTO ESTRATÉGICO POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Código: GDI-DIE-PL010 Versión: 02 Fecha de Emisión: 16/01/2017 Página 5 de 36 ESTE DOCUMENTO IMPRESO ES UNA COPIA NO CONTROLADA Para ver el documento controlado ingrese a https://www.invima.gov.co/procesos Seguridad de la información:24Hace referencia a la preservación de la confidencialidad (propiedad de que la información, significa que no esté disponible o revelada a individuos no autorizados, entidades o procesos.), integridad (protección de la exactitud e integridad de los activos) y disponibilidad (propiedad de ser accesibles y utilizables a la demanda por una entidad autorizada) de la información Servicio:25Es el conjunto de acciones o actividades de carácter misional diseñadas para incrementar la satisfacción del usuario, dándole valor agregado a las funciones de la entidad. Servicios de almacenamiento de archivos “On line”:26Un servicio de alojamiento de archivos, servicio de almacenamiento de archivos online, o centro de medios online es un servicio de alojamiento de Internet diseñado específicamente para alojar contenido estático, mayormente archivos grandes que no son páginas web. En general estos servicios permiten acceso web y FTP. Pueden estar optimizados para servir a muchos usuarios (como se indica con el término "alojamiento") o estar optimizados para el almacenamiento de usuario único (como se indica con el término "almacenamiento"). Algunos servicios relacionados son el alojamiento de videos, alojamiento de imágenes, el almacenamiento virtual y el copiado de seguridad remoto. SGSI: Sistema de Gestión de Seguridad de la Información:27Es la abreviatura utilizada para referirse a un Sistema de Gestión de la Seguridad de la Información. ISMS es el concepto equivalente en idioma inglés, siglas de Information Security Management System. En el contexto, se entiende por información todo aquel conjunto de datos organizados en poder de una entidad que posean valor para la misma, independientemente de la forma en que se guarde o transmita (escrita, en imágenes, oral, impresa en papel, almacenada electrónicamente, proyectada, enviada por correo, fax o e-mail, transmitida en conversaciones, etc.), de su origen (de la propia organización o de fuentes externas) o de la fecha de elaboración. La seguridad de la información, según ISO 27001, consiste en la preservación de su confidencialidad, integridad y disponibilidad, así como de los sistemas implicados en su tratamiento, dentro de una organización. Sistemas de Información:28Un sistema de información es un conjunto de elementos orientados al tratamiento y administración de datos e información, organizados y listos para su uso posterior, generados para cubrir una necesidad o un objetivo. Habitualmente el término se usa de manera errónea como sinónimo de sistema de información informático, en parte porque en la mayoría de los casos los recursos materiales de un sistema de información están constituidos casi en su totalidad por sistemas informáticos. Estrictamente hablando, un sistema de información no tiene por qué disponer de dichos recursos (aunque en la práctica esto no suela ocurrir). Se podría decir entonces que los sistemas de información informáticos son una subclase o un subconjunto de los sistemas de información en general. Smartphone:29El teléfono inteligente (en inglés: smartphone) es un tipo teléfono móvil construido sobre una plataforma informática móvil, con una mayor capacidad de almacenar datos y realizar actividades, semejante a la de una minicomputadora, y con una mayor conectividad que un teléfono móvil convencional. El término «inteligente», que se utiliza con fines comerciales, hace referencia a la capacidad de usarse como un computador de bolsillo, y llega incluso a reemplazar a una computadora personal en algunos casos. 24 DEFINICIÓN DE SEGURIDAD DE LA INFORMACIÓN. ISO 27000: Information technology — Security techniques — Information security management systems — Overview and vocabulary - 2009. (ISO: the International Organization for Standardization). Traducción en mayo 29 de 2015]. 25DEFINICIÓN DE SERVICIO. MinTIC (Ruta) Inicio / Atención al público; Sitio: http://www.mintic.gov.co/portal/604/w3-propertyvalue- 1051.html 26DEFINICIÓN DESERVICIO DE ALMACENAMIENTO DE ARCHIVOS ON LINE. Wikipedia la enciclopedia libre. En Línea disponible: http:http://es.wikipedia.org/wiki/Servicio_de_alojamiento_de_archivos. [Recuperado en enero de 2017]. – La Oficina de Tecnologías de la Información del Invima, avala esta definición como válida para la Entidad. 27DEFINICIÓN DE SGSI ISO 27000: El portal de ISO 27001 en Español. En Línea disponible: http://www.iso27000.es/sgsi.html. [Recuperado en enero de 2017]. 28DEFINICIÓN DE SISTEMAS DE INFORMACIÓN. Wikipedia la enciclopedia libre. En Línea disponible: http://es.wikipedia.org/wiki/Sistema_de_información. [Recuperado en enero de 2017]. – La Oficina de Tecnologías de la Información del Invima, avala esta definición como válida para la Entidad. 29DEFINICIÓN DE SMARTPHONE. Wikipedia la enciclopedia libre. En Línea disponible: http://es.wikipedia.org/wiki/Teléfono_inteligente. [Recuperado en enero de 2017]. – La Oficina de Tecnologías de la Información del Invima, avala esta definición como válida para la Entidad. GESTIÓN DIRECTIVA DIRECCIONAMIENTO ESTRATÉGICO POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Código: GDI-DIE-PL010 Versión: 02 Fecha de Emisión: 16/01/2017 Página 6 de 36 ESTE DOCUMENTO IMPRESO ES UNA COPIA NO CONTROLADA Para ver el documento controlado ingrese a https://www.invima.gov.co/procesos Software:30Conjunto de programas, instrucciones y reglas informáticas para ejecutar ciertas tareas en una computadora. Spam:31También conocido como correo basura, el spam es correo electrónico que involucra mensajes casi idénticos enviados a numerosos destinatarios. Un sinónimo común de spam es correo electrónico comercial no solicitado (UCE). El malware se utiliza a menudo para propagar mensajes de spam al infectar un equipo, buscar direcciones de correo electrónico y luego utilizar esa máquina para enviar mensajes de spam. Los mensajes de spam generalmente se utilizan como un método de propagación de los ataques de phishing. Tecnología de la información T.I.32Hace referencia a las aplicaciones, información e infraestructura requerida por una entidad para apoyar el funcionamiento de los procesos y estrategia de negocio. Tipos de información33. cualquier tipo de información producida y/o recibida por las entidades públicas, sus dependencias y servidores públicos, y en general por cualquier persona que desarrolle actividades inherentes a la función de dicha entidad o que hayan sido delegados por esta, independientemente del soporte y medio de registro (análogo o digital) en que se produzcan, y que se conservan en: a) Documentos de Archivo (físicos y electrónicos). b) Archivos institucionales (físicos y electrónicos). c) Sistemas de Información Corporativos. d) Sistemas de Trabajo Colaborativo. e) Sistemas de Administración de Documentos. f) Sistemas de Mensajería Electrónica. g) Portales, Intranet y Extranet. h) Sistemas de Bases de Datos. i) Disco duros, servidores, discos o medios portables, cintas o medios de video y audio (análogo o digital), etc. j) Cintas y medios de soporte (back up o contingencia). k) Uso de tecnologías en la nube. Usuario de la información:34Para la informática es un usuario aquella persona que utiliza un dispositivo o un ordenador y realiza múltiples operaciones con distintos propósitos. A menudo es un usuario aquel que adquiere una computadora o dispositivo electrónico y que lo emplea para comunicarse con otros usuarios, generar contenido y documentos, utilizar software de diverso tipo y muchas otras acciones posibles. El usuario no es necesariamente uno en particular instruido o entrenado en el uso de nuevas tecnologías, ni en programación o desarrollo, por lo cual la interfaz del dispositivo en cuestión debe ser sencilla y fácil de aprender. Sin embargo, cada tipo de desarrollo tiene su propio usuario modelo y para algunas compañías el parámetro de cada usuario es distinto. Webcam: Cámara Web:35Una cámara web o cámara de red (en inglés: webcam) es una pequeña cámara digital conectada a una computadora la cual puede capturar imágenes y transmitirlas a través de Internet, ya sea a una página web o a otra u otras computadoras de forma privada. Las cámaras web necesitan una computadora para transmitir las imágenes. Sin embargo, existen otras cámaras autónomas que tan sólo necesitan un punto de acceso a la red informática, bien sea ethernet o inalámbrico. Para diferenciarlas de las cámaras web se las denomina cámaras de red. 30DEFINICIÓN DE SOFTWARE. Diccionario de la Real Academia Española; Sitio: http://lema.rae.es/drae/. 31DEFINICIÓN DE SPAM. SYMANTEC, Es una de las compañías líder del mundo en seguridad informática; Sitio: http://www.symantec.com/es/mx/theme.jsp?themeid=glosario-de-seguridad, [Recuperado en enero de 2017]. – La Oficina de Tecnologías de la Información del Invima, avala esta definición como válida para la Entidad. 32DEFINICIÓN DE TECNOLOGÍA DE LA INFORMACIÓN T.I. MinTIC (Ruta) Inicio / Atención al público; Sitio: http://www.mintic.gov.co/portal/604/w3-propertyvalue-1051.html. 33 Clasificación de Tipos de Información. Decreto número 2609 de 2012. En línea disponible: http://www.mintic.gov.co/portal/604/articles- 3528_documento.pdf [Recuperado en enero de 2017] 34DEFINICIÓN DE USUARIO. Definición ABC. En Línea disponible: http://www.definicionabc.com/tecnologia/usuario.php. [Recuperado en enero de 2017]. 35DEFINICIÓN DE WEBCAM. Wikipedia la enciclopedia libre. En Línea disponible: http://es.wikipedia.org/wiki/Cámara_web. [Recuperado en enero de 2017]. – La Oficina de Tecnologías de la Información del Invima, avala esta definición como válida para la Entidad. GESTIÓN DIRECTIVA DIRECCIONAMIENTO ESTRATÉGICO POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Código: GDI-DIE-PL010 Versión: 02 Fecha de Emisión: 16/01/2017 Página 7 de 36 ESTE DOCUMENTO IMPRESO ES UNA COPIA NO CONTROLADA Para ver el documento controlado ingrese a https://www.invima.gov.co/procesos 4. MARCO LEGAL Y/O NORMATIVO LEY 23 DE 1982 sobre Derechos de Autor. Congreso de la República. Disponible en Línea http://www.alcaldiabogota.gov.co/sisjur/normas/Norma1.jsp?i=3431 [Recuperado en enero de 2017] CONSTITUCIÓN POLÍTICA DE COLOMBIA 1991; Artículo 15. “Todas las personas tienen derecho a su intimidad personal y familiar y a su buen nombre, y el Estado debe respetarlos y hacerlos respetar. De igual modo, tienen derecho a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bancos de datos y en archivos de entidades públicas y privadas. Disponible en Línea: http://www.constitucioncolombia.com/titulo-2/capitulo-1/articulo-15 [Recuperado en enero de 2017] LEY 527 DE 1999; por medio de la cual se define y reglamenta el acceso y uso de los mensajes de datos, del comercio electrónico y de las firmas digitales, y se establecen las entidades de certificación y se dictan otras disposiciones. Disponible en Línea: http://www.alcaldiabogota.gov.co/sisjur/normas/Norma1.jsp?i=4276 [Recuperado en enero de 2017] LEY 1266 DE 2008, por la cual se dictan las disposiciones generales del hábeas data y se regula el manejo de la información contenida en bases de datos personales, en especial la financiera, crediticia, comercial, de servicios y la proveniente de terceros países y se dictan otras disposiciones. Disponible en Línea: http://www.alcaldiabogota.gov.co/sisjur/normas/Norma1.jsp?i=34488 [Recuperado en enero de 2017] LEY 1273 DE 2009, Por medio de la cual se modifica el Código Penal, se crea un nuevo bien jurídico tutelado - denominado "de la protección de la información y de los datos"- y se preservan integralmente los sistemas que utilicen las tecnologías de la información y las comunicaciones, entre otras disposiciones. Disponible en Línea: http://www.alcaldiabogota.gov.co/sisjur/normas/Norma1.jsp?i=34492 [Recuperado en enero de 2017] LEY 1474 DE 2011 Por la cual se dictan normas orientadas a fortalecer los mecanismos de prevención, investigación y sanción de actos de corrupción y la efectividad del control de la gestión pública. Disponible en Línea: http://www.alcaldiabogota.gov.co/sisjur/normas/Norma1.jsp?i=43292 [Recuperado en enero de 2017] DECRETO 4632 DE 2011 Por medio del cual se reglamenta parcialmente la Ley 1474 de 2011 en lo que se refiere a la Comisión Nacional para la Moralización y la Comisión Nacional Ciudadana para la Lucha contra la Corrupción y se dictan otras disposiciones. Disponible en Línea: http://wsp.presidencia.gov.co/Normativa/Decretos/2011/Documents/Diciembre/09/dec463209122011.pdf [Recuperado en enero de 2017] LEY ESTATUTARIA 1581 DE 2012, Por la cual se dictan disposiciones generales para la protección de datos personales. Congreso de la República. Disponible en Línea: http://www.alcaldiabogota.gov.co/sisjur/normas/Norma1.jsp?i=49981. [Recuperado en enero de 2017] DECRETO 2609 DE 2012. Por el cual se reglamenta el Título V de la Ley 594 de 2000, parcialmente los artículos 58 y 59 de la Ley 1437 de 2011 y se dictan otras disposiciones en materia de Gestión Documental para todas las Entidades del Estado". Disponible en Línea: http://www.mintic.gov.co/portal/604/articles- 3528_documento.pdf [Recuperado en enero de 2017] DECRETO 2693 DE 2012 Estrategia de Gobierno en Línea. Ministerio de Tecnologías de la Información y las comunicaciones. Disponible en Línea: http://www.mintic.gov.co/portal/604/articles-3586_documento.pdf [Recuperado en enero de 2017] DECRETO 1377 DE 2013 Por el cual se reglamenta parcialmente la Ley 1581 de 2012. Disponible en Línea: http://www.alcaldiabogota.gov.co/sisjur/normas/Norma1.jsp?i=53646 [Recuperado en enero de 2017] GESTIÓN DIRECTIVA DIRECCIONAMIENTO ESTRATÉGICO POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Código: GDI-DIE-PL010 Versión: 02 Fecha de Emisión: 16/01/2017 Página 10 de 36 ESTE DOCUMENTO IMPRESO ES UNA COPIA NO CONTROLADA Para ver el documento controlado ingrese a https://www.invima.gov.co/procesos acceso a la información, los datos derivados del procesamiento de la información a través de cualquier aplicación o sistema, los datos de entrada a las aplicaciones y los datos que son parte integral del apoyo de la solicitud.  Habilitar/Deshabilitar el reconocimiento y operación de Dispositivos de Almacenamiento externo de acuerdo con las directrices emitidas de parte de la Dirección General y las diferentes direcciones.  Implementar los mecanismos de controles necesarios y pertinentes para verificar el cumplimiento de la presente política. 6.1.2. RESPONSABILIDADES GRUPO DE SOPORTE TECNOLÓGICO DE LA SECRETARIA GENERAL  Garantizar la disponibilidad de los servicios y así mismo programar o informar a todos los usuarios cualquier problema o mantenimiento que pueda afectar la normal prestación de los mismos; así como gestionar su acceso de acuerdo a las solicitudes recibidas de las diferentes Direcciones, Jefaturas o Coordinaciones siguiendo el procedimiento establecido.  Establecer, mantener y divulgar las políticas y procedimientos de los servicios de tecnología, incluidos todos los capítulos que hacen parte de esta Política, en toda la institución de acuerdo a las mejores prácticas y directrices de la Entidad y del Gobierno.  Determinar las estrategias para el mejoramiento continuo del servicio tecnológico, la optimización de los recursos tecnológicos, las mejoras en los sistemas de información con miras a un gobierno de tecnologías consolidado.  Brindar el soporte necesario a los usuarios a través de los canales de mesa de ayuda actualmente implementados en la institución. 6.1.3. RESPONSABILIDADES DE LOS PROPIETARIOS DE LA INFORMACIÓN Son propietarios de la información cada uno de los directores así como los jefes de las oficinas donde se genera, procesa y mantiene información, en cualquier medio, propia del desarrollo de sus actividades.  Valorar y clasificar la información que está bajo su administración y/o generación.  Autorizar, restringir y delimitar a los demás usuarios de la institución el acceso a la información de acuerdo a los roles y responsabilidades de los diferentes funcionarios, contratistas o practicantes que por sus actividades requieran acceder a consultar, crear o modificar parte o la totalidad de la información.  Determinar los tiempos de retención de la información en conjunto con él grupo de Gestión Documental y Correspondencia y las áreas que se encarguen de su protección y almacenamiento de acuerdo a las determinaciones y políticas de la entidad como de los entes externos y las normas o leyes vigentes.  Determinar y evaluar de forma permanente los riesgos asociados a la información así como los controles implementados para el acceso y gestión de la administración comunicando cualquier anomalía o mejora tanto a los usuarios como a los custodios de la misma.  Acoger e informar los requisitos de esta política a todos los funcionarios, contratistas y practicantes en las diferentes dependencias del Instituto. 6.1.4. RESPONSABILIDADES DE LOS FUNCIONARIOS, CONTRATISTAS Y PRACTICANTES USUARIOS DE LA INFORMACIÓN GESTIÓN DIRECTIVA DIRECCIONAMIENTO ESTRATÉGICO POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Código: GDI-DIE-PL010 Versión: 02 Fecha de Emisión: 16/01/2017 Página 11 de 36 ESTE DOCUMENTO IMPRESO ES UNA COPIA NO CONTROLADA Para ver el documento controlado ingrese a https://www.invima.gov.co/procesos  Utilizar solamente la información necesaria para llevar a cabo las funciones que le fueron asignadas, de acuerdo con los permisos establecidos o aprobados en el Manual de Funciones, Código Disciplinario Único – Ley 734 de 2002 o Contrato.  Manejar la Información de la Institución y rendir cuentas por el uso y protección de tal información, mientras que este bajo su custodia. Esta puede ser física o electrónica e igualmente almacenada en cualquier medio.  Proteger la información a la cual accedan y procesen, para evitar su pérdida, alteración, destrucción o uso indebido  Evitar la divulgación no autorizada o el uso indebido de la información.  Cumplir con todos los controles establecidos por los propietarios de la información y los custodios de la misma.  Informar a sus superiores sobre la violación de estas políticas o si conocen de alguna falta a alguna de ellas.  Proteger los datos almacenados en los equipos de cómputo y sistemas de información a su disposición de la destrucción o alteración intencional o no justificada y de la divulgación no autorizada.  Reportar los Incidentes de seguridad, eventos sospechosos y el mal uso de los recursos que identifique.  Proteger los equipos de cómputo, de comunicaciones y demás dispositivos tecnológicos o técnico- científicos designados para el desarrollo de sus funciones. No está permitida la conexión de equipos de cómputo y de comunicaciones ajenos al instituto al a red Institucional ni el uso de dispositivos de acceso externo a Internet o de difusión de señales de red que no hayan sido previamente autorizadas por la Oficina de Tecnologías de la Información.  Usar software autorizado que haya sido adquirido legalmente por la Institución. No está permitido la instalación ni uso de software diferente al Institucional sin el consentimiento de sus superiores y visto bueno de la Oficina de Tecnologías de la Información.  Divulgar, aplicar y el cumplir con la presente Política.  Aceptar y reconocer que en cualquier momento y sin previo aviso, la Dirección General del Instituto puede solicitar una inspección de la información a su cargo sin importar su ubicación o medio de almacenamiento. Esto incluye todos los datos y archivos de los correos electrónicos institucionales, sitios web institucionales y redes sociales propiedad del Instituto, al igual que las unidades de red institucionales, computadoras, servidores u otros medios de almacenamiento propios de la Institución. Esta revisión puede ser requerida para asegurar el cumplimiento de las políticas internamente definidas, por actividades de auditoría y control interno o en el caso de requerimientos de entes fiscalizadores y de vigilancia externos, legales o gubernamentales.  Proteger y resguardar su información personal que no esté relacionada con sus funciones en la Institución. El Invima no es responsable por la pérdida de información, desfalco o daño que pueda tener un usuario al brindar información personal como identificación de usuarios, claves, números de cuentas o números de tarjetas débito/crédito. 7. LINEAMIENTOS POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Lineamiento 1: Uso de contraseñas y usuarios Expone las condiciones, normas y procedimientos necesarios para fijar los requisitos que se deben cumplir por cualquier funcionario, contratista o practicante del Instituto para obtener acceso a los sistemas de información, hardware y software propiedad del Invima. GESTIÓN DIRECTIVA DIRECCIONAMIENTO ESTRATÉGICO POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Código: GDI-DIE-PL010 Versión: 02 Fecha de Emisión: 16/01/2017 Página 12 de 36 ESTE DOCUMENTO IMPRESO ES UNA COPIA NO CONTROLADA Para ver el documento controlado ingrese a https://www.invima.gov.co/procesos Lineamiento 2: Uso del servicio de correo electrónico Concientiza a los funcionarios, contratistas o practicantes de la Institución de los riesgos asociados con el uso de correo electrónico y presenta las normas y protocolos a seguir para el buen uso de este servicio. Lineamiento 3: Uso del servicio de internet / intranet Concientiza a los funcionarios, contratistas o practicantes de la Institución de las buenas prácticas a seguir sobre las normas de uso del servicio de Internet/Intranet, así como el conocimiento de los riesgos asociados por el uso indebido de los mismos. Lineamiento 4: Uso de servicio de mensajería instantánea Concientiza a los funcionarios, contratistas o practicantes de la Institución de las buenas prácticas a seguir sobre las normas y el uso del servicio de mensajería instantánea, así como el conocimiento de los riesgos asociados por el uso indebido de los mismos. Lineamiento 5: Uso de dispositivos de almacenamiento externo Describe el uso permitido de los dispositivos de almacenamiento externo en el Invima y las restricciones en su empleo al interior de la institución. Lineamiento 6: Uso de dispositivos de captura de imágenes y/o grabación de video Define el acceso y el uso de cámaras fotográficas, cámaras de video y demás dispositivos que permitan el registro de imágenes, fotografías y/o video en el Invima. Lineamiento 7: Uso de escritorios y pantallas despejadas Define los mecanismos necesarios que se deben aplicar en el Instituto con el fin de proteger la información física residente en los escritorios y puestos de trabajo y la información digital almacenada en los computadores e infraestructura técnica a disposición de todos los funcionarios, contratistas o practicantes para el normal desarrollo de las actividades. Lineamiento 8: Uso de dispositivos móviles (Tablets) Define los mecanismos necesarios que se deben aplicar en el Instituto con el fin de proteger la información física residente en las tabletas asignadas a los funcionarios e inspectores del Invima para el normal desarrollo de las actividades. Lineamiento 9: Conexiones remotas Define los requisitos y casos en que se concede acceso remoto a las plataformas tecnológicas del Instituto y las medidas de seguridad que se establece para la protección de la información que es accedida por este medio. 8. DOCUMENTO DE APROBACIÓN Acta 015 del 15 de diciembre de 2016 del Comité Institucional de Desarrollo Administrativo. GESTIÓN DIRECTIVA DIRECCIONAMIENTO ESTRATÉGICO POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Código: GDI-DIE-PL010 Versión: 02 Fecha de Emisión: 16/01/2017 Página 15 de 36 ESTE DOCUMENTO IMPRESO ES UNA COPIA NO CONTROLADA Para ver el documento controlado ingrese a https://www.invima.gov.co/procesos  Conocer, adoptar y acatar este lineamiento.  Velar por la seguridad de la información a la que tenga acceso a través de las credenciales asignadas y a los sistemas de información autorizados para su acceso.  Cerrar totalmente su sesión de trabajo para evitar el uso de su identidad, cuando se retire del equipo en que se encuentre laborando.  Dar aviso al Grupo de Soporte Tecnológico, a través de los medios establecidos, de cualquier fallo de seguridad, incluyendo su uso no autorizado, pérdida de la contraseña, suplantación, etc. Monitoreo:  Los administradores de los sistemas de información, bases de datos y plataformas tecnológicas pueden efectuar una revisión periódica de los accesos exitosos y no exitosos y al número de intentos efectuados a dichos sistemas para determinar posibles accesos indebidos o no autorizados.  La Oficina de Tecnología podrá revisar las bitácoras y registros de control de los usuarios que puedan afectar la operación de cualquier sistema o plataforma. GESTIÓN DIRECTIVA DIRECCIONAMIENTO ESTRATÉGICO POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Código: GDI-DIE-PL010 Versión: 02 Fecha de Emisión: 16/01/2017 Página 16 de 36 ESTE DOCUMENTO IMPRESO ES UNA COPIA NO CONTROLADA Para ver el documento controlado ingrese a https://www.invima.gov.co/procesos LINEAMIENTO 2: USO DEL SERVICIO DE CORREO ELECTRÓNICO DEL INVIMA El correo electrónico es un servicio basado en el intercambio de información a través de la red y el cual es provisto por el Invima para los funcionarios, contratistas, practicantes previamente autorizados para su acceso. Los objetivos específicos de los lineamientos para el uso del correo electrónico son:  Incentivar el uso del servicio de correo electrónico para fines estrictamente laborales del Invima.  Asegurar el correcto manejo de la información privada de la institución por parte de los funcionarios, contratistas o practicantes del Instituto.  Garantizar la confidencialidad, la privacidad y el uso adecuado y moderado de la información a través de este servicio. El acceso al servicio de correo electrónico es un privilegio otorgado por el Invima a sus funcionarios, contratistas y practicantes y el mismo sobrelleva responsabilidades y compromisos para su uso. El Invima a criterio propio puede otorgar el acceso a los servicios de correo electrónico para la realización de actividades institucionales al personal de planta, contratistas y proveedores. El acceso incluye la preparación, transmisión, recepción y almacenamiento de mensajes de correo electrónico y sus adjuntos. La Dirección General, Directores, Secretario General, Jefes o Coordinadores tienen la autonomía de otorgar y solicitar el acceso de sus funcionarios, contratistas o practicantes a este servicio. Se encuentra disponible un acceso externo de la red corporativa a través del sitio web: https://mail.invima.gov.co/owa. Este sistema está pensado exclusivamente para aquellos funcionarios, contratistas o practicantes que por cualquier motivo, en un determinado momento, no puedan hacer uso del cliente de correo electrónico. Las credenciales de los usuarios serán desactivadas de los sistemas de acuerdo a los procedimientos establecidos y según sea solicitado por los directores, jefes de oficina o por los grupos de Talento Humano y Gestión Contractual. La falla consecutiva, después de cinco (5) intentos de acceso a la cuenta vía web ocasiona el bloqueo de la cuenta y esta se desbloquea automáticamente a los 30 minutos o por solicitud a la Mesa de Ayuda. TIPOS DE CUENTAS DE CORREO ELECTRÓNICO Todas las cuentas de correo electrónico que existen en el servicio de correo del Invima son propiedad de la Institución. En el sistema de correo electrónico se consideran los siguientes tipos de cuenta de correo: a. Cuentas personales: Cualquier funcionario, contratista o practicante del Instituto puede ser autorizado a obtener y operar una cuenta de correo institucional para el uso diario de sus actividades laborales. El nombre de dicha cuenta de correo se creará con el formato xyz@invima.gov.co donde la X corresponde a la primera inicial del primer nombre, Y corresponde al primer apellido y Z a la inicial del segundo apellido. Si dos o más personas tienen el mismo identificador de usuario se añadirá a la segunda persona y siguientes un dígito diferenciador al final de la cuenta de correo: 2, 3, 4, etc. (p.e. xyz4@invima.gov.co). Los conflictos no aclarados por las reglas anteriores serán resueltos a criterio propio, por el administrador del sistema de correo, o por la persona que solicita la cuenta. GESTIÓN DIRECTIVA DIRECCIONAMIENTO ESTRATÉGICO POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Código: GDI-DIE-PL010 Versión: 02 Fecha de Emisión: 16/01/2017 Página 17 de 36 ESTE DOCUMENTO IMPRESO ES UNA COPIA NO CONTROLADA Para ver el documento controlado ingrese a https://www.invima.gov.co/procesos En caso de combinaciones que deriven en palabras malsonantes podrá solicitarse el cambio de identificador de usuario. Todo mensaje de correo electrónico que salga de una cuenta personal institucional debe llevar por regla general la siguiente estructura de firma, es responsabilidad del usuario su configuración y/o inclusión. Nombres y apellidos completos del funcionario/contratista/practicante Cargo Dirección, Área o Grupo al cual pertenece Correo Electrónico Institucional Dirección: XXXXXXX, Tel: (57(indicativo Ciudad) XXXXXX Ext: XXXX Ciudad, Colombia www.invima.gov.co Esta información debe ir en fondo blanco, letra color negro, negrilla, el tipo de letra es Arial y el tamaño es 10. Ejemplo: Pedro Pablo Pérez Pérez Profesional Especializado Secretaría General Grupo ABC pperezp@invima.gov.co Cra. 10 No.64-28 Piso 9, Tel: 57 - 1 - 2948700 Ext. 3883 Bogotá D.C. Colombia www.invima.gov.co b. Cuentas de dependencias o de grupos de trabajo: Estas cuentas son creadas para las necesidades de comunicación oficial, dependencias, Direcciones, Grupos de trabajo, etc. Deben ser solicitadas directamente por el jefe del área que corresponda, a través de los medios ya establecidos de la institución asignando a su vez el responsable de manejo de la misma. El nombre de la cuenta de correo se definirá con el formato documentossgc@INVIMA.gov.co. El titular de la entidad será responsable del uso que se dé a dicha cuenta y del mantenimiento periódico de las claves de la misma. Todo mensaje de correo electrónico que salga de una cuenta de Grupo de Trabajo debe llevar por regla general la siguiente estructura de firma, es responsabilidad del usuario responsable de su administración su configuración y/o inclusión. Nombre del grupo. Área o dependencia a la cual pertenece Correo Electrónico Institucional Dirección: XXXXXX Tel: (57(indicativo Ciudad) XXXXXX Ext: XXXX Ciudad, Colombia www.invima.gov.co Esta información debe ir en fondo blanco, letra color negro, negrilla, el tipo de letra es Arial y el tamaño es 10. Ejemplo: Grupo de Talento Humano Secretaría General talentohumano@invima.gov.co Cra. 10 No.64-60 Mezzanine, Tel: 57 - 1 - 2948700 Ext. 3845 GESTIÓN DIRECTIVA DIRECCIONAMIENTO ESTRATÉGICO POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Código: GDI-DIE-PL010 Versión: 02 Fecha de Emisión: 16/01/2017 Página 20 de 36 ESTE DOCUMENTO IMPRESO ES UNA COPIA NO CONTROLADA Para ver el documento controlado ingrese a https://www.invima.gov.co/procesos destinatarios al definido se debe solicitar los permisos al administrador del servicio de correo electrónico del Grupo de Soporte Tecnológico.  Se recomienda el uso del campo CCO: para mantener la privacidad de los correos electrónicos de los destinatarios. Este campo hace que los destinatarios reciban el mensaje sin aparecer en ninguna lista ni ser visibles a los demás.  Los correos masivos institucionales que por necesidades específicas de un departamento o área requieran ser enviados a una parte o toda la institución, deben ser enviados a través de las cuentas departamentales creadas para tal fin. Igualmente se debe solicitar que estos correos no sean contestados por parte de los destinatarios debido a que puede provocar lentitud en el canal de comunicación o tergiversar el objetivo de la información con comentarios adicionales.  Es una buena práctica comprimir los archivos a enviar a través de este servicio, para disminuir las exigencias técnicas en su transmisión.  Si un mensaje no se puede entregar al destinatario (problemas de conexión, servicio no disponible, etc.) permanecerá pendiente de entrega durante un máximo de 24 horas. Pasado este plazo se le enviará al remitente un mensaje de error indicando el motivo por el que no se pudo realizar la entrega.  Los mensajes destinados a dominios (cuentas) no válidas se rechazan inmediatamente para evitar que direcciones erróneas (por ejemplo, mal escrito) sean aceptadas por el servidor como válidas.  Se aplican políticas de filtrado de mensajes para evitar en la medida de lo posible la llegada de correo no deseado (SPAM) a los buzones de los usuarios.  Un mensaje no se acepta cuando provenga de un servidor identificado como fuente de SPAM o como un servidor no válido para el envío de correo electrónico por alguna de las listas de bloqueo.  Se aplican políticas de filtrado de mensajes entrantes y salientes, rechazando el envío/recepción de mensajes que contengan virus. Cuando un mensaje es rechazado se envía una notificación al destinatario del mensaje, salvo en el caso de virus que falsifique el emisor del mensaje.  Un adjunto se borra cuando, a través de los procesos automáticos de evaluación, sea identificado como portador de virus o cualquier otra amenaza para el destinatario, comunicándole al mismo este hecho mediante un mensaje al pie del correo electrónico. Responsabilidades de los funcionarios, contratistas y practicantes que sean usuarios de los servicios de correo electrónico del Invima  Cuidar y revisar el contenido de los correos electrónicos que se envíen a través de su cuenta. El uso no autorizado de una cuenta de correo electrónico es ilegal y constituye una violación de la Política de la Institución.  Usar correctamente las credenciales de ingreso (usuario y clave) asignadas. La cuenta de correo que proporciona el Instituto es personal e intransferible, por lo que no debe compartirse con otras personas.  Cerrar totalmente la sesión de lectura y envío de correos para evitar el uso de su identidad, cuando se retire del equipo en que se encuentre configurada la cuenta de correo.  Dar aviso al Grupo de Soporte Tecnológico, a través de los medios establecidos, de cualquier fallo de seguridad en su cuenta de correo, incluyendo su uso no autorizado, pérdida de la contraseña, suplantación, etc.  Responsabilizarse por la información o contenido que sea transmitido a través de la cuenta de correo asignada; Los usuarios del servicio deben considerar que los mensajes enviados a un destinatario pueden ser re-enviados a cualquier número de cuentas de correo de otros individuos o grupos.  Descargar, verificar y resguardar la información recibida a través de este servicio en su buzón local de correo electrónico, de ser este configurado, en el cliente de correo instalado en su equipo de cómputo. Monitoreo  El Invima tiene el derecho a acceder y revelar los contenidos electrónicos de los correos electrónicos institucionales de sus funcionarios, contratistas y practicantes y estos deben dar su consentimiento al Invima en caso de que algún ente fiscalizador a nivel interno o externo requiera esta información. Priman las exigencias de carácter legal o disciplinario. GESTIÓN DIRECTIVA DIRECCIONAMIENTO ESTRATÉGICO POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Código: GDI-DIE-PL010 Versión: 02 Fecha de Emisión: 16/01/2017 Página 21 de 36 ESTE DOCUMENTO IMPRESO ES UNA COPIA NO CONTROLADA Para ver el documento controlado ingrese a https://www.invima.gov.co/procesos  El Administrador del Servicio o el Grupo de Soporte Tecnológico pueden monitorear en línea el acceso y uso de los servicios Institucionales, o revisar el contenido de los equipos e información Institucional almacenados en cualquier momento, con las autorizaciones pertinentes para asegurar la integridad y confidencialidad dela información; Igualmente se efectúa una revisión periódica del tráfico de mensajes sobre los canales de comunicación como prevención de ingreso de mensajes tipo SPAM o PHISING, ingreso de virus sobre las redes y equipos informáticos, verificación de volúmenes de archivos anexos que puedan afectar la operación del sistema.  La Oficina de Tecnologías de la Información y/o el Grupo de Soporte Técnico pueden monitorear el cumplimiento de las directrices institucionales en el momento que así lo considere o le sea requerido, con las autorizaciones pertinentes para asegurar la integridad y confidencialidad del sistema. GESTIÓN DIRECTIVA DIRECCIONAMIENTO ESTRATÉGICO POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Código: GDI-DIE-PL010 Versión: 02 Fecha de Emisión: 16/01/2017 Página 22 de 36 ESTE DOCUMENTO IMPRESO ES UNA COPIA NO CONTROLADA Para ver el documento controlado ingrese a https://www.invima.gov.co/procesos LINEAMIENTO 3: USO DELSERVICIO DE INTERNET/INTRANET DEL INVIMA Los objetivos específicos del uso de servicio de internet/intranet son:  Incentivar el uso del servicio de Internet/Intranet para fines estrictamente laborales del Invima.  Asegurar el correcto manejo de la información privada de la Institución.  Garantizar la confidencialidad, la privacidad y de uso adecuado y moderado dela información a través de este servicio. El servicio de Internet/Intranet es un servicio de gran importancia en el mundo laboral, de conocimiento y negocios basado en el acceso a diferentes fuentes de información en distintas ubicaciones a través de sistemas de cómputo interconectados en red a nivel local y mundial. El acceso al servicio de Internet/Intranet es un permiso otorgada por el Invima a sus funcionarios, contratistas o practicantes y así mismo sobrelleva responsabilidades y compromisos para su uso. Se espera que los usuarios de este servicio conserven normas de buen uso, confidencialidad y criterio ético. Cada Director, Jefe o Coordinador de área tiene la autonomía de otorgar y solicitar el acceso de sus funcionarios, contratistas o practicantesa este servicio, de acuerdo al procedimiento vigente El ingreso a este servicio se realiza por medio de la plataforma que el instituto destina, que para este caso es el navegador de internet instalado en cada máquina. El punto de inicio para acceder a este servicio se hace desde la página web institucional a través de la dirección: http://www.invima.gov.co. Uso apropiado del servicio de Internet/Intranet Todos los funcionarios, contratistas y practicantes con autorización al uso y acceso a estos servicios deben:  Utilizar este servicio exclusivamente para fines laborales.  Conservar normas de respeto, confidencialidad y criterio ético por parte de todos los funcionarios, contratistas o practicantes con acceso a este servicio.  Descargar documentos o archivo tomando las medidas de precaución para evitar el acceso de virus en las redes y equipos informáticos. Uso indebido del servicio de Internet/Intranet:  Acceder a sitios de juegos o apuestas en línea.  Acceder a sitios de divulgación, descarga o distribución de películas, videos, música, real audio, webcams, emisoras online, etc.  Acceder y/o descargar material pornográfico u ofensivo.  Utilizar software o servicios de mensajería instantánea (chat) y redes sociales no instalados o autorizados por el Grupo de Soporte Tecnológico.  Compartir en sitios web información propia del Invima clasificada como reservada o clasificada sus usuarios, funcionarios, contratistas o practicantes.  Emplear este servicio para la recepción, envió o distribución de información pública clasificada o reservada del Invima a través de servicios y cuentas de correo públicos.  Realizar intentos no autorizados para acceder a otra cuenta de usuario de este servicio.  Cargar, descargar, enviar, imprimir o copiar archivos, software o contenidos en contra de las leyes de derecho de autor.  Utilizar el servicio de Internet/Intranet para propósitos comerciales ajenos al instituto. GESTIÓN DIRECTIVA DIRECCIONAMIENTO ESTRATÉGICO POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Código: GDI-DIE-PL010 Versión: 02 Fecha de Emisión: 16/01/2017 Página 25 de 36 ESTE DOCUMENTO IMPRESO ES UNA COPIA NO CONTROLADA Para ver el documento controlado ingrese a https://www.invima.gov.co/procesos  Realizar intentos no autorizados para acceder a otra cuenta de usuario de este servicio.  Compartir documentos o archivos que sean ajenos a la operación de la institución.  Intentar o modificar las opciones de configuración y/o parámetros de seguridad de los clientes de mensajería instantánea instalados por el Invima.  Descargar, instalar y emplear sistemas de mensajería instantánea distintos al definido por Invima y administrado por el Grupo de Soporte Tecnológico. Los sistemas no autorizados incluyen pero no se limitan a: Yahoo! Messenger, AOL Instant Messenger (AIM), MSN Messenger, Whatsapp, eBuddy, ICQ, MySpace y Google Talk. El uso inapropiado o el abuso en el servicio de mensajería instantánea ocasionaran la desactivación temporal o permanente de las cuentas. Responsabilidades de los funcionarios, contratistas y practicantes usuarios del servicio de mensajería instantánea:  Conocer, adoptar y acatar este lineamiento cada vez que haga uso de este servicio.  Usar correctamente sus credenciales de ingreso (usuario y clave). La cuenta de acceso que proporciona el instituto es personal e intransferible, por lo que no debe proporcionarse a otras personas.  Dar aviso al grupo de Soporte Tecnológico a través de los medios establecidos de cualquier fallo de seguridad de su cuenta, incluyendo su uso no autorizado, olvido de la contraseña, bloqueo, etc.  Todos los mensajes compartidos y documentos archivos compartidos o descargados quedan bajo responsabilidad del dueño de la cuenta.  Cada jefe de área es responsable de revisar y autorizar o desautorizar cada requerimiento de acceso de sus funcionarios, contratistas o practicantes a este servicio. Solicitudes aprobadas de acceso deben ser sometidas de acuerdo con el procedimiento vigente para este caso.  Los usuarios del servicio deben considerar que los mensajes instantáneos pueden ser guardados por su interlocutor. Una de las partes que participa en la conversación puede copiar y pegar la conversación entera en un documento de texto. Este servicio de mensajería instantánea permiten incluso archivar mensajes completos Monitoreo:  Los funcionarios, contratistas o practicantes deben estar al tanto de que se registra por cada usuario los mensajes y llamadas enviadas y recibidas en archivos de auditoria tanto en los computadoras, propias o contratadas, como en los servidores donde se administran estos servicios.  El Grupo de Soporte Tecnológico planifica periódicamente una revisión de los archivos de auditoría, las configuraciones y registros de cada una de las máquinas. GESTIÓN DIRECTIVA DIRECCIONAMIENTO ESTRATÉGICO POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Código: GDI-DIE-PL010 Versión: 02 Fecha de Emisión: 16/01/2017 Página 26 de 36 ESTE DOCUMENTO IMPRESO ES UNA COPIA NO CONTROLADA Para ver el documento controlado ingrese a https://www.invima.gov.co/procesos LINEAMIENTO 5: USO DE DISPOSITIVOS DE ALMACENAMIENTO EXTERNO El uso de medios de almacenamiento externo a los disponibles en los diferentes equipos de cómputo, unidades de red compartidas y servidores de la entidad, constituyen una herramienta que sirve para la transferencia rápida y directa de información entre los funcionarios, contratistas o practicantes de la Institución que a la vez puede exponer información confidencial y sensible de la entidad a diversos riesgos y peligros. Los objetivos específicos del uso de dispositivos de almacenamiento externo son:  Concientizar a los funcionarios, contratistas o practicantes del instituto sobre los riesgos asociados con el uso de los medios de almacenamiento, tanto para los sistemas de información como para la infraestructura tecnológica de la Entidad.  Asegurar el correcto manejo de la información digital que reposa en la institución.  Delimitar el uso de estos medios de almacenamiento en las diferentes áreas del Invima. El Invima es consciente que este tipo de herramientas son muy útiles para el resguardo y transporte de información pero igualmente son elementos que permiten extraer información sin dejar huella física ni registro de dicha acción; Por esta razón el Invima define los compromisos frente al uso de Dispositivos de Almacenamiento Externo para asegurarse de que la información propietaria, adquirida o puesta en custodia en la entidad no está supeditada a fuga, uso no autorizado, modificación, divulgación o pérdida y que esta debe ser protegida adecuadamente según su valor, confidencialidad e importancia. El uso de dispositivos de almacenamiento externo está permitido en el Invima para los funcionarios, contratistas y practicantes; en general los funcionarios, contratistas o practicantes del Instituto, con el fin de facilitar el compartir y transportar información que no sea de carácter clasificado ni reservado de la Institución dentro de las normas y responsabilidades del manejo de información institucional. Los dispositivos de almacenamiento de uso externo comprenden las unidades que se pueden conectar como una memoria USB, por medio de un cable de datos, mediante una conexión inalámbrica directa a cualquier equipo de cómputo del Invima. Entre estos, se pueden encontrar pero no se limitan a:  Memorias Flash USB  Reproductores portátiles MP3/MP4  Cámaras con conexión USB  iPhones/Smartphones  SD Cards/ Mini SD Cards/ Micro SD Cards.  PDAS / Tablets  Dispositivos con tecnología Bluetooth.  Tarjetas Compact Flash  Discos duros de uso externo Nota: El acceso y empleo de servicios de almacenamiento de archivos On Line, es decir, aquellas unidades virtuales de almacenamiento personal por medio de internet, en las cuales se incluye pero no se limitan los servicios de Skydrive, Dropbox, Rapidshare, GigaSize, MediaFire, 4shared, etc.; están prohibidos. Uso indebido de dispositivos de almacenamiento externo:  Almacenar o transportar información clasificada o reservada del Invima.  Ejecutar cualquier tipo de programa no autorizado por el Instituto desde cualquiera de las unidades de almacenamiento en mención.  Descargar cualquier archivo sin tomar las medidas de precaución para evitar el acceso de virus en las redes y equipos informáticos. GESTIÓN DIRECTIVA DIRECCIONAMIENTO ESTRATÉGICO POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Código: GDI-DIE-PL010 Versión: 02 Fecha de Emisión: 16/01/2017 Página 27 de 36 ESTE DOCUMENTO IMPRESO ES UNA COPIA NO CONTROLADA Para ver el documento controlado ingrese a https://www.invima.gov.co/procesos  Utilizar mecanismos y sistemas que intenten ocultar o suplantar la identidad del usuario de alguno de estos medios de almacenamiento.  Emplear dispositivos de almacenamiento externo con el fin de almacenar o exponer información sensible o reservada de los usuarios o funcionarios, contratistas o practicantes del Instituto. En concordancia con lo anterior, queda RESTRINGIDO el uso de Dispositivos de Almacenamiento Externo, en las siguientes dependencias: o Secretaria General:  Grupo Gestión Documental y Correspondencia o Dirección de Medicamentos y Productos Biológicos.  Grupo de Apoyo de las Salas Especializadas de la Comisión Revisora de la Dirección de Medicamentos y Productos Biológicos.  Grupo de Registros Sanitaros de Fitoterapéuticos, medicamentos homeopáticos y suplementos dietarios.  Grupo de Registros Sanitarios de Medicamentos y Productos Biológicos. o Dirección de Alimentos y Bebidas  Grupo Técnico de Alimentos y Bebidas respecto de aquellas actividades de apoyo que sean requeridas para efectuar las sesiones de la Sala Especializada de Alimentos y Bebidas.  Grupo de Registros Sanitarios de Alimentos y Bebidas. o Dirección de Dispositivos Médicos y Otras Tecnologías  Grupo de vigilancia epidemiológica de Dispositivos Médicos y otras Tecnologías respecto de aquellas actividades de apoyo que sean requeridas para efectuar las sesiones de la Sala Especializada de Reactivos de Diagnóstico in Vitro.  Grupo de Registros Sanitarios de Dispositivos Médicos y Otras Tecnologías. o Dirección de Cosméticos, aseo, plaguicidas y productos de higiene doméstica.  Grupo de Registros Sanitarios y Asignación de Notificación Sanitaria Obligatoria de Cosméticos, Aseo, Plaguicidas y productos de Higiene Doméstica. o Oficina de Atención al Ciudadano (Ventanillas de atención al cliente). o Dirección de Responsabilidad Sanitaria La Oficina de Tecnologías de la Información y el Grupo de Soporte Tecnológico de la Secretaría General pueden en todo momento y en cualquier área o dependencia del Instituto operar, almacenar, adquirir o retirar dispositivos de almacenamiento externo que les permita garantizar la seguridad de la información del Invima. Responsabilidades de los usuarios de dispositivos de almacenamiento externo:  Usar de manera responsable la información a su cargo y de los dispositivos de almacenamiento externo que emplee para el transporte de dicha información.  Velar porque los medios de almacenamiento externo estén libres de software malicioso, espía o virus para lo cual deberá realizar una verificación de dichos dispositivos cada vez que sea conectado a un equipo de cómputo de la Institución por medio del software de protección dispuesto para tal fin. Monitoreo:  Todos los eventos realizados sobre los dispositivos de almacenamiento externo, conectados a cualquier equipo de cómputo de la institución, podrán ser auditados con el ánimo de registrar y controlar las actividades realizadas sobre cada uno de estos, la ubicación y el usuario que los empleó. Los intentos de habilitar el uso de estos dispositivos donde su uso ha sido denegado o no autorizado igualmente podrán ser registrados.  Las entradas de software malintencionado, de espionaje o virus podrán ser detectadas inmediatamente e informadas al administrador de la red del Instituto. GESTIÓN DIRECTIVA DIRECCIONAMIENTO ESTRATÉGICO POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Código: GDI-DIE-PL010 Versión: 02 Fecha de Emisión: 16/01/2017 Página 30 de 36 ESTE DOCUMENTO IMPRESO ES UNA COPIA NO CONTROLADA Para ver el documento controlado ingrese a https://www.invima.gov.co/procesos  Grupo de vigilancia epidemiológica de Dispositivos Médicos y otras Tecnologías respecto de aquellas actividades de apoyo que sean requeridas para efectuar las sesiones de la Sala Especializada de Reactivos de Diagnóstico in Vitro.  Grupo de Registros Sanitarios de Dispositivos Médicos y Otras Tecnologías. o Dirección de Cosméticos, aseo, plaguicidas y productos de higiene doméstica.  Grupo de Registros Sanitarios y Asignación de Notificación Sanitaria Obligatoria de Cosméticos, Aseo, Plaguicidas y productos de Higiene Doméstica. o Oficina de Atención al Ciudadano (Ventanillas de atención al cliente). o Dirección de Responsabilidad Sanitaria Con el único propósito de brindar protección en las áreas anteriormente descritas, del personal, documentos, información y activos en estas áreas alojados, los únicos dispositivos de registro audiovisual permitidos son las cámaras de seguridad que el Instituto designe. En el caso de equipos de cómputo del Invima que cuenten con webcams integradas y los dispositivos de videoconferencia su uso es exclusivo para videoconferencias institucionales al interior de las dependencias y áreas antes señaladas. Responsabilidades de los funcionarios, contratistas y practicantes usuarios de dispositivos de captura de imágenes y/o grabación de video:  Adoptar, poner en práctica, socializar, y acatar estos lineamientos.  Usar los dispositivos de captura de imágenes y/o grabación de videos que sean de su propiedad o le hayan sido asignadas para el desempeño de sus actividades de acuerdo a lo estipulado anteriormente.  Abstenerse de fotografiar, escanear, grabar o copiar digitalmente información sensible, clasificada o reservada del Instituto.  Cumplir con todos los controles establecidos por los propietarios de la información y los custodios de la misma.  Informar a sus superiores sobre la violación de estos lineamientos o si conocen de alguna falta a alguna de ellas. Monitoreo:  El Invima puede controlar el acceso de dispositivos de captura de imágenes y/o grabación de video a sus instalaciones en las entradas a cada una de sus sedes a nivel nacional, por medio del personal de vigilancia y seguridad dispuesto en cada uno de los puntos de ingreso de la entidad.  El monitoreo permanente de uso y manipulación de dispositivos de captura de imágenes y/o grabación de video, es efectuado a través de los sistemas de video vigilancia instalados en las diferentes áreas y sedes de la Institución.  El Invima requerirá y mantendrá bajo custodia del personal de vigilancia y seguridad los dispositivos de captura de imágenes y/o grabación de video en las dependencias restringidas y determinadas en esta Política a cualquier persona que ingrese a las mismas y durante el tiempo que permanezca al interior de las mismas. GESTIÓN DIRECTIVA DIRECCIONAMIENTO ESTRATÉGICO POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Código: GDI-DIE-PL010 Versión: 02 Fecha de Emisión: 16/01/2017 Página 31 de 36 ESTE DOCUMENTO IMPRESO ES UNA COPIA NO CONTROLADA Para ver el documento controlado ingrese a https://www.invima.gov.co/procesos LINEAMIENTO 7: USO DE ESCRITORIOS Y PANTALLAS DESPEJADAS La política de escritorios y pantallas despejadas es extensiva para todos los funcionarios, contratistas y practicantes del Invima y apoya en la seguridad de la información sensible o crítica del Instituto. Los objetivos específicos de este capítulo relacionado con el uso de escritorios y pantallas despejadas son:  Garantizar la confidencialidad, la privacidad y el uso adecuado y moderado de la información.  Crear conciencia sobre los riegos asociados al manejo de información tanto física como digital y la manera de reducirlos aplicando los lineamientos aquí determinados.  Especificar las recomendaciones y pautas necesarias para mantener las pantallas y escritorios organizados y controlando el reposo de información clasificada o reservada a la vista.  Dictar las pautas para mantener organizado y resguardado los documentos digitales y correos electrónicos en los computadores puestos a disposición de todos los usuarios de los sistemas de información y estructura tecnológica del Invima. Este lineamiento se define en el uso adecuado y ordenado de las áreas de trabajo desde el punto de vista físico como tecnológico entendiéndose para tal fin como escritorio el espacio físico o puesto de trabajo asignado a cada funcionario, contratista o practicante del Instituto y pantalla, el área de trabajo virtual sobre el sistema operativo de su computador, que contiene tanto sus carpetas electrónicas como los archivos y accesos a los diferentes aplicativos Institucionales. El uso y conservación de los puestos de trabajo (escritorios) y de los fondos de escritorio de sus computadores (pantallas) es una responsabilidad de cada uno de los funcionarios, contratistas y practicantes que tengan acceso a la información del Invima, sea de manera temporal o indefinida, en el normal desarrollo de sus actividades. Para su definición y aplicación se define de la siguiente manera: Escritorios:  Se deben dejar organizados los puestos y áreas de trabajo, entendiéndose por esto el resguardo de documentos con información clasificada o reservada evitando que queden a la vista o al alcance de la mano de personal ajeno a la misma.  En la medida de lo posible los documentos con información clasificada o reservada debe quedar bajo llave o custodia en horas no laborables.  Se debe evitar el retiro de documentos clasificados o reservados de la institución y en el caso de ser necesario se debe propender por su protección fuera del Instituto y su pronta devolución al mismo.  Se deben controlar la recepción, flujo envío de documentos físicos en el Instituto por medio de registro de sus destinatarios desde el punto de correspondencia.  Se debe restringir el fotocopiado de documentos fuera del horario normal de trabajo y fuera de las instalaciones del Instituto. De ser necesario se debe autorizar el retiro de dichos documentos y garantizar su protección y confidencialidad fuera.  Al imprimir o fotocopiar documentos con información clasificada o reservada, esta debe ser retirada inmediatamente de las impresoras o multifuncionales utilizadas para tal fin. Y no debe ser dejada desatendida sobre los escritorios.  No se debe enviar ni recibir documentos clasificados o reservados por medio de Fax.  No se debe reutilizar papel que contenga información clasificada o reservada. Pantallas:  Los computadores o estaciones de trabajo deben ser bloqueados por los usuarios al retirarse de los mismos y los mismos deben ser desbloqueados por medio del usuario y contraseña asignado para su acceso a los mismos. Es responsabilidad del usuario, asegurar que el equipo tenga la protección adecuada. GESTIÓN DIRECTIVA DIRECCIONAMIENTO ESTRATÉGICO POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Código: GDI-DIE-PL010 Versión: 02 Fecha de Emisión: 16/01/2017 Página 32 de 36 ESTE DOCUMENTO IMPRESO ES UNA COPIA NO CONTROLADA Para ver el documento controlado ingrese a https://www.invima.gov.co/procesos  Las áreas de trabajo virtuales “pantallas” del computador deben tener el mínimo de iconos visibles, limitándose estos a los accesos necesarios para la ejecución de la ofimática, accesos a sistemas de información y a carpetas y unidades de red necesarios para la ejecución de las actividades.  Los documentos digitales deben ser organizados en carpetas y evitar dejarlos a la vista en las pantallas de los computadores.  Los funcionarios, contratistas y practicantes al retirarse del Instituto deben apagar los computadores asignados. Queda fuera de esta indicación los servidores y estaciones de trabajo utilizados para acceso remoto. Las sesiones activas se deben terminar cuando el usuario finalice las actividades programadas.  La Oficina de Tecnologías de la Información y el Grupo de Soporte Tecnológico determinan una configuración automática en todos los equipos de cómputo, propiedad o contratados por el Instituto, para que se active el protector de pantalla del computador, bloqueando el acceso al computador al presentarse una inactividad de 15 minutos. Estos pueden ser nuevamente utilizados por los usuarios al volver a realizar la autenticación por medio de los usuarios y contraseñas asignados.  El fondo de pantalla de cada computador es único para todos las estaciones de trabajo y para todos los usuarios y puede ser cambiado únicamente por la Oficina de Tecnologías de la Información y el Grupo de Soporte Tecnológico o por solicitud del Grupo de Comunicaciones de la Oficina de Atención al Ciudadano o del Grupo de Sistemas integrados de Gestión de la Oficina Asesora de Planeación. Para el resto de las áreas, estos cambios deben ser solicitados y validados por el Grupo de Comunicaciones. Monitoreo: La Oficinas de Tecnologías de la Información en conjunto con la Secretaria General por medio del Grupo de Soporte Tecnológico, sin previo aviso, realizan brigadas de monitoreo para verificar el estado de los computadores, monitores y escritorios virtuales y generar el respectivo informe de lo encontrado. GESTIÓN DIRECTIVA DIRECCIONAMIENTO ESTRATÉGICO POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Código: GDI-DIE-PL010 Versión: 02 Fecha de Emisión: 16/01/2017 Página 35 de 36 ESTE DOCUMENTO IMPRESO ES UNA COPIA NO CONTROLADA Para ver el documento controlado ingrese a https://www.invima.gov.co/procesos LINEAMIENTO 9: CONEXIONES REMOTAS La política de conexiones remotas es extensiva para todos los funcionarios, contratistas y practicantes del Invima que requieran y les sea autorizado el acceso a terminales o servidores institucionales a través de herramientas VPN para el desarrollo de sus actividades en horarios fuera de los normales o desde ubicaciones diferentes a las oficinas del Instituto. Los objetivos específicos de este capítulo relacionado con el uso de escritorios y pantallas despejadas son:  Garantizar la confidencialidad, la privacidad y el uso adecuado y moderado de la información.  Crear conciencia sobre los riegos asociados al acceso y gestión de información sobre las plataformas institucionales de manera remota y la manera de reducirlos aplicando los lineamientos aquí determinados.  Especificar las recomendaciones y pautas necesarias para mantener segura la información y los elementos utilizados para el acceso y operación remota de información.  Dictar las pautas para mantener organizado y resguardado las credenciales de acceso así como los elementos de protección para asegurar la conexión remota. Responsabilidades de la Oficina de Tecnologías de la Información y el Grupo de Soporte Tecnológico:  Establecer e implementar los métodos de conexión remota a la plataforma tecnológica del Invima.  Implementar los métodos y controles de seguridad para establecer conexiones remotas hacia la plataforma tecnológica Institucional.  Restringir las conexiones remotas a los recursos de la plataforma tecnológica; únicamente se deben permitir estos accesos a personal autorizado y por periodos de tiempo establecidos, de acuerdo con las labores desempeñadas.  Verificar la efectividad de los controles aplicados sobre las conexiones remotas a los recursos de la plataforma tecnológica del Invima de manera permanente. Responsabilidades de los usuarios:  Contar con las aprobaciones requeridas para establecer dicha conexión a los dispositivos de la plataforma tecnológica del Invima y deben acatar las condiciones de uso establecidas para dichas conexiones  Mantener en total reserva las direcciones de entrada a las direcciones Institucionales (direcciones ip o direcciones Web) al igual que las credenciales que les han sido otorgadas para su resguardo.  Mantener la confidencialidad y protección de la información a la que tienen acceso fuera de las instalaciones Institucionales.  Aplicar herramientas de antivirus sobre sus computadores personales, en lo posible, para brindar una mayor protección a los archivos e información que están gestionando.  Dar aviso al Grupo de Soporte Tecnológico de cualquier posible abuso o intento de violación tanto de los accesos como de las credenciales entregadas. Monitoreo: La Oficinas de Tecnologías de la Información en conjunto con la Secretaria General por medio del Grupo de Soporte Tecnológico, sin previo aviso, realizan brigadas de monitoreo para verificar el estado de las conexiones remotas, así como el tiempo y uso efectuado a través de este medio y generar el respectivo informe de lo encontrado. GESTIÓN DIRECTIVA DIRECCIONAMIENTO ESTRATÉGICO POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Código: GDI-DIE-PL010 Versión: 02 Fecha de Emisión: 16/01/2017 Página 36 de 36 ESTE DOCUMENTO IMPRESO ES UNA COPIA NO CONTROLADA Para ver el documento controlado ingrese a https://www.invima.gov.co/procesos