El día 11 de febrero del 2021 en modalidad presencial se realiza la socialización al personal militar y civil de Establecimiento de Sanidad Militar CAMAN-3118 la directiva 014-2020 JETIC (Políticas de seguridad y privacidad de la información para la FAC).
l. Política de uso aceptable (pua)
1.Directrices de cumplimiento
El uso aceptable de los activos de información de la FAC implica por parte de los funcionarios y terceros de estos, de las normas, políticas y lineamientos establecidos para garantizar la seguridad de la información y el uso de estos, asi como el compromiso y responsabilidades adquiridas.
a) El uso de internet es exclusivo para la ejecución de las actividades institucionales y debe ser autorizado dependiendo de las funciones que tenga asignadas el funcionario. b) La cuenta de correo electrónico institucional asignada a un funcionario o tercero, es para uso exclusivo de las actividades de sus funciones y es responsabilidad del funcionario velara por la seguridad del acceso.
2.Obligaciones para todos los funcionarios
a) Asignar contraseñas seguras y robustas a las cuentas institucionales asignadas. b) Reportar oportunamente al Escuadron de Telemática o quien haga sus veces como Custodio de Seguridad de la respectiva unidad y/o dependencia, cualquier situación que atente contra la Seguridad de la información a través de los canales destinados para este fin. c) Seguir las normas de la FAC sobre el uso de la información que goce de reserva legal. d) Proteger la confidencialidad e integridad de la información y evitar el uso de los diferentes medios para transferir información que pueda generar una divulgación o modificación no autorizada.
3.Prohibiciones para todos los funcionarios
- Usar cuentas de correos personales o diferentes a las cuentas de correo institucionales para transmitir cualquier tipo de información relacionadas con las FAC.
- Realizar cualquier intento de acceso o violación a los controles de seguridad establecidos para la protección de los activos de información de la FAC.
- Divulgar, manipular, sustraer, o realizar uso no autorizado de datos, información, materiales, equipos y otros elementos pertenecientes a los activos de información de la FAC.
- Retirar de las instalaciones de la FAC, cualquier activo de información sin previa autorización.
- Realizar el intento de acceso, acceso y/o descarga a paginas relacionadas con material pornográfico, drogas, alcohol, programas de escaneo, webproxys, hacking, mensajería instantánea o cualquier otra página que vaya en contra de la ética, las leyes vigentes y/o políticas establecidas en el presente documento.
- Hacer uso de conexiones de internet con canales diferentes a los suministrados por JETIC.
- Usar, distribuir ejecutar software, código malicioso o datos no autorizados, que atenten contra la confidencialidad, disponibilidad e integridad de los activos de información de la FAC.
- Ingresas, usar y sacar dispositivos de almacenamiento externo en las instalaciones de la FAC, sin previa autorización y revisión del activo de información por parte del encargado de seguridad de la información.
- Almacenar información en recursos que están en la nube no institucionales.
- Acceder, modificar o realizar alteración no autorizada a datos, información y activos de la información FAC.
- Realizar modificaciones a cualquier elemento tecnológico, bases de datos y aplicaciones institucionales, relacionadas con la configuración lógica o física establecida por JETIC.
- Acceder a configuraciones, servicios informáticos utilizando cuentas, medios de identificación o autenticación falsa o de otros usuarios aun contando con la autorización del usuario propietario de la cuenta.
- Realizar en medios de comunicación, actividades que atenten contra el prestigio y buen nombre de cualquier persona u organización a título personal o en nombre de la FAC haciendo uso de medios tecnológicos que hagan parte del inventario de activos de información de la institución.
- Almacenar, configuración o instalar software no licenciado, datos, información, archivos o documentos que no estén relacionados con las actividades propias de las funciones que cumple la dependencia o el usuario.
ll. Organización de la seguridad de la información
La FAC define, asigna y divulga a través del comité de seguridad de la información, los roles y responsabilidades de Seguridad de la Información, los cuales establecen actividades de administración, operación y gestión de la Seguridad de la Información, con el fin de implementar controles adecuados de seguridad, preservando la confidencialidad, integridad y disponibilidad de los activos propiedad de la FAC.
1. Directrices de cumplimiento
- Las personas que tengan dentro de sus responsabilidades asignado el rol de seguridad de la información deben contar con las competencias académicas requeridas para cumplir con los objetivos de seguridad de la información.
- La estructura de organización de Seguridad de la información debe ser publica y clara en sus responsabilidades para cada uno de los roles definidos.
- Cada activo de información de la institución debe tener asignado un propietario o responsable a quien se le debe informar para que haga uso adecuado del mismo.
- En la supervisión de contratos que durante su ejecución requiera que se involucren terceros se deben asignar las responsabilidades de seguridad de la información a personal idóneo y que pertenezca a la FAC.
- Se deben asignar responsables por cada riesgo, para asegurar la ejecución de los planes de acción y la realización de seguimiento a la gestión de los riesgos de seguridad de la información.
- Se deben segregar las tareas y las aéreas de responsabilidad con el fin de reducir las oportunidades de una modificación no autorizada o no intencionada, o el de un mal uso de los activos de la organización.
- Se debe generar y mantener un listado de relaciones externas: autoridades regulatorias, organismos de comunicación y denuncia de incidentes de seguridad de la información.
- Se debe mantener contacto apropiado con grupos de interés especial u otros foros y asociaciones profesionales especializadas en seguridad.
- Responsables de la seguridad de la información
- Los comandantes a todo nivel de la FAC deben orientar y controlar el estricto cumplimiento de las medidas para la seguridad de la información que procesa, difunde y almacena el personal bajo su mando.
- Los funcionarios de la FAC son los directos responsables de la protección de la información que procesan, difunden y almacenan teniendo en cuenta las funciones de su cargo.
- El personal de funcionarios Custodios de Seguridad de la Información (Oficiales o Suboficiales) son los encargados de difundir y recordar las políticas de Seguridad y Privacidad de la Información al personal de sus respectivas dependencias, también tienen la potestad de realizar Inspecciones de Seguridad de la Información con el fin de tener un estricto control en la Seguridad y Privacidad de la información.
- El comité de Seguridad de la Información FAC emite y verifica el estricto cumplimiento de las Políticas de Seguridad y Privacidad de la Información para la FAC.
- Seguridad de la información en la Gestión de Proyectos
La seguridad de la información se debe tratar en la gestión de proyectos, independientemente del tipo de proyecto. Se debe tener en cuenta:
- Los gerentes de proyectos deben velar por que se incluya la seguridad de la información en cada proyecto.
- En el acta de constitución se realizará la valoración de los riesgos de seguridad de la información certificando que se lleve a cabo en una etapa temprana del proyecto para identificar los controles necesarios. Asegurando así que la seguridad de la información sea parte de todas las fases de la metodología del proyecto aplicada.
Ill. Seguridad de los recursos humanos
La FAC identifica, define e informa a los funcionarios y terceros las responsabilidades y deberes que son asignadas a cada uno, asociadas con sus respectivos roles, para reducir el riesgo de robo, fraude o uso inadecuado de las instalaciones y activos de información.
|