Gov.co
Gobierno de Colombia

Derecho del Bienestar Familiar

Logo ICBF
Menú principal

Resolución 10806 de 2015 ICBF

Buscar search
Índice developer_guide

RESOLUCIÓN 10806 DE 2015

(diciembre 11)

Diario Oficial No. 49.729 de 17 de diciembre de 2015

INSTITUTO COLOMBIANO DE BIENESTAR FAMILIAR

DIRECCIÓN GENERAL

<NOTA DE VIGENCIA: Resolución derogada por el artículo 20 de la Resolución 9364 de 2016>

Por la cual se adopta la Política de Seguridad de la Información y se definen lineamientos frente su uso y manejo.

LA DIRECTORA GENERAL DEL INSTITUTO COLOMBIANO DE BIENESTAR FAMILIAR CECILIA DE LA FUENTE DE LLERAS,

en uso de sus facultades legales y estatutarias señaladas en las Leyes 7a de 1979, 87 de 1993, el artículo 78 de la Ley 489 de 1998 y el artículo 2.2.9.1.2.3 del Decreto número 1078 de 2015, y

CONSIDERANDO:

Que la Constitución Política de Colombia, en su artículo 15, consagra que todas las personas tienen derecho a su intimidad personal y familiar y a su buen nombre, y el Estado debe respetarlos y hacerlos respetar. De igual modo, tienen derecho a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en los bancos de datos y en archivos de entidades públicas y privadas.

Que la Constitución Política de Colombia, en su artículo 209, establece que la administración pública, en todos sus órdenes, tendrá un control interno, el cual se ejercerá en los términos que señale la ley y, así mismo, en su artículo 269 impone a las autoridades de las entidades públicas la obligación de diseñar y aplicar, según la naturaleza de sus funciones, métodos y procedimientos de control interno.

Que el ICBF, mediante Resolución número 10232 de 2015, reorganiza el Sistema Integrado de Gestión y asigna roles y responsabilidades en los ejes que lo integran, siendo la Seguridad de la Información uno de ellos.

Que mediante la Ley 1273 de 2009 se creó un nuevo bien jurídico tutelado denominado de la protección de la información y de los datos, tipificando penalmente las conductas contra la confidencialidad, la integridad, la disponibilidad de los datos y de los sistemas informáticos.

Que el Decreto número 1078 de 2015 dispone que las entidades que conforman la administración pública serán sujetos obligados para el cumplimiento de las políticas y los lineamientos de la Estrategia de Gobierno en Línea, estableciendo en su artículo 2.2.9.1.2.1 como uno de sus cuatro componentes el de la seguridad y privacidad de la información, comprendido por las acciones transversales a los componentes de TIC para Servicios, TIC para el Gobierno Abierto y TIC para la Gestión, tendientes a proteger la información y sistemas de información, del acceso, divulgación, interrupción o destrucción no autorizada.

Que igualmente el artículo 45 de la Ley 1753 del 9 de junio de 2015, por la cual se expide el Plan Nacional de Desarrollo 2014-2018 “Todos por un nuevo país”, señala que se deben establecer estándares, modelos y lineamientos de tecnologías de la información y las comunicaciones para los servicios al ciudadano y aplicarán, entre otros, para los siguientes casos: …c) Autenticación electrónica, d) Publicación de datos abiertos, … f) Implementación de la estrategia de Gobierno en Línea, g) Marco de referencia de arquitectura empresarial para la gestión de las tecnologías de información en el Estado, … j) Interoperabilidad de datos como base para la estructuración de la estrategia que sobre la captura, almacenamiento, procesamiento, análisis y publicación de grandes volúmenes de datos (Big Data) formule el Departamento Nacional de Planeación, así como en el parágrafo 2 inciso a) Carpeta ciudadana electrónica: (…).

Que el ICBF mediante la Circular número 014 del 22 de abril de 2010, se dieron instrucciones de políticas sobre la normalización de los datos y utilización de recursos informáticos.

Que dada la función establecida en el artículo 2.2.9.1.2.3 del Decreto número 1078 de 2015 para el representante legal de los sujetos obligados respecto de la coordinación de la implementación de la estrategia Gobierno en línea, se hace necesario restructurar la política de seguridad de la información del ICBF para que se encuentre en consonancia con las normas de protección de datos personales contenidas en la Ley 1581 de 2012, las normas de transparencia y acceso a la información de la Ley 1712 de 2014, así como en aquellas que las han reglamentado.

Que, en mérito de lo expuesto,

RESUELVE:

CAPÍTULO I.

DISPOSICIONES GENERALES.

ARTÍCULO 1o. OBJETO. <Resolución derogada por el artículo 20 de la Resolución 9364 de 2016> La presente resolución tiene como objeto la adopción de la política de seguridad de la información del Instituto Colombiano de Bienestar Familiar, así como definir lineamientos frente a su uso y manejo.

Ir al inicio

ARTÍCULO 2o. POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN. <Resolución derogada por el artículo 20 de la Resolución 9364 de 2016> El ICBF protege, preserva y administra la integridad, confidencialidad y disponibilidad de la información digital y física en el marco de la operación de sus procesos, a través de la implementación de mecanismos de seguridad como controles físicos y lógicos, con la finalidad de prestar servicios con calidad y transparencia a la primera infancia, la niñez, la adolescencia y para el bienestar de las familias colombianas.

Ir al inicio

ARTÍCULO 3o. ÁMBITO DE APLICACIÓN. <Resolución derogada por el artículo 20 de la Resolución 9364 de 2016> Lo contenido en esta política de seguridad de la información aplica donde el Instituto Colombiano de Bienestar Familiar (ICBF) tenga presencia o desarrolle su acompañamiento a través de la recolección, procesamiento, almacenamiento, recuperación, intercambio y consulta de información, para el desarrollo de la misión institucional y cumplimiento de sus objetivos estratégicos.

ARTÍCULO 4o. OBJETIVOS.<Resolución derogada por el artículo 20 de la Resolución 9364 de 2016>

1. Brindar mecanismo de aseguramiento para el cumplimiento de la confidencialidad, integridad, disponibilidad, legalidad y confiabilidad de la información del ICBF.

2. Mitigar los incidentes de seguridad de la información en el Instituto.

3. Establecer los lineamientos necesarios para el manejo de la información y los recursos tecnológicos del ICBF.

4. Gestionar los riesgos de seguridad de la información.

CAPÍTULO II.

POLÍTICAS GENERALES DE MANEJO DE INFORMACIÓN.

Ir al inicio

ARTÍCULO 5o. TRATAMIENTO DE LA INFORMACIÓN. <Resolución derogada por el artículo 20 de la Resolución 9364 de 2016> Para el tratamiento de la información de los niños, niñas, adolescentes, familias y comunidades colombianas a las cuales se les presta el acompañamiento en el marco del mandato legal encargado por el Gobierno nacional al ICBF, así como la información de los servidores públicos y colaboradores que participan en el desarrollo de las funciones de dicho mandato, el ICBF cuenta con la “Política de Tratamiento de Datos Personales del Instituto Colombiano de Bienestar Familiar” dando cumplimiento con lo dispuesto en la Ley 1581 de 2012, reglamentada por el capítulo 25 del Decreto número 1074 de 2015, la Ley 1712 de 2014, reglamentada por el capítulo 2 del Decreto número 1081 de 2015, y las demás normatividades externas o internas que los modifiquen, adicionen o complementen.

Ir al inicio

ARTÍCULO 6o. POLÍTICA DE SEGURIDAD DE LOS RECURSOS HUMANOS. <Resolución derogada por el artículo 20 de la Resolución 9364 de 2016> El ICBF a través de la Dirección de Gestión Humana debe propender que los servidores públicos, contratistas y usuarios de terceras partes entiendan sus responsabilidades frente a la seguridad de la información y sean aptos para las funciones que desarrollen y reducir el riesgo de robo, fraude, mal uso de las instalaciones y medios, asegurando la confidencialidad, disponibilidad e integridad de la información.

Ir al inicio

ARTÍCULO 7o. POLÍTICA DE GESTIÓN DE ACTIVOS. <Resolución derogada por el artículo 20 de la Resolución 9364 de 2016> El Instituto Colombiano de Bienestar Familiar, a través de la Dirección de Información y Tecnología, establecerá y divulgará los lineamientos específicos para la identificación, clasificación y buen uso de los activos de información, con el objetivo de garantizar su protección.

a) Inventario de Activos: Los activos del ICBF deben ser identificados, clasificados, valorizados y controlados para garantizar su uso adecuado, protección y la recuperación ante desastres. Por tal motivo, se debe llevar el inventario valorizado de los activos de información de propiedad del ICBF, discriminado por procesos, regionales y Centros Zonales, de acuerdo a la guía de levantamiento de activos de información contenido en el Proceso de Gestión Tecnológica.

Con el objetivo de la implantación de controles de seguridad, las unidades organizacionales que tienen a su cargo la custodia de la información generada por los diferentes procesos de la Entidad se encargarán de mantener y actualizar un inventario de activos de información relacionados con los servicios de cada dependencia, así como de los servicios, software, hardware y recurso humano, relacionados con ese proceso.

b) Archivos de Gestión: La Dirección Administrativa con el acompañamiento del eje de Seguridad de la Información debe implementar controles para garantizar que los archivos de Gestión del Instituto cuenten con los mecanismos de seguridad para garantizar la protección y conservación de la información de la Entidad.

c) Clasificación de la Información: El método de clasificación de la información del ICBF está basado de conformidad con la Ley 1712 de 2014, reglamentada por el capítulo 2 del Decreto número 1081 de 2015, la Ley 594 de 2000 reglamentada parcialmente por los Decretos números 4124 de 2004 y 1100 de 2014, por medio de la cual se dicta la Ley General de Archivos y lo estipulado en la guía de levantamiento de activos de información del ICBF.

d) Responsabilidades de los funcionarios, contratistas y colaboradores frente al uso de los recursos tecnológicos. Todos los funcionarios, contratistas y colaboradores que hagan uso de los activos de información del ICBF tienen la responsabilidad de seguir las políticas establecidas para el uso aceptable de los activos de información, entendiendo que el uso no adecuado de los recursos puede poner en riesgo la continuidad de la misión institucional.

i. Del uso del correo electrónico: El servicio de correo electrónico institucional es una herramienta de apoyo a las funciones y responsabilidades de los funcionarios y contratistas del ICBF, con los siguientes lineamientos:

-- El servicio de correo electrónico institucional debe ser empleado únicamente para enviar y recibir mensajes de carácter institucional. En consecuencia, no puede ser utilizado con fines personales, económicos, comerciales y/o cualquier otro ajeno a los propósitos de la Entidad.

-- En cumplimiento de la iniciativa institucional del uso aceptable del papel y la Eficiencia Administrativa, se debe preferir el uso del correo electrónico al envío de documentos físicos, siempre que la ley lo permita.

-- Los mensajes de correo están respaldados por la Ley 527 de 1999 (por medio de la cual se define y reglamenta el acceso y uso de los mensajes de datos, del comercio electrónico y de las firmas digitales, y se establecen las entidades de certificación y se dictan otras disposiciones.), establece la legalidad de los mensajes de datos y las implicaciones legales que conlleva el mal uso de estos.

-- Está prohibido el uso de correos masivos tanto internos como externos, salvo a través de las Dirección General, Subdirección General, Secretaría General, Oficina Asesora de Comunicaciones, Dirección de Información y Tecnología y Dirección de Gestión Humana.

-- Todo mensaje SPAM o CADENA debe ser inmediatamente reportado a la Dirección de Información y Tecnología a través de la Mesa de Servicios como incidente de seguridad de la información según procedimiento establecido. No está permitido el envío y/o reenvío de mensajes en cadena.

-- Todo mensaje sospechoso respecto de su remitente o contenido debe ser inmediatamente reportado a la Dirección de Información y Tecnología a través de la Mesa de Servicios, como incidente de seguridad de la información según procedimiento establecido y proceder de acuerdo a las indicaciones de esta Dirección; lo anterior, debido a que puede ser contentivo de virus, en especial si contiene archivos adjuntos con extensiones .exe, .bat, .prg, .bak, .pif, tengan explícitas referencias no relacionadas con la misión de la Entidad (como por ejemplo: contenidos eróticos, alusiones a personajes famosos).

-- La cuenta de correo institucional no debe ser revelada en páginas o sitios publicitarios, de comercio electrónico, deportivos, agencias matrimoniales, casinos, o a cualquier otra ajena a los fines de la Entidad.

-- Está expresamente prohibido el uso del correo para la transferencia de contenidos insultantes, ofensivos, injuriosos, obscenos, violatorios de los derechos de autor y/o que atenten contra la integridad moral de las personas o instituciones.

-- Está expresamente prohibido distribuir información del ICBF no pública a otras entidades o ciudadanos, sin la debida autorización de la Dirección General y/o Dirección de Planeación y Control de Gestión.

-- El cifrado de los mensajes de correo electrónico institucional será necesario, siempre que la información transmitida esté clasificada como confidencial en el inventario de activos de información o en el marco de la ley colombiana vigente.

-- El correo electrónico institucional en sus mensajes debe contener una sentencia de confidencialidad, que será diseñada por la Dirección de Información y Tecnología a través de la Subdirección de Recursos Informáticos.

-- La divulgación de cifras o datos oficiales de la Entidad solo podrá ser emitida desde las direcciones de correo electrónico de la Dirección General, la Oficina Asesora de Comunicaciones y la Dirección de Planeación y Control de la Gestión.

-- El único servicio de correo electrónico autorizado para el manejo de la información institucional en la Entidad es el asignado por la Dirección de Información y Tecnologías, y que cuenta con el dominio @icbf.gov.co, el cual cumple con todos los requerimientos técnicos y de seguridad, evitando ataques de virus, spyware y otro tipo de software malicioso.

ii. Del uso de Internet: La Dirección de Información y Tecnología a través de la Subdirección de Recursos Tecnológicos establecerá políticas de navegación basadas en categorías y niveles de usuario por jerarquía y funciones, previa validación del eje de seguridad de la información.

De acuerdo al buen uso de los recursos de navegación de la Entidad se deben tener en cuenta los siguientes lineamientos:

-- El uso del servicio de Internet está limitado exclusivamente para propósitos laborales.

-- Los servicios a los que un determinado usuario pueda acceder desde internet dependerán del rol o funciones que desempeña el usuario en el ICBF y para los cuales esté formal y expresamente autorizado.

-- Todo usuario es responsable de informar a la Dirección de Información y Tecnología a través de la Mesa de Servicios los contenidos o acceso a servicios que no le estén autorizados y/o no correspondan a sus funciones dentro del ICBF.

-- Está expresamente prohibido el envío, y/o descarga, y/o visualización, de páginas con contenido insultante, ofensivo, injurioso, obsceno, violatorio de los derechos de autor y/o que atenten contra la integridad moral de las personas o instituciones.

-- Está expresamente prohibido el acceso a páginas web, portales, sitios web y/o aplicaciones web que no hayan sido autorizadas por el ICBF a través de la política de navegación.

-- Está expresamente prohibido el envío y/o descarga de cualquier tipo de software o archivos de fuentes externas, y/o de procedencia desconocida.

-- Está expresamente prohibida la propagación de virus o cualquier tipo de código malicioso.

El ICBF se reserva el derecho de monitorear los accesos, y por tanto el uso del servicio de internet de todos sus funcionarios o contratistas, además de limitar el acceso a determinadas páginas de Internet, los horarios de conexión, los servicios ofrecidos por la red, la descarga de archivos y cualquier otro ajeno a los fines de la Entidad.

iii. Del Uso de los Recursos Tecnológicos: Los recursos tecnológicos del ICBF son herramientas de apoyo a las labores y responsabilidades de los funcionarios y contratistas. Por ello, su uso está sujeto a las siguientes directrices:

-- Los bienes de cómputo se emplearán de manera exclusiva y bajo la completa responsabilidad por el funcionario y contratista al cual han sido asignados, y únicamente para el correcto desempeño de las funciones del cargo o las obligaciones. Por tanto, no pueden ser utilizados con fines personales o por terceros, no autorizados ante la Dirección de Información y Tecnología mediante solicitud formal por los Directores, Subdirectores, Jefes de Oficina o Coordinadores de Grupos del ICBF a través de la Mesa de Servicios.

-- Solo está permitido el uso de software licenciado por la Entidad y/o aquel que sin requerir licencia sea expresamente autorizado por la Dirección de Información y Tecnología a través de la Subdirección de Recursos Tecnológicos. Las aplicaciones generadas por el ICBF, en desarrollo de su misión institucional, deben ser reportadas a la Dirección de Información y Tecnología a través de la Subdirección de Sistemas Integrados de Información, para su administración.

-- Es responsabilidad de los funcionarios y contratistas mantener copias de seguridad de la información contenida en sus estaciones de trabajo y entregarlas al ICBF en custodia al finalizar la vinculación con la Entidad.

-- Los usuarios no deben mantener almacenados en los discos duros de las estaciones cliente o discos virtuales de red, archivos de video, música y fotos que no sean de carácter institucional.

-- No está permitido fumar, ingerir alimentos o bebidas en el área de trabajo donde se encuentren los elementos tecnológicos.

-- No está permitido realizar conexiones o derivaciones eléctricas que pongan en riesgo la disponibilidad de la información por fallas en el suministro eléctrico a los equipos de cómputo.

-- Los únicos autorizados para hacer modificaciones o actualizaciones en los elementos y recursos tecnológicos, como destapar, agregar, desconectar, retirar, revisar y/o reparar sus componentes, son los designados por la Dirección de Información y Tecnología a través de la Subdirección de Recursos Tecnológicos para tal labor.

-- La Dirección de Información y Tecnología a través de la Subdirección de Recursos Tecnológicos realizará monitoreo sobre los dispositivos de almacenamientos externos, con el fin de prevenir o detectar fuga de información.

-- La única dependencia autorizada para trasladar los elementos y recursos tecnológicos de un puesto a otro es la Dirección Administrativa, con el fin de llevar el control individual de inventarios. En tal virtud, toda reasignación de equipos deberá ajustarse a los procedimientos y competencias de dicha dependencia.

-- La pérdida o daño de elementos o recursos tecnológicos, o de alguno de sus componentes, debe ser informada de inmediato a la Dirección Administrativa por el funcionario o contratista a quien se le hubiere asignado.

-- La pérdida de información debe ser informada con el detalle de la información extraviada a la Dirección de Información y Tecnología a través de la Mesa de Servicios como incidente de seguridad de la información.

-- Todo incidente de seguridad que comprometa la disponibilidad, integridad o confidencialidad de la información debe ser reportado con el procedimiento establecido a la Mesa de Servicios a la mayor brevedad posible.

-- La Dirección de Información y Tecnologías es la única dependencia autorizada para la administración del software, el cual no debe ser copiado, suministrado a terceros o utilizado para fines personales.

-- Todo acceso a la red de la Entidad mediante elementos o recursos tecnológicos no institucionales deberá ser informado, autorizado y controlado por la Dirección de Información y Tecnología a través de la Subdirección de Recursos Tecnológicos.

-- Los equipos deben quedar apagados cada vez que el funcionario o contratista no se encuentre en la oficina durante la noche; esto es con el fin de proteger la seguridad y distribuir bien los recursos de la Entidad, siempre y cuando no vaya a realizar actividades vía remota.

iv. Del Uso de los Sistemas de Información: Todos los funcionarios y contratistas del ICBF son responsables de la protección de la información que acceden y/o procesan y de evitar su pérdida, alteración, destrucción y/o uso indebido, para lo cual se dictan los siguientes lineamientos:

-- Las credenciales de acceso a la red y/o recursos informáticos (Usuario y Clave) son de carácter estrictamente personal e intransferible; los funcionarios y contratistas no deben revelar estas a terceros ni utilizar claves ajenas.

-- Todo funcionario y contratista es responsable del cambio de clave de acceso a los sistemas de información o recursos informáticos periódicamente.

-- Todo funcionario y contratista es responsable de los registros y/o modificaciones de información que se hagan a nombre de su cuenta de usuario, toda vez que la clave de acceso es de carácter personal e intransferible.

-- En ausencia del funcionario y/o contratista, el acceso a la estación de trabajo le será bloqueada con una solicitud a la Dirección de Información y Tecnología - Subdirección de Recursos Tecnológicos, con el fin de evitar la exposición de la información y el acceso a terceros, que puedan generar daño, alteración o uso indebido, así como a la suplantación de identidad. La Dirección de Gestión Humana debe reportar las vacaciones y cualquier tipo de licencia de los funcionarios y la Dirección de Contratación, las suspensiones temporales y/o permanentes de los contratistas; no obstante, el funcionario y/o contratista deberá solicitar a Dirección de Información y Tecnología a través de la Mesa de Servicios el bloqueo de su usuario por la ausencia temporal o definitiva.

-- Cuando un funcionario o contratista cesa en sus funciones o culmina la ejecución de contrato del ICBF, todos los privilegios sobre los recursos informáticos otorgados le serán suspendidos inmediatamente; la información del empleado y/o contratista será almacenada en un repositorio de los servidores de la Entidad.

-- Cuando un funcionario o contratista cesa en sus funciones o culmina la ejecución de contrato del ICBF, el supervisor o jefe inmediato es el encargado de la custodia de los recursos de información.

-- Todos los funcionarios y contratistas de la Entidad deben respetar lo estipulado en la Ley 23 de 1982 “Sobre derechos de autor”, la Decisión 351 de 1993 de la Comunidad Andina de Naciones, así como cualquier otra que adicione, modifique o reglamente la materia.

Ir al inicio

ARTÍCULO 8o. POLÍTICA DE CONTROL DE ACCESO. <Resolución derogada por el artículo 20 de la Resolución 9364 de 2016> Los propietarios de los activos deben establecer medidas de control de acceso a nivel de red, sistema operativo, sistemas de información y servicios de tecnologías de la información con el fin de mitigar riesgos asociados al acceso a la información y servicios de infraestructura tecnológica de personal no autorizado, salvaguardando la integridad, disponibilidad y confidencialidad de la información del ICBF.

Ir al inicio

ARTÍCULO 9o. POLÍTICA DE CRIPTOGRAFÍA. <Resolución derogada por el artículo 20 de la Resolución 9364 de 2016> La Dirección de Información y Tecnología deberá asegurar el uso adecuado y efectivo de la criptografía para proteger la confidencialidad, integridad y disponibilidad de la información.

Ir al inicio

ARTÍCULO 10. POLÍTICA DE SEGURIDAD FÍSICA Y DEL ENTORNO. <Resolución derogada por el artículo 20 de la Resolución 9364 de 2016> El ICBF debe garantizar la protección del perímetro de seguridad de las instalaciones físicas, controlar el acceso del personal y la permanencia en las oficinas e instalaciones, así como controlar el acceso a áreas restringidas (áreas destinadas al procesamiento o almacenamiento de información sensible, así como aquellas en las que se encuentren los equipos y demás infraestructura de soporte a los sistemas de información y comunicaciones), además mitigar los riesgos y amenazas externas y ambientales, con el fin de garantizar la confidencialidad, disponibilidad e integridad de la información de la Entidad.

a) De la permanencia en las instalaciones del ICBF: Todos los funcionarios, contratistas y visitantes que se encuentren en las instalaciones físicas del ICBF deben estar debidamente identificados, con un documento que acredite su tipo de vinculación y se debe portar en un lugar visible.

1. Los visitantes en el ICBF siempre deben permanecer acompañados por un funcionario o contratista debidamente identificado.

2. El personal de empresas contratistas, que desempeñen las funciones en las instalaciones del ICBF, deben estar identificados con chalecos, distintivos y carné del ICBF o Contratista y ARL.

Ir al inicio

ARTÍCULO 11. POLÍTICA DE SEGURIDAD DE LAS OPERACIONES. <Resolución derogada por el artículo 20 de la Resolución 9364 de 2016> La Dirección de Información y Tecnología a través de la Subdirección de Recursos Tecnológicos será la encargada de la operación y administración de los recursos tecnológicos que soportan la operación del ICBF; así mismo, velará por la eficiencia de los controles asociados a los recursos tecnológicos protegiendo la confidencialidad, integridad y disponibilidad de la información, así como la de asegurar que los cambios efectuados sobre los recursos tecnológicos serán controlados y debidamente autorizados. De igual manera, deberá proveer la capacidad de procesamiento requerida en los recursos tecnológicos y sistemas de información del ICBF, efectuando proyecciones de crecimiento y provisiones en la plataforma tecnológica de acuerdo al crecimiento de la Entidad.

a) Respaldo de la Información: La Dirección de Información y Tecnología a través de la Subdirección de Recursos Tecnológicos debe realizar y mantener copias de seguridad de la información de la Entidad en medio digital, siempre que esta sea reportada por el responsable de la misma, con el objetivo de recuperarla en caso de cualquier tipo de falla, ya sea de hardware, software, o de procedimientos operativos en el interior de la Entidad.

Se efectuará la copia respectiva de acuerdo con el esquema definido previamente en el documento “procedimiento de copias de respaldo” de la Entidad, el cual debe ser diseñado por la Subdirección de Recursos Tecnológicos, en conjunto con los líderes de Proceso.

Ir al inicio

ARTÍCULO 12. POLÍTICA DE SEGURIDAD DE LAS COMUNICACIONES. <Resolución derogada por el artículo 20 de la Resolución 9364 de 2016> La Dirección de Información y Tecnología, a través de la Subdirección de Recursos Tecnológicos, establecerá los mecanismos necesarios para proveer la disponibilidad de las redes y de los servicios que dependen de ellas; así mismo, dispondrá y monitoreará los mecanismos necesarios de seguridad para proteger la integridad y la confidencialidad de la información del ICBF.

a) Acuerdo de confidencialidad: Como parte de sus términos y condiciones iniciales de trabajo, los funcionarios o contratistas, cualquiera sea su nivel jerárquico dentro de la entidad, firmarán un Acuerdo de Confidencialidad o no divulgación, en lo que respecta al tratamiento de la información de la entidad, en los términos de la Ley 1581 de 2012, así como el capítulo 25 del Decreto número 1074 de 2015 y la Ley 1712 de 2014 reglamentada por el capítulo 2 del Decreto número 1081 de 2015 y las demás normas que las adicionen, modifiquen, reglamenten o complementen. Dicho acuerdo (documento original) deberá ser retenido en forma segura por la Dirección de Gestión Humana o la Dirección de Contratación, según el caso, si tal acuerdo de confidencialidad de la información no estuviere incluido como una cláusula del respectivo contrato de prestación de servicios o en el Acta de Posesión del funcionario. Así mismo, mediante el acuerdo de Confidencialidad el funcionario o el contratista declarará conocer y aceptar la existencia de determinadas actividades que pueden ser objeto de control y monitoreo. Estas actividades deben ser detalladas a fin de no violar el derecho a la privacidad ni los derechos del funcionario o contratista.

En el caso de que sea personal que ejecute tareas propias del ICBF y haya sido contratado por un tercero, estos deben enviar al supervisor del contrato una copia del acuerdo de confidencialidad firmado por el colaborador, el supervisor de su contrato y dos testigos, uno por cada una de las partes.

Ir al inicio

ARTÍCULO 13. POLÍTICA DE SEGURIDAD PARA LA ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS. <Resolución derogada por el artículo 20 de la Resolución 9364 de 2016> La Dirección de Información y Tecnología a través de la Subdirección de Sistemas Integrados de información velará porque el desarrollo interno o externo de los sistemas de información cumpla con los requerimientos de seguridad adecuados para la protección de la información del ICBF.

La Dirección de Información y Tecnología será la única dependencia de la Entidad con la capacidad de comprar software de cualquier tipo, de acuerdo a los requerimientos de las demás direcciones, con el fin de garantizar la conveniencia, soporte, mantenimiento y seguridad de la información de los sistemas que operan en el Instituto.

De acuerdo a lo anterior, cualquier software que esté operando en el instituto sin las debidas medidas de seguridad y protección de la información, no serán responsabilidad de la Dirección de Información y Tecnología, no se le brindará soporte y no se le salvaguardará la información.

Ir al inicio

ARTÍCULO 14. POLÍTICA DE SEGURIDAD PARA RELACIÓN CON PROVEEDORES. <Resolución derogada por el artículo 20 de la Resolución 9364 de 2016> El ICBF establecerá mecanismos de control en relaciones con sus proveedores, teniendo en cuenta que se debe asegurar la información a la que tengan acceso, supervisando el cumplimiento de lo establecido en el eje de seguridad de la información. Los Supervisores de los contratos o convenios en conjunto con la Dirección de Información y Tecnología, tendrán la responsabilidad de la divulgación de las políticas y procedimientos de la seguridad de la información.

Ir al inicio

ARTÍCULO 15. POLÍTICA DE GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN. <Resolución derogada por el artículo 20 de la Resolución 9364 de 2016> El ICBF promoverá entre los funcionarios y contratistas el reporte de incidentes relacionados con la seguridad de la información y sus medios, reporte y seguimiento. Así mismo, asignará responsables para el tratamiento de los incidentes de seguridad de la información, quienes tendrán la responsabilidad de investigar y solucionar los incidentes reportados, de acuerdo con su criticidad. La Alta Dirección o a quien delegue, son los únicos autorizados para reportar incidentes de seguridad ante las autoridades; así mismo, son los únicos canales de comunicación autorizados para hacer pronunciamientos oficiales ante entidades externas o la ciudadanía.

Ir al inicio

ARTÍCULO 16. POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN EN LA CONTINUIDAD DE LAS TECNOLOGÍAS DE LA INFORMACIÓN. <Resolución derogada por el artículo 20 de la Resolución 9364 de 2016> El ICBF dispondrá los planes necesarios para la implementación del proceso de continuidad de la operación desde el punto de vista tecnológico, el cual será operado según el caso por la Dirección de Información y Tecnología, la cual deberá garantizar la redundancia de los sistemas de información de carácter misional (SIM y Cuéntame), y en los servicios de sitio web institucional, telefonía IP y correo electrónico institucional; además, la infraestructura tecnológica necesaria para soportarlos, en la Sede Dirección General, con el fin de garantizar la continuidad de la operación para el cumplimiento de mandato legal.

Ir al inicio

ARTÍCULO 17. POLÍTICA DE CUMPLIMIENTO. <Resolución derogada por el artículo 20 de la Resolución 9364 de 2016> El ICBF velará por la identificación, documentación y cumplimiento de los requisitos legales enmarcados en la seguridad de la información del Estado colombiano, entre ella la referente a derechos de autor y propiedad intelectual, protección de datos personales y ley de transparencia y del derecho de acceso a la información pública nacional y las consignadas en la Matriz de Requisitos Legales del ICBF.

PARÁGRAFO 1o. Todas las políticas contenidas en el Capítulo II de este documento se encuentran reglamentadas por los lineamientos contenidos en el Manual del Sistema Integrado de Gestión del ICBF.

CAPÍTULO III.

REVISIÓN, VIGENCIA Y DEROGATORIA.

Ir al inicio

ARTÍCULO 18. REVISIÓN. <Resolución derogada por el artículo 20 de la Resolución 9364 de 2016> La Política de Seguridad de la Información será revisada semestralmente, o antes si existiesen modificaciones que así lo requieran, para garantizar que sigue siendo oportuna, suficiente y eficaz. Este proceso será liderado por la Dirección de Información y Tecnologías, y revisados por el Comité SIGE con la aprobación de la Dirección General del ICBF.

Ir al inicio

ARTÍCULO 19. VIGENCIA Y DEROGATORIA. <Resolución derogada por el artículo 20 de la Resolución 9364 de 2016> La presente resolución rige a partir de la fecha de su publicación y deroga las disposiciones que le sean contrarias, incluyendo la Circular número 014 de 2010.

Publíquese, comuníquese y cúmplase.

Dada en Bogotá, D. C., a 11 de diciembre de 2015.

La Directora General,

CRISTINA PLAZAS MICHELSEN.

Ir al inicio
×