FUCS - Fundación Universitaria de Ciencias de la Salud

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN DE LA FUNDACIÓN UNIVERSITARIA DE CIENCIAS DE LA SALUD – FUCS.

I. INTRODUCCIÓN

Mediante la evolución de nuevas tecnologías de la información y la puesta en producción de servicios (Herramientas/productos y software) para el cubrimiento de las necesidades de la FUCS y la optimización de los procesos misionales, se incorpora el requerimiento de protección de información tratada; de igual forma, todo aquello que contemple en proporcionar seguridad a sistemas, redes, dispositivos, software y servicios que son utilizados en la Fundación Universitaria de Ciencias de la Salud, en adelante FUCS.

II. POLÍTICA GENERAL DE SEGURIDAD DE LA INFORMACIÓN

1. Declaración

La FUCS reconoce la información como uno de los principales activos para el desarrollo de las operaciones y cumplimiento de los objetivos institucionales, de esta manera se compromete con su protección, gestión transparente, efectiva y segura, protegiéndola de riesgos que afecten su confidencialidad, Integridad, disponibilidad y continuidad del desarrollo de las funciones sustantivas y de apoyo

2. Generalidades

La implementación, seguimiento y mejora continua de la Política de Seguridad de la Información, como también la aplicación de los controles establecidos en la presente política, están enfocados en minimizar los riesgos asociados al manejo de la información que administran o consultan directivos, colaboradores, estudiantes, proveedores y personal externo de la FUCS.

El Consejo Superior tendrá la potestad de modificar la Política de Seguridad de la Información, según los resultados de revisión y las necesidades identificadas, establecidas o según la aplicabilidad de las mismas.

Los proyectos que sean implementados en la FUCS deben cumplir con la Política de Seguridad de la información descrita en este documento. El cumplimiento es de carácter obligatorio, esencial y legalmente requerido para que la FUCS tenga una adecuada protección y respuesta en seguridad.

Así mismo, la Política general de Seguridad y Privacidad de la Información, en su desarrollo facilita las siguientes premisas:

● Minimizar y/o mitigar los riesgos asociados a Seguridad de la Información en los procesos o áreas de la FUCS.

● Cumplir con los principios de seguridad de la información: Confidencialidad, Integridad y Disponibilidad.

● Fortalecer la cultura de seguridad de la información de los colaboradores, estudiantes y terceros que tengan vínculo contractual con la FUCS, con el fin de proteger los activos de información de la FUCS.

● Proteger los activos de información de la FUCS y la implementación de proyectos que se requieran acorde con los recursos dispuestos para tal fin.

Así mismo, la Política general de Seguridad y Privacidad de la Información, en su desarrollo facilita las siguientes premisas:

● Minimizar y/o mitigar los riesgos asociados a Seguridad de la Información en los procesos o áreas de la FUCS.

● Cumplir con los principios de seguridad de la información: Confidencialidad, Integridad y Disponibilidad.

● Proteger los activos de información de la FUCS y la implementación de proyectos que se requieran acorde con los recursos dispuestos para tal fin.

3. Lineamientos.

Promueve la protección y resguardo de los activos de información de la institución a fin de asegurar la confidencialidad, Integridad y disponibilidad de la información.
Define controles en los diferentes niveles de la institución, para el manejo de los activos de información y los sistemas de información, enfocados en minimizar los riesgos asociados al manejo de la información.
Promueve una cultura de uso seguro de la información, para evitar riesgos de pérdida o fuga de la misma.
Define la clasificación de la información a fin de establecer los controles necesarios para su protección.
Dispone de los recursos para la implementación y cumplimento de la normatividad vigente sobre protección de datos personales y acceso a información pública.

4. Alcance

La presente Política se enuncia con el objeto de gestionar la seguridad de la información en los activos de información, los sistemas de información institucionales y en general el ambiente tecnológico de la FUCS.

Debe ser conocida y cumplida por todos los colaboradores (directivos, administrativos, docentes, practicantes, aprendices), estudiantes y terceros (contratistas y/o proveedores) de la FUCS.

La estructura de la política está basada en los dominios y controles contemplados en la Norma Técnica Colombiana NTC-ISO-IEC-27001 “TECNOLOGÍA DE LA INFORMACIÓN. TÉCNICAS DE SEGURIDAD. SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN. REQUISITOS”.; y toma como referencia, los requisitos más relevantes y aplicables a la FUCS.

5. Marco Normativo

Para la implementación de la presente Política de Seguridad de la información, se establece en la FUCS tomar como insumo principal los dominios descritos en la norma ISO/IEC 27001:2013, observando las mejores prácticas y protocolos de seguridad. Sin perjuicio de lo anterior, se contemplan para el desarrollo de la presente política las principales normas que contextualizan el marco regulatorio:

Ley 1712 de 2014 – Ley de Transparencia y Acceso a la Información Pública
Ley 1581 de 2012 – Ley de Protección de Datos Personales
Decreto 1377 de junio 27 de 2013-Por el cual se reglamenta parcialmente la Ley 1581 de 2012.
Decreto 1081 de 2015.
Resolución 1519 de 2020.
ISO 31000:2009 de Gestión de Riesgos
ISO 22301:2019 Continuidad del Negocio
Ley 30 de 1992 - Organización del servicio público de la Educación Superior
Guías para el fortalecimiento del SGSI de MINTIC–Ministerio de Tecnologías de la Información y la Comunicación.

6. Objetivo General

Establecer directrices y lineamientos generales que permitan proteger los activos de información de la Institución, garantizando la Confidencialidad, Integridad y Disponibilidad de la misma; dando cumplimiento a las leyes regulatorias en cuanto a Seguridad de Información y Protección de Datos Personales, orientado bajo la norma ISO/IEC 27001-2013.

7. Objetivos Específicos

Administrar, preservar y proteger la información de la FUCS, así como los recursos tecnológicos utilizados para su operación, almacenamiento y procesamiento; frente a amenazas internas o externas, garantizando el cumplimiento de los principios de seguridad de la información: Confidencialidad, Integridad y Disponibilidad de la información.
Mantener actualizada, vigente y operativa la Política de Seguridad de la Información de manera que pueda ser auditada de acuerdo a los riesgos identificados por la FUCS, con el fin de conservar su nivel de eficacia y aplicabilidad.
Determinar los lineamientos para una identificación y definición de riesgos con criterios que permitan la medición de su impacto y las alternativas de tratamiento que mantengan la operatividad de sus servicios dentro de los acuerdos de continuidad de la FUCS.
Generar cultura de uso seguro de los sistemas de información.
Fortalecer la Seguridad de la Información, mediante la implementación de mecanismos de control que permitan mitigar los riesgos.
Gestionar a la mayor brevedad los eventos o incidentes de seguridad de la información, identificados y originados por el incumplimiento de las políticas de seguridad de la información.
Brindar cumplimiento normativo y regulatorio a entes de control internos y externos en termas de protección de datos y activos de información.
Identificar eventos de fraude y establecer acciones, para la protección del buen nombre de la FUCS.

8. Compromiso de la Alta Dirección

El Consejo Superior da aprobación a la presente Política de Seguridad de la Información, comprometiéndose y apoyando en el diseño e implementación del Sistema de Seguridad de la Información, así:

Revisar y aprobar la presente Política de Seguridad de la Información.
Incentivar la cultura de Seguridad de la Información.
Aprobar la divulgación de esta Política a todos los colaboradores de la FUCS.
Establecer los recursos para implementar y mantener las iniciativas de seguridad de la información
Verificar el correcto cumplimiento de la presente Política de Seguridad de la Información.

9. Roles, Responsabilidades y Autoridades

En el organigrama de la FUCS, se encuentra definida la estructura de primer nivel, donde se observan todos los procesos, los cuales deberán dar cumplimiento a la presente Política de Seguridad de la Información.

La política y controles aquí mencionados aplican para todos colaboradores (directivos, administrativos, docentes, practicantes, aprendices), estudiantes y terceros (contratistas y/o proveedores) que mantengan relación con el desarrollo de la misión de la FUCS y por tanto es responsabilidad de la Alta Dirección, velar por su cumplimiento.

Controles

Tabla 1 Roles-Responsabilidades

No.	Responsable	Actividades
1	Consejo Superior	Aprobar la creación de los cargos relacionados con las funciones de seguridad de la información. Asignar los recursos pertinentes para la aplicación eficaz de las Políticas de Seguridad de la Información de la institución.
2	Comité de Seguridad de la Información	Revisar y proponer la actualización de la Política de Seguridad de la Información, funciones, controles y actualizaciones que se deriven del Sistema de Gestión de Seguridad de la Información. Definir las necesidades de capacitación que se presenten en la FUCS. Aprobar roles relacionados con la seguridad de la información en los diferentes niveles jerárquicos. Definir planes de acción para subsanar debilidades en controles.
3	Seguridad de la Información	Actualizar, documentar, sensibilizar y aplicar las normas y/o estándares aplicables para el mantenimiento del Sistema de Gestión de Seguridad de la Información. Gestionar en conjunto con la División de Desarrollo Tecnológico los controles para mitigar los riesgos asociados a la Seguridad de la Información. Monitorear la aplicación y cumplimiento de los controles definidos e informar al Comité de Seguridad de la Información los resultados correspondientes.
4	División de Desarrollo Tecnológico	Asignar las funciones, roles y responsabilidades a los colaboradores encargados de la gestión y operación de la plataforma tecnológica de la institución. Gestionar en conjunto con Seguridad de la Información los controles para mitigar los riesgos asociados a la Seguridad de la Información.
5	División de Gestión del Talento Humano.	Notificar a los nuevos colaboradores, sobre la obligación de cumplir con las Políticas de Seguridad de la Información descritas en el presente documento. Definir y aplicar los procesos disciplinarios a que haya lugar por las faltas identificadas a la Política de Seguridad de la Información.
6	División de Auditoría	Auditar la presente Política de Seguridad de la Información. Auditar la política de Protección de Datos Personales.
7	Todos los Usuarios	Cumplir la presente política de acuerdo con su rol dentro de la institución, así como, personal externo que realice labores en o para la FUCS. Recibir las capacitaciones y sensibilizaciones sobre Seguridad de la Información, de tal forma que tenga conocimiento respecto a las Políticas de Seguridad de la Información.

III. ORGANIZACIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN

La FUCS construye una Política de Seguridad de la Información en la que se establecen los roles y las responsabilidades dentro de las que deben quedar asignados controles y actividades para la administración, operatividad, mejoramiento y gestión de la seguridad de la información.

La FUCS, es la responsable del Sistema de Gestión de Seguridad de la Información. Es un asunto de gran relevancia para los directivos, en consecuencia, apoyan la creación del Comité de Seguridad de la Información, integrado por delegados de las instancias administrativas y académicas. El comité debe encargarse de velar por brindar el soporte manifiesto al Sistema de Gestión de Seguridad de la Información.

1. Funciones del Comité de Seguridad de la Información.

a.   Revisar y proponer mejoras a la Política de Seguridad de la Información frente a las responsabilidades de los diferentes actores institucionales.
b.   Estar atento a los riesgos en materia de seguridad de la información y protección de datos personales, sus cambios significativos y afectación de los recursos de información, frente a las principales amenazas.
c.   Conocer los eventos, incidentes y/o riesgos relativos a la seguridad de la información y las acciones de mitigación establecidas, así como proponer y aprobar acciones de mejora que se consideren pertinentes frente a los mismos.
d.   Revisar y aprobar las iniciativas tendientes a mejorar la seguridad de la información.
e.   Acordar y aprobar las metodologías y procesos específicos de Seguridad de la Información.
f.   Solicitar a los responsables de los procesos de gestión que se alineen con la Política de Seguridad de la Información, cuando se detecten actividades o controles que no se ajusten a lo descrito en la política.
g.   Coordinar, evaluar y promover la implementación de los controles específicos de seguridad de la información para nuevos servicios tecnológicos o sistemas, o procesos en los que se evidencie su necesidad de implementación.
h.   Respaldar e impulsar la difusión de la Política de seguridad de la información y la Política de Protección de Datos personales, así como su importancia, dentro de la comunidad universitaria.
i.   Coordinar el proceso relacionado con la atención y gestión de las estrategias de continuidad del negocio, de los servicios tecnológicos institucionales frente a desastres o interrupciones imprevistas.
j.   Aprobar la matriz de roles y perfiles de los Sistemas de información.
k.   Revisar las actualizaciones anuales y modificaciones necesarias que requiera la Política de tratamiento de datos personales de la Institución, para su aprobación por el Consejo Superior.
l.   Las demás establecidas en la Política de Seguridad de la Información

2. Organización Interna.

Todos los colaboradores (directivos, administrativos, docentes, practicantes, aprendices), estudiantes y terceros (contratistas y/o proveedores), deben actuar de acuerdo con la Política de Seguridad de la Información y los controles aquí establecidos, participando en las revisiones de seguridad que se lleven a cabo. Adicionalmente, presentarse en las distintas capacitaciones y/o jornadas de sensibilización lideradas por la División de Desarrollo Tecnológico y Seguridad de la Información.

Los propietarios, administradores, usuarios y custodios de la información de la FUCS deben:

Aceptar y cumplir la Política de Seguridad de la Información y los controles que se establezcan en la FUCS.
Aceptar la responsabilidad de proteger la información de la FUCS contra pérdida, modificaciones y accesos no autorizados de terceras personas.
Entender claramente su rol y responsabilidad frente al acceso y uso de los sistemas de información.
Todas las áreas de la FUCS y los terceros que interactúan con la Institución (contratistas o proveedores), deben cumplir con los términos estipulados en las licencias de uso de software y en los contratos de adquisición de las mismas.
Los colaboradores deben utilizar la información de la FUCS exclusivamente para fines laborales, quedando prohibido explícitamente el uso o divulgación para fines comerciales y/o privados no autorizado.
Los terceros (contratistas o proveedores) que interactúan con la FUCS no deben hacer copias del software suministrado, ni podrán transferirlo a otro equipo por medio de la red, sin la autorización escrita de la FUCS.
Debe existir un responsable para cada uno de los recursos de tecnología y activos de información usados en la FUCS. Las responsabilidades deben estar delimitadas de tal manera que no existan varios responsables de un mismo recurso.

IV. GESTIÓN DE ACTIVOS DE INFORMACIÓN

La FUCS como propietaria de la información física y digital; generada, procesada y/o almacenada por diferentes instancias institucionales y transmitida a través de su plataforma tecnológica, otorgará responsabilidad sobre sus activos de información a los líderes de procesos, encargados de asegurar el cumplimiento de las directrices sobre el uso adecuado de la misma.

Los recursos de procesamiento de información de la FUCS, están sujetos a revisión por parte de la Oficina de Auditoría de Gestión, y de los entes externos de supervisión (determinados por el Consejo Superior), por lo que, los propietarios de los activos de información deberán ser facilitadores en los procesos de revisión interna o externa, que la institución determine pertinentes.

Los activos de información deben ser identificados y clasificados acordes con la criticidad del activo. El inventario de activos de información se revisará y actualizará cada dos años, identificando; responsable de los activos, custodios, ubicación, amenazas, vulnerabilidades, usuarios y los controles que se tienen implementados para garantizar la Confidencialidad, Integridad y Disponibilidad de la información.

El inventario y clasificación que se otorga a los activos de información, debe ser reconocido por el líder del proceso o colaborador designado, con el acompañamiento de Seguridad de la Información durante el ejercicio de actualización o elaboración de activos de información.

De acuerdo con lo anterior, la FUCS establece la clasificación de los activos conforme a lo dispuesto en la ley 1712 de 2014 respecto a que la clasificación debe ser: pública, pública clasificada, pública reservada.

1. Clasificación de la Información.

La FUCS define los diferentes niveles de clasificación de la información teniendo en cuenta el grado de confidencialidad, importancia y sensibilidad; basados en la guía de clasificación de la información generada por Seguridad de la Información, así como los controles necesarios para su protección.

Los líderes de las dependencias quienes para el efecto son los responsables de la información, deberán identificar los activos de información de las áreas a su cargo, con el fin de elaborar el inventario de activos de información y velar por mantenerlo actualizado con una periodicidad de 24 meses o cuando sea necesario.

La clasificación de la información debe realizarse teniendo en cuenta los principios de Seguridad de la Información, así:

✔ Confidencialidad

Para la FUCS la información que sea Confidencial no deberá estar disponible ni ser revelada a individuos, entidades o procesos no autorizados, la cual será determinada bajo los siguientes niveles:

Alta: información que al estar disponible o revelada puede tener un impacto significativo legal o económico. Puede generar reprocesos, pérdida de imagen o reputación de la institución.
Media: información que al estar disponible o revelada puede tener un impacto legal y/o económico. Puede generar reprocesos en las actividades o pérdida moderada de la imagen reputacional.
Baja: información que al estar disponible o revelada conlleva un impacto no significativo para la institución o entes externos.

✔ Integridad

La integridad de la información se define de acuerdo a la exactitud y completitud de la misma, permitiendo que tenga coherencia y esté disponible en su ciclo de vida. Se clasificará bajo los siguientes niveles:

Alta: Información cuya incompletitud puede generar pérdidas severas de imagen reputacional, legal o económicas para la institución.
Media: Información cuya inexactitud o falta de completitud puede generar impactos negativos moderados de imagen reputacional, económicos o legales.
Baja: Información cuya pérdida de exactitud o que se encuentre incompleta, puede generar un impacto no significativo en la imagen reputacional, aspectos jurídicos o económicos.

✔ Disponibilidad

Para la FUCS la información se encontrará disponible para el acceso por solicitud de un colaborador, institución y/o proceso previamente autorizados, en el momento y en el medio requerido, así como los recursos necesarios para su uso. Los niveles de clasificación para ésta propiedad están sujetos a la no disponibilidad de la información teniendo en cuenta lo siguiente:

Alta: La información que no esté disponible puede generar un impacto negativo y severo de índole legal, económica, genera reprocesos y pérdida de imagen.
Media: La información que no se encuentre disponible puede generar un impacto negativo moderado de índole legal, económica, reputacional y reprocesos en las actividades.
Baja: La información que no se encuentre disponible, puede afectar la operación cotidiana de la institución, no genera pérdidas económicas, legales o reputaciones.

Tabla 2 Clasificación de la Información

Clasificación de la Información	Sigla para el Etiquetado	Descripción
Información Pública Reservada	IPR	El acceso a la información o revelación de la información a individuos, instituciones o procesos no autorizados, tiene un impacto negativo de índole legal, económica, operativa o genera pérdida de imagen.
Información Pública Clasificada	IPC	Esta información es de acceso a varios colaboradores de la FUCS para realizar labores propias del área. No podrá ser utilizada por terceros sin autorización previa del administrador de la información.
Información Pública	IP	Información que puede ser entregada o publicada en la página web sin restricciones a cualquier persona dentro y fuera de la institución, sin que esto implique daños a terceros ni a las actividades de los procesos de la FUCS.

De acuerdo con los principios de Seguridad de la Información, la FUCS realizará el etiquetado de la información conforme a la siguiente descripción:

La información (pública clasificada o reservada o dato sensible) deberá estar protegida por contraseña y/o cifrada. De igual manera, deberá protegerse en caso de ser transmitida o en el medio de almacenamiento en el que se encuentre.

Una vez clasificada la información, la FUCS proporcionará los recursos tecnológicos necesarios para la aplicación de controles que preserven su confidencialidad, integridad y disponibilidad, promoviendo el uso adecuado por parte de los colaboradores y personal provisto por terceros que se encuentre autorizados y requieran el uso de información institucional para la ejecución de sus actividades.

Controles

Responsable	Actividades
Seguridad de la Información	Diseñar y producir la guía de clasificación de la información. Monitorear la aplicación de los controles definidos para la actualización de activos de información de cada unidad o proceso. Socializar y publicar la guía de clasificación de la información a la comunidad universitaria de la FUCS. Monitorear que la depuración y la eliminación de la información se realice de una manera efectiva a través de los mecanismos necesarios. Aplicar los mecanismos de control necesarios, que garanticen los principios de Seguridad de la Información de los recursos tecnológicos bajo su custodia. Monitorear la supervisión sobre el cumplimiento de los ANS - Acuerdos de Niveles de Servicio y de intercambio de información establecidos con el proveedor de custodia externa de los documentos de la institución (en caso de presentarse la situación de almacenamiento externo).
DDT	Proveer los métodos de cifrado de la información y gestionar la contratación y actualización de las herramientas tecnológicas usadas para este fin.
Gestión Documental	Velar por la destrucción de información física, cuando se ha cumplido su ciclo de almacenamiento. Mantener actualizadas las tablas de retención documental y velar por su aplicación
Propietarios de los Activos de Información	Deben utilizar la guía de clasificación de la información para clasificar la información que gestionan. Son responsables por el monitoreo periódico de la información y la correcta clasificación o reclasificación de los activos de información a su cargo.
Todos los Usuarios	Deben cumplir con los lineamientos establecidos por la FUCS sobre: el acceso, divulgación, almacenamiento, copia, transmisión, identificación y eliminación de la información de origen tecnológico (sistemas de información, archivos digitales) y medio físico propiedad de la FUCS. La información en medio físico y digital de la FUCS, debe tener un periodo de almacenamiento que puede ser establecido por el cumplimiento de normas legales o misionales; el período hace parte de la información contenida en las tablas de retención documental. Una vez se finalice el periodo de conservación, se debe garantizar la destrucción adecuada de la información. Los usuarios deben tener en cuenta: que cuando imprimen, escanean, saquen copias y comparten información: verificar las áreas adyacentes a impresoras, escáneres, fotocopiadoras y medios electrónicos para que no queden documentos relacionados o adicionales; de igual forma, se debe recoger los documentos de las máquinas de impresión para evitar la divulgación no autorizada. Los colaboradores de la FUCS y el personal provisto por terceras partes deben garantizar qué, al no estar en su puesto de trabajo los escritorios se encuentran libres de documentos y medios de almacenamiento, utilizados en el desarrollo de sus actividades; también deben asegurar la protección de los documentos de acuerdo con su nivel de clasificación. La FUCS y sus colaboradores, deben garantizar las condiciones adecuadas de almacenamiento, custodia, restricción y acceso físico a la información que se encuentra en documentos físicos.

2. Manejo de Medios Removibles.

La FUCS debe garantizar que la información almacenada en cualquier medio removible, que vaya a ser entregada a un colaborador o ente externo, sea removida de tal forma que no se pueda recuperar.

Todos los medios removibles que contengan información de la FUCS deben estar ubicados en un ambiente protegido y seguro, de acuerdo con las especificaciones del fabricante.

Controles

Responsable	Actividades
Comité de Seguridad de la Información	Analizar de acuerdo con su criterio experto, qué cargos por la naturaleza de sus funciones requieren manejar este tipo de dispositivos; los cuales deben ser aprobados en dicho comité. Para los cargos excepcionales, el líder de proceso realizará la solicitud formal a Seguridad de la Información, con el fin de solicitar y justificar el otorgamiento de estos permisos, los cuales serán presentados a título informativo en Comité de Seguridad de la Información
División de Desarrollo Tecnológico	Realizar oportunamente una copia de respaldo que mitigue la pérdida de información. Implementar las acciones establecidas en el comité de Seguridad de la Información, tendientes a mitigar cualquier riesgo relacionado con medios removibles.
Todos los Usuarios	Deberán asegurar que la información allí contenida, no esté expuesta a ningún riesgo. La información considerada como “Información Pública Clasificada” o “Información Pública Reservada”; deberá estar bajo los controles establecidos.

V. SEGURIDAD DEL TALENTO HUMANO

1. Vinculación de colaboradores.

Para la FUCS el factor humano es fundamental para el cumplimiento de sus objetivos misionales, por ello se debe contar con personal calificado, así como también se debe garantizar que la vinculación de los nuevos colaboradores se realice mediante un proceso adecuado de selección, orientado a la asignación de actividades y roles de acuerdo a las funciones que se encuentran descritas en sus funciones de cargo.

Controles

Responsable	Actividades
Gerencia – División de Gestión del Talento Humano	Garantizar que los colaboradores de la institución conozcan, acepten y firmen los documentos de confidencialidad, seguridad de la información y tratamiento de datos personales; estos documentos deben estar anexos y hacer parte integral del proceso de contratación. Ejecutar un plan de capacitación y actualización periódica en temas de seguridad de la información para el personal de la FUCS y cuando sea pertinente para los terceros que desempeñen funciones en la Institución.
Directivos, Supervisores de Contratos	Antes de otorgar el acceso a la información de la FUCS, confirmar la aceptación de los acuerdos y/o cláusulas de confidencialidad por parte de los contratistas.
Contratistas	Deben firmar un acuerdo y/o cláusula de confidencialidad, con el fin de administrar correctamente los usuarios y roles otorgados. Garantizar que se cumpla lo descrito en los documentos relacionados con la de seguridad de la información de la FUCS..

2. Desvinculación, licencias, vacaciones, o traslados de colaboradores y personal provisto por terceros.

La FUCS asegurará que el proceso de desvinculación o reasignación de colaboradores y el personal externo se realice de una forma adecuada y segura.

Controles

Responsable	Actividades
División de Gestión de Talento Humano.	Debe ejecutar los controles concernientes a la seguridad de la información para realizar los procesos de novedades de personal (ingreso, reasignación, desvinculación, vacaciones, licencias), de acuerdo con los procedimientos establecidos para este fin. Verificar los reportes de novedades de personal(ingreso, reasignación, desvinculación, vacaciones, licencias), y seguidamente solicitar de manera oportuna la respectiva gestión de usuarios a la División de Desarrollo Tecnológico con copia a Seguridad de la Información.
Directivos, Supervisores de Contrato	Monitorear y reportar de manera oportuna las novedades contractuales de contratistas (persona natural) a la División de Gestión del Talento Humano.
Oficina de Auditoría de Gestión	Monitorear el cumplimiento de las políticas y controles establecidos.
División de Desarrollo Tecnológico	Realizar las asignaciones y los cambios de roles y permisos. La División de Desarrollo Tecnológico garantizará la modificación o inhabilitación de usuarios cuando así sea requerido por la División de Gestión de Talento Humano y/o líderes de área, así mismo, garantizará la inactivación temporal.
Seguridad de la Información	Monitorear el cumplimiento de los procedimientos de activación/inactivación de usuarios.

VI. SEGURIDAD FÍSICA Y DEL ENTORNO

1. Áreas seguras.

La FUCS debe proveer mecanismos de seguridad física y controles que eviten problemas de acceso a todas las instalaciones, de igual forma vigilará las amenazas internas y externas y las circunstancias medioambientales de todas las oficinas.

Controles

Responsable	Actividades
División de Desarrollo Tecnológico	Aprobar todo acceso a los datacenter o centros de cableado de la FUCS; de igual forma todo visitante deberá estar siempre acompañado por un colaborador de la División de Desarrollo Tecnológico mientras realice la visita a dichos espacios físicos. Llevar una bitácora visible en la entrada de los datacenter y centros de cableado con el fin de registrar el acceso de visitantes a estos espacios, el cual debe ser obligatorio. Desactivar o modificar de manera oportuna los permisos de acceso físico en los data center o centros de cableado a los usuarios previamente autorizados que se retiren o cambien sus labores en la institución. Aprovisionar y monitorear los espacios físicos teniendo en cuenta las condiciones medioambientales para la protección y operación de los recursos de la infraestructura tecnológica ubicados en los data center; se debe contar con los sistemas de: control de temperatura y humedad, detección y extinción de incendios, alertas, monitoreo y alarmas en caso de detección de cambios en la temperatura y/o en las condiciones ambientales, de los data center. Confirmar que el cableado estructurado tenga las medidas de protección necesarias de acuerdo con la norma ANSI/TIA/EIA/TSB- 75 con el objetivo de reducir las interceptaciones o daños. Realizar los respaldos de los recursos de la infraestructura tecnológica de la FUCS ubicados en la data center permitiendo protegerlos contra algún tipo de falla o interrupción. Garantizar que las áreas designadas para el centro de cómputo y cableado se encuentren en un espacio alejado de líquidos inflamables o de amenazas de inundaciones y/o incendios. Avalar y revisar que las labores de mantenimiento de redes eléctricas, redes de datos y voz, sean realizadas por colaboradores capacitados y autorizados; así como, realizar seguimiento del cumplimiento de la programación de los mantenimientos preventivos.
Líderes de Procesos	Los Vicerrectores, Decanos, Gerente, Directores y Jefes de Oficina que se encuentren en áreas restringidas, deben velar por el buen uso de los sistemas de control de acceso físico y por los equipos de vigilancia instalados en su área. Los Vicerrectores, Decanos, Gerente, Directores y Jefes de Oficina ubicados en áreas restringidas son responsables, de autorizar el ingreso temporal de personal a estas áreas, evaluando la pertinencia del ingreso; de igual manera se debe realizar el registro y supervisión de estos ingresos. Los Vicerrectores, Decanos, Gerente, Directores y Jefes de Oficina deben velar porque todos los mecanismos de Seguridad de acceso a sus áreas, sólo sean utilizados por los colaboradores autorizados. Las contraseñas de los sistemas de alarma, las cajas fuertes, las llaves y cualquier otro elemento de seguridad será de acceso restringido y sólo será disponible para personal autorizado, salvo situaciones de emergencia o eventos que por su naturaleza requieran un manejo diferente, siempre con la supervisión de personal interno de la FUCS.
Oficina Infraestructura Física	Proveer los requerimientos necesarios para apoyar, resguardar y velar por el perfecto estado de los controles físicos establecidos en los diferentes espacios de la FUCS. Implementar nuevos mecanismos que permitan la mejora de la seguridad física de todas las áreas de la institución, reconociendo los mecanismos actuales y perfeccionándolos. Asegurar que se cumplan a cabalidad los mecanismos implantados en la seguridad física y en los controles de acceso a los centros de datos y de cableado, así como todas las áreas de la FUCS que procesen información.
División de Servicios Administrativos	Validar que se encuentra monitoreado el Circuito Cerrado de Televisión (CCTV) que graba el perímetro de la FUCS.
Usuarios	Todos los colaboradores y terceros autorizados deben portar el carnet visible durante su visita a las áreas de la institución, si lo pierden deben reportarlo inmediatamente a División de Gestión del Talento Humano. Todo personal externo o tercero que por su servicio brindado ingrese a la FUCS por autorización de colaboradores, debe contar con algún distintivo que permita identificarlo y no debe ingresar a lugares que no tenga autorización. Los colaboradores y/o proveedores, que tengan acceso a las instalaciones de la FUCS, no pueden fumar o consumir alimentos cerca de los equipos. No está permitido el uso del PC por otro usuario diferente al que ha sido asignado, salvo casos excepcionales en los cuales la operación de la FUCS lo requiera. Los colaboradores que tengan asignado uno o más equipos de cómputo, durante el tiempo en el cual cesan las actividades y/o al levantarse de su puesto de trabajo, será su responsabilidad bloquear la sesión del equipo para evitar que terceros no autorizados accedan a la información contenida. Es responsabilidad de todos los colaboradores una vez finalice la jornada laboral, cerrar las sesiones activas y dejar los equipos apagados salvo en casos excepcionales de acceso remoto autorizado. Con el fin de velar por los principios de Seguridad de la Información de información sensible o crítica de la FUCS y evitar pérdidas, daños o accesos no autorizados, todos los colaboradores deben ser responsables de mantener la información custodiada bajo llave o en la cajonera de trabajo, cuando se encuentren desatendidos o en horas no laborales. Una vez el colaborador realice la autenticación en las distintas impresoras, se debe recoger de manera inmediata la información impresa, escaneada o copiada. Todos los equipos de cómputo deben tener políticas de protector de pantalla corporativo, con un tiempo de activación automática de cinco minutos. Los colaboradores que manejen información de la FUCS a través de dispositivos móviles deberán protegerla física y lógicamente con el fin de evitar el hurto, acceso o divulgación de información no autorizada.
Seguridad de la Información	Monitorear el cumplimiento de las políticas relacionadas con el buen uso de los equipos de cómputo, así como el manejo de información en áreas seguras.

VII. SEGURIDAD EN LAS OPERACIONES

1. Asignación de responsabilidades operativas.

La División de Desarrollo Tecnológico, es el área encargada de la gestión de los recursos tecnológicos que apoyan los procesos de la FUCS, el Director del área, se encarga de asignar las funciones específicas a sus colaboradores, quienes deben garantizar la adecuada operación y administración de los recursos tecnológicos, mantener actualizada la documentación de los procesos operativos en pro de la adecuada ejecución de las actividades.

La División de Desarrollo Tecnológico garantizará una capacidad de procesamiento adecuada en los sistemas de información de la FUCS, efectuando las proyecciones de crecimiento y las provisiones necesarias sobre la plataforma tecnológica con una periodicidad definida.

De igual manera debe velar por la eficiencia de los controles establecidos en los procesos operativos relacionados con los recursos tecnológicos, para garantizar así la confidencialidad, integridad y disponibilidad de la información gestionada a nivel institucional.

Seguridad de la Información, apoyará en las recomendaciones de seguridad sobre las soluciones para la infraestructura tecnológica de la FUCS.

Los instructivos o manuales de hardware/software como mínimo deberán especificar las instrucciones para la ejecución de cada actividad, incluyendo el procesamiento y manejo de la información, restricciones en el uso de utilitarios del sistema, resguardo de información, gestión de evento o incidentes de seguridad de la información, así como el uso del correo electrónico y de las aplicaciones de la FUCS.

ZControles

Responsable	Actividades
División de Desarrollo Tecnológico	Garantizar oportunamente la documentación, actualización y suministro de los procedimientos de operación y gestión de la plataforma tecnológica, a los colaboradores adscritos al área. Gestionar los recursos necesarios para la implantación de controles, con el propósito de contar con ambientes de desarrollo/calidad, pruebas y producción, teniendo en cuenta los controles requeridos para el paso de información entre los diferentes ambientes. Garantizar periódicamente la gestión de la demanda permitiendo realizar proyecciones de crecimiento de los recursos administrados (dimensionamiento), que permita asegurar el desempeño y capacidad de la plataforma tecnológica. Incluyendo: procesamiento de memorias volátil, almacenamiento, servicios de impresión, y tráfico de las redes de datos internas y ancho de banda de internet. Los cambios estructurales que se planteen realizar sobre la plataforma crítica deben ser informados a Seguridad de la Información.
Seguridad de la Información	Apoyar en las recomendaciones de seguridad sobre las soluciones para la infraestructura tecnológica de la FUCS.
Supervisores de Contrato División de Desarrollo Tecnológico	Los cambios que se generen sobre cualquier componente de tecnología, como consecuencia de un requerimiento de usuario, de la solución de un incidente o de una actualización deben ser controlados, gestionados y autorizados adecuadamente, y deben ser sometidos a una evaluación que permita identificar riesgos asociados que pueden afectar la operación.

2. Protección frente a software malicioso.

Todos los recursos de la plataforma tecnológica FUCS deben contar con la adecuada protección de la información adoptando los controles necesarios para evitar que se vea afectada la integridad, confidencialidad y disponibilidad, ocasionados por software malicioso. Además, se deben realizar campañas de concientización acerca de la cultura de seguridad entre sus colaboradores y personal provisto por terceros acerca de técnicas de hacking amenazas de software malicioso.

La FUCS cuenta con herramientas de seguridad como antivirus, antiSpam, antispyware y otras aplicaciones las cuales brindan protección contra código malicioso, con el fin de evitar la divulgación, modificación o daño por virus o eventos maliciosos.

Controles

Responsable	Actividades
División de Desarrollo Tecnológico	Proveer, actualizar y licenciar las herramientas tales como; antivirus, antimalware, antispam, antispyware, entre otras, que permitan mitigar el riesgo de posibles eventos o incidentes de seguridad como, por ejemplo; contagio de software malicioso a la plataforma tecnológica de la FUCS y a los diferentes servicios que se ejecutan en la misma. Garantizar que la información contenida en la plataforma tecnológica cuente con un escaneo periódico con el software de antivirus, así como la información que se encuentra alojada y transmitida por el servicio de correo electrónico. A través de sus colaboradores, debe garantizar que la plataforma posea las últimas actualizaciones y aplicación de los correspondientes parches de seguridad, para atenuar las vulnerabilidades de la plataforma tecnológica. Mantener instalado, actualizado y activo el software antivirus en todo el parque computacional de la FUCS.
Usuarios	Deben conservar la configuración del software de seguridad (antivirus, antispyware, antimalware, antispam) instalado por la División de Desarrollo Tecnológico, así como ejecutar escaneo sobre los archivos y/o documentos que provienen del correo electrónico, medios de almacenamiento externos y que son abiertos o ejecutados por primera vez. Deben verificar la fuente de los archivos adjuntos, descargados o copiados de correos, internet o cualquier medio de almacenamiento, con el fin de garantizar que provienen de fuentes conocidas y seguras, para así mitigar el riesgo por virus o contagio por eventos que afecten la seguridad de la información. No instalar ningún tipo de software o programa. Notificar de forma inmediata a Soporte Técnico y a Seguridad de la Información, cuando se detecte o sospeche alguna infección por software malicioso.
Seguridad de la Información	Monitorear mínimo una vez al mes la actualización de las bases de datos del software antivirus y su activación en todo el parque computacional de la FUCS.

Así mismo, la FUCS define los siguientes lineamientos que no son permitidos:

Inactivar o desinstalar las aplicaciones que permiten la Seguridad de los equipos y Sistemas de Información.
Modificar el código de programación de la infraestructura tecnológica.
Utilizar otros medios de almacenamiento que no estén permitidos en la FUCS.

3. Copias de respaldo de la información.

Sobre la información institucional que pertenezca a los procesos operativos y de misión crítica de la FUCS se le debe garantizar, la ejecución de copias de respaldo y almacenamiento de acuerdo con los procedimientos y mecanismos definidos por las áreas propietarias de la información y el apoyo de la División de Desarrollo Tecnológico, unidad encargada de la generación y custodia de los respaldos.

Controles

Responsable	Actividades
División de Desarrollo Tecnológico	Generar e implantar procedimientos para la generación, almacenamiento y restauración de las copias de respaldo de la información, garantizando su integridad, disponibilidad y confidencialidad. Realizar pruebas de recuperación de las copias, para así garantizar su confiabilidad al momento de su restauración. Definir las condiciones de custodia, transmisión y transporte de las copias de respaldo de la información generadas y sobre las que se prevea almacenamiento externo. Generar campañas que permitan conocer los procedimientos de respaldo de información.
Propietarios de los Activos de Información	Definir la estrategia en conjunto con la División de Desarrollo Tecnológico para la generación y tiempo de retención de las copias y de los demás activos de información generados por su área.
Usuarios	Identificar y clasificar la información crítica que debe ser respaldada y almacenada.
Seguridad de la información.	Generar campañas que permitan conocer los procedimientos de respaldo de información. Monitorear la aplicación de los procedimientos para la generación, almacenamiento y restauración de las copias de respaldo de la información, garantizando su integridad, disponibilidad y confidencialidad.

4. Eventos y monitoreos a los recursos tecnológicos y sistemas de información.

La FUCS, a través de la División de Desarrollo Tecnológico debe realizar el monitoreo constante de todos los recursos de la plataforma tecnológica y los aplicativos de la institución.

Controles

Responsable	Actividades
División de Desarrollo Tecnológico	Debe establecer e implementar los tipos de eventos que deben registrar los logs o registros de auditoría, y garantizar la obtención de los mismos, tanto de recursos tecnológicos como de sistemas de información. Debe habilitar los registros o logs de auditoría y actividad de usuarios, así como aplicar los sistemas de monitoreo de la plataforma tecnológica de misión crítica y operacional, teniendo en cuenta los lineamientos y seguimiento establecidos, así como debe velar por su custodia y protección. Determinar el tiempo de retención de los registros (logs) de recursos tecnológicos y de los sistemas de información de la FUCS para efectos de auditoría.
Desarrolladores, consultores, analistas entre otros (Internos y Externos)	Informar sobre eventos de los sistemas de información y/o plataforma tecnológica relacionados con interrupciones, acceso, modificación de acuerdo con los lineamientos establecidos por la División de Desarrollo Tecnológico.
Seguridad de la Información.	Monitorear la gestión de usuarios en los Sistemas de Información. Verificar el reporte de análisis de vulnerabilidades realizado por la División de Desarrollo Tecnológico y/o el tercero contratado; y verificar la ejecución de los planes de remediación.

5. Seguridad para los equipos institucionales.

La FUCS debe proveer los recursos necesarios que aseguren la mitigación de riesgos para prevenir la pérdida, daño, robo o puesta en peligro de los activos de la infraestructura tecnológica de la institución, así mismo, debe garantizar que se realicen seguimientos de control que demuestren la custodia de los mismos.

Controles

Responsable	Actividades
División de Desarrollo Tecnológico	Implementar estrategias y desarrollar mecanismos que garanticen la seguridad de la información sobre la información contenida en los recursos de la infraestructura tecnológica, dentro y fuera de la institución (en caso de almacenamientos externos). Asegurar la realización de los mantenimientos preventivos y correctivos de los activos de la infraestructura tecnológica de la FUCS. Definir, implementar y asegurar el cumplimiento de los estándares de seguridad/configuración fiable para los equipos asignados a los empleados de la FUCS. Establecer las condiciones de cumplimiento que deben tener los equipos de cómputo de personal externo y que se encuentren conectados a la red de datos de la FUCS, así como exigir el estricto cumplimiento antes de dar acceso a la red de la institución. Establecer zonas aisladas y/o accesos de red restringidos para los equipos en los que se efectúan operaciones financieras o información sensible para evitar accesos no autorizados. Establecer y aplicar lineamientos para una disposición final segura o traslado de usuarios, de los equipos de cómputo de los colaboradores de la FUCS. Verificar periódicamente los equipos de cómputo de la FUCS, especialmente aquellos que se encuentran ubicados en áreas sensibles. Realizar la asignación de recursos tecnológicos. Acompañar los movimientos de recursos tecnológicos.
Seguridad de la Información	Monitorear periódicamente el cumplimiento de las configuraciones en los equipos de cómputo, con base en el estándar de seguridad definido.
Oficina de Activos Fijos	Validar la aprobación de entrada y salida de las instalaciones de la FUCS de equipos de cómputo y otros recursos de tecnología pertenecientes a la institución, verificando la autorización documentada y aprobada y además contar con sus respectivas pólizas según corresponda.
Servicios administrativos	Monitorear que la empresa de seguridad revise los accesos físicos en horas no hábiles a las áreas donde se procesa información.
Usuarios	No realizar movimientos de equipos tecnológicos. Acoger las instrucciones técnicas proporcionadas por la División de Desarrollo Tecnológico cuando se asignen puestos de trabajo, equipos móviles y/o Sistemas de Información a personal provisto por terceras partes. Reportar a Soporte Técnico para su respectiva gestión y solución las fallas o problemas de hardware o software que se presenten sobre los equipos de cómputo o algún recurso tecnológico que sea de propiedad de la FUCS. No está permitido que el usuario intente solucionar el problema en los puestos de trabajo, equipos móviles y/o Sistemas de Información. Estas actividades sólo pueden ser realizadas por los colaboradores de la División de Desarrollo Tecnológico, o en determinados casos por personal de terceras partes autorizado por dicha área. Bloquear la sesión de red (usuarios) al levantarse de su puesto de trabajo, así como apagar los equipos en horarios no laborales.

VIII. SEGURIDAD EN LAS COMUNICACIONES.

1. Gestión y aseguramiento de las redes de datos.

La FUCS provee, a través de la División de Desarrollo Tecnológico, los mecanismos de control necesarios para garantizar la operación de las redes de los servicios tecnológicos; debe proveer también, los mecanismos de seguridad que protejan la integridad, disponibilidad y la confidencialidad de la información que utilizan las redes de datos institucionales.

Controles

Responsable

Actividades

División de Desarrollo Tecnológico

Adoptar medidas para garantizar la estabilidad de los recursos y servicios de red de la FUCS.
Definir y aplicar los controles necesarios para mitigar los riesgos de seguridad de la información que viajan a través de las de las redes de datos de la FUCS.
Realizar la segmentación de la red de datos, de acuerdo con la clasificación de usuarios, tipo de datos, servicios y demás características que se determine según criterios de la institución.
Identificar y negociar con los proveedores de servicio de red externos, los respectivos acuerdos de servicio necesarios para la operación de la institución.
Realizar endurecimiento de las políticas para garantizar la seguridad y la configuración de los dispositivos, de acuerdo con los estándares de buenas prácticas para la plataforma tecnológica de la FUCS.
Habilitar únicamente los servicios, protocolos y puertos de comunicación necesarios para la operación de las redes de datos FUCS y bloquear los puertos o servicios no necesarios para evitar robo de información y/o ataques cibernéticos.
Instalar plataformas de protección entre las redes internas de la FUCS y redes externas que representen una amenaza para la plataforma tecnológica de la FUCS.
Documentar y mantener la configuración FUCS.

2. Uso del correo electrónico.

El servicio de correo electrónico es una herramienta muy importante para la comunicación digital de la institución, la cual debe garantizar confidencialidad, integridad, disponibilidad y autenticidad de su contenido para el desarrollo de las actividades entre colaboradores y/o personal externo que hacen uso de este medio.

Controles

Responsable	Actividades
División de Desarrollo Tecnológico	Generar y divulgar el instructivo y las directrices para la gestión de cuentas de correo electrónico. Diseñar e implementar la estrategia que proporcione un ambiente seguro y controlado que incluya los mecanismos de protección y detección para el buen funcionamiento de la plataforma de correo electrónico.
Seguridad de la Información	Generar campañas que permitan la concientización de los usuarios acerca de las medidas de prevención que se deben tener en cuenta al momento de intercambiar información por este medio. Monitorear el uso del correo institucional para mitigar el riesgo de fuga de información y garantizar su uso exclusivo para labores institucionales.
Usuarios	Cumplir el uso individual y responsable de la cuenta de correo electrónico asignada por la FUCS, para el desarrollo de las funciones asignadas por la institución y no hacer uso del correo institucional para actividades personales. No realizar el envío de cadenas de mensajes que contengan información no institucional (político, religioso, comercial, contenido discriminatorio, pornografía, etc.) Reportar correos electrónicos de procedencia sospechosa, a las cuentas de correo de Soporte Técnico y Seguridad de la Información.

3. Uso adecuado de internet.

La FUCS reconoce la importancia del uso de Internet como apoyo para el desempeño de labores, así como soporte al proceso de enseñanza y aprendizaje.

Controles

Responsable	Actividades
División de Desarrollo Tecnológico	Proporcionar la prestación segura del servicio de Internet, mediante la implementación, administración y mantenimiento, conforme a los perfiles de acceso definidos. Diseñar e implementar el plan de continuidad y/o recuperación del servicio de internet en caso requerido, así como realizar el monitoreo constante del servicio. Establecer e implementar controles que garanticen el óptimo funcionamiento del servicio de internet (red interna), que restringa el acceso y/o descarga de software, malware o sitios que representen una amenaza para la Seguridad de la Información. Mantener los registros de la navegación y acceso de los usuarios a internet, que permitan generar reportes sobre el uso de este servicio. Generar campañas con el apoyo de impresos y publicaciones, para concientizar sobre el uso adecuado del servicio de internet
Usuarios	Hacer uso adecuado del servicio de internet de acuerdo con las actividades que se desarrollan. Está prohibido la descarga e instalación de software no autorizado en las estaciones de trabajo o dispositivos móviles institucionales.
Seguridad de la Información	Realizar monitoreo de acceso a páginas prohibidas de internet, que permitan evidenciar el uso inapropiado del servicio. Realizar monitoreo sobre el uso de internet y verificar las configuraciones de restricciones definidas.

4. Intercambio de información.

La FUCS garantiza que cuando se transfiera información hacia otras entidades utilizando canales autorizados por la FUCS (medios removibles, canales de internet, medio impreso), la información debe ser protegida cumpliendo los procedimientos y controles establecidos de acuerdo con su clasificación. Se deben establecer acuerdos de confidencialidad, y de intercambio de información con los terceros involucrados en el proceso.

Controles

Responsable	Actividades
División Jurídica	Definir los modelos de los acuerdos de confidencialidad e intercambio de información con terceros, en donde estén descritos tanto los acuerdos como las penalidades por incumplimiento, esta labor debe ser coordinada con Seguridad de la Información. Elaborar y/o revisar aquellos contratos que se realicen con terceros y que incluyan acuerdos de confidencialidad o de intercambio de información, especificando las condiciones contractuales legales para los terceros en caso de divulgación no autorizada de la información entregada por la FUCS. Definir los procedimientos, servicios y herramientas para proteger con controles la información transmitida a los terceros que tienen relación con la FUCS.
División de Desarrollo Tecnológico	Definir e implementar los procedimientos, servicios y herramientas para proteger con controles la información transmitida a los terceros que tienen relación con la FUCS. Vigilar que el intercambio de información de la FUCS con externos, se encuentren alineadas con las Políticas de Seguridad de la Información.
Propietarios de los Activos de Información	Proteger los activos de información contra divulgación inapropiada, velando por el cumplimiento de cláusulas y/o acuerdos definidos por la FUCS. Registrar el intercambio de información, en donde se especifique el tipo de información intercambiada, así como los datos del emisor, del receptor y fecha de entrega/recepción. Verificar que las terceras partes realicen el procedimiento de destrucción de la información, una vez no se requiera para su función.
Gestión Documental	Definir los procedimientos, servicios y herramientas para proteger con controles la información transmitida a los terceros que tienen relación con la FUCS. Acoger los procedimientos de intercambio de información con terceros en medio físico o digital, así como garantizar la restricción de acceso al personal no autorizado, para evitar la divulgación no autorizada, destrucción, alteración y/o pérdida de la información.
Terceros con Quienes se Intercambia Información de la FUCS	Dar manejo adecuado a la información que intercambia con la FUCS cumpliendo con procedimientos, controles, condiciones contractuales establecidos por la FUCS para el manejo de la información, así como realizar de manera segura, la destrucción o eliminación de la información suministrada cuando ya no se requiera.
Seguridad de la Información	Definir los procedimientos, servicios y herramientas para proteger con controles la información transmitida a los terceros que tienen relación con la FUCS.
Usuarios	Hacer uso de medios adecuados para enviar o recibir información confidencial, no se debe compartir la información, sin previo contrato de transmisión de datos, no se debe utilizar el correo electrónico personal y/o medios no autorizados por la FUCS para enviar o recibir información confidencial de la FUCS

IX. CONTROL DE ACCESO.

1. Acceso a redes y recursos de red.

La División de Desarrollo Tecnológico, como responsable de las redes y los recursos que las conforman, debe garantizar que estas redes cuenten con la protección y actualización adecuadas para evitar accesos no autorizados, con la aplicación de mecanismos de control de acceso lógico.

Controles

Responsable	Actividades
División de Desarrollo Tecnológico	Establecer e implementar el procedimiento de autorización y control de acceso a las redes y recursos tecnológicos de la FUCS, con el fin de proteger el ingreso indebido de terceros. Establecer e implementar controles de autenticación y autenticidad de los usuarios internos y externos a las redes y/o recursos de red de la FUCS. Se debe tratar las redes inalámbricas “WIFI” como redes externas y separarlas de las redes internas, para garantizar de esta manera el cumplimiento de los principios de Seguridad de la Información de la FUCS. Disponer métodos de identificación automática para los equipos en la red, dando cumplimiento con la autenticación de conexiones, desde segmentos de red específicos, hacia las plataformas donde operan los sistemas de información.
Seguridad de la Información	Realizar revisiones periódicas de los accesos de los usuarios internos y externos verificando los controles que garanticen que sólo los usuarios que se encuentren autorizados están activos en las plataformas tecnológicas.
Todos los Usuarios	Cumplir con el procedimiento de creación de usuarios, así como aceptar el acuerdo de confidencialidad, garantizar que los equipos con los que se acceden a la red cumplan con los requisitos o controles necesarios para que no representen una amenaza para la plataforma tecnológica de la FUCS. Los visitantes que requieran conectarse a la red local cableada, pueden hacerlo con acceso limitado (solo conexión a internet), según lo establecido por la División de Desarrollo Tecnológico. En caso de requerir acceso a servicios adicionales, debe contar con la autorización del líder de proceso, quien debe gestionar el requerimiento mediante solicitud registrada en Soporte Técnico. El acceso a la red wifi para visitantes se realiza a través de la red definida para tal fin y con uso de la clave establecida que será suministrada por el líder de proceso y/o la División de Desarrollo Tecnológico.

2. Administración de accesos de usuarios.

La FUCS garantiza que se establezcan los tipos de privilegios para el control de acceso lógico de usuarios o grupos de usuarios internos y externos a las redes de datos, a los recursos de infraestructura tecnológica y a los sistemas de información de la institución. Es importante que el acceso del personal externo se encuentre claramente limitado y bajo los controles y procedimientos establecidos.

Controles

Responsable	Actividades
División de Desarrollo Tecnológico	Establecer e implementar el procedimiento formal para la administración del acceso lógico de los usuarios en las redes de datos, sistemas de información de la institución y demás recursos tecnológicos. Verificar que las solicitudes de creación, modificación o bloqueo de cuentas de usuarios cuenten con la respectiva aprobación de los líderes de proceso. Establecer el proceso para la eliminación y reasignación de los permisos de acceso dados en los recursos o Sistemas de Información para garantizar una gestión oportuna de las novedades de usuarios de acuerdo con la información suministrada por la División de Gestión del Talento Humano. Garantizar la inhabilitación o eliminación de los usuarios creados o asignados por defecto en los diferentes recursos de la plataforma tecnológica de la institución. Definir políticas de utilización de Internet para los usuarios (estudiantes/ colaboradores/directivos/terceros), que permitan optimizar y proteger el acceso a internet de los usuarios. Participar en la definición de controles para los recursos informáticos como sistemas operativos, servicios de red, enrutadores, etc. y realizar su validación periódicamente. Controlar la asignación de privilegios a roles y a usuarios, establecidos por el Comité de Seguridad de la Información.
Seguridad de la Información	Establecer los perfiles de usuario (roles, funcionalidades y permisos), junto con los líderes de los activos de información y el Comité de Seguridad de la Información. Realizar monitoreo a los accesos lógicos, creación, modificación o bloqueo de cuentas de usuarios para validar que cuenten con la respectiva aprobación de los líderes de proceso.
Líderes de Procesos	Verificar y ratificar con una periodicidad semestral o cuando se requiera, las autorizaciones de acceso sobre los recursos tecnológicos y sistemas de información a cargo de cada área. Solicitar y autorizar las novedades de gestión de usuarios de los colaboradores que pertenecen a cada área cumpliendo los procesos y formatos de solicitud vigentes.
Comité de Seguridad de la Información.	Definir las actividades pertinentes para la administración de roles y perfiles.
División de Gestión del Talento Humano	Deberá mediante procedimiento informar a la División de Desarrollo Tecnológico y a Seguridad de la Información las novedades del personal, en las que se requiera modificación de cuentas, accesos y privilegios de usuarios.

3. Responsabilidades de acceso de los usuarios.

Los usuarios con accesos otorgados deben realizar el uso adecuado y responsable de los recursos tecnológicos y de los sistemas de información de la FUCS protegiendo la información a la que tienen acceso.

Controles

Responsable

Actividades

Todos los Usuarios

Responder por las acciones realizadas en los sistemas de la plataforma tecnológica de la FUCS, así como por el buen uso de las credenciales asignadas para dichos accesos.
Los colaboradores y personal provisto por terceras partes que, por la naturaleza de su función, tengan acceso a los sistemas de la plataforma tecnológica de la FUCS, deben acogerse a los lineamientos establecidos para la configuración de cuentas de usuario y contraseñas implementados por la FUCS.

4. Uso de altos privilegios y utilitarios de administración.

La División de Desarrollo Tecnológico es la encargada de velar porque la operación y administración de los recursos de la plataforma tecnológica se encuentren en condiciones controladas y seguras; permitiendo así la trazabilidad de las acciones realizadas por usuarios administradores, responsables por los más altos privilegios sobre las plataformas y servicios.

Controles

Responsable	Actividades
División de Desarrollo Tecnológico	Otorgar privilegios y cuentas separadas para la administración de recursos tecnológicos, solamente a colaboradores idóneos y responsables de estas funciones. Garantizar el acceso sólo de consulta a sistemas de información en ambientes productivos a los administradores de los recursos tecnológicos. Definir y evaluar las conexiones seguras remotas sobre los recursos de la plataforma tecnológica institucional y por ningún motivo permitir que los usuarios finales tengan accesos privilegiados sobre los sistemas de asignación. Realizar el aseguramiento de los recursos mediante la inhabilitación de funcionalidades o servicios no utilizados. Establecer el mínimo de funcionalidades, servicios y utilitarios requeridos. Generar y revisar periódicamente los listados de cuentas con privilegios sobre los recursos de la plataforma tecnológica. Restringir el acceso a programas utilitarios solo a los perfiles administradores en los equipos de cómputo.
Seguridad de la Información	Revisar con una periodicidad definida el registro de actividad de usuarios y privilegiados sobre los servicios de la plataforma tecnológica.

5. Control de accesos a sistemas y aplicativos.

Los líderes de proceso como propietarios de los sistemas de información y aplicativos de apoyo, serán los encargados de velar por la gestión de novedades de acceso a los sistemas o aplicativos.

La División de Desarrollo Tecnológico, como responsable de la gestión de los aplicativos, garantiza que el control de acceso lógico cuente con controles que eviten accesos no autorizados. Por otra parte, debe propender por que se adopten buenas prácticas de desarrollo de software que permita implementar control de acceso lógico de los sistemas de información.

Controles

Responsable	Actividades
Propietarios de los Activos de Información	Autorizar de acuerdo con los procedimientos los accesos según los perfiles establecidos y necesidades de uso, a los sistemas de información o aplicativos. Establecer niveles de autorización y controles para: usuarios que tienen permiso de ingreso a cargue o actualización de datos dentro de los aplicativos, usuarios que tienen permiso para consulta de la información, indicando nivel, mínimos privilegios, restricciones de acceso únicamente a las funcionalidades y datos requeridos para proteger el acceso a los sistemas y aplicativos de la FUCS.
División de Desarrollo Tecnológico	Debe establecer los controles de acceso a los ambientes productivos de los aplicativos, así mismo, debe garantizar que los desarrolladores internos o externos, cuenten con acceso limitado y controlado tanto a los datos como a toda información que se encuentre en los ambientes de producción. Suministrar el repositorio de archivos con acceso controlado y definición de privilegios para almacenar el código fuente de los Sistemas de información propios.
Desarrolladores (Internos y Externos)	Implementar módulos de autenticación preferiblemente integrados con la base de datos de usuarios, en los sistemas de información desarrollados de acuerdo con la clasificación de la información. Adoptar controles de integridad sobre las contraseñas, evitando el almacenamiento y/o recordación de las mismas. Evitar que durante el proceso de autenticación se muestren errores del sistema revelando información que permita realizar ataques y en su lugar se deben mostrar mensajes personalizados de acuerdo con la falla en la autenticación incluyendo la inhabilitación de cuentas por número de intentos fallido definidos. Implementar medidas que restrinjan el acceso a otros recursos internos donde se alojan las aplicaciones, así como garantizar que se valida la autenticación en cada recurso con información sensible. Todos los sistemas de información crítica de la FUCS, deben tener políticas de acceso, con el fin de tener segregación de funciones de usuarios y administradores.
Usuarios	Los usuarios que tengan acceso a la infraestructura tecnológica y/o los sistemas de información, deben tener una definición clara de roles y responsabilidades, así como, los niveles de acceso y funcionalidades, para mitigar el riesgo de uso no autorizado o modificaciones sobre los activos de información de la FUCS. Para los distintos aplicativos, sistemas de información y medios, los propietarios deben definir qué información sensible puede ser eliminada y tener soporte de la eliminación de dicha información, como es el caso de los datos personales, datos sensibles o financieros, cuando estos ya no son requeridos. Para lo anterior, es necesario contar con el acompañamiento de la División Jurídica y Seguridad de la Información.
Seguridad de la Información	Realizar verificaciones periódicas y aleatorias a las actividades ejecutadas con el usuario administrador de los sistemas de información críticos de la FUCS. Monitorear periódicamente la definición de perfiles y asignación de privilegios a los usuarios que acceden en los sistemas de información, así mismo, notificar al Comité de Seguridad de la Información.

6. Controles criptográficos.

La FUCS garantizará el cifrado de la información, en cualquier tipo de almacenamiento de información clasificada, como pública reservada o pública clasificada.

Controles

Responsable	Actividades
División de Desarrollo Tecnológico	Gestionar los recursos necesarios para la adquisición y mantenimiento del sistema de cifrado que la institución requiere para la protección de la información. Garantizar el cifrado de la información en cualquier tipo de almacenamiento o transmisión de información clasificada como reservada con el propósito de proteger sus principios de seguridad. Desarrollar y establecer el procedimiento y los estándares para la gestión de llaves de cifrado y controles criptográficos.
Desarrolladores (Internos o Externos)	Adoptar los controles de cifrado de la información pública reservada o pública clasificada y seguir los estándares establecidos por la División de Desarrollo Tecnológico.

7. Uso de conexiones remotas.

La División de Desarrollo Tecnológico evaluará y autorizará de acuerdo con la necesidad, el uso de conexiones remotas a la plataforma tecnológica de la FUCS, así mismo, suministrará y garantizará que estas conexiones se realicen de manera segura mediante el uso de las herramientas y controles necesarios.

Controles

Responsable	Actividades
División de Desarrollo Tecnológico	Implementar los controles para el uso de conexiones remotas hacia la plataforma tecnológica de la FUCS, así como su monitoreo permanente. Autorizar sólo a determinados colaboradores y por periodos de tiempo limitados, previo análisis de riesgo, el uso de conexión remota.
Todos los Usuarios	Registrar la solicitud de conexión remota en la cuenta de Soporte Técnico, y luego de la aprobación cumplir con las condiciones de uso definidas para dicha conexión. Garantizar que la conexión remota se realice mediante el uso de equipos de cómputo privados y/o personales que cuenten con los requisitos mínimos de seguridad, como lo son software antivirus y sistema operativo actualizados.

8. Uso de tokens de seguridad.

La FUCS vigilará un uso responsable de los tokens por parte de los colaboradores que por su función requieran el uso de los mismos.

Controles

Responsable	Actividades
Áreas Usuarias de Tokens de Seguridad	Delegar la autorización del uso de tokens de seguridad a un colaborador administrador.
Administradores de los Tokens de Seguridad	Gestionar las solicitudes de los tokens y su activación de acuerdo con los requerimientos de cada entidad, en cada portal o sistema de información, incluyendo la documentación necesaria para la gestión. Controlar los dispositivos token entregados a cada colaborador, mediante bases de datos y actas de entrega que permitan procedimientos ágiles de desactivación en caso de pérdida, robo o cuando presenten falla o mal funcionamiento.
Usuarios de Tokens de Seguridad	Usar de manera responsable los tokens de seguridad y las cuentas asociadas al uso de los mismos, las cuentas son de carácter personal e intransferible. Los tokens hacen parte del inventario físico asignado a cada colaborador, por lo que se deben devolver cuando el vínculo laboral con la FUCS se termine o se presente cambio de cargo, es necesario emitir su respectivo paz y salvo con la institución. Salvaguardar los tokens en lugares seguros que eviten el acceso o visualización de las claves a terceras personas, deben mantenerse en buen estado, se debe reportar de manera inmediata la pérdida o robo al administrador, con el fin de notificar a las entidades emisoras para iniciar el proceso de bloqueo y reposición. Responder por transacciones electrónicas realizadas con la cuenta asociadas al token, asumiendo la responsabilidad administrativa, disciplinaria y económica a la que haya lugar. Cumplir con las disposiciones y procedimientos de seguridad establecidos por las diferentes entidades emisoras de los dispositivos acatando las disposiciones que para tal fin emitan.

X. ADQUISICIÓN, DESARROLLO Y MANTENIMIETO DE SISTEMAS DE INFORMACIÓN.

1. Establecimiento de requisitos de seguridad.

La FUCS garantiza que el software adquirido y de desarrollo propio cumple con los lineamientos de seguridad y calidad establecidos por la institución. Las áreas propietarias de sistemas de información, la División de Desarrollo Tecnológico y Seguridad de la Información serán los responsables de definir los requerimientos necesarios para la evaluación y aval de compra o desarrollo de software.

Controles

Responsable	Actividades
División de Desarrollo Tecnológico	Establecer metodologías para el desarrollo/contratación de software, donde se incluyan los requerimientos de seguridad y el desarrollo seguro mediante buenas prácticas con estándares internacionales que permita contar con el aseguramiento del software.
Propietarios de los Sistemas de Información.	Establecer los requerimientos que incluyan las necesidades propias de los sistemas de información.
Desarrolladores (Internos o Externos)	Documentar los requerimientos solicitados, definir la arquitectura de software más conveniente, que incluya herramientas de desarrollo licenciado y con gran trayectoria en el mercado. Incluir en el desarrollo funcionalidades que contribuyan con la seguridad; funciones de autocompletar formularios, límites de tiempos de duración de las sesiones, conexiones paralelas de un mismo usuario, entre otras funcionalidades. Garantizar que la transmisión de información relacionada con pagos/transacciones en línea se realice por medio de canales y protocolos seguros.

2. Desarrollo seguro, realización de pruebas y soporte de sistemas.

La FUCS vigila que los desarrollos realizados internamente o por proveedores contratados para este fin, cumplan con los requerimientos de seguridad necesarios, así como que contemplen buenas prácticas de desarrollo (especialmente en lo relacionado con la seguridad), deben contar con la documentación y metodología para la aplicación de pruebas de seguridad y deben garantizar el respectivo soporte tecnológico requerido por la FUCS.

Controles

Responsable	Actividades
Propietarios de los Sistemas de Información	Realizar metódicamente las pruebas de funcionalidad que aseguren el cumplimiento de los requerimientos y realizar la documentación de las pruebas. Aprobar el paso a producción de los desarrollos/ajustes/cambio de versiones, luego de la revisión del cumplimiento de los requerimientos.
División de Desarrollo Tecnológico	Realizar metódicamente las pruebas que aseguren el cumplimiento de los requerimientos de seguridad, realizar la documentación de las pruebas y correcciones realizadas necesarias antes del paso a producción. Llevar un control de cambios de las migraciones/ajustes/versiones entre los diferentes ambientes de desarrollo, pruebas, calidad y producción de los productos entregados. Implementar controles que garanticen los procedimientos y aprobaciones de migraciones entre los ambientes de desarrollo, de acuerdo con la gestión del cambio incluyendo el control de versiones. Asegurar las condiciones contractuales y acuerdos de licenciamiento, para que los desarrollos por parte de proveedores cumplan los derechos de propiedad intelectual. Generar los protocolos para la fase de pruebas al software desarrollado, teniendo en cuenta los lineamientos de manejo de datos y ambientes. Realizar el aseguramiento tecnológico de la plataforma utilizada para el desarrollo de software mediante la aplicación de parches a los sistemas operativos y versiones de los IDE (entorno de desarrollo integrado).
Desarrolladores (Internos o Externos)	Realizar su trabajo bajo los lineamientos de desarrollo seguro y las buenas prácticas recomendadas en cada fase del ciclo de vida del software, pasando desde el diseño hasta la operación y soporte. Proporcionar un nivel adecuado de soporte con acuerdos de servicio que asegure la solución de problemas generados en el software o aplicativo de la FUCS. Realizar las configuraciones que permitan la validación y generación de los datos de entrada y de salida de manera confiable, mediante el uso de rutinas de validación centralizadas y estandarizadas, así como garantizar el cierre de sesión oportuno optimizando el uso de recursos de máquina. Incluir métodos de autenticación de doble factor cuando se realicen operaciones críticas en los aplicativos desarrollados. Usar controles seguros que eviten la divulgación de información almacenada en cookies y complementos, estructura de datos, encabezados de respuesta o cualquier información sensible en respuestas, así como reemplazar los mensajes de error genéricos, remover archivos o funciones innecesarias. Evitar incluir la información de cadenas de conexión a bases de datos en el código en texto plano. Las cuales deben estar en archivos de configuración independientes y cifrados. Desarrollar los controles necesarios en la conexión a las bases de datos y transferencia de archivos, ésta última debe realizarse en repositorios o bases de datos seguros que eviten la ejecución de sentencias desde estos archivos. Proteger el código fuente de los aplicativos contra las descargas o edición. Se deben separar los ambientes de desarrollo, prueba y operación, para reducir los riesgos de acceso o cambios no autorizados.
Seguridad de la Información	Monitorear las pruebas funcionales y de seguridad realizadas a los aplicativos con el fin de validar si cumplen con los requisitos mínimos de seguridad.

3. Protección de los datos de pruebas.

La División de Desarrollo Tecnológico debe proteger los datos utilizados en las diferentes pruebas realizadas por los desarrolladores.

Controles

Responsable	Actividades
División de Desarrollo Tecnológico	Asegurar que la información usada en ambientes de pruebas sea eliminada cuando se culminen las pruebas.

4. Inclusión de condiciones de seguridad en la relación con terceras partes.

La FUCS establece mecanismos de control con respecto a las relaciones estratégicas con terceras partes, que permitan garantizar que se tengan condiciones mínimas de seguridad con respecto al acceso a la información de la FUCS.

Los colaboradores de la FUCS encargados de establecer estas relaciones son los responsables de comunicar la documentación, procedimiento y Políticas de Seguridad de la Información.

Controles

Responsable	Actividades
División de Desarrollo Tecnológico y División Jurídica	Establecer ANS y requisitos mínimos de seguridad de la información, que deben cumplir las terceras partes o proveedores de servicios tecnológicos. Diseñar los acuerdos de confidencialidad y los acuerdos de intercambio de información que incluyan responsabilidad tanto civil como penal de las terceras partes que hayan sido contratadas.
División de Desarrollo Tecnológico	Definir condiciones de conexión y comunicación segura para los equipos de cómputo y dispositivos móviles utilizados por terceras partes para conectarse a la red de datos de la institución, así como mecanismos de cifrado y transmisión con terceras partes. Monitorear, identificar y mitigar los riesgos de accesos a la información de la FUCS mediante una constante evaluación y aprobación de los accesos requeridos por terceras partes.
Supervisores de Contratos con Terceros	Velar por el buen cumplimiento de las políticas y procedimientos establecidos por la FUCS con respecto al acceso a la información, recursos tecnológicos de terceras partes, así como realizar la divulgación oportuna de estas medidas y procedimientos de seguridad de la información. Validar el cumplimiento de los ANS (acuerdos de niveles de servicio) anexos al contrato.
Seguridad de la Información	Validar el cumplimiento de estándares, normatividad y controles necesarios para la protección de los principios de seguridad (Confidencialidad, Integridad y Disponibilidad).

5. Gestión de la prestación de servicios de terceras partes.

La FUCS propenderá por cumplir y mantener durante el tiempo necesario los niveles acordados con respecto a la prestación de los servicios de los proveedores, así como también velará por el cumplimiento del proceso de gestión de cambios para los servicios y productos modificados por proveedores y los acuerdos aplicables con respecto a la seguridad de la información.

Controles

Responsable	Actividades
División de Desarrollo Tecnológico	Verificar que los equipos de cómputo, dispositivos móviles que establezcan conexiones a los recursos y redes de datos de la FUCS cumplan con las condiciones de seguridad establecidas para terceras partes. Verificar que existan las condiciones de conexión y comunicación segura para los equipos de cómputo y dispositivos móviles que terceras partes utilizan para conectarse a la red de datos de la institución, así como mecanismos de cifrado y transmisión con terceras partes.
Seguridad de la Información	Realizar monitoreos con el ánimo de evaluar el cumplimiento del acuerdo de confidencialidad y de intercambio de información, así como los requisitos de seguridad de la información establecida hacia los terceros.
Supervisores de Contratos con Terceros	Monitorear periódicamente el cumplimiento de acuerdos de niveles de servicio. Identificar posibles situaciones anómalas que representen riesgo para la institución en la ejecución del contrato y reportarlas a la Gerencia y a la División Jurídica.

XI. RELACIÓN CON LOS PROVEEDORES.

La FUCS tiene identificado y bajo mecanismos de control de acceso a los distintos proveedores que por la naturaleza de la prestación de sus servicios requiere acceso a las instalaciones.

Se tienen establecidos mecanismos de control en la relación con los proveedores y terceros, de tal forma que se dé cumplimiento a la política de seguridad de la información.

Controles

Responsable	Actividades
Líderes de Proceso	Como responsables de los activos de información o supervisores de contrato no deben brindar acceso a la información de la FUCS o de los activos de información, a proveedores o terceros hasta no tener firmados y formalizados contratos o acuerdos de confidencialidad, integridad y disponibilidad.
Proveedores y/o Terceros	Todos los proveedores y terceros que vayan a tener acceso a información confidencial de la FUCS, deberán firmar acuerdos de confidencialidad y/o acuerdos de transmisión de datos personales. Deben cumplir con los controles y políticas establecidas en la Política de Seguridad de la Información de la FUCS. Considerar y aplicar buenas prácticas para el desarrollo seguro. Desarrollar los controles necesarios para la transferencia de archivos, así como solicitar autenticaciones. Monitorear la transferencia de archivos.
colaboradores	Los colaboradores responsables de la supervisión de contratos o convenios con proveedores y terceros, deben dar a conocer las políticas y normas de Seguridad de la Información de la FUCS a dichas partes, así mismo, debe velar porque se dé accesos correctos y de almacenamiento de forma segura a los recursos de la FUCS.
Seguridad de la Información	Realizar monitoreos y seguimientos a los proveedores que tengan acceso a información confidencial de la FUCS.

XII. GESTIÓN DE INCIDENTES DE SEGURIDAD.

1. Reporte y tratamiento de eventos o incidentes de seguridad.

El personal interno y provisto por terceras partes debe reportar con prontitud los eventos o incidentes relacionados con la violación de seguridad de la información y sus recursos de procesamiento y almacenamiento de información de la plataforma tecnológica, los sistemas de información y las personas.

Definir una adecuada capacidad de respuesta a incidentes abordando su gestión de manera versátil y flexible facilitando la adopción y/o aprendizaje de las medidas adecuadas, minimizando el riesgo de pérdida de información digital o la interrupción de los servicios de la infraestructura tecnológica expuesta en el ciberespacio.

Controles

Responsable	Actividades
Propietarios de los Activos de Información	Reportar los eventos o incidentes de seguridad inmediatamente sean identificados, a Seguridad de la Información y a Soporte Técnico de la División de Desarrollo Tecnológico.
División de Desarrollo Tecnológico	Mantener actualizada la documentación de infraestructura tecnológica de la FUCS permitiendo establecer criticidad impacto y consecuencias de materialización de incidentes de seguridad. Asignar personal calificado, para realizar las pesquisas necesarias de los eventos o incidentes de seguridad reportados, con el fin de identificar sus causas y que permita proporcionar soluciones, así como prevenir su recurrencia. Establecer en conjunto con Seguridad de la Información, responsabilidades y procedimientos que permitan una respuesta rápida y efectiva a los eventos o incidentes de seguridad de la información. Implementar un sistema de gestión de conocimiento que permita tener respuesta rápida a eventos o incidentes conocidos, así como la documentación de los nuevos incidentes.
Comité de Seguridad de la Información	Apoyar las iniciativas de comunicación y sensibilización frente a los eventos de seguridad de la información.
Seguridad de la Información	Evaluar los eventos o incidentes de Seguridad de la Información, así como realizar el escalamiento al Comité de Seguridad de la Información para los casos que requieran evaluación conjunta. Realizar capacitaciones y/o sensibilizaciones con el fin de mitigar los riesgos que puedan estar asociados a eventos o incidentes de Seguridad de la Información y frente a los eventos o incidentes que ya han sido reportados y atendidos Mantener registro de todos los eventos reportados por los colaboradores, proveedores y/o terceros, sobre aquellas anomalías o debilidades que afectan la seguridad de la información, asegurando el registro de todos los factores que permitan tener estadísticas anuales de comportamiento de respuesta ante incidentes, aprender de lo ocurrido y establecer mejoras en las acciones de control y las políticas cuando sea necesario.
Usuarios	Reportar oportunamente cualquier evento que pueda ser clasificado como incidente para la seguridad de la información, así como la pérdida o divulgación no autorizada de información, comunicando lo correspondiente a Seguridad de la Información y a la División de Desarrollo Tecnológico para la gestión respectiva.

2. Desarrollo de gestión de vulnerabilidades.

La FUCS, a través de la División de Desarrollo Tecnológico y Seguridad de la Información, ejecutarán procedimientos que permitan conocer nuevas vulnerabilidades del software y sistemas de información de la plataforma tecnológica, con el objetivo de realizar remediación de los hallazgos encontrados en las pruebas realizadas.

Controles

Responsable	Actividades
División de Desarrollo Tecnológico	Coordinar y realizar directamente o a través de un tercero especializado, una vez al año, el análisis de vulnerabilidades técnicas a la infraestructura tecnológica de la FUCS. Liderar las tareas de remediación oportuna, así como establecer los planes de acción para ser ejecutadas por parte de desarrolladores y terceras partes que permita la mitigación de vulnerabilidades generadas por las pruebas realizadas.
Seguridad de la Información	Monitorear los resultados del análisis de vulnerabilidades, hacking ético, así como la remediación de las vulnerabilidades detectadas.

XIII. INCLUSIÓN DE SEGURIDAD DE LA INFORMACIÓN EN LA GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO.

1. Continuidad, contingencia, recuperación y retorno a la normalidad con consideraciones de seguridad de la información.

La FUCS establecerá procedimientos que permitan a través de recursos tecnológicos y humanos garantizar la puesta en marcha de los planes de contingencia y continuidad en caso de presentarse fallas en la plataforma o eventos catastróficos y que afecten la continuidad de la operación de la FUCS.

Se debe responder de manera oportuna y de acuerdo con la magnitud de afectación del servicio, el restablecimiento de las operaciones considerando el menor costo y pérdidas posibles, garantizando la seguridad de la información cuando se presenten este tipo de incidentes

Controles

Responsable	Actividades
Consejo Superior	Identificar y formalizar los procesos críticos en la Institución, como eje y punto de partida para orientar los recursos en caso de eventos que afectan la continuidad del servicio. Aceptar y reconocer las situaciones identificadas como emergencia o desastre para los procesos o áreas de la FUCS y apoyar los planes de acción para atender dichas situaciones, así como liderar los planes de continuidad del negocio y la recuperación ante desastres. Aprobar el análisis de impacto al negocio (BIA) y los análisis de riesgos de continuidad que permitan desarrollar estrategias de recuperación en las situaciones y que se active el plan de contingencia o continuidad. Aprobar los planes de contingencia, recuperación y regreso a la normalidad, que incluyan las medidas para garantizar la seguridad de la información, así como la documentación de las pruebas de dichos planes.
División de Desarrollo Tecnológico	Elaborar el plan de continuidad y recuperación para la infraestructura tecnológica de la FUCS, así como los procedimientos de contingencia, recuperación y regreso a la normalidad para cada uno de los servicios prestados.
Líderes de Proceso	Identificar y documentar al interior de las áreas los procedimientos de continuidad que podrían ser ejecutados en caso de presentarse situaciones adversas y que afecten la seguridad de la información. Es fundamental realizar pruebas sobre los procedimientos propuestos, para evaluar su efectividad. Realizar el análisis BIA (Business Impact Analysis) con el fin de identificar procesos críticos, tiempos mínimos de atención en las actividades del proceso, responsables, cargos, backups, ubicación de información relevante para el cumplimiento de las actividades críticas, con el acompañamiento de Seguridad de la Información.
Seguridad de la Información	Elaborar el Plan de Continuidad con las estrategias de recuperación frente a un evento de interrupción. Realizar capacitaciones y/o sensibilizaciones frente al plan de continuidad y el análisis BIA (Business Impact Analysis). Realizar una vez al año una prueba al plan de continuidad con el fin de evaluar su efectividad e identificar nuevos escenarios

2. Redundancias.

La FUCS propenderá por que la plataforma tecnológica sea redundante cumpliendo los requisitos de disponibilidad adecuados y tolerados por la operación de la Institución.

Controles

Responsable	Actividades
División de Desarrollo Tecnológico	Analizar y construir los requisitos de redundancia para los aplicativos de misión crítica, para la FUCS y la plataforma tecnológica que los soporta, realizando una constante evaluación que permita la mejora continua de estos procedimientos. Delegar la administración de los recursos destinados para la redundancia tecnológica, realizando la evaluación periódica que permita establecer el grado de disponibilidad de los servicios tecnológicos de la FUCS.
Seguridad de la Información	Documentar en el Plan de Continuidad la política de redundancia de los aplicativos de misión crítica de la FUCS, así como la plataforma tecnológica que los soporta.

XIV. CUMPLIMIENTO.

1. Cumplimiento de requisitos legales y contractuales.

La FUCS es responsable del licenciamiento y requisitos legales aplicables que den cumplimiento a las leyes, condiciones contractuales de cualquier requisito de seguridad de la información y de los derechos de autoría.

La FUCS establece que la información personal de los titulares de los datos personales, cuyo responsable del tratamiento es la FUCS, es de carácter confidencial, por lo cual se implementarán los controles necesarios para su protección y en ningún momento puede ser divulgada a terceras partes a menos que cuente con la autorización formal del titular, o en los casos en que la normatividad lo permita.

Es responsabilidad de Seguridad de la Información, propender por el cumplimiento de las políticas establecidas en este documento, registrar los procesos, procedimientos, manuales, instructivos, formatos y políticas específicas alineados al estándar internacional ISO internet27001:2013 y sus normas derivadas y otros marcos generalmente aceptados, así como, liderar la implementación de los controles exigidos por la ley y la regulación.

En las revisiones periódicas se deben tener en cuenta factores como: incidentes de seguridad, nuevas vulnerabilidades detectadas, cambios dentro de la infraestructura organizacional o tecnológica, cambios en los procesos, en los objetivos del sistema o de la FUCS, normatividad vigente, entre otros.

Controles

Responsable	Actividades
División Jurídica	Documentar, actualizar e identificar los requisitos legales, reglamentados y aplicados a contratos y a la seguridad de la información de la FUCS. Asesorar a la FUCS sobre los requisitos normativos y regulatorios dados por entes de control, así como de las obligaciones con terceros y colaboradores, siempre enmarcados dentro del cumplimiento de la legislación colombiana vigente. Identificar normatividad de cumplimiento frente a propiedad intelectual y derechos de autor, con el fin de establecer de manera adecuada en los contratos que se realicen con proveedores.
División de Desarrollo Tecnológico	Verificar que todo software y hardware que forme parte de los recursos tecnológicos de la FUCS, cuenten con el licenciamiento y estén custodiados por las normas y leyes de derechos de autor, o en su defecto sea licencia pública de libre distribución. Elaborar el inventario de software, de sistemas de información y de recursos digitales, que estén autorizados para ser usados en los computadores o recursos de la infraestructura tecnológica de la FUCS. De igual forma debe hacer revisiones periódicas para corroborar que el software instalado coincida con el autorizado. Los derechos de propiedad intelectual incluyen licencias de software, documentos generados como parte del conocimiento de la FUCS, propuestas comerciales y comercial que involucre la imagen de la institución. Todos los programas de software usados para el desarrollo de las actividades de la FUCS, deben incluir los avisos de información de derechos de autor correspondiente y estos deben aparecer cuando el usuario inicie la aplicación.
Seguridad de la Información	Garantizar la definición y cumplimiento de los requerimientos de seguridad de la Información y en conjunto con la División Jurídica establecer estos aspectos con las obligaciones contractuales específicas. Reportar a la División de Desarrollo Tecnológico cualquier aplicación ilegal, así como registrarlo en los eventos de Seguridad de la información. Identificar normatividad de cumplimiento frente a Seguridad de la Información.
Todos los Usuarios	Cumplir y obedecer con los acuerdos de licenciamiento de software y las leyes de derechos de autor. No están autorizados para instalar software o sistema de información en los computadores de trabajo o recursos de la infraestructura tecnológica de la FUCS suministrado para sus actividades. Los colaboradores de la FUCS no podrán acceder a páginas de internet relacionadas con contenidos diferentes a los que sean requeridos para el cumplimiento de sus funciones; así mismo, no está permitido la descarga, intercambio o instalación de aplicaciones de entretenimiento personal como; música, juegos, protectores de pantalla o aplicaciones sin costo, documentos o carpetas que contengan archivos ejecutables, que afecten los principios de Seguridad de la Información en la infraestructura tecnológica. En caso de requerir alguna descarga o software, debe ser solicitado a la División de Desarrollo Tecnológico, con previa autorización de Seguridad de la Información.
Proveedores	Deben existir acuerdos contractuales claramente definidos entre la FUCS y cualquier proveedor que realice actividades de desarrollo de software, en los cuales se especifiquen los compromisos de preservación de los derechos de propiedad intelectual.

2. Privacidad y protección de datos personales.

La FUCS como responsable del manejo de datos personales, propenderá por la protección de la información de sus colaboradores, estudiantes, proveedores y terceros de los cuales gestione información, dando cumplimiento a la Ley 1581 de 2012, el decreto 1074 de 2015 y demás normas vigentes sobre la materia que regulen el tratamiento de datos personales.

Se establecerán los términos, condiciones y finalidades para que la FUCS, como responsable de los datos personales recibidos por medio de sus distintos puntos de atención, realice la gestión correcta de los datos personales que recolecta en todo momento y de conformidad a las actividades derivadas de las funciones sustantivas.

Cuando se realice la contratación de un tercero para desarrollar o prestar algún servicio, se debe garantizar que cumpla con los deberes de encargado del tratamiento de la información, de acuerdo con lo establecido en las normas vigentes, así mismo, deberá implementar las medidas de Seguridad y Privacidad para la custodia de los datos personales

Controles

Responsable	Actividades
Áreas que Procesan Datos Personales	Para el procesamiento de datos personales de los titulares identificados en la Política de Protección de Datos Personales de la FUCS, se debe contar con la respectiva autorización del titular de la información para poder tratarla en el desarrollo de las acciones que se lleven a cabo por la FUCS. Asegurar el acceso a datos, sólo para aquellas personas de su área, que tengan una necesidad laboral legítima. Establecer condiciones contractuales, de seguridad y confidencialidad para aquellas entidades vinculadas o aliadas que tengan acceso a los datos. Acoger las instrucciones técnicas y procedimientos establecidos para el intercambio de datos, así mismo, con proveedores y terceros para el envío de información por cualquier medio. Conocer y aplicar la Política de Protección de Datos Personales publicada en la página web de la FUCS.
Seguridad de la Información	Dar acompañamiento a los controles de tratamiento de datos personales de los titulares identificados en la Política de Protección de Datos Personales de la FUCS. Supervisar y monitorear el cumplimiento de los controles establecidos en la Política de Protección de Datos Personales de la FUCS. Documentar y actualizar la Política de Protección de Datos personales de la FUCS cuando se requiera. Capacitar a los colaboradores sobre la protección de datos personales en la FUCS. Realizar seguimiento al programa integral de Gestión de Datos Personales. Atender las solicitudes judiciales y/o de entes de control que requieren datos personales de conformidad con la ley.
División Desarrollo Tecnológico	Crear controles que permitan proteger la información personal de los titulares identificados en la Política de Protección de Datos Personales de la FUCS, almacenada en las bases de datos o cualquier otro repositorio de información institucional y evitar manejo (divulgación, alteración o eliminación) sin la previa autorización del titular.
Todos los Usuarios	Guardar la reserva absoluta de la información y bases de datos a cargo de la FUCS que por cualquier motivo conozcan. Atender las solicitudes judiciales y/o de entes de control que requieren datos personales de conformidad con la ley.
Usuarios de los Portales de la FUCS	Asumir la responsabilidad personal sobre la contraseña de acceso a los portales que les es suministrada, así mismo, es necesario cambiar periódicamente esta contraseña. Tener controles de seguridad en sus dispositivos móviles, computadores o redes privadas para acceder a los portales de la FUCS. Atender las solicitudes judiciales y/o de entes de control que requieren datos personales de conformidad con la ley.

XV. TÉRMINOS Y DEFINICIONES.

Para los propósitos de esta política, se aplican los siguientes términos y definiciones:

Aceptación del riesgo: Decisión informada de aceptar las consecuencias y posibilidad de un riesgo particular. (NORMA TÉCNICA NTC COLOMBIANA 5254 – GESTIÓN DEL RIESGO)
Activo: Cualquier cosa que tiene valor para la organización. (NORMA TÉCNICA NTC-ISO/IEC COLOMBIANA 27002.TECNOLOGÍA DE LA INFORMACIÓN. TÉCNICAS DE SEGURIDAD. CÓDIGO DE PRÁCTICA PARA LA GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN)
Análisis de riesgos: Uso sistemático de la información para identificar las fuentes y estimar el riesgo. (NORMA TÉCNICA NTC-ISO/IEC COLOMBIANA 27002.TECNOLOGÍA DE LA INFORMACIÓN. TÉCNICAS DE SEGURIDAD. CÓDIGO DE PRÁCTICA PARA LA GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN)
Autenticidad: Busca asegurar la validez de la información en tiempo, forma y distribución. Así mismo, se garantiza el origen de la información, validando el emisor para evitar suplantación de identidades.
Auditabilidad: Define que todos los eventos de un sistema deben poder ser registrados para su control posterior.
Confidencialidad: Propiedad que determina que la información no esté disponible ni sea revelada a individuos, entidades o procesos no autorizados.
Declaración de aplicabilidad: Documento que describe los objetivos de control y los controles pertinentes y aplicables para el SGSI de la organización.
DDT: División de Desarrollo Tecnológico – FUCS.
Disponibilidad: Propiedad de que la información sea accesible y utilizable por solicitud de una entidad autorizada.
Evento de seguridad de la información: Es la presencia identificada de un estado del sistema, del servicio o de la red que indica un posible incumplimiento de la política de seguridad de la información, una falla de controles, o una situación previamente desconocida que puede ser pertinente para la seguridad. (NORMA TÉCNICA NTC-ISO/IEC COLOMBIANA 27002.TECNOLOGÍA DE LA INFORMACIÓN. TÉCNICAS DE SEGURIDAD. CÓDIGO DE PRÁCTICA PARA LA GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN).
Riesgo: Posibilidad de que suceda algo que tendrá impacto en los objetivos. Se mide en términos de consecuencias y posibilidad de ocurrencia. (NORMA TÉCNICA NTC COLOMBIANA 5254 – GESTIÓN DEL RIESGO).
Gestión del riesgo: Cultura, procesos y estructuras que se dirigen hacia la gestión eficaz de las oportunidades potenciales y los efectos adversos. (NORMA TÉCNICA NTC COLOMBIANA 5254 – GESTIÓN DEL RIESGO).
Evaluación del riesgo: Proceso usado para determinar las prioridades de gestión del riesgo mediante la comparación del nivel de riesgo contra normas predeterminadas, niveles de riesgo objeto u otros criterios. (NORMA TÉCNICA NTC COLOMBIANA 5254 – GESTIÓN DEL RIESGO).

Riesgo residual: Nivel restante de riesgo después de que se han tomado medidas de tratamiento del riesgo. (NORMA TÉCNICA NTC COLOMBIANA 5254 – GESTIÓN DEL RIESGO).

Incidente de seguridad de la información: Un incidente de seguridad de la información está indicado por un solo evento o una serie de eventos inesperados o no deseados de seguridad de la información que tienen una probabilidad significativa de comprometer las operaciones del negocio y amenazar la seguridad de la información. (NORMA TÉCNICA NTC-ISO/IEC COLOMBIANA 27002.TECNOLOGÍA DE LA INFORMACIÓN. TÉCNICAS DE SEGURIDAD. CÓDIGO DE PRÁCTICA PARA LA GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN)

Información: Se refiere a toda comunicación o representación de conocimiento como datos, en cualquier forma, (textos, numéricas, gráficas, narrativas o audiovisuales) y en cualquier medio, ya sea magnético, en papel, audiovisual u otro.

Integridad: Propiedad de salvaguardar la exactitud y estado completo de los activos.
Legalidad: Se refiere al cumplimiento de las leyes, medidas, reglamentaciones o disposiciones a las que está sujeta la Institución.
Protección a la duplicación: Consiste en asegurar que una transacción sólo se realiza una vez, a menos que se especifique lo contrario.
No repudio: Se refiere a evitar que una entidad que haya enviado o recibido información alegue ante terceros que no la envió o recibió.
Seguridad de la información: Preservación de la confidencialidad, integridad y disponibilidad de la información, además, otras propiedades tales como autenticidad, responsabilidad, no-repudio y confiabilidad pueden estar involucradas. (NORMA TÉCNICA NTC-ISO/IEC COLOMBIANA 27002.TECNOLOGÍA DE LA INFORMACIÓN. TÉCNICAS DE SEGURIDAD. CÓDIGO DE PRÁCTICA PARA LA GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN)
Sistema de Información: Se refiere al conjunto independiente de recursos de información organizados para la recopilación, procesamiento, mantenimiento, transmisión y difusión de información según determinados procedimientos, tanto automatizados como manuales.
Tecnología de la Información: Se refiere al hardware y software operados por la institución o por un tercero que procese información en su nombre, para llevar a cabo una función propia de la FUCS, sin tener en cuenta la tecnología utilizada, ya se trate de computación de datos, telecomunicaciones u otros.
Tratamiento del riesgo: Selección e implementación de las opciones apropiadas para ocuparse del riesgo. (NORMA TÉCNICA NTC COLOMBIANA 5254 – GESTIÓN DEL RIESGO).
Valoración del riesgo: Proceso general de análisis del riesgo y evaluación del riesgo. (NORMA TÉCNICA NTC COLOMBIANA 5254 – GESTIÓN DEL RIESGO).
Organización de la Seguridad: Facilita la gestión de la seguridad de la información dentro de la institución.
Gestión de Activos de Información: Permite proteger los activos de información institucional.
Monitorear: Verificar, supervisar, observar de forma crítica, o registrar el progreso de una actividad, acción o sistema, en forma regular, a fin de identificar cambios. (NORMA TÉCNICA NTC COLOMBIANA 5254 – GESTIÓN DEL RIESGO).

Seguridad del Talento Humano: Define la adecuada segregación de funciones y de reducir los riesgos de error humano y/o comisión de ilícitos, se deben considerar tanto colaboradores internos como personal de terceros que tengan relación con la FUCS.
Seguridad física y del entorno: Permite definir controles que eviten accesos no autorizados tanto a instalaciones e información.
Gestión de Comunicaciones y Operaciones: Establece controles para garantizar el correcto funcionamiento de los equipos de procesamiento de la información.
Control de Acceso: Definir controles para limitar el acceso lógico a la información y a los espacios donde se procese información.
Adquisición, Mantenimiento y Desarrollo de Sistemas de Información: Define controles con el fin de racionalizar gastos integrales de los sistemas de información institucionales.
Gestión de incidentes de seguridad de la información: Actividades orientadas a gestionar los incidentes presentados y tomar las acciones necesarias de prevención y corrección.
Continuidad tecnológica de la FUCS: Dirigido a contrarrestar las interrupciones de las actividades basadas en la tecnología, resguardar los procesos críticos, de cualquier efecto generado por fallas significativas o desastres y determinar los planes de recuperación.
Cumplimiento de requisitos legales: Pretende impedir infracciones y violaciones de cualquier ley, obligación, reglamento establecidas en contratos y de cualquier requisito de seguridad.
Tercera parte: Persona u organismo reconocido por ser independiente de las partes involucradas, con relación al asunto en cuestión. (NORMA TÉCNICA NTC-ISO/IEC COLOMBIANA 27002.TECNOLOGÍA DE LA INFORMACIÓN. TÉCNICAS DE SEGURIDAD. CÓDIGO DE PRÁCTICA PARA LA GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN)
Amenaza: Causa potencial de un incidente no deseado, que puede ocasionar daño a un sistema u organización. (NORMA TÉCNICA NTC-ISO/IEC COLOMBIANA 27002.TECNOLOGÍA DE LA INFORMACIÓN. TÉCNICAS DE SEGURIDAD. CÓDIGO DE PRÁCTICA PARA LA GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN)
Vulnerabilidad: Debilidad de un activo o grupo de activos que puede ser aprovechada por una o más amenazas. (NORMA TÉCNICA NTC-ISO/IEC COLOMBIANA 27002.TECNOLOGÍA DE LA INFORMACIÓN. TÉCNICAS DE SEGURIDAD. CÓDIGO DE PRÁCTICA PARA LA GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN)

XVI. SANCIONES POR EL INCUMPLIMIENTO A LAS POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN.

La Política de Seguridad de la Información, pretende instituir y afianzar la cultura de información segura, en los colaboradores, estudiantes, personal externo y proveedores de la FUCS. La violación a la Política de Seguridad de la Información puede acarrear acciones disciplinarias.

XVII. FECHA DE APROBACIÓN DE LA POLÍTICA Y ENTRADA EN VIGOR

Tabla 3 Control cambios

Versión

Fecha Aprobación

Descripción del cambio

2019

La política ha sido aprobada por el Consejo Superior en sesión No. 516 del 24 de septiembre de 2019, mediante Acuerdo No. 4476 de la misma fecha.

2023

La política ha sido modificada por el Consejo Superior en sesión No. 603 de 2023 mediante Acuerdo No. 5807 de 2023 que derogó al Acuerdo No. 4476 de 2019 y empezará a regir a partir de su publicación en la página web institucional.

Cambió su definición de Manual de Políticas de Seguridad de la Información a Política de Seguridad de la Información.

Se efectúan cambios adicionales con base en lo definido en el Acuerdo 5674 del Consejo Superior, del 13 de diciembre de 2022, Declaración de Políticas Institucionales.

Descargue aquí la política en versión PDF

Acuerdo de la política

Fecha última actualización: 22/09/2023