English Imagen: Escuela Tecnológica Instituto T&eacutecnico Central. Establecimiento Público de Educación. Colombia

Seguridad de la Información

Modelo de Seguridad de la Información (MSPI) y Sistema de Seguridad y Privacidad de la Información (SGSI)

Alcance MSPI y SGSI

La Escuela Tecnológica Instituto Técnico Central, a través de su Sistema de Gestión de Seguridad de la Información y el Modelo de Seguridad y Privacidad de la Información, dicta el cumplimiento de los requisitos y lineamientos, que tienen como objetivo, gestionar adecuadamente la seguridad de la información, la gestión de activos, la gestión de riesgos y la continuidad en la prestación del servicio de formación académica. Dichos requisitos y lineamientos serán aplicados a los procesos estratégicos, misionales, de apoyo y de evaluación de la Escuela, por tal motivo, deberán ser conocidos y cumplidos por todo el personal (funcionarios, colaboradores y terceros) que accedan a los sistemas de información e instalaciones físicas de la Institución.

El Sistema de Gestión de Seguridad de la Información y el Modelo de Seguridad y Privacidad de la Información, se encuentran basados, en el marco de lo establecido, en la norma internacional ISO 27001 de 2013 y los componentes estratégicos de Gobierno en Línea, este último desarrollado por el Ministerio de Tecnologías de la Información y las Comunicaciones en Colombia.

Política General de Seguridad de la Información

La Escuela Tecnológica Instituto Técnico Central (ETITC), es un establecimiento público de Educación Superior, de carácter académico, de Orden Nacional, con personería jurídica, autonomía administrativa y patrimonio independiente, adscrito al Ministerio de Educación Nacional. Adicional, consciente de la importancia que la seguridad de la información tiene para el desarrollo y buen funcionamiento de sus procesos internos, ha decidido implementar un Sistema de Gestión de Seguridad de la Información (SGSI), basado en la norma internacional ISO 27001 de 2013 y un Modelo de Seguridad y Privacidad de la Información (MSPI), de Gobierno en Línea (GEL), suscribiendo la presente política.

La ETITC establece, define y revisa unos objetivos, dentro del SGSI y el MSPI de GEL, encaminados a mejorar su seguridad, entendiéndola como la preservación de la confidencialidad, integridad y disponibilidad de la información, así como de los sistemas que la soportan, incrementando los niveles de confianza en los servidores públicos, estudiantes, acudientes y otras partes interesadas, todo lo anterior, es fortalecido mediante el cumplimiento de todos los requisitos legales, reglamentarios y contractuales, que le sean de aplicación.

El diseño, implantación y mantenimiento del SGSI y el MSPI de GEL, se apoyará en los resultados de un proceso continuo de análisis y valoración del riesgo, del que se derivan las actuaciones a desarrollar, en materia de seguridad, dentro del alcance del SGSI y el MSPI de GEL, aprobado por la Alta Dirección de la ETITC, guardando una estrecha relación con la declaración de aplicabilidad vigente.

La Alta Dirección de la ETITC establecerá los criterios de evaluación del riesgo, de manera que todos aquellos escenarios, que impiden un nivel de riesgo aceptable, sean tratados adecuadamente y mitigados, adicional, la Alta Dirección desarrollará, implantará y mantendrá actualizado un Plan de Continuidad del Negocio, acorde a las necesidades de la Escuela y dimensionado a los riesgos que le afectan.

La Alta Dirección de la ETITC se compromete a la implantación, mantenimiento y mejora del SGSI y el MSPI de GEL, dotándolos de aquellos medios y recursos que sean necesarios e instando a todos los servidores públicos, proveedores y partes interesadas, para que asuman este compromiso. Para ello, la ETITC implantará las medidas requeridas para la formación y concienciación de los servidores públicos, proveedores y partes interesadas, en temas de seguridad de la información. A su vez, cuando exista una violación de las políticas de seguridad de la información, aprobadas por la Alta Dirección, la ETITC se reserva el derecho de aplicar las medidas disciplinarias, acordes a los compromisos laborales de los servidores públicos, proveedores y partes interesadas, dentro del marco legal aplicable y dimensionadas al impacto que tengan sobre la Escuela.

La responsabilidad general de la seguridad de la información en la ETITC, recaerá sobre la Alta Dirección y el Profesional de Seguridad de la Información contratado. Por otro lado, todos los servidores públicos, proveedores y partes interesadas, tendrán la obligación de reportar los incidentes, en materia de seguridad, haciendo uso de las directrices establecidas por la ETITC.

Todo lo definido en la Política General de Seguridad de la Información se concretará y desarrollará, mediante las buenas prácticas de GEL, normativas internacionales y procedimientos incluidos en el Sistema de Gestión de Calidad de la Institución, las cuales se integrarán, en la medida de lo posible, con otros sistemas de gestión de la Escuela, compartiendo aquellos recursos en pro de la optimización y buscando la mejora continua de la eficacia y eficiencia de la gestión de los procesos institucionales.

La presente Política General de Seguridad de la Información, será aplicada por todos los servidores públicos, proveedores y partes interesadas del SGSI, MSPI de GEL y recursos que se encuentran incluidos en el alcance del SGSI y el MSPI de GEL. Adicional, es socializada al interior de la ETITC y comunicada a las partes interesadas.

Objetivo General

El objetivo principal de la seguridad de la información es mantener un ambiente razonablemente seguro, alineado a la misión de la Escuela Tecnológica Instituto Técnico Central y que permita proteger los activos de información de la misma, así como el uso adecuado de los recursos y gestión del riesgo, con el fin de preservar la disponibilidad, integridad y confidencialidad de la información y el aseguramiento de la continuidad del negocio.

Objetivos Especificos

  • Proteger los activos de información de la ETITC, con base en los criterios de confidencialidad, integridad y disponibilidad.
  • Administrar los riesgos de seguridad de la información para mantenerlos en niveles aceptables.
  • Sensibilizar y capacitar a los servidores públicos, proveedores y partes interesadas acerca del Sistema de Gestión de Seguridad de la Información y el Modelo de Seguridad y Privacidad de la Información, de Gobierno en Línea, fortaleciendo el nivel de conciencia de los mismos, en cuanto a la necesidad de salvaguardar los activos de información institucionales.
  • Monitorear el cumplimiento de los requisitos de seguridad de la información, mediante el uso de herramientas de diagnóstico, revisiones por parte de la Alta Dirección y auditorías internas planificadas a intervalos regulares.
  • Implementar acciones correctivas y de mejora para el Sistema de Gestión de Seguridad de la Información y el Modelo de Seguridad y Privacidad de la Información, de Gobierno en Línea.

Fase Diagnostico

Compromiso de Apoyo al SGSI y al MSPI de GEL

Fase Planificación

Alcance del SGSI y el MSPI
Politica y Objetivos del SGSI y el MSPI 
Manual de Politicas de Seguridad de la Información
Propuesta de Resolución para Conformar un Comite de Seguridad de la Información

Resoluciones

Resolución 349 de 26 de Septiembre de 2016 - Por la cual se conforma el Comité de Seguridad de la Información de la Escuela Tecnológica Instituto Técnico Central y se definen sus funciones

Procedimientos

GDC-PC-01 Procedimiento Control de Documentos
GIC-PC-05 Procedimiento de Copia de Respaldo de la Información

GIC-PC-10 Clasificación y Etiquetado de la Información

GIC-PC-13 Contacto con las Autoridades
GIC-PC-14 Autorización de Acceso a la Red Institucional
GIC-PC-15 Asignación de Acceso a los Sistemas de Información 
GIC-PC-16 Creación de Cuentas de Correo Electrónico Institucional
GIC-PC-17 Restauración de la Información 
GIC-PC-18 Contingencia, Recuperación y Retorno a la Normalidad 
GIC-PC-20 Intercambio de Información Digital 
GIC-PC-21 Intercambio de Información Física