ANALISIS DE LA POLITICA DE SEGURIDAD DE LA INFORMACION

PARA EL INSTITUTO NACIONAL DE VIGILANCIA DE MEDICAMENTOS Y ALIMENTOS

“INVIMA”

INVIMA:

INVIMA, es el Instituto Nacional de Vigilancia de Medicamentos y Alimentos, es una entidad de

vigilancia y control de carácter técnico científico, que trabaja para la protección de la salud
individual y colectiva de los colombianos, mediante la aplicación de las normas sanitarias asociada
al consumo y uso de alimentos, medicamentos, dispositivos médicos y otros productos objeto de
vigilancia sanitaria.

1. OBJETIVOS
1.1. OBJETIVO GENERAL

Determinar los lineamientos que permitan proteger la Información del Invima a través de
acciones de aseguramiento de la Información teniendo en cuenta los requisitos legales,
operativos, tecnológicos, de seguridad y de la entidad alineados con el contexto de
direccionamiento estratégico y de gestión del riesgo con el fin de asegurar el cumplimiento
de la integridad, no repudio, disponibilidad, legalidad y confidencialidad de la información.

Aportes en el Base legal Aplicación

cual se rigen.
Nomas norma ISO Aplicando la norma ISO 27001 para desarrollar un Sistema de
27001 Gestión de Seguridad de la Información (SGSI).
Requisitos LEY 1273 Esta ley Modifica el Código Penal, se crea un nuevo bien
legales DE 2009 jurídico tutelado - denominado “de la protección de la
información y de los datos”- y se preservan integralmente los
sistemas que utilicen las tecnologías de la información y las
comunicaciones, entre otras disposiciones.
Cuando estas bases de datos o archivos vayan a ser
Ley 1581 de suministrados a terceros se deberá, de manera previa, informar
2012 Nivel al Titular y solicitar su autorización. En este caso los
Nacional Responsables y Encargados de las bases de datos y archivos
quedarán sujetos a las disposiciones contenidas en la presente
ley;
Plan Norma ISO El dominio política de seguridad y es complemento de la norma
operativo 27002 ISO 27001
 1.2. OBJETIVOS ESPECÍFICOS
El Invima, para el cumplimiento de su misión, visión, objetivos estratégicos y alineados a
sus valores corporativos, establece la función de Seguridad de la Información en la
Entidad, con el objetivo de:
- Mantener la confianza de los ciudadanos
en general y el compromiso de todos los
funcionarios, contratistas o practicantes
del Instituto respecto al correcto manejo y
protección de la información que es
gestionada y resguardada en el Invima.
- Identificar e implementar las tecnologías
necesarias para fortalecer la función de la
seguridad de la información.
- Implementar el Sistema de Gestión de
Seguridad de la Información.
- Proteger la información y los activos
tecnológicos de la Institución
- Asegurar la identificación y gestión de los
riegos a los cuales se expone los activos
de información del Instituto.
- Cumplir con los principios de seguridad
de la información: disponibilidad,
integridad y confidencialidad.
- Atender las necesidades para el
cumplimiento de la función administrativa.
- Proteger la información y los activos
tecnológicos de la Institución.
- Concientizar a los funcionarios,
contratistas y practicantes del Instituto
sobre el uso adecuado de los activos de
información puestos a su disposición para
la realización de las funciones y
actividades diarias, garantizando la
confidencialidad, la privacidad y la
integridad de la información
- Dar cumplimiento a los lineamientos
establecidos en la Estrategia de Gobierno
en Línea respecto a la Seguridad de la
Información.
Es una política de ética y seguridad de la
empresa, que se aplica basándose a la ley
estatutaria de Colombia para la protección
de datos personales, LEY ESTATUTARIA
1581 DE 2012
Según la necesidad de la empresa y de su plan
operativo al cual se rige esta.
Aplicada a la norma ISO 27001, para su
correcto cumplimiento.
Basándose a la LEY 1273 DE 2009, aprobada
por el congreso de Colombia.
Es un punto muy importante dentro de sus
lineamientos de política de seguridad de la
empresa, es la adecuada y oportuna
identificación de los posibles riesgos a la cual
está expuesta la empresa.
Cimientos en la cual se basa los lineamientos
de la empresa, para el adecuado cumplimiento
de su seguridad de información.
La empresa genera un ambiente de trabajo
saludable, mediante una adecuada
comunicación entre sus empleados y los jefes.
Tener un plan de contingencia en el cual se
pueda preservar la información y la disposición
de equipos tecnológicos, para cumplir sus
actividades de forma normal.
La empresa emplea recursos para
concientizar a sus empleados sobre los
peligros al cual están expuestos, si no se
aplican de forma adecuada sus políticas de
seguridad de la información.
Cada uno de estos lineamientos son
evaluados según la necesidad de la empresa
para el correcto funcionamiento de sus
protocolos de seguridad.
2. ALCANCE
La Política de Seguridad de la Información aplica a todo el Instituto, sus funcionarios,
contratistas y practicantes del Invima, que tengan acceso a información a través de los
documentos, equipos de cómputo, infraestructura tecnológica y canales de comunicación de la
Institución.

1. La empresa debe de aplicar más 3. El departamento de seguridad e informática, debe

recursos hacia la concientización de estar bien organizada por sub áreas el cual se
de sus empleados, sobre los enfoquen en puntos precisos, como área de
riesgos y peligros al cual están sistemas, seguridad de la información, soporte,
sujetos siempre bases legales, etc. Para así poder realizar un mejor
desenvolvimiento de sus empleados.
2. Cada jefe de área es
responsable de verificar si se está
cumpliendo a detalle todos los
lineamientos establecidos por la
empresa en sus políticas de
seguridad.

3. DEFINICIONES
Activo1 (asset): Todo lo que tiene valor para la Organización.Hay varios tipos de activos entre
los que se incluyen:

 Información
 Software, como un programa de cómputo.
 Físico, como un computador
 Servicios
 Personas, sus calificaciones, habilidades y experiencia;
 Intangibles, tales como la reputación y la imagen
7. LINEAMIENTOS POLITICA DE SEGURIDAD DE LA INFORMACION
Son las disposiciones de la organización en cuanto a los usos de los distintos dispositivos y
servicios que posee.

8. DOCUMENTO DE APROBACION
Se describe a mayor profundidad el documento aprobado en el cual se presentan los objetivos,
tipos de cuenta, responsabilidades y todos los lineamientos que serán aplicados a la política
de la seguridad de la información que se aplicara en la organización.
1. USO DE USUARIOS Y CONTRASEÑAS
Todos los trabajadores poseen un usuario y contraseña con el cual pueden operar, realizar
consultas y proteger la información de la empresa.
Se basa en 3 objetivos:
 Presentar y hacer una directriz a los trabajadores respecto al uso de los usuarios,
así como aplicas la iso 27001.
 Aplicar una técnica antes posibles riesgos y el uso adecuado de los usuarios, como
el hecho que no puede ser transferible.
 Verificar el uso correcto de la información que se maneja.
Se hace ver que la entrega de usuarios y contraseñas deben de seguir un proceso, algún
cambio que se presente solo los jefes de las áreas pueden pedirlo, en caso se requiera
saber nuevamente el usuario y contraseña se debe de enviar un escrito a la oficina de
soporte tecnológico, y ojo al observar algún usuario sospechoso que pueda afectar la
integridad de la información se le suspende y se toman medidas necesarias a
consideración de la oficina de tecnología de la información.

Cuentas de usuario:
Se presentan dos cuentas una para los sistemas que se usan y otra para la administración
de los sistemas.
Donde cada usuario tiene un rol en específico además de ello se presentan políticas para
proteger la información, y el correcto manejo.
Políticas:

1) Todas las contraseñas de usuarios administradores deben ser cambiadas al menos

cada 3 meses.
 2) Todas las contraseñas de usuario de sistema de información deben ser cambiadas
al menos cada 3 meses.
3) Todas las contraseñas deben ser tratadas con carácter confidencial.
4) Las contraseñas de ninguna manera podrán ser transmitidas mediante servicios de
mensajería electrónica instantánea ni vía telefónica.
5) Se evitará mencionar y en la medida de lo posible, teclear las contraseñas en frente
de otros.
6) Se evitará el revelar contraseñas en cuestionarios, reportes o formularios.
7) Se evitará el utilizar la misma contraseña para acceso a los sistemas operativos y/o
a las bases de datos u otras aplicaciones.
8) Se evitará el activar o hacer uso de la utilidad de recordar clave o recordar Password
de las aplicaciones.

Se describe el uso adecuado e indebido de los 2 usuarios, que se amparan en la

protección de la información, que a simple vista parecen ridículos, pero puede ser el origen
de una amenaza.
Se describe las responsabilidades para todo tipo de trabajador y practicantes para aplicar
dicho lineamiento y ante cualquier fallo, suplantación, o perdida de información se deben
de comunicar al área de soporte tecnológico, como debería de suceder en toda empresa,
pero muchas de ellas modifican los datos sin darse cuenta de cuan importantes y sobre
todo atentan contra la integridad del mismo.
2. USO DEL SERVICIO DE CORREO ELECTRÓNICO DEL INVIMA
Es un servicio el cual solo los trabajadores de Invima que esten autorizados usan para
comunicarse o transferir información.
Objetivos
 Incentiva el uso solo para temas laborales
 Asegura el correcto manejo de información.
 Aplica una de las dimensiones de la seguridad que es la confidencialidad de
información.
Solo los jefes pueden pedir información de usuario y contraseña, además si en 5 intentos
no se logra acceder esta se bloquea y demora 30 minutos para que sea desbloqueada
o solicitarla a la oficina correspondiente.
 Tipos de cuenta:
 Cuentas personales: Todo tipo de trabajador de la empresa.
 Cuentas de trabajo o grupo de apoyo: Para los jefes de cada área.
 Cuentas temporales: Cuando se dan contratos temporales o provisionales.
Se hacen saber sus usos correctos e indebidos para el correcto uso de los correos de
Invima donde aparte del uso estricto para el tema laboral esta debe de cumplir con
restricciones como incluso si el correo no cumple como pide una plantilla esta se considera
como uso incorrecto.
El uso inapropiado o el abuso en el servicio de correo electrónico ocasionan la
desactivación temporal o permanente de las cuentas. La desactivación de la cuenta lleva
consigo la imposibilidad de acceder a los mensajes de correo que estén en ese momento
en el servidor y la imposibilidad de recibir nuevos mientras no vuelva a ser activada.
Ojo dentro de esto esta contemplado el no envió de spams como se vio en la clase, que
avecés puede ser causante de un virus que puede contener una url dañina que puede
poner en riesgo la información de Invima.
Monitoreo:

La Oficina de Tecnologías de la Información y/o el Grupo de Soporte Técnico pueden

monitorear el cumplimiento de las directrices institucionales en el momento que así lo
considere o le sea requerido, con las autorizaciones pertinentes para asegurar la
integridad y confidencialidad del sistema.

3. USO DELSERVICIO DE INTERNET/INTRANET DEL INVIMA

Objetivos
 Incentivar el uso del servicio de Internet/Intranet para fines estrictamente laborales del
Invima.
 Asegurar el correcto manejo de la información privada de la Institución.
 Garantizar la confidencialidad, la privacidad y de uso adecuado y moderado de la
información a través de este servicio.
El uso es exclusivamente para los trabajadores y están conectada en los equipos, el uso
se da desde la página web de Invima.

Uso correcto
 El uso es netamente laboral y se tiene que tener medidas de seguridad al momento de
descarga de archivos
Uso indebido
El usar para uso personal que no estén relacionados a la empresa, como apuestas, ver
videos o afines, o compartir información de Invima a 3ceros.
Responsabilidades
Cada persona que hace uso de internet debe de tener en conocimiento que al estar en red
puede haber algún tipo de vulnerabilidad que puede poner en riesgo la información de
Invima por ello deben de ser muy responsables con las acciones que se haga.
Monitoreo
Los funcionarios, contratistas y practicantes deben estar al tanto que se registra por cada
usuario las visitas a los diferentes sitios y se registra estos eventos en archivos de auditoria
tanto en las computadoras, propias o contratadas, como en los servidores donde se
administran estos servicios, este punto es muy importante pues con eso se puede
determinar quien hace uso correcto del Intranet/internet.

4. USO DE SERVICIO DE MENSAJERÍA INSTANTÁNEA

Este lineamiento consiste en un servicio de comunicación de tiempo real entre dispositivos
como computadoras, tabletas, celulares, etc.
La mensajería instantánea se utilizar en tu empresa para que los empleados entren en
contacto entre sí rápidamente. La transferencia de datos suele ser rápida, por lo que
cualquier tarea tendrá un mínimo de tiempo para ser completada.
Dicho alineamiento plantea los siguientes objetivos:
 Proporcionar el uso del servicio de mensajería instantánea para fines
estrictamente laborales.
 Garantizar la seguridad de la información mediante la implementación de buenas
prácticas al hacer uso de programas de mensajería instantánea minimizando los
riesgos que se puedan presentar.
 Garantizar la confidencialidad, la privacidad y el uso adecuado y moderado del
mismo.
5. USO DE DISPOSITIVOS DE ALMACENAMIENTO EXTERNO
Uso de dispositivos de almacenamiento externo en los equipos de cómputo de los
usuarios es una práctica que, aunque puede ser una herramienta útil de trabajo, tiene
implícitos algunos riesgos que pueden afectar los principios de confidencialidad, integridad
y disponibilidad de la información, por lo tanto, su uso y aplicación debe ser controlado.
Dicho alineamiento plantea los siguientes objetivos:
 Se debe evitar el Uso de dispositivos de almacenamiento externo en equipos de
escritorio.
 El usuario que autoriza y dispone el recurso compartido es el responsable por las
acciones y los accesos sobre la información contenida en dicha carpeta.
 Se debe definir el tipo de acceso y los roles estrictamente necesarios sobre la carpeta
(lectura, escritura, modificación y borrado).
 Debe tenerse claramente especificado el límite de tiempo durante el cual estará
publicada la información y compartido el recurso en el equipo.
 Si se trata de información confidencial o crítica para la empresa, deben utilizarse las
carpetas destinadas para tal fin en el servidor de archivos de usuarios, para que sean
incluidos en las copias diarias de respaldo de información o implementar herramientas
para el respaldo continuo de información sobre dichos equipos.
 El acceso a carpetas compartidas debe delimitarse a los usuarios que las necesitan y
deben ser protegidas con contraseñas.
 No se debe permitir el acceso a dichas carpetas a usuarios que no cuenten con
antivirus corporativo actualizado.
6. USO DE DISPOSITIVOS DE CAPTURA DE IMÁGENES Y/O GRABACIÓN DE VIDEO

Este lineamiento de refiere el uso restricciones de cámaras fotográficas, cámaras de video

y demás dispositivos que permiten el registro de imágenes, fotografías o videos en el
interior de una organización.

Dicho alineamiento plantea los siguientes objetivos:

 Restringir el uso de este tipo de dispositivos en el área de manejo de información
altamente sensible y confidencial.
 Concientizar a los trabajadores de la organización sobre los riesgos asociados al uso de
dispositivos de registro de imágenes y videos.
7. USO DE ESCRITORIOS Y PANTALLAS DESPEJADAS
Este lineamiento se refiere a los mecanismos de seguridad de información que se van a
ejecutar en cuanto al uso de escritorios y puestos de trabajo existentes en la empresa,
además de la información digital almacenada en los computadores e infraestructura
técnica que está a disposición de los trabajadores.
Dicho alineamiento plantea los siguientes objetivos:
 Garantizar la confidencialidad, privacidad y uso adecuado de la información.
Este objetivo se basa en la dimensión de la confidencialidad de la información.
 Crear conciencia sobre los riesgos asociados al manejo de información y la manera de
reducirlos.
Este objetivo busca que la información se mantenga de manera íntegra y que se
controle de manera consciente, procurando la confidencialidad de los datos.
Cumpliendo así con las dimensiones de control, confidencialidad e integridad de la
información.
 Especificar las recomendaciones necesarias para mantener las pantallas y escritorios
organizados y controlando la información reservada a la vista.
Este objetivo pretende asegurar el control y confidencialidad de la información de la
empresa, que son dimensiones que debe poseer la seguridad de la información.
En cuanto al uso de escritorios y pantallas se establecen ciertas reglas de trabajo
que los trabajadores de la empresa deben de cumplir como, por ejemplo:
 Mantener organizados los puestos y áreas de trabajo, para evitar que documentos
importantes estén al alcance de personas no autorizadas para su manejo.
 Evitar el retiro de documentos fuera de la organización y sin ningún permiso.
 Evitar todo tipo de reproducción no autorizada de documentación (copiado o impresión)
clasificada de la empresa.
 Los computadores deben ser bloqueados o apagados por los trabajadores para evitar
que personas no autorizadas tengan acceso a la información.
 Los computadores están bajo la total responsabilidad de los trabajadores que lo
manejen.
 Toda información debe estar clasificada y almacenada en carpetas.
 La Oficina de Tecnologías de la Información es la encargada de configurar y monitorear
las estaciones de trabajo (computadores, monitores) y generar el respectivo reporte.
8. USO DE DISPOSITIVOS MÓVILES (TABLETS)
Este lineamiento se refiere al uso de dispositivos móviles, el cual se aplica a todos los
trabajadores. Además, integra los 3 ejes que involucra la seguridad de la información:
Personas, procesos y tecnología
Dicho alineamiento plantea los siguientes objetivos:
 Garantizar la confidencialidad, privacidad y uso adecuado de la información.
Este objetivo se basa en la dimensión de la confidencialidad de la información.
 Crear conciencia sobre los riesgos asociados al manejo de información haciendo uso de
dispositivos móviles y la manera de reducir dichos riesgos.
Este objetivo busca que la información, que se maneja a través de dispositivos móviles,
se controle de manera íntegra y consciente, procurando la confidencialidad de los datos.
Cumpliendo así con las dimensiones de control, confidencialidad e integridad de la
información.
 Especificar las pautas necesarias para mantener la operación y transmisión de la
información a través de los dispositivos móviles que usen los trabajadores.
Este objetivo pretende asegurar el control y confidencialidad de la información de la
empresa que maneja a través de dispositivos móviles. Estas son dimensiones que debe
poseer la seguridad de la información.

En cuanto al uso de dispositivos móviles dentro de la empresa, se establecen ciertas

reglas de trabajo que los trabajadores de la empresa deben de cumplir, como, por
ejemplo:
 Establecer las configuraciones aceptables para los dispositivos móviles de la empresa,
que manejen información.
 Determinar métodos de protección de acceso (contraseñas y patrones) para los
dispositivos móviles de la empresa, los cuales serán entregados a los usuarios
correspondientes.
 Implementar el uso de copias de seguridad para la información contenida en los
dispositivos móviles de la empresa.
 Los usuarios deben evitar usar los dispositivos móviles en lugares que no les ofrezcan
las garantías de seguridad.
 Abstenerse de almacenar información, videos o fotografías personales en los
dispositivos, que solo deben ser usados para fines de trabajo propios de la empresa.
9. CONEXIONES REMOTAS
Este lineamiento se refiere a las conexiones remotas para el acceso a la información de
la empresa, para todos los empleados. El desarrollo de estas actividades no debe
realizarse en horarios fuera de los normales o desde ubicaciones fuera de la empresa.
Dicho alineamiento plantea los siguientes objetivos:
 Garantizar la confidencialidad, privacidad y uso moderado de la información.
Este objetivo se basa en la dimensión de la confidencialidad de la información.
 Crear conciencia sobre los riesgos asociados al manejo de información haciendo uso de
las plataformas institucionales y la manera de reducir dichos riesgos.
Este objetivo busca que la información, que se maneja haciendo uso de las plataformas
institucionales, se controle de manera íntegra y consciente, procurando la
confidencialidad de los datos. Cumpliendo así con las dimensiones de control,
confidencialidad e integridad de la información.
 Especificar las pautas necesarias para mantener organizado y resguardado los
elementos de protección que aseguren la conexión remota.
Este objetivo pretende asegurar el control de los elementos de la conexión remota a las
plataformas institucionales. Aquí se menciona la dimensión de control que debe poseer
la seguridad de la información.
En cuanto al acceso de conexiones remotas dentro de la empresa, se establecen ciertas
reglas de trabajo que los trabajadores de la empresa deben de cumplir, como por
ejemplo:
 Establecer e implementar las configuraciones de conexión remota a la plataforma
tecnológica de la empresa.
 Restringir las conexiones remotas a los recursos de las plataformas tecnológicas,
únicamente permitírselo a los usuarios autorizados.
 Mantener en total reserva las direcciones de entrada a las direcciones Institucionales
(direcciones ip o direcciones Web) al igual que las credenciales que les han sido
otorgadas para su resguardo.

Estos 3 últimos lineamientos están sujetos a la ley 1273 del 2009 denominado “De la
protección de la información y de los datos” en los que se preservan íntegramente los
sistemas que utilicen las tecnologías de la información.