1 Inducción Institucional - SGSIOFICINA DE TECNOLOGÍAS DE LA INFORMACIÓN GRUPO DE SOPORTE TECNOLOGICO 2015

2 Mapa de Procesos

3 Gestión de Tecnologías de la Información

4 Soporte Tecnológico - Procedimientos

5 Soporte Tecnológico - Políticas

6 Política de Seguridad de la InformaciónAntecedentes COMPONENTES GEL PRODUCTO Componente TIC para los servicios: centrados en el usuario, la entidad debe contar con servicios a través de canales electrónicos usables y accesibles que responden a las necesidades de los usuarios y vela por su mejoramiento continuo. *Caracterización de usuarios *Sitio web implementado con criterios accesibilidad y usabilidad *trámites y servicios en línea accesibles y de fácil uso para los usuarios *Plan de participación ciudadana, *Encuestas y resultados de satisfacción de usuarios *Aplicación web PQRD para dispositivos móviles *formularios electrónicos para trámites con estándares del lenguaje GEL-XML *Certificaciones Laborales en Línea *Trámites caracterizados, priorizados y Optimizados *Trámites totalmente en línea *Documentos electrónicos con firma digital *Notificación electrónica de actos administrativos Componente TIC para gobierno abierto: Comprende las actividades encaminadas a fomentar la construcción de un Estado más transparente, participativo y colaborativo en los asuntos públicos mediante el uso de las Tecnologías de la Información y las Comunicaciones. Transparencia: Busca facilitar el acceso a la información pública y su aprovechamiento, al igual que la rendición de cuentas de manera constante. * Acceso a la información pública * Rendición de cuentas * Datos Abiertos * Participación por medios electrónicos * Consultas a la ciudadanía.

7 Política de Seguridad de la InformaciónCOMPONENTES GEL PRODUCTO Componente Tic para la Gestión: * La institución cuenta con una estrategia de TI que aporta valor al desarrollo sectorial e institucional * La institución cuenta con un esquema de gobierno que brinde orientación en la toma de decisiones de TI, articulación de la estrategia y las operaciones de TI *La institución gestiona la información como un producto y servicio de calidad que aporta valor estratégico a la toma de decisiones * La institución gestiona los sistemas de información para potenciar los procesos y servicios que presta *La institución gestiona la infraestructura tecnológica que soporta los sistemas y los servicios de información *La institución desarrolla capacidades institucionales para la prestación de servicios institucionales a través de la automatización de procesos y procedimientos * Diagnostico, Definiciones e Implementación de Estratégicas para T.I. * Esquema de Gobierno de TI * Gestión Integral de Proyectos de TI * Gestión de la Operación de TI * Gestion de Componentes de información junto con calidad y seguridad definidos. * Gestión de Seguridad y Calidad de los Sistemas de Información. * identificación, definición y Gestión de los Servicios Tecnológicos junto con su soporte * Estrategia para el uso y apropiación de TI * Gestión del cambio de TI. * identificación y aplicación de Buenas prácticas para el uso eficiente de papel * Sistema de Gestión de documentos electrónicos Componente seguridad y privacidad de la información: Comprende las acciones transversales a los demás componentes enunciados, tendientes a garantizar la confidencialidad , la integridad y la disponibilidad de la información, así como la responsabilidad, la finalidad y el consentimiento relacionado con los datos personales. * Definición del marco de seguridad y privacidad de la Entidad: Diagnóstico de Seguridad y Privacidad de la Información. * Implementación del plan de seguridad y privacidad: La entidad desarrolla las acciones definidas en el plan de seguridad y privacidad de información, la gestión de Riesgos de seguridad y privacidad de la información. * Monitoreo y Mejoramiento continuo: La Entidad desarrolla actividades para la evaluación y mejora de los niveles de seguridad y privacidad de la información, evaluación del desempeño - Monitoreo y Mejoramiento continuo del SGSI.

8 Interrelación de PolíticasPolítica de Cumplimiento y Ética Política de Seguridad de la Información Políticas de Seguridad Informática Resguardar y proteger los sistemas, bases de datos y plataforma tecnológica Proteger la información y medios tecnológicos Principios de legalidad, buena fe, moralidad, ética, imparcialidad, responsabilidad y lealtad

9 Políticas de Seguridad InformáticaPOLÍTICA DE PRIVACIDAD Y CONDICIONES DE USO DEL SITIO WEB POLÍTICA DE USO DE DISPOSITIVOS DE CAPTURA DE IMÁGENES Y/O GRABACIÓN DE VIDEO POLÍTICA DE USO DE SERVICIO DE INTERNET/INTRANET POLÍTICA DE USO DE CORREO ELECTRONICO POLÍTICA DE SEGURIDAD EN LA INFORMACION LEY 1273 DE 2009

10 INTRODUCCIÓN Política de Seguridad de la InformaciónLa información del INVIMA constituye un activo valioso que puede verse expuesto a diversos riesgos y peligros como: Robo Duplicación Adulteración Destrucción y pérdida de la misma. Independientemente de que la información esté en un documento impreso, disco óptico, disco duro o cualquier otra unidad de almacenamiento externo que permita hacer una copia, consulta, transporte o envió, esta debe ser protegida de acuerdo con su valor, confidencialidad e importancia. INVIMA ha definido una Política de Seguridad de la Información para asegurarse que la información propietaria, adquirida o puesta en custodia, no está supeditada a un uso no autorizado, modificación, divulgación o pérdida.

11 Objetivo General Política de Seguridad de la InformaciónProteger la información del Instituto Nacional de Vigilancia de Medicamentos y Alimentos INVIMA y los medios tecnológicos empleados en su recepción, procesamiento y almacenamiento de posibles amenazas provenientes de factores internos o externos que bien puedan ocurrir por acciones premeditadas o accidentales, con el fin de asegurar el cumplimiento de la integridad, no repudio, disponibilidad, legalidad y confidencialidad de la información.

12 Objetivos EspecíficosPolítica de Seguridad de la Información Objetivos Específicos Minimizar el riesgo en las funciones más importantes de la entidad Cumplir con los principios de seguridad de la información. Cumplir con los principios de la función administrativa. Mantener la confianza de usuarios y funcionarios de la entidad. Apoyar la innovación tecnológica. Implementar el sistema de gestión de seguridad de la información (SGSI). Proteger los activos tecnológicos. Establecer las políticas, procedimientos e instructivos en materia de seguridad de la información. Fortalecer la cultura de seguridad de la información en los funcionarios, contratistas, practicantes y usuarios del INVIMA.

13 Política de Seguridad de la InformaciónResponsabilidades de la Oficina de Tecnologías de la Información y el Grupo de Soporte Tecnológico Mantener la custodia de la información que reposa en los diferentes sistemas y aplicativos de la Institución e implementar los controles necesarios. Establecer, mantener y divulgar las políticas y procedimientos de servicios de tecnología, en toda la institución de acuerdo a las mejores prácticas y directrices de la entidad y del gobierno. Proporcionar medidas de seguridad físicas, lógicas y procedimentales para la protección de la información. Administrar las reglas de acceso a los equipos de cómputo, sistemas de información, aplicativos y demás fuentes de información al servicio del INVIMA.

14 Responsabilidades del Propietario de la InformaciónPolítica de Seguridad de la Información Responsabilidades del Propietario de la Información Valorar y clasificar la información que está bajo su administración y/o generación. Autorizar, restringir y delimitar a los demás usuarios de la institución el acceso a la información de acuerdo a los roles y responsabilidades que los colaboradores requieran para acceder a consultar, crear o modificar parte o la totalidad de la información. Determinar los tiempos de retención en conjunto con él o las áreas que se encarguen de su protección y almacenamiento y de acuerdo a las determinaciones tanto de la entidad como de los entes externos y la ley. Determinar y evaluar en forma permanente los controles implementados para el acceso y gestión de la administración y comunicar cualquier anomalía o mejora tanto a los usuarios como a los custodios de la misma.

15 Responsabilidades de los Usuarios de la InformaciónPolítica de Seguridad de la Información Responsabilidades de los Usuarios de la Información Todos los funcionarios y contratistas son responsables del manejo de la Información de la Institución y tienen el compromiso de rendir cuentas por el uso y protección de tal información. Evitar la divulgación no autorizada o el uso indebido de la información. Es responsabilidad de todo el personal informar a sus superiores de cualquier violación de estas políticas que sean observadas o de su conocimiento. Es responsabilidad de todos los usuarios de los equipos de cómputo de la institución la protección de los datos almacenados en los mismos, de la destrucción accidental o intencional o de la divulgación no autorizada. Es responsabilidad de todos los Directores, Jefes, Coordinadores y demás superiores la divulgación, la aplicación y el cumplimiento de la presente Política, y que se informe de cualquier falta o incumplimiento, que sea observado o reportados a los mismos, directamente a la Oficina de Tecnologías de la Información.

16 Política de Uso de Dispositivos de Almacenamientos ExternoObjetivo General Describir el uso permitido de los dispositivos de almacenamiento externo en el INVIMA y las restricciones en su empleo al interior de la institución. El uso de dispositivos de almacenamiento externo está permitido en el INVIMA para los funcionarios, contratistas y practicantes; en general los colaboradores del Instituto con el fin de facilitar el compartir y transportar información que no sea de carácter confidencial ni sensible de la Institución dentro de las normas y responsabilidades del manejo de información institucional.

17 Política de Uso de Dispositivos de Almacenamientos ExternoLos dispositivos de almacenamiento de uso externo comprenden las unidades que se pueden conectar por medio de un cable de datos, mediante una conexión inalámbrica directa a cualquier equipo de cómputo del INVIMA. Entre estos, se pueden encontrar pero no se limitan a: Memorias Flash USB, Cámaras de conexión USB Reproductores portátiles MP3/MP4 iPhones/Smartphones SD Cards/ Mini SD Cards/ Micro SD Cards. PDAS / Tablets Dispositivos con tecnología Bluetooth. Tarjetas Compact Flash Discos duros de uso externo El acceso y empleo de servicios de almacenamiento de archivos On Line, es decir, aquellas unidades virtuales de almacenamiento personal por medio de internet, en las cuales se incluye pero no se limitan los servicios de Google Drive, Skydrive, Dropbox, Rapidshare, GigaSize, MediaFire, 4shared, etc; están prohibidos.

18 Uso Indebido de Dispositivos de Almacenamiento ExternoPolítica de Uso de Dispositivos de Almacenamientos Externo Uso Indebido de Dispositivos de Almacenamiento Externo Almacenar o transportar información sensible, confidencial o reservada del INVIMA. Ejecutar cualquier tipo de programa no autorizado por el Instituto desde cualquiera de las unidades de almacenamiento en mención. Descargar cualquier archivo sin tomar las medidas de precaución para evitar el acceso de virus en las redes y equipos informáticos. Utilizar mecanismos y sistemas que intenten ocultar o suplantar la identidad del usuario de alguno de estos medios de almacenamiento. Usar dispositivos de almacenamiento externo en actividades que resulten violatorias del ordenamiento jurídico colombiano vigente. Emplear dispositivos de almacenamiento externo con el fin de almacenar o exponer información privada de los usuarios o colaboradores del Instituto.

19 Monitoreo Política de Uso de Dispositivos de Almacenamientos ExternoTodos los eventos realizados sobre los dispositivos de almacenamiento externo, conectados a cualquier equipo de cómputo de la institución, podrán ser auditados con el ánimo de registrar y controlar las actividades realizadas sobre cada uno de estos, la ubicación y el usuario que los empleó. Los intentos de habilitar el uso de estos dispositivos donde su uso ha sido denegado o no autorizado igualmente podrán ser registrados. Las entradas de software malintencionado, de espionaje o virus podrán ser detectadas inmediatamente e informadas al administrador de la red del Instituto. Se podrán generar informes periódicos sobre el uso de estos elementos en el INVIMA para permitir la evaluación del "uso racional de estos dispositivos" donde estos sean permitidos, a fin de incrementar los niveles de seguridad para proteger la información de la institución.

20 POLÍTICA DE USO DE DISPOSITIVOS DE CAPTURA DE IMÁGENES Y/O GRABACIÓN DE VIDEOObjetivo General Definir el acceso y el uso aceptable de cámaras fotográficas, cámaras de video y demás dispositivos que permitan el registro de imágenes, fotografías y/o video en el INVIMA y las restricciones en su empleo al interior de la Institución.

21 POLÍTICA DE USO DE DISPOSITIVOS DE CAPTURA DE IMÁGENES Y/O GRABACIÓN DE VIDEOLos dispositivos de captura de imágenes y/o grabación de video comprenden, mas no se limitan a los siguientes elementos: Cámaras Fotográficas Videocámaras Celulares. iPhones/Smarthphones PDAS/Tablets. WebCams. El uso de dispositivos de captura de imágenes y/o grabación de video, para los funcionarios, contratistas, practicantes, proveedores y en general aquellos colaboradores del Instituto está permitido para el registro de actividades personales en las instalaciones, áreas o dependencias no restringidas en esta política o institucionalmente autorizadas por el INVIMA. El acceso y uso de equipos fotográficos y de video para fines Institucionales, prensa o de comunicación al INVIMA deberá ser autorizado previamente. La captura de imágenes y/o grabación de video por parte de los usuarios o visitantes de la entidad está prohibido.

22 POLÍTICA DE USO DE DISPOSITIVOS DE CAPTURA DE IMÁGENES Y/O GRABACIÓN DE VIDEOMonitoreo El INVIMA podrá controlar el acceso de dispositivos de captura de imágenes y/o grabación de video a sus instalaciones en las entradas a cada una de sus sedes a nivel nacional, por medio del personal de vigilancia y seguridad dispuesto en cada uno de los puntos de ingreso de la entidad. Un monitoreo permanente de uso de dispositivos de captura de imágenes y/o grabación de video, será efectuado a través de los sistemas de video vigilancia instalados en las diferentes áreas y sedes de la Institución. El INVIMA podrá requerir y mantener bajo custodia del personal de vigilancia y seguridad los dispositivos de captura de imágenes y/o grabación de video en las dependencias restringidas y determinadas en esta Política a cualquier persona que ingrese a las mismas y durante el tiempo que permanezca al interior de las mismas.

23 función y servicio del sitio web. POLÍTICA DE PRIVACIDAD Y CONDICIONES DE USO DEL SITIO WEB La información que se encuentra en el portal no puede utilizarse con fines comerciales. El INVIMA garantiza el cumplimiento de los principios de legalidad, veracidad, calidad, acceso, seguridad y confidencialidad en la obtención y manejo de la información de los visitantes de la página web del INVIMA. Los datos obtenidos por este medio no serán objeto de venta, préstamo, transferencia, arriendo o cesión a entidades distintas al INVIMA. Cada usuario es responsable por las credenciales de acceso a las páginas o servicios que el INVIMA dispone. No se usará, ni suplantará a ningún otro usuario que esté autorizado en la página web por ningún motivo. No se usará ningún medio, programa o dispositivo con el fin de interferir o entorpecer la función y servicio del sitio web. El usuario del sitio web, está de acuerdo en proporcionar información verdadera, precisa, actualizada y completa, según se indique en los formularios. Adicionalmente el usuario está de acuerdo en colaborar para mantener su información, en condiciones de veracidad, precisión y actualidad.

24 pesados y ralentizan la red de comunicacionesPOLÍTICA USO DEL SERVICIO DE CORREO ELECTRÓNICO El acceso al servicio de correo electrónico es un privilegio otorgado por el INVIMA a sus funcionarios y contratistas y el mismo sobrelleva responsabilidades y compromisos para su uso. Se espera que los usuarios conserven normas de respeto, confidencialidad y criterio ético Se encuentra disponible un acceso externo de la red corporativa a través del sitio web: https://mail.invima.gov.co/owa. El correo electrónico debe ser utilizado exclusivamente para fines laborales: para la difusión o el envío de circulares, memorandos, oficios y archivos de trabajo, cuando sea necesario en cumplimiento de las funciones asignadas. La información propia del INVIMA, secretos o información sensible del Instituto no debe ser enviada por medio de canales no seguros (no codificados) como es Internet y/o las cuentas de correo de uso público (gmail, hotmail, yahoo, etc.). . No se permite enviar archivos con extensión .exe, .pif, .scr, .vbs, .cmd, .com, .bat, .hta, .dll debido a que este tipo de extensiones son propensas a ser utilizadas para propagación de virus. No se permiten enviar contenidos multimedia (video o audio) con extensión .wav, .mp3, .mpge, .wma, .mov, .asf, .flv ya que estos documentos son muy pesados y ralentizan la red de comunicaciones

25 USO INDEBIDO DEL CORREO ELECTRÓNICOPOLÍTICA USO DEL SERVICIO DE CORREO ELECTRÓNICO USO INDEBIDO DEL CORREO ELECTRÓNICO • Participar en la difusión de “cartas en cadenas”, en esquemas piramidales o de propagandas dentro y fuera de la institución. • Intentos no autorizados para acceder a otra cuenta de correo electrónico. • Revelar o publicar cualquier información sensible o confidencial del INVIMA. • Hacer publicaciones de los servicios del INVIMA o de los productos de los clientes o proveedores sin el debido consentimiento escrito de los mismos. • Descargar, enviar, imprimir o copiar documentos o contenidos en contra de las leyes de derechos de autor. • Copiar ilegalmente o reenviar mensajes sin tener la autorización del remitente original para hacerlo. • Descargar cualquier software o archivo sin tomar las medidas de precaución para evitar el acceso de virus en las redes y equipos informáticos. • Participar en actividades que puedan causar congestión o interrupción en los servicios de comunicación del INVIMA o la normal operación de los servicios de correo electrónico • Enviar correos SPAM de cualquier índole. • Usar seudónimos y enviar mensajes anónimos, así como aquellos que consignen títulos, cargos o funciones no oficiales • Utilizar el correo electrónico para propósitos comerciales ajenos al Instituto. • Intentar o modificar los sistemas y parámetros de la seguridad de los sistemas de la red del INVIMA. •Utilizar mecanismos y sistemas que intenten ocultar o suplantar la identidad del emisor de correo

26 POLÍTICA USO DEL SERVICIO DE INTERNET/INTRANETEl acceso al servicio de Internet/Intranet es una concesión otorgada por el INVIMA a sus funcionarios y así mismo sobrelleva responsabilidades y compromisos para su uso. Se espera que los usuarios conserven normas de buen uso, confidencialidad y criterio ético. Toda Información del INVIMA, de sus clientes, empleados, contratistas y proveedores, clasificada como confidencial, restringida, secreta o propietaria no será compartida en Internet ni será fijada en un sitio web de la Intranet sin la previa aprobación por parte de las directivas o jefaturas del instituto. Todos los funcionarios con autorización al uso y acceso a estos servicios deben utilizarlos exclusivamente para fines laborales. Está prohibido el acceso a sitios con información que pueda contener material difamatorio, ofensivo, obsceno, vulgar, racista, pornográfico o subversivo. Queda restringido el acceso a sitios de contenido multimedia (videos, música, emisoras online, etc.) debido al alto consumo de canal de Internet/Intranet. Únicamente se permite su uso a aquellos funcionarios que por sus actividades requieran monitorear estos sitios externos y tengan previa aprobación del Jefe Inmediato y la autorización ante el Grupo de Soporte Tecnológico.

27 USO INDEBIDO DEL SERVICIO DE INTERNET/INTRANETPOLÍTICA USO DEL SERVICIO DE INTERNET/INTRANET USO INDEBIDO DEL SERVICIO DE INTERNET/INTRANET • Acceder a sitios de juegos o apuestas en línea. •Acceder a sitios de divulgación, descarga o distribución de películas, videos, música, real audio, webcams, emisoras online, etc. • Acceder y/o descargar material pornográfico u ofensivo • Utilizar software o servicios de mensajería instantánea (chat) y redes sociales no instalados o autorizados por el Grupo de Soporte Tecnológico. • Compartir en sitios web información propia del INVIMA, de sus clientes o proveedores sin la debida autorización de parte de los mismos. • Intentos no autorizados para acceder a otra cuenta de usuario de este servicio. • Cargar, descargar, enviar, imprimir o copiar archivos, software o contenidos en contra de las leyes de derecho de autor. • Descargar documentos o archivo sin tomar las medidas de precaución para evitar el acceso de virus en las redes y equipos informáticos. • Utilizar el servicio de Internet/Intranet para propósitos comerciales ajenos al instituto. • Intentar o modificar las opciones de configuración y/o parámetros de seguridad de los navegadores instalados por el INVIMA. • Interferir intencionalmente con la operación normal de cualquier website o portal en Internet. • Compra o venta de artículos personales a través de sitios web o de subastas en línea.

28 POLÍTICA USO DEL SERVICIO DE MENSAJERIA INSTANTANEAEl acceso al servicio de mensajería instantánea es una concesión otorgada por el INVIMA a sus funcionarios y la misma sobrelleva responsabilidades y compromisos para su uso. Se espera que los usuarios conserven normas de buen uso, confidencialidad y criterio ético. Toda Información del INVIMA, de sus usuarios, clientes, empleados, contratistas y proveedores, clasificada como confidencial, restringida, secreta o propietaria no será compartida a través de este canal. Todos los funcionarios con autorización al uso y acceso a estos servicios deben utilizarlos exclusivamente para fines laborales. Queda prohibido la descarga, instalación y el uso de sistemas de mensajería instantánea distintos al definido por INVIMA y administrado por el Grupo de Soporte Tecnológico. Los sistemas no autorizados incluyen pero no se limitan a: Yahoo! Messenger, AOL Instant Messenger (AIM), MSN Messenger, Whatsapp, eBuddy, ICQ, MySpace y Google Talk. Está prohibido el uso de este sistema para expresar opiniones difamatorias, ofensivas, obscenas, vulgar, racistas, calumniadoras y sexuales sobre superiores, compañeros o subalternos. Lo mismo aplica para clientes, proveedores y demás entidades con quien haya comunicación. Esto puede comprometer la reputación y su credibilidad tanto de índole personal como institucional.

29 USO INDEBIDO DEL SERVICIO DE MENSAJERIA INSTANTANEAPOLÍTICA USO DEL SERVICIO DE MENSAJERIA INSTANTANEA USO INDEBIDO DEL SERVICIO DE MENSAJERIA INSTANTANEA • Emplear las comunicaciones instantáneas con fines personales, políticos, religiosos o comerciales. • Realizar cualquier tipo de acoso, difamación, calumnia, con intención de intimidar, insultar o cualquier otra forma de actividad hostil. • Compartir por medio de esta canal información propia del INVIMA, de sus colaboradores, clientes o proveedores sin la debida autorización expresa de parte de los mismos. • Intentos no autorizados para acceder a otra cuenta de usuario de este servicio. • Compartir documentos o archivos sin tomar las medidas de precaución para evitar la distribución de virus en las redes y equipos informáticos. • Compartir documentos o archivos que sean ajenos a la operación de la institución. • Intentar o modificar las opciones de configuración y/o parámetros de seguridad de los clientes de mensajería instantánea instalados por el INVIMA.

30 MARCO LEGAL Y ESTÁNDARESDecreto 1151 de 2008 establece los lineamientos de la Estrategia de Gobierno en Línea. Artículo 230 de la Ley 1450 de 2011 (PND ) establece que todas las entidades de la Administración Pública deberán adelantar las acciones señaladas en la Estrategia de Gobierno en línea, liderada por el MinTIC. Decreto 2693 de 2012, se establecieron los lineamientos generales de la Estrategia de Gobierno en Línea y se reglamentaron parcialmente las Leyes 1341 de 2009 (Sociedad de la Información y Organización TIC) y 1450 de 2011 Manual para la Implementación de las Estrategia de Gobierno en Línea en las entidades del orden nacional, documento de fecha junio de 2011. Decreto 2573 de 2014 Lineamiento GEL Ley 1273 de 2009 de la protección de la información y los datos NTC-ISO 27001: Requisitos SGSI NTC ISO 27002: Mejores prácticas para implementación del Sistema de Gestión de Seguridad de la Información

31 INVIMA Unidos por la Seguridad de la Información