Políticas de Privacidad y Condiciones de Uso
POLÍTICA GENERAL DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN, SEGURIDAD DIGITAL Y LINEAMIENTOS FRENTE AL USO Y MANEJO DE LA INFORMACIÓN
1. INTRODUCCIÓN
La Alcaldía del Municipio de La Ceja, entendiendo la importancia de una adecuada gestión de la información, se ha comprometido con la implementación de un sistema de gestión de seguridad de la información buscando establecer un marco de confianza en el ejercicio de sus deberes con el Estado y los ciudadanos, todo enmarcado en el estricto cumplimiento de las leyes y en concordancia con la misión y visión de la entidad.
Para La Alcaldía del Municipio de La Ceja, la protección de la información busca la disminución del impacto generado sobre sus activos, por los riesgos identificados de manera sistemática con objeto de mantener un nivel de exposición que permita responder por la integridad, confidencialidad y la disponibilidad de la misma, acorde con las necesidades de los diferentes grupos de interés identificados.
2. AMBITO DE APLICACIÓN
La Política General de Seguridad y Privacidad de la Información, Seguridad Digital y las Políticas Generales de manejo y uso de la información, aplica en todas las áreas de la Administración Municipal a través de la recolección, procesamiento, almacenamiento, recuperación, intercambio y consulta de información, en el desarrollo de la misión institucional y cumplimiento de sus objetivos estratégicos.
3. OBJETIVOS
- Brindar mecanismos de aseguramiento para el cumplimiento de la confidencialidad, integridad, disponibilidad, legalidad y confiabilidad de la información del Municipio de La Ceja.
- Mitigar los incidentes de Seguridad y Privacidad de la Información, Seguridad Digital y el manejo y uso de ésta, en todas las áreas de la administración municipal.
- Gestionar los riesgos de seguridad y privacidad de la información, Seguridad Digital y manejo de la información en la administración municipal de La Ceja.
- Establecer los lineamientos necesarios para el manejo y uso de la de la información y los recursos tecnológicos del Municipio de La Ceja.
CAPITULO 1
POLÍTICA DE TRATAMIENTO DE DATOS PERSONALES
Con el propósito institucional y atendiendo la importancia que tiene la privacidad y la seguridad de la información personal, el Municipio de La Ceja del Tambo con NIT. 890981207-5, en adelante Municipio, entidad de Orden Territorial con domicilio en la carrera 20 #19-78 en el Municipio de La Ceja pone a su disposición de los empleados, clientes, proveedores, aliados y todos los demás involucrados con la Administración Municipal, en adelante Usuarios, la presente Política de Tratamiento de Datos Personales.
La presente establece los términos, condiciones y finalidades sobre las cuales el Municipio efectúa el tratamiento de los Datos Personales de todos los Usuarios, así como las condiciones de seguridad y confidencialidad de dicha información y procedimientos establecidos en las leyes de protección de Datos Personales
1. OBJETIVO
Garantizar un tratamiento adecuado de los Datos Personales que maneja el Municipio de La Ceja dando cumplimiento a la Ley 1581 de 2012, al Decreto Reglamentario 1377 de 2013, al Decreto Único Reglamentario 1074 de 2015 y las demás normas que los deroguen, modifiquen o complementen.
2. ALCANCE
La presente política aplica para las bases de datos y archivos que contengan información personal de contribuyentes, proveedores, contratistas y empleados o cualquier persona cuya información sea objeto de tratamiento por parte del Municipio de La Ceja del Tambo.
3. DEFINICIONES
Para todos los efectos legales, en la siguiente política, se entenderá por:
- Autorización: consentimiento previo, expreso e informado del Usuario para llevar a cabo el tratamiento de sus Datos Personales.
- Base de Datos: conjunto organizado de Datos Personales que sean objeto de tratamiento.
- Archivos: conjunto de documentos conservados por el Municipio en donde conste información personal regulada por la ley.
- Dato personal: información vinculada o que pueda asociarse a una o varias personas naturales.
- Datos sensibles: aquellos que afectan la intimidad del Usuario o cuyo uso indebido puede generar discriminación, por ejemplo, aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o fisiológicas, la perteneciente a sindicatos, organizaciones sociales o derechos humanos, la historia clínica, la vida sexual y los datos biométricos.
- Dato público: dato que no es semiprivado, privado o sensible. Son considerados datos públicos, entre otros, los relativos al estado civil de las personas, a su profesión u oficio y a su calidad de comerciante o servidor público. Por su naturaleza, los datos públicos pueden estar contenidos, entre otros, en registros públicos, documentos públicos, gacetas, boletines oficiales y sentencias judiciales debidamente ejecutoriadas que no estén sometidas a reservas.
- Encargado del tratamiento: persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el tratamiento de Datos Personales por cuenta del responsable del tratamiento.
- Responsable del tratamiento: persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el tratamiento de los datos.
- Revocar: dejar sin efecto la autorización previamente otorgada por el Usuario de los Datos Personales para realizar el tratamiento, almacenamiento y uso por parte del Municipio.
- Supresión: hace referencia a la solicitud del Usuario de los Datos Personales o sus causahabientes para que el responsable o encargado del tratamiento elimine una o varias categorías de los datos previamente recolectados.
- Titular: persona natural cuyos Datos Personales son objetos de tratamiento.
- Transferencia: la transferencia de datos tiene lugar cuando el responsable y/o encargado del
4.DEFINICION DE LA POLÍTICA
4.1 GENERAL
4.1.1 El Municipio de la Ceja con NIT. 890981207-5, con domicilio en la carrera 20 #19-78 en el Municipio de La Ceja Antioquia, con página web www.laceja-antioquia.gov.co, se hace responsable del tratamiento de Datos Personales que aparezcan registrados en sus bases de datos y archivos de conformidad con la Ley 1581 de 2012, el Decreto Reglamentario 1377 de 2013, el Decreto Único reglamentario 1074 de 2015 y las demás normas que los deroguen, modifiquen o complementen.
4.1.2 para efectos de alguna solicitud o reclamación relacionada con la presente política se pone a disposición el correo electrónico lidergelt@laceja-antioquia.gov.co y el teléfono 553 8393.
4.1.3 Todos los funcionarios, contratistas y asesores del Municipio que están encargados del tratamiento de bases de datos con información personal, deben cumplir con lo dispuesto y los procedimientos de la presente Política.
4.2 TRATAMIENTO DE LA INFORMACIÓN
4.2.1 Cumplimiento de Ley
El Municipio cumple estrictamente los requerimientos de la Ley sobre la protección de Datos Personales, en especial la Ley 1581 de 2012, el Decreto Reglamentario 1377 de 2013, el Decreto Único reglamentario 1074 de 2015 y las demás normas que los deroguen, modifiquen o complementen.
4.2.2 Finalidad
El Municipio debe informar a los Usuarios la finalidad específica del tratamiento de sus Datos Personales, el cual, en todos los casos, tendrá como fin principal realizar la gestión contable, fiscal, administrativa, comercial, operativa y de recursos humanos del Municipio, así como el desarrollo de actividades de bienestar, salud, educación, cultura y velar por la seguridad de las personas y bienes relacionadas con la actividad de la misma.
El Municipio suprimirá los Datos Personales recaudados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual fueron obtenidos.
4.2.3 Autorización
El Municipio ejercerá tratamiento de la información con el consentimiento previo, expreso e informado de los Usuarios, el cual será obtenido a través de cualquier medio que pueda ser objeto de consulta posterior.
- No es necesaria la autorización cuando se trate de:
- Información que sea requerida por una entidad pública o administrativa en ejercicio de sus funciones legales o por orden judicial.
- Datos que sean de naturaleza pública.
- Casos de urgencia médica o sanitaria.
- Tratamiento de información autorizada por la ley de fines históricos, estadísticos o científicos.
- Datos relacionados con el registro Civil de la persona.
4.2.4 Veracidad
La información facilitada por los Usuarios deberá ser veraz, completa, exacta, comprobable y actualizada. El Usuario garantiza la autenticidad de todos aquellos datos que comunique al Municipio.
4.2.5 Acceso y circulación de la información
En el tratamiento de la información el Municipio se acoge a los límites que se derivan la naturaleza de los Datos Personales, de las disposiciones de la Ley y de la Constitución Política Colombiana. En este sentido el Municipio solo hará tratamientos de Datos Personales con autorización del Usuario y en los casos previstos por la Ley.
La información estará disponible en internet u otro medio de comunicación masivo siempre que el acceso este controlado de acuerdo a las políticas del Municipio y esté limitado a sus titulares o terceros autorizados para el tratamiento de la información.
4.2.6 Seguridad de la información
El Municipio puede publicar bases de Datos Personales en la intranet o en la Página Web siempre que cuente con autorización previa del Usuario, se fijen restricciones para su acceso y la publicación esté aprobada por el Departamento de Sistemas o área encargada.
4.2.7 Confidencialidad
El Municipio garantizará la reserva de la información, incluso después de finalizadas las labores que comprende el tratamiento.
Los colaboradores del Municipio, encargados del tratamiento de la información personal, se comprometen a cumplir con lo dispuesto y los procedimientos de la presente Política.
4.2.8 Datos sensibles
El Municipio podrá únicamente tratar datos sensibles cuando:
- El Usuario haya otorgado autorización explícita a dicho tratamiento.
- Sea necesario para salvaguardar interés vital del Usuario y este se encuentre física o jurídicamente incapacitado. En estos eventos se requiere autorización de los representantes legales.
- Sean necesarios para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.
- Tenga una finalidad histórica, estadística o científica.
4.2.9 Derechos de los Usuarios
Los Usuarios de la información tratada por el Municipio tienen los siguientes derechos:
- Conocer, actualizar y rectificar sus Datos Personales.
- Solicitar prueba de autorización otorgada a la compañía, salvo en los casos que especifique la Ley que no requieren autorización
- Ser informado del uso de sus Datos Personales.
- Presentar ante la Superintendencia de Industria y Comercio quejas por incumplimiento a la Ley 1581 de 2012, el Decreto Reglamentario 1377 de 2013, Decreto Único Reglamentario 1074 de 2015 y las demás normas que los deroguen, modifiquen o complementen.
- Revocar la autorización y/o solicitar la supresión de datos cuando el Municipio no respete los principios, derechos y garantías constitucionales y legales.
- Acceder a sus Datos Personales objeto de tratamiento por la compañía.
- Presentar peticiones, consultas y reclamos a través de la página web www.laceja-antioquia.gov.co/formulario_PQR.shtml.
5. PROCEDIMIENTO
5.1 Autorizaciones: El Municipio solicitará autorización escrita a todo proveedor, cliente o colaborador que realice el tratamiento de Datos Personales, para que puedan ser tratados de conformidad con la finalidad establecida en esta Política.
5.2 El Usuario o el causahabiente que desee realizar consultas sobre su información personal podrá hacerlo través del correo electrónico lidergelt@laceja-antioquia.gov.co
Por solicitud del Usuario, el Municipio suministrará toda la información contenida en el registro individual o vinculado con la identificación del Usuario. El Municipio responderá en un término no mayor a (10) días hábiles, contados desde la fecha de recibo de la misma. Si no es posible dar respuesta en este lapso de tiempo, el Municipio informará al interesado los motivos de la demora y señalará la fecha de respuesta que no puede superar cinco (5) días hábiles siguientes a la fecha del vencimiento.
CAPITULO II
POLÍTICAS DE PRIVACIDAD
Se considera norma de confidencialidad y protección de datos toda aquella información personal que el usuario ingresa libre y voluntariamente al sitio web del Municipio de La Ceja; así como aquellas que son de obligatorio ingreso, tales como nombre de usuario, correo electrónico y las que se exigen para cada Trámite y Servicio en Línea. El usuario podrá ingresar sus datos personales durante su registro al sitio Web, de esta manera la plataforma podrá brindarle servicios y contenidos más acordes con su perfil.
La plataforma, se compromete a adoptar una política de confidencialidad y protección de datos, con el objeto de proteger la privacidad de la información personal obtenida a través de su Website.
Si bien el sitio web posee un sistema de protección tecnológico que va desde sus servidores hasta la salida a Internet, ninguna transmisión por Internet puede garantizar su seguridad al 100%. Por esta razón, la plataforma no puede garantizar que la información ingresada a su sitio web o transmitido en él, sea completamente segura, con lo cual el usuario corre su propio riesgo.
El sitio web, se reserva el derecho de modificar las Normas de Confidencialidad y Protección de Datos que a continuación se detallan a fin de adaptarlas a nuevos requerimientos legislativos, jurisprudenciales o técnicos que le permitan brindar mejores y oportunos servicios y contenidos informativos, por lo cual se aconseja revisar estas normas periódicamente.
Información recopilada y protección de la información personal.
La información proporcionada por el usuario al registrarse en la plataforma, está resguardada tecnológicamente y sólo podrá acceder a ella, el mismo usuario a través de un ticket.
El usuario es el único responsable de mantener su palabra clave (ticket) y la información de su cuenta. Para disminuir los riesgos, el sitio web recomienda al usuario salir de su cuenta y cerrar la ventana de su navegador cuando finalice su actividad, más aún si comparte su computadora con alguien o utiliza una computadora en un lugar público como una biblioteca o un café Internet.
La plataforma, recopila de los visitantes únicamente aquella información personal que sea necesaria, para responder las inquietudes de los usuarios y brindar así, un mejor servicio.
La plataforma, no recopila información personal que no sea pública de los visitantes del sitio web, a menos que usted la proporcione expresamente. Es posible que la información que recopilamos en nuestros sitios web (por ejemplo: el nombre del dominio, las búsquedas realizadas, las páginas visitadas y la duración de la sesión del usuario) se combinan para analizar estadísticamente el tráfico y nivel de utilización del portal. Ésta información se recopila para mejorar el rendimiento de nuestras plataformas.
Como muchos otros sitios web, las interfaces del metaportal, utilizan cookies (pequeños archivos almacenados en el navegador web del cliente) para preservar la información de sesión y guardar las características del navegador. Las cookies no se utilizan para acceder a información personal, ni para controlar sus acciones.
Confidencialidad de la Información
El sitio no compartirá, ni revelará la información confidencial con terceros, excepto que tenga expresa autorización de quienes se suscribieron, o cuando ha sido requerido por orden judicial o legal, o para proteger los derechos de propiedad intelectual u otros derechos de la plataforma.
Aceptación de los Términos
Esta declaración de Confidencialidad y Protección de Datos está sujeta a los términos y condiciones del sitio web, con lo cual constituye un acuerdo legal entre el usuario y la plataforma.
Si el usuario utiliza los servicios del sitio web, significa que ha leído, entendido y aceptado los términos antes expuestos. Si no está de acuerdo con ellos, tiene la opción de no proporcionar ninguna información personal, o no utilizar el servicio de la plataforma.
Uso del Portal por parte de los Menores de Edad
Los menores de 18 años o incapaces no deberán ingresar ni utilizar los servicios que prestan las páginas sin el previo consentimiento de sus padres, tutores o curadores. Los usuarios menores de 18 años o incapaces no podrán registrarse por su propia cuenta para acceder a los servicios que presta el Sitio Web, sino únicamente con el consentimiento de sus padres, tutores o curadores, según el caso.
La Alcaldía manifiesta, conforme a las disposiciones del Código del Menor o de las leyes aplicables, que el objeto de las Páginas no es atentar contra la moral, la salud física, ni mental de los menores de edad o incapaces, u obtener información confidencial e íntima del usuario con el propósito de usarla en su contra. Los padres, tutores o curadores del usuario menor de edad o incapaz son responsables totalmente por la utilización que el usuario menor de edad o incapaz haga de la plataforma.
Si el usuario es un menor de edad, el término de usuario incluye a sus padres tutores. En consecuencia, el usuario debe leer atentamente las condiciones generales en cada una de las ocasiones en que se proponga utilizar cualquiera de las páginas.
Si el usuario es un menor de edad o un incapaz, el uso de las páginas debe estar acompañado de la aceptación de las condiciones generales por parte de sus padres, tutores o curadores, según el caso. Sólo hasta que el menor o incapaz obtenga dicha aceptación, se entiende que el usuario está haciendo uso válido de las páginas. Si el usuario menor de edad o incapaz no obtiene aceptación, no está habilitado para hacer uso de la plataforma. Se entiende que los padres, tutores o curadores, según el caso, han otorgado la mencionada autorización por el sólo uso del sitio web por parte del menor de edad.
CAPITULO III
POLÍTICAS GENERALES DE MANEJO Y USO DE LA INFORMACIÓN Y LOS RECURSOS TECNOLÓGICOS.
-
Política de Seguridad de los Recursos Humanos.
El Municipio de La Ceja, a través del Departamento General y Servicios Administrativos, oficina de Gestión Humana, debe propender que los servidores públicos entiendan sus responsabilidades frente a la seguridad de la información con el fin de reducir el riesgo de robo, fraude, mal uso de las instalaciones y medios, asegurando la confidencialidad, disponibilidad e integridad de la información.
La Subdirección de Contratación deberá incluir en las minutas de los contratistas cualquiera que sea su modalidad, las cláusulas u obligaciones correspondientes al Eje de Seguridad de la Información con el fin de reducir el riesgo de robo, fraude, mal uso de las instalaciones y medios, asegurando la confidencialidad, disponibilidad e integridad de la información.
-
Política de Gestión de Activos.
El Municipio de La Ceja, a través del Departamento General y de Servicios Administrativos, Oficina de Sistemas de Información, establecerá y divulgará los lineamientos específicos para la identificación, clasificación y buen uso de los activos de información, con el objetivo de garantizar su protección.
a. Inventario de Activos: Los activos del municipio de La Ceja, deben ser identificados, clasificados y controlados para garantizar su uso adecuado, protección y la recuperación ante desastres. Por tal motivo, se debe llevar el inventario de los activos de información de su propiedad, discriminado según la estructura administrativa de la administración municipal.
Con el objetivo de establecer los controles de seguridad físicos y digitales, las dependencias que tienen la custodia de la información generada en el marco de su función, se encargarán proteger la información, de mantener y actualizar el inventario de activos de información relacionados con sus servicios (Información, software, hardware y recurso humano).
b. Archivos de Gestión: El Departamento General y de Servicios Administrativos a través del archivo central y con el acompañamiento de la Oficina de Sistemas de Información, deberán implementar los controles necesarios para que los archivos de gestión cuenten con los mecanismos de seguridad con el fin de proteger y conservar la confidencialidad, integridad y disponibilidad de la información de la administración municipal.
c. Clasificación de la Información: La clasificación de la información del municipio de La Ceja, está definida de conformidad con la Ley 1712 de 2014 reglamentada por el Capítulo 2 del Título 1 de la Parte 1 del Decreto 1081 de 2015, la Ley 594 de 2000 (Ley General de Archivos), el Decreto 1080 de 2015 y lo estipulado en las normas internas para el manejo de la información.
-
Responsabilidades de los Servidores Públicos frente al uso de los Recursos Tecnológicos.
Todos los servidores públicos que hagan uso de los activos de información del municipio de La Ceja tienen la responsabilidad de cumplir las políticas establecidas para su uso aceptable, entendiendo que el uso no adecuado de los recursos pone en riesgo la continuidad de la operación y por ende el cumplimento de la misión institucional.
3.1. Del Uso del Correo Electrónico: El servicio de correo electrónico institucional es una herramienta de apoyo a las funciones y responsabilidades de los funcionarios y contratistas del municipio de la Ceja, con los siguientes lineamientos:
El servicio de correo electrónico institucional debe ser empleado únicamente para enviar y recibir mensajes de carácter institucional. En consecuencia, no puede ser utilizado con fines personales, económicos, comerciales y/o cualquier otro ajeno a los propósitos de la Entidad
En cumplimiento de la iniciativa Institucional del uso aceptable del papel y la eficiencia administrativa, se debe preferir el uso del correo electrónico al envío de documentos físicos, siempre que la Ley lo permita.
Los mensajes de correo están respaldados por la Ley 527 de 1999 (por medio de la cual se define y reglamenta el acceso y uso de los mensajes de datos, del comercio electrónico y de las firmas digitales, y se establecen las entidades de certificación y se dictan otras disposiciones.), la cual establece la legalidad de los mensajes de datos y las implicaciones legales que conlleva el mal uso de estos.
La Oficina de Sistemas de Información deberá implementar herramientas tecnológicas que prevengan la pérdida o fuga de información de carácter reservada o clasificada.
Para apoyar la gestión de correo electrónico de Secretario de Despacho, directores, subdirectores, jefes de oficina, líderes de programa o profesionales universitarios, se debe solicitar a la oficina de sistemas de información la delegación del buzón correspondiente, relacionando los colaboradores que podrán escribir o responder en nombre del directivo con el fin de mitigar la suplantación.
Todo mensaje SPAM o CADENA debe ser inmediatamente reportado a la oficina de sistemas de información a través de la Mesa de Ayuda como incidente de seguridad según procedimiento establecido. No está permitido el envío y reenvío de mensajes en cadena.
Todo mensaje sospechoso respecto de su remitente o contenido, debe ser inmediatamente reportado a la Oficina de Sistemas de Información, a través de la Mesa de Ayuda como incidente de seguridad según procedimiento establecido y proceder de acuerdo a las indicaciones de los funcionarios de dicha oficina; lo anterior, debido a que puede ser contentivo de virus, en especial si contiene archivos adjuntos con extensiones .exe, .bat, prg, .bak, .pif, o tenga explícitas referencias no relacionadas con la misión de la Entidad (como por ejemplo: contenidos eróticos, alusiones a personajes famosos).
La cuenta de correo institucional no debe ser revelada en páginas o sitios publicitarios, de comercio electrónico, deportivos, agencias matrimoniales, casinos, o cualquier otra ajena a los fines de la Entidad.
Está expresamente prohibido el uso del correo para la transferencia de contenidos insultantes, ofensivos, injuriosos, obscenos, violatorios de los derechos de autor y/o que atenten contra la integridad moral de las personas o instituciones.
Está expresamente prohibido distribuir información del municipio de La Ceja, a otras entidades o ciudadanos sin la debida autorización del jefe de área, previa revisión de la Oficina Asesora de Comunicaciones y Relaciones Públicas en caso de comunicados y el Departamento Administrativo de Planeación en caso de cifras oficiales.
El cifrado de los mensajes de correo electrónico institucional será necesario siempre que la información transmitida esté catalogada como clasificada o reservada en el inventario de activos de información o en el marco de la Ley Colombiana vigente.
El correo electrónico institucional en sus mensajes debe contener una sentencia de confidencialidad, que será diseñada por la Oficina de Sistemas de Información y debe reflejarse en todos los buzones con dominio @laceja-antioquia.gov.co.
La divulgación de cifras o datos oficiales de la Entidad sólo podrá ser emitida desde las direcciones de correo electrónico del Departamento General y de Servicios Administrativos, Oficina Asesora de Comunicaciones y el Departamento Administrativo de Planeación.
Está expresamente prohibido distribuir, copiar, reenviar información del Municipio de La Ceja a través de correos personales o sitios web diferentes a los autorizados en el marco de sus funciones u obligaciones contractuales.
El único servicio de correo electrónico autorizado para el manejo o transmisión de la información institucional en la Entidad es el asignado por la Oficina de Sistemas de Información o encargado de la página web del Municipio y que cuenta con el dominio @ilaceja-antioquia.gov.co, el cual cumple con todos los requerimientos técnicos y de seguridad, evitando ataques de virus, spyware y otro tipo de software malicioso.
La administración municipal de la Ceja, se reserva el derecho de monitorear los accesos y el uso de los buzones de correo institucionales, de todos sus funcionarios o contratistas, además podrá realizar copias de seguridad en cualquier momento sin previo aviso, así como limitar el acceso temporal o definitivo, por solicitud expresa del nominador, ordenador del gasto, supervisor del contrato, jefe inmediato, Director General, Jefe de Oficina de Control Interno Disciplinario a la Oficina de Sistemas de Información, así como a todos los servicios y accesos a sistemas de información de la Entidad.
3.2. Del Uso de Internet: El Departamento General y de Servicios Administrativos a través de la Oficina de Sistemas de Información establecerá políticas de navegación basadas en categorías y niveles de usuario por jerarquía y funciones, las cuales deberán ser implementadas por cada una de las áreas, además. será responsabilidad de los colaboradores entre otras las siguientes:
- El uso del servicio de Internet está limitado exclusivamente para propósitos laborales e institucionales.
- Los servicios a los que un determinado usuario pueda acceder en internet dependerán del rol o funciones que desempeña en la administración municipal de La Ceja y para las cuales esté formal y expresamente autorizado.
- Todo usuario es responsable de informar a la Oficina de Sistemas de Información a través de la Mesa de Ayuda, los contenidos o acceso a servicios que no le estén autorizados y/o no correspondan a sus funciones dentro de la entidad.
- Está expresamente prohibido el envío, descarga y visualización de páginas con contenido insultante, ofensivo, injurioso, obsceno, violatorio de los derechos de autor y/o que atenten contra la integridad moral de las personas o instituciones.
- Está expresamente prohibido el acceso a páginas web, portales, sitios web y aplicaciones web que no hayan sido autorizadas por la entidad a través de la política de navegación.
- Está expresamente prohibido el envío y descarga de cualquier tipo de software o archivos de fuentes externas, y de procedencia desconocida.
- Está expresamente prohibida la propagación de virus o cualquier tipo de código malicioso.
- El municipio de La Ceja se reserva el derecho de monitorear los accesos, y el uso del servicio de internet de todos sus funcionarios o contratistas, además de limitar el acceso a determinadas páginas de Internet, los horarios de conexión, los servicios ofrecidos por la red, la descarga de archivos y cualquier otro ajeno a los fines de la Entidad.
3.3 Del Uso de los Recursos Tecnológicos: Los recursos tecnológicos del municipio de La Ceja, son herramientas de apoyo a las labores y responsabilidades de los funcionarios y contratistas. Por ello, su uso está sujeto a las siguientes directrices:
- Los bienes de cómputo se emplearán de manera exclusiva y bajo la completa responsabilidad por el funcionario o contratista al cual han sido asignados, únicamente para el desempeño de las funciones del cargo o las obligaciones contractuales pactadas. Por tanto, no pueden ser utilizados con fines personales o por terceros no autorizados por la Oficina de Sistemas de Información mediante solicitud formal de los Secretarios de Despacho, directores, subdirectores, jefes de oficina o líderes de programa a través de la Mesa de Ayuda.
- Sólo está permitido el uso de software licenciado por la Entidad y/o aquel que, sin requerir licencia, sea expresamente autorizado por el Departamento General y de Servicios Administrativos a través de la Oficina de sistemas de información. Las aplicaciones generadas o adquiridas por la administración municipal en desarrollo de su operación institucional y que no fueron desarrollados por la entidad deben ser reportadas a la Oficina de Sistemas de Información para su administración.
- En caso de que el colaborador deba hacer uso de equipos ajenos a la entidad, éstos deberán cumplir con la legalidad del Software instalado, antivirus licenciado, actualizado y solo podrá conectarse a la red del municipio una vez esté avalado por los ingenieros de la Oficina de Sistemas de Información.
- Es responsabilidad de los funcionarios y contratistas mantener copias de seguridad de la información contenida en sus estaciones de trabajo y entregarlas a la Oficina de Sistemas, en el caso de los funcionarios y a los supervisores de contratos en el caso de los contratistas, en custodia al finalizar la vinculación o el contrato con la Entidad.
- Los usuarios no deben mantener almacenados en los discos duros de computadores de escritorio, portátiles o discos virtuales de red, archivos de video, música y fotos que no sean de carácter institucional o que atenten con los derechos de autor o propiedad intelectual de los mismos.
- No está permitido realizar conexiones o derivaciones eléctricas que pongan en riesgo los elementos tecnológicos por fallas en el suministro eléctrico a los equipos de cómputo, salvo en aquellos casos que sean autorizados por la Oficina de Sistemas de Información.
- Las únicas personas autorizadas para hacer modificaciones o actualizaciones en los elementos y recursos tecnológicos, como destapar, agregar, desconectar, retirar, revisar y/o reparar sus componentes, son los designados por el Departamento General y de Servicios Administrativos para tal labor.
- La Oficina de Sistemas de Información a través de sus funcionarios realizará monitoreo sobre los dispositivos de almacenamientos externos como USB, CD-ROM, OVO, Discos Duros externos, entre otros, con el fin de prevenir o detectar fuga de información.
- La única dependencia autorizada para trasladar los elementos y recursos tecnológicos de un puesto a otro será la Oficina de Sistemas de Información o quien haga sus veces, sin embargo, desde y hacia el almacén municipal deberá tener conocimiento de estos movimientos, con el fin de llevar el control individual de inventarios. En tal virtud, toda reasignación de equipos deberá ajustarse a los procedimientos y competencias de la gestión de bienes de la Entidad.
- La pérdida o daño de elementos o recursos tecnológicos, o de alguno de sus componentes, deberá ser informada de inmediato a la Oficina de Sistemas de Información por el funcionario o contratista a quien se le hubiere asignado.
- La pérdida de información deberá ser informada con detalle a la Oficina de Sistemas de Información a través de la Mesa de Ayuda como incidente de seguridad.
- Todo incidente de seguridad que comprometa la disponibilidad, integridad o confidencialidad de la información física o digital deberá ser reportado a la mayor brevedad posible a través de la Mesa de Ayuda, siguiendo el procedimiento establecido.
- La Oficina de Sistemas de Información es la única dependencia autorizada para la administración del software, el cual no deberá ser copiado, suministrado a terceros ni utilizado para fines personales.
- Todo acceso a la red de la Entidad mediante elementos o recursos tecnológicos no institucionales deberá ser informado, autorizado y controlado por la Oficina de Sistemas de Información.
- La conexión a la red wifi institucional para funcionarios deberá ser administrada desde la Oficina de Sistemas de Información, la autenticación deberá ser con usuario y contraseña de directorio activo.
- Los equipos deben quedar apagados cada vez que el funcionario o contratista no se encuentre en la oficina o durante la noche, esto, con el fin de proteger la seguridad y distribuir bien los recursos de la Entidad, siempre y cuando no vaya a realizar actividades vía remota.
- Todo dispositivo móvil institucional, que transmita y/o almacene información sensible de la Entidad, debe ser monitoreado a través de la herramienta de gestión tecnológica definida por la Oficina de Sistemas de Información.
- Todo dispositivo móvil personal que requiera acceder a los servicios tecnológicos de la Entidad, y que trasmita y/o almacene información sensible, debe ser monitoreado a través de la herramienta tecnológica definida por la Oficina de Sistemas de Información.
3.4 Del Uso de los Sistemas o Herramientas de Información: Todos los funcionarios y contratistas del municipio de La Ceja, son responsables de la protección de la información que acceden y/o procesan, así como de evitar su pérdida, alteración, destrucción y uso indebido, para lo cual se dictan los siguientes lineamientos:
- Las credenciales de acceso a la red y a los recursos informáticos (Usuario y Clave) son de carácter estrictamente personal e intransferible; los funcionarios y contratistas no deben revelarlas a terceros ni utilizar claves ajenas.
- Todo funcionario y contratista es responsable del cambio de clave de acceso a los sistemas de información o recursos informáticos periódicamente.
- Todo funcionario y contratista es responsable de los registros y modificaciones de información que se hagan a nombre de su cuenta de usuario.
- En ausencia del funcionario o contratista, el acceso a la estación de trabajo le será bloqueada con una solicitud a la Oficina de Sistemas de Información a través de la Mesa de Ayuda, con el fin de evitar la exposición de la información y el acceso a terceros, que puedan generar daño, alteración o uso indebido, así como a la suplantación de identidad. La Oficina de Gestión Humana debe reportar cualquier tipo de novedad de los funcionarios y el Supervisor del Contrato las novedades de los contratistas
Cuando un funcionario o contratista cesa en sus funciones o culmina la ejecución de contrato, todos los privilegios sobre los recursos informáticos otorgados le serán suspendidos inmediatamente; la información del empleado y/o contratista serán almacenados en un repositorio de los servidores de la Entidad.
- Cuando un funcionario o contratista cesa en sus funciones o culmina la ejecución de contrato el supervisor o jefe inmediato es el encargado de la custodia de los recursos de información, incluyendo la cesión de derechos de propiedad intelectual de acuerdo con la normativa vigente.
- Todos los funcionarios y contratistas de la Entidad deben dar estricto cumplimiento a lo estipulado en la Ley 23 de 1982 "Sobre derechos de autor", la Decisión 351 de 1993 de la Comunidad Andina de Naciones, así como cualquier otra que adicione, modifique o reglamente la materia.
-
Política de Control de Acceso.
Los propietarios de los activos de información deben establecer medidas de control de acceso a nivel de red, sistema operativo, sistemas de información, servicios de tecnologías de la información e infraestructura física con el fin de mitigar riesgos asociados al acceso a la información y servicios de infraestructura tecnológica de personal no autorizado, salvaguardando la integridad, disponibilidad y confidencialidad de la información del Municipio de La Ceja.
-
Política de Criptografía.
El Departamento General y de Servicios Administrativos, a través de la Oficina de Sistemas de Información deberá contar con controles en el uso adecuado y efectivo de la criptografía para proteger la confidencialidad, integridad y disponibilidad de la información.
-
Política de Seguridad Física y del Entorno.
El municipio de la Ceja debe contar con controles para la protección del perímetro de seguridad de las instalaciones físicas, controlar el acceso del personal y la permanencia en las oficinas e instalaciones, así como controlar el acceso a áreas restringidas (áreas destinadas al procesamiento o almacenamiento de información sensible, así como aquellas en las que se encuentren los equipos y demás infraestructura de soporte a los sistemas de información y comunicaciones), además mitigar los riesgos y amenazas externas y ambientales, con el fin de evitar afectación de la confidencialidad, disponibilidad e integridad de la información de la Entidad.
Todos los funcionarios, contratistas y visitantes que se encuentren en las instalaciones físicas de la entidad deben estar debidamente identificados, con un documento que acredite su tipo de vinculación, el cual deberá portarse en un lugar visible.
Los visitantes del Municipio siempre deben permanecer acompañados por un funcionario o contratista debidamente identificado.
El personal de empresas contratistas que desempeñen funciones de forma permanente en las instalaciones del Municipio, debe estar identificado con carné o distintivos del Contratista y portar el carné de la ARL.
-
Política de Seguridad de las Operaciones.
La Oficina de Sistemas de Información será la encargada de la operación y administración de los recursos tecnológicos que soportan la operación de la entidad, así mismo, velará por la eficiencia de los controles asociados a los recursos tecnológicos protegiendo la confidencialidad, integridad y disponibilidad de la información, así como, la de asegurar que los cambios efectuados sobre los recursos tecnológicos, serán controlados y debidamente autorizados. De igual manera, deberá proveer la capacidad de procesamiento requerida en los recursos tecnológicos y sistemas de información del Municipio, efectuando proyecciones de crecimiento y provisiones en la plataforma tecnológica de acuerdo al crecimiento de la Entidad.
La Oficina de Sistemas de Información deberá realizar y mantener copias de seguridad de la información de la Entidad en medio digital, siempre que ésta sea reportada por el responsable de la misma, con el objetivo de recuperarla en caso de cualquier tipo de falla, ya sea de hardware, software, o de procedimientos operativos al interior de la Entidad.
Se efectuará la copia respectiva de acuerdo con la periodicidad definida por la Oficina de Sistemas de Información.
-
Política de Seguridad de las Comunicaciones.
El Departamento General y de Servicios Administrativos a través de la Oficina de Sistemas de Información, establecerá los mecanismos necesarios para proveer la disponibilidad de las redes y de los servicios que dependen de ellas; así mismo, dispondrá y monitoreará los mecanismos necesarios de seguridad para proteger la integridad y la confidencialidad de la información de la entidad.
Como parte de sus términos y condiciones iniciales de trabajo, los funcionarios o contratistas, cualquiera sea su nivel jerárquico dentro de la entidad, firmarán un Compromiso de Confidencialidad y no divulgación, en lo que respecta al tratamiento de la información de la Entidad, y de igual manera la Autorización de tratamiento de datos personales, en los términos de la Ley 1581 de 2012, así como el capítulo 25 del Decreto 1074 de 2015 y la Ley 1712 de 2014 reglamentada por el capítulo 2 del Decreto 1081 de 2015 y las demás normas que las adicionen, modifiquen, reglamenten o complementen. Dicho compromiso y Autorización (documento original) deberá ser retenido en forma segura por la Oficina de Gestión Humana (funcionarios), la Subdirección de Contratación como parte del expediente (contratistas). Así mismo, mediante el Compromiso de Confidencialidad el funcionario o el contratista declarará conocer y aceptar la existencia de determinadas actividades que pueden ser objeto de control y monitoreo. Estas actividades deben ser detalladas a fin de no violar el derecho a la privacidad ni los derechos del funcionario o contratista.
En el caso de que sea personal que ejecute tareas propias del Municipio de La Ceja y haya sido contratado en el marco de un contrato o convenio con otra entidad, debe reposar en la carpeta de ejecución del contrato un compromiso de confidencialidad debidamente suscrito por el Representante Legal de la empresa contratista o con la cual se realiza el convenio.
9. Política de Seguridad para la Adquisición, Desarrollo y Mantenimiento de Sistemas.
El Departamento General y de Servicios Administrativos, a través de la Oficina de Sistemas de Información velará porque el desarrollo interno o externo de los sistemas de información, en el caso de presentarse, cumpla con los requerimientos de seguridad adecuados para la protección de la información del Municipio.
La Oficina de Sistemas de Información del Municipio de La Ceja, será la única dependencia de la Entidad con la capacidad de adquirir, desarrollar o avalar la adquisición y recepción de software de cualquier tipo, conforme a los requerimientos de las diferentes dependencias, con el fin de garantizar la conveniencia, soporte, mantenimiento y seguridad de la información de los sistemas que operan en la entidad.
En consecuencia, cualquier software que opere en el Municipio y no haya sido entregado a la Oficina de Sistemas de Información, no serán responsabilidad de la misma, no se le brindará soporte y no se le salvaguardará la información.
-
Política de Seguridad para Relación con Proveedores.
El Municipio de La Ceja, establecerá mecanismos de control en relaciones con sus proveedores, teniendo en cuenta que se debe asegurar la información a la que tengan acceso, supervisando el cumplimiento de lo establecido en el Eje de seguridad de la información. Los Supervisores de los contratos o convenios en conjunto con la Oficina de Sistemas de Información, tendrán la responsabilidad de la divulgación de las políticas y procedimientos de la seguridad de la información.
-
Política de Gestión de Incidentes de Seguridad de la Información.
El Municipio de La Ceja promoverá entre los funcionarios y contratistas el reporte de incidentes relacionados con la seguridad de la información y sus medios, reporte y seguimiento. Así mismo, asignará responsables para el tratamiento de los incidentes de seguridad de la información, quienes tendrán la responsabilidad de investigar y solucionar los incidentes reportados, de acuerdo con su criticidad. El Profesional Universitario, adscrito a la Oficina de Sistemas de Información o a quien éste delegue, son los únicos autorizados para reportar incidentes de seguridad ante las autoridades; así mismo, son los únicos canales de comunicación autorizados para hacer pronunciamientos oficiales ante entidades externas, medios de comunicación o la ciudadanía.
-
Política de Cumplimiento.
EI Municipio de La Ceja velará por la identificación, documentación y cumplimiento de los requisitos legales enmarcados en la seguridad de la información del Estado Colombiano, entre ella la referente a derechos de autor y propiedad intelectual, protección de datos personales, ley de transparencia y del derecho de acceso a la información pública.
Todas las políticas contenidas en el presente documento son de estricto cumplimiento por parte de los servidores públicos que hace parte de la Administración Municipal.
CAPITULO IV.
REVISIÓN, VIGENCIA Y DEROGATORIA.
Revisión. La Política de Seguridad y Privacidad de la Información, Seguridad Digital y Continuidad de la Operación, será revisada anualmente, o antes si existiesen modificaciones que así lo requieran, para que se mantenga oportuna, suficiente y eficaz.
Este proceso será liderado por la Oficina de Sistemas de Información del Municipio de la Ceja y aprobado por el Comité Institucional de Gestión y Desempeño.