Fiscalía General de la Nación

Objetivo

Garantizar la seguridad de la información al acceder de forma remota a los sistemas, bases de datos y archivos de la Fiscalía General de la Nación, tanto por parte del funcionario interno como de los proveedores autorizados que operen bajo esta modalidad, y establecer las condiciones correspondientes.

Alcance

Esta política aplica a todo el funcionariado y proveedores que estén autorizados a acceder remotamente a sistemas, bases de datos y archivos de la organización, así como a los dispositivos utilizados para tal fin.

Responsabilidades

Responsable de seguridad de la información debe velar por el cumplimiento de la presente política, así como de establecer los mecanismos adecuados para su revisión.

Director de tecnología de la información es responsable por planificar acciones de sensibilización a sus funcionarios y proveedores autorizados respecto a la importancia de esta política y por proveer los medios técnicos para el cumplimiento de la presente política.

Jerarcas de la Organización son responsables de proveer y mantener las condiciones necesarias para el cumplimiento de esta política, así como establecer las reglas de uso del acceso remoto para el funcionariado que lo requiera.

Funcionarios y proveedores autorizados a trabajar remotamente son responsables por cumplir con lo establecido en la presente política.

Definiciones

Acceso remoto: capacidad de acceder a datos, correo, información y aplicaciones desde fuera del entorno de la organización.

Descripción

Se debe garantizar que la información de la organización no se vea comprometida.

Para ello, es necesario el cumplimiento de las siguientes directivas:

a. Realizar una lista de servicios, redes, sistemas de información que pueden ser accedidos remotamente por personal autorizado.

b. Desarrollar y mantener un inventario de accesos remotos otorgados identificando a la persona que cuenta con el acceso, el motivo por el cual se le otorgó y el plazo por el cual está autorizado.

c. Se debe contar con una lista de equipos y origen de conexión autorizado desde los cuales se puede acceder remotamente.

d. Mantener un registro detallado de los proveedores externos que acceden al sistema. Esto implica identificar las direcciones IP y las redes permitidas para cada proveedor.

e. Se debe utilizar comunicaciones seguras para el acceso remoto (Certificados TLS).

f. Se requiere que los equipos utilizados para el acceso remoto, especialmente los notebooks, estén equipados con protección contra software malicioso y se encuentren encriptados mediante algún mecanismo robusto.

g. El dispositivo utilizado para acceder remotamente debe ser equipamiento institucional (solo personal interno). Se prohibe acceder remotamente desde dispositivos ajenos a la institución, a excepción de las empresas externas.

h. Se deben definir los procedimientos y protocolos para la realización de acceso remoto, así como los contactos con soporte técnico para resolución de problemas.

i. Se debe definir un procedimiento de revisión periódica de las condiciones de uso del acceso remoto y de los usuarios que hacen uso de éste, que contemple la revisión de los puntos anteriores.

j. La organización tiene la autoridad de auditar el cumplimiento de esta política.

Cumplimiento

Se destaca que el incumplimiento de la presente política aumenta la exposición de la información y el riesgo de tener un incidente de seguridad de la información. Ante la verificación de un incumplimiento la Dirección General podrá tomar las medidas que se considere pertinentes, a efectos de darle el debido cumplimiento.