Políticas de Seguridad, Privacidad y Términos de Uso

Las políticas tecnológicas de seguridad y privacidad de la información de la Auditoría General de la República, forman parte del sistema de gestión de calidad. Estas políticas son mecanismos administrativos de control de los riesgos de seguridad de la información y tienen como objetivo definir los requisitos para preservar la confidencialidad, integridad y disponibilidad de la información de la Entidad frente a potenciales amenazas. Las políticas son lineamientos generales que se traducen en procedimientos y controles debidamente alineados a las necesidades y objetivos estratégicos de la Entidad. 

El término política de seguridad se suele definir como el conjunto de requisitos definidos por los responsables directos o indirectos de un sistema, que indica en términos generales qué está y qué no está permitido en el área de seguridad durante la operación y uso general de los recursos informáticos. Al tratarse de 'términos generales', aplicables a situaciones o recursos muy diversos, suele ser necesario refinar los requisitos de la política para convertirlos en indicaciones precisas acerca de los qué es lo permitido y lo que es denegado en cierta parte de las operaciones en un sistema o recursos. 

Las políticas deberán ser conocidas y cumplidas plenamente por todos los funcionarios, contratistas y terceras partes de la Auditoría General de la República que tengan o requieren tener acceso a la información de la Entidad o a sus sistemas de información.
El incumplimiento de las políticas de seguridad de la información puede conducir a riesgos que derivan en pérdidas de confidencialidad, integridad o disponibilidad de la información y en casos extremos a incidentes de seguridad de la información que dependiendo de su severidad conducen a procesos administrativos, disciplinarios o legales según el impacto del evento de seguridad provocado.

La Auditoría General de la República informa a los titulares de los datos acerca de los mecanismos establecidos para la autorización del tratamiento de los datos personales los cuales incluyen: medios técnicos, orales o por medio de conductas inequívocas que permitan determinar el otorgamiento de la autorización por parte del Titular. Los Responsables del tratamiento de datos de la Auditoría General de la República conservan el registro de la autorización de tratamiento de datos personales. 

La transmisión de la información perteneciente a la Auditoría General de la República se controla según los niveles de clasificación legal de la información establecidos y las políticas de seguridad de la Entidad. En caso de que se requiera intercambiar información reservada o pública clasificada o sensible personal, se deben adoptar controles de cifrado de información de acuerdo con lo establecido en la política de uso de controles criptográficos. 

Los intercambios de información con otras entidades o partes interesadas externas deberán ser soportados formalmente, determinando en ellos los medios y controles en el tratamiento de la información. Así mismo, se firmarán acuerdos de confidencialidad que garanticen la protección de la información durante y posterior al tiempo de ejecución de las labores encomendadas.

La Oficina de Planeación de la Auditoría General de la República es la responsable de implementar las directrices necesarias para la autorización de acceso a los recursos y activos de información a través de los dispositivos de tecnología móviles (computadores portátiles, smartphone, tabletas, o cualquier equipo de dispositivos electrónicos con capacidad de acceso a las redes). La autorización de conexión de dispositivos móviles a las redes de datos de la Entidad, se realiza una vez se identifican, gestionan y mitigan los riesgos de seguridad de la información asociados al uso de los dispositivos.

Accesos Directos