X

POLÍTICAS DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN DE MICROSYSLABS



  1. . DERECHOS DE AUTOR: Este documento se ha construido por Microsyslabs S.A.S. (en adelante, MICROSYSLABS o la Empresa), considerando las directrices establecidas por el Ministerio de las TIC en Colombia en su Guía No. 2 – Elaboración de la Política General de la Información. El documento referenciado está basado en buenas prácticas y estándares internacionales de la industria y por ello, tiene plena cobertura para atender la necesidad de nuestros clientes en torno a los lineamientos que sigue la Empresa en relación con la Seguridad de la Información.
  2. . PROPÓSITO: Este documento se plantea como lineamiento básico para tener en cuenta en el manejo de la información durante la ejecución normal de las actividades de negocio. Por ello, se plasman, además de las directrices, la posición y compromiso de la alta dirección de la empresa en relación con mantener la confidencialidad, integridad y disponibilidad de los activos de información de la Empresa, de los proveedores y clientes que la han compartido con MICROSYSLABS, como actividad requerida para llevar a cabo el uso de las soluciones tecnológicas que ha contratado con éste o por el desarrollo de las relaciones de negocio.
  3. . GLOSARIO:

    Activo de Información: Corresponde a toda unidad completa de datos o información que ha sido identificada como existente en la empresa, bien sea porque ha sido creada en la misma, o ha sido recibida de terceros y es parte de los procesos de gestión que debe ejecutar la Empresa en su cotidianidad. Los activos son los recursos del Sistema de Seguridad de la Información necesarios para que la Empresa funcione y logre los objetivos que ha propuesto la alta dirección. Cualquier componente (humano, tecnológico, software, documental o de infraestructura) que soporta uno o más procesos de negocios de la Empresa y, en consecuencia, debe ser protegido.


    Amenaza: Factor externo que aprovecha una debilidad en los activos de información y puede impactar en forma negativa en la organización. No existe una única clasificación de las amenazas, lo importante es considerarlas todas a la hora de su identificación.

    Antivirus: Es un tipo de software que se utiliza para evitar, buscar, detectar y eliminar malware de una computadora. Una vez instalados, la mayoría de los software antivirus se ejecutan automáticamente en segundo plano para brindar protección en tiempo real contra ataques maliciosos. Adicionalmente, ayudan a resguardar los archivos y el hardware de la ejecución de malware, como gusanos, troyanos y programas espía.

    Autenticación: Es el procedimiento de comprobación de la ID de un usuario o recurso/sistema tecnológico al tratar de acceder a un recurso de procesamiento o sistema de información.

    Autenticidad: Propiedad que garantiza que la identidad de un sujeto o recurso es la que declara.

    Cadena de Custodia: Registro detallado del tratamiento de la evidencia en el proceso de atención a un incidente en seguridad, incluyendo quienes, cómo y cuándo la transportaron, almacenaron y analizaron, a fin de evitar alteraciones o modificaciones que comprometan la misma.

    Características de la Información: Las principales características son la confidencialidad, la disponibilidad y la integridad.

    CCTV: Es una sigla en inglés “closed circuit television” que traducido al español es “circuito cerrado de televisión”, consiste en una o más cámaras de vigilancia conectadas a uno o más monitores de vídeo o televisores que reproducen las imágenes transmitidas por las cámaras.

    Centro de cómputo: Es un área específica que destinan las compañías para el almacenamiento de múltiples equipos de cómputo para la operación de sus procesos informáticos. Estos equipos se encuentran conectados entre sí a través de una red de datos. El centro de cómputo deberá cumplir ciertos estándares de industria con el fin de garantizar básicas condiciones de seguridad, disponibilidad y continuidad, entre ellas, el tener los controles de acceso físico, materiales de paredes, pisos y techos retardantes en relación con la inflamabilidad. Suministro de alimentación eléctrica principal y alterna, condiciones medioambientales adecuadas, entre otros.

    Centros de cableado: Son cuartos de la empresa donde se podrán instalar los dispositivos de comunicación y tienen llegada los cables eléctricos y/o de datos que cubren los espacios de la sede de la empresa. Al igual que los centros de cómputo, los centros de cableado deben cumplir requisitos de control de acceso físico, condiciones de materiales de paredes, pisos y techos, suministro de alimentación eléctrica y condiciones de temperatura y humedad.

    Cifrado: Es la transformación de los datos mediante el uso de la criptografía para producir datos ininteligibles (cifrados) y asegurar su confidencialidad. El cifrado es una técnica muy útil para prevenir la fuga de información, el monitoreo no autorizado e incluso el acceso no autorizado a los repositorios de información.

    Compromiso de la Dirección: Es la actitud y la obligación que se adquiere por parte del primer nivel de dirección de la compañía respecto al establecimiento, implementación, operación, monitorización, revisión, mantenimiento y mejora del SGSI.

    Confiabilidad: Se define como la probabilidad en que un producto realizará su función prevista sin incidentes por un período de tiempo especificado y bajo condiciones indicadas.

    Confidencialidad: Es el nivel de acceso otorgado a la información para que sea accedida solo por quienes estén autorizados.

    Contención: Acción que se formula o implementa para evitar que el incidente siga ocasionando daños.

    Control de Acceso: Es la habilidad de permitir o denegar el uso de un recurso particular a una entidad en particular.

    Control: Es toda actividad o proceso encaminado a mitigar o evitar un riesgo. Incluye políticas, procedimientos, guías, estructuras organizacionales y buenas prácticas, que pueden ser de carácter administrativo, tecnológico, físico o legal.

    Criptografía: Es la disciplina que agrupa a los principios, medios y métodos para la transformación de datos con el fin de ocultar el contenido de su información, establecer su autenticidad, prevenir su modificación no detectada, prevenir su repudio, y/o prevenir su uso no autorizado.

    Custodio del activo de información: Es una parte designada de la entidad, un cargo, proceso, o grupo de trabajo encargado de administrar y hacer efectivos los controles de seguridad que el propietario de la información haya definido, tales como copias de seguridad, asignación privilegios de acceso, modificación y borrado.

    Disponibilidad: Es la garantía de que los usuarios autorizados tienen acceso a la información y a los activos asociados cuando lo requieren.

    Equipo de cómputo: Dispositivo electrónico capaz de recibir un conjunto de instrucciones y ejecutarlas realizando cálculos sobre los datos numéricos, o bien compilando y correlacionando otros tipos de información.

    Erradicación: Eliminar la causa del incidente y todo rastro de los daños.

    Estándar: Regla que especifica una acción o respuesta que se debe seguir a una situación dada. Los estándares son orientaciones obligatorias que buscan hacer cumplir las políticas. Los estándares son diseñados para promover la implementación de las políticas de alto nivel de la entidad antes de crear nuevas políticas.

    Evento de seguridad: Presencia identificada de una condición de un sistema, servicio o red, que indica una posible violación de la política de seguridad de la información o la falla de las salvaguardas, o una situación desconocida previamente que puede ser pertinente a la seguridad. [ISO/IEC 27000:2009]

    Gestión de Incidentes: Es el conjunto de todas las acciones, medidas, mecanismos, recomendaciones, tanto proactivos, como reactivos, tendientes a evitar y eventualmente responder de manera eficaz y eficiente a incidentes de seguridad que afecten activos de una empresa, minimizando su impacto en el negocio y la probabilidad que se repita.

    Fuga de información: Incidente que pone en poder de una persona o entidad ajena a la organización, información confidencial y que sólo debería estar disponible para integrantes de esta (tanto de todos como de un grupo reducido). Este tipo de incidente puede ser tanto interno como externo, y a la vez generado de forma intencional o no.

    Firewall: Un firewall es un dispositivo de seguridad de la red que monitorea el tráfico de red entrante y saliente y decide si permite o bloquea tráfico específico en función de un conjunto definido de objetivos de seguridad.

    Guía: Una guía es una declaración general utilizada para recomendar o sugerir un enfoque para implementar políticas, estándares, buenas prácticas. Las guías son esencialmente, recomendaciones que deben considerarse al implementar la seguridad. Aunque no son obligatorias, serán seguidas a menos que existan argumentos documentados y aprobados para no hacerlo.

    Hash: Función computable mediante un algoritmo, que tiene como entrada un conjunto de elementos, que suelen ser cadenas, y los convierte (mapea) en un rango de salida finito, normalmente cadenas de longitud fija.

    Ingeniería Social: En el campo de la seguridad informática, es la práctica de obtener información confidencial a través de la manipulación de usuarios legítimos ganando su confianza muchas veces, con el fin de obtener información, acceso o privilegios en sistemas de información que les permiten realizar algún acto que perjudique o exponga a la persona o a la organización a riesgos y/o abusos.

    IDS: Sistema de detección de intrusos.

    IPS: Sistema de prevención de intrusos.

    Impacto: Consecuencias que produce un incidente de seguridad sobre la organización.

    Incidente de seguridad de la información: Evento o serie de eventos de seguridad de la información no deseados o inesperados, que tienen probabilidad significativa de comprometer las operaciones del negocio y amenazar la seguridad de la información.

    Integridad: Es la protección de la exactitud y estado completo de los activos.

    Log’s: Registro de los sistemas de información que permite verificar las tareas o actividades realizadas por determinado usuario o sistema.

    Malware: Es un término general para referirse a cualquier tipo de “malicious software” (software malicioso) diseñado para infiltrarse en un dispositivo sin conocimiento previo del usuario. Hay muchos tipos de malware y cada uno busca sus objetivos de un modo diferente. Sin embargo, todas las variantes comparten dos rasgos definitorios: funcionan de forma oculta y trabajan activamente en contra de los intereses de la persona, entidad o dispositivo atacado.

    Medio removible: Es cualquier componente extraíble de hardware que sea usado para el almacenamiento de información. Los medios removibles incluyen cintas, discos duros removibles, CDs, DVDs y unidades de almacenamiento USB, entre otras.

    Mejor Práctica: Una regla de seguridad específica o una plataforma que es aceptada, a través de la industria al proporcionar el enfoque más efectivo a una implementación de seguridad concreta. Las mejores prácticas son establecidas para asegurar que las características de seguridad de los sistemas utilizados con regularidad estén configurados y administrados de manera uniforme, garantizando un nivel consistente de seguridad a través de la entidad.

    Partner: Persona jurídica o natural con la que Microsyslabs ha establecido un acuerdo para que pueda ofrecer, vender y mantener el portafolio de las soluciones wolkvox.

    Phishing: Es un tipo de delito encuadrado dentro del ámbito de las estafas. Se vale de técnicas como la ingeniería social, haciéndose pasar por una persona o empresa de confianza en una aparente comunicación electrónica, con el objetivo de adquirir información confidencial de forma fraudulenta.

    Plan de continuidad del negocio (Business Continuity Plan): Plan orientado a permitir la continuidad de las funciones operativas de la organización, en caso de un evento imprevisto que las ponga en peligro.

    Plan de tratamiento de riesgos (Risk treatment plan): Documento de gestión que define las acciones para reducir, prevenir, transferir o asumir los riesgos de seguridad de la información inaceptables e implantar los controles necesarios para proteger la misma.

    Política: Declaración de alto nivel que describe la posición de la Empresa sobre un tema específico.

    Política de seguridad: Documento que establece el compromiso de la dirección y el enfoque de la organización en la gestión de la seguridad de la información.

    Política de escritorio limpio: Es aquella que indica a los empleados, clientes, proveedores y demás colaboradores, que deben dejar su escritorio libre de cualquier tipo de informaciones susceptibles de mal uso al finalizar su jornada laboral.

    Procedimiento: Los procedimientos, definen específicamente como las políticas, estándares, mejores prácticas y guías que serán implementadas en una situación dada. Los procedimientos son independientes de la tecnología o de los procesos y se refieren a las plataformas, aplicaciones o procesos específicos. Son utilizados para delinear los pasos que deben ser seguidos por una dependencia para implementar la seguridad relacionada con dicho proceso o sistema específico. Generalmente los procedimientos son desarrollados, implementados y supervisados por el dueño del proceso o del sistema, los procedimientos seguirán las políticas de la Empresa, los estándares, las mejores prácticas y las guías tan cerca como les sea posible, y a la vez se ajustarán a los requerimientos procedimentales o técnicos establecidos dentro del a dependencia donde ellos se aplican.

    Propietario de la información: Es la unidad organizacional o proceso donde se crean los activos de información y se mantiene la propiedad de estos, para modificarlos, eliminarlos o compartirlos.

    Recuperación: Volver el entorno afectado a su estado natural.

    Responsable por el activo de información: Es la persona o grupo de personas, designadas por los propietarios, encargados de velar por la confidencialidad, la integridad y disponibilidad de los activos de información y decidir la forma de usar, identificar, clasificar y proteger dichos activos a su cargo.

    Riesgo: Posibilidad de que una amenaza concreta pueda explotar una vulnerabilidad para causar una pérdida o daño en un activo de información.

    Riesgo Residual: Según [ISO/IIEC Guía 73:2002] Es el riesgo que permanece tras el tratamiento del riesgo.

    Segregación de tareas: Separar tareas sensibles entre distintos empleados, clientes, proveedores u otros con alguna relación contractual con la Empresa para reducir el riesgo de un mal uso, deliberado o por negligencia, de los sistemas e informaciones.

    Sistema de información: Es un conjunto organizado de datos, operaciones y transacciones que interactúan para el almacenamiento y procesamiento de la información que, a su vez, requiere la interacción de uno o más activos de información para efectuar sus tareas. Un sistema de información es todo componente de software ya sea de origen interno, es decir desarrollado por la empresa o de origen externo ya sea adquirido por la empresa como un producto estándar de mercado o desarrollado para las necesidades de ésta.

    Spamming: Se llama spam, correo basura o sms basura a los mensajes no solicitados, habitualmente de tipo publicitario, enviados en grandes cantidades (incluso masivas) que perjudican de alguna o varias maneras al receptor. La acción de enviar dichos mensajes se denomina spamming. La vía más usada es el correo electrónico.

    Sniffer: Software que captura los paquetes que viajan por la red para obtener información de la red o del usuario.

    Spoofing: Falsificación de la identidad origen en una sesión. La identidad es por una dirección IP o Mac Address.

    SGSI: Sistema de gestión de la seguridad de la información

    SSI: Subsistema de Seguridad de la Información.

    Tratamiento de riesgos: Según [ISO/IEC Guía 73:2002]: Proceso de selección e implementación de medidas para modificar el riesgo.

    Validación: Garantizar que la evidencia recolectada es la misma que la presentada ante las autoridades.

    Virus: En adelante nos referiremos s a “malware”. Ver dicha definición en este glosario.

    Vulnerabilidad: Condición que podría permitir que una amenaza se materialice con mayor frecuencia, con mayor impacto o ambas. Una vulnerabilidad puede ser la ausencia o debilidad en los controles administrativos, técnicos y/o físicos.

  4. . POLÍTICA GENERAL DE SEGURIDAD DE LA INFORMACIÓN

    La dirección de MICROSYSLABS, entendiendo la importancia de una adecuada gestión de la información, se ha comprometido con la implementación de un sistema de gestión de seguridad de la información buscando establecer un marco de confianza en el ejercicio de sus deberes con terceros (clientes, empleados, socios, partners, proveedores u otros) que puedan estar interesados en el desarrollo de las actividades de negocio, todo enmarcado en el estricto cumplimiento de las leyes en Colombia, y en concordancia con la misión y visión de la Empresa.


    Para MICROSYSLABS, la protección de la información busca la disminución del impacto generado sobre sus activos, por los riesgos identificados de manera sistemática con objeto de mantener un nivel de exposición que permita responder por la integridad, confidencialidad y la disponibilidad de esta, acorde con las necesidades de los diferentes grupos de interés identificados. De acuerdo con lo anterior, esta política aplica a la Empresa según como se defina en el alcance, sus empleados, aprendices, practicantes, proveedores, partners,terceros y la ciudadanía en general, teniendo en cuenta que los principios sobre los que se basa el desarrollo de las acciones o toma de decisiones alrededor de un Sistema de Gestión de la Seguridad de la Información (SGSI) estarán determinadas por las siguientes premisas:


    • Minimizar el riesgo en el desarrollo de las funciones más importantes de la Empresa.
    • Cumplir con los principios de seguridad de la información, según las mejores prácticas.
    • Cumplir con los principios de la función administrativa.
    • Cumplir con el marco legislativo nacional e internacional dónde la organización decida tener presencia.
    • Mantener la confianza de sus clientes, socios y empleados.
    • Apoyar la innovación tecnológica.
    • Proteger los activos de información.
    • Establecer las políticas, procedimientos e instructivos en materia de seguridad de la información, conforme las mejores prácticas.
    • Fortalecer la cultura de seguridad de la información en los funcionarios, terceros, aprendices, practicantes y clientes de la Empresa.
    • Mejorar continuamente la gestión de la seguridad de la información.
    • Garantizar la continuidad del negocio frente a incidentes.
    • Revisar y ajustar las políticas al menos una vez al año, o cada vez que sea requerido por un cambio.

    Alcance/Aplicabilidad: Esta política aplica a toda la Empresa, sus empleados, contratistas, partners y terceros relacionados con MICROSYSLABS.

    Nivel de cumplimiento: Todas las personas cubiertas por el alcance y aplicabilidad deberán dar cumplimiento un 100% de la política. El incumplimiento a la política de Seguridad de la Información traerá consigo, las consecuencias legales y disciplinarias que apliquen a la normativa de la compañía, incluyendo lo establecido en las normas que competen al gobierno nacional y territorial en cuanto a Seguridad de la Información se refiere.

    Para el presente documento existirán excepciones, las cuales contarán con la aprobación de la Dirección general o de quien este delegue.

  5. . POLÍTICAS ESPECÍFICAS DE LA SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN

    A continuación, se establecen las 13 políticas específicas de seguridad que soportan el SGSI de MICROSYSLABS:


    1. MICROSYSLABS ha decidido definir, implementar, operar y mejorar de forma continua un Sistema de Gestión de Seguridad de la Información (SGSI), soportado en lineamientos claros alineados a las necesidades del negocio, las mejores prácticas y a los requerimientos regulatorios vigentes.

    2. MICROSYSLABS se compromete con el cumplimiento de las leyes, normas y regulaciones relacionadas o de incumbencia con la Seguridad de la Información, en Colombia y en los países dónde se cuente con clientes que consuman las tecnologías ofrecidas. En caso de identificar brechas o condiciones no satisfechas, desde la gestión del SGSI, buscará atender la necesidad de ajuste y cumplimiento.

    3. Las responsabilidades frente a la seguridad de la información serán definidas, compartidas, publicadas y aceptadas por cada uno de los empleados, contratistas o terceros, considerando los principios de segregación de tareas para evitar que dichos roles accedan a activos de información no relacionados con las tareas o funciones a cargo.

    4. MICROSYSLABS protegerá la información generada, procesada o resguardada por los procesos de negocio y activos de información que hacen parte de estos.

    5. MICROSYSLABS protegerá la información creada, procesada, transmitida o resguardada por sus procesos de negocio, con el fin de minimizar impactos financieros, operativos o legales debido a un uso incorrecto de esta. Para ello es fundamental la aplicación de controles de acuerdo con la clasificación de la información de su propiedad o en custodia.

    6. MICROSYSLABS protegerá su información de las amenazas originadas por parte del personal interno.

    7. MICROSYSLABS protegerá las instalaciones de procesamiento y la infraestructura tecnológica que soporta sus procesos críticos.

    8. MICROSYSLABS controlará la operación de sus procesos de negocio garantizando la seguridad de los recursos tecnológicos y las redes de datos que soportan sus operaciones.

    9. MICROSYSLABS implementará control de acceso a la información, sistemas y recursos de red, considerando principios de segregación de tareas de empleados, contratistas o terceros. Los deberes y áreas de responsabilidad en conflicto se deben identificar y dirimir para reducir las posibilidades de modificación no autorizada o no intencional de la información de la Empresa, o el uso indebido de los activos de la Organización.

    10. MICROSYSLABS garantizará que la seguridad sea parte integral del ciclo de vida de los sistemas de información.

    11. MICROSYSLABS garantizará una adecuada gestión de los incidentes y eventos de seguridad y las debilidades asociadas con los sistemas de información una mejora efectiva de su modelo de seguridad.

    12. MICROSYSLABS garantizará la disponibilidad de sus procesos de negocio y la continuidad de su operación basado en el impacto que pueden generar los eventos.

    13. MICROSYSLABS garantizará el cumplimiento de las obligaciones legales, regulatorias y contractuales establecidas con terceros en el territorio colombiano, y respetará y buscará el cumplimiento de tales obligaciones con terceros que contraten sus servicios y se encuentren en países distintos al de Colombia.

    El incumplimiento a la Política de Seguridad y Privacidad de la Información traerá consigo, las consecuencias legales que apliquen a la normativa de la Empresa, incluyendo lo establecido en las normas que competen al Gobierno nacional y territorial de Colombia en cuanto a Seguridad y Privacidad de la Información se refiere.


  6. . POLÍTICAS PARA LA IMPLEMENTACIÓN DE CONTROLES DE SEGURIDAD DE LA INFORMACIÓN

    A continuación, se listan las políticas puntuales para la implementación de los controles requeridos en la gestión del SGSI de la Empresa.


    1. Organización de la Seguridad de la Información.

      Se define como entidad superior de gobierno en lo relacionado con el logro del propósito formulado, un Comité Directivo de Seguridad de la Información, integrado por: el Gerente General (o su delegado), el Director de Tecnología, el Director de Ingeniería de Software e Infraestructura, el Líder de Riesgos en Seguridad de la Información y el Director Administrativo. Este comité se encargará de la revisión y actualización de este documento de Políticas, de liderar las comunicaciones al interior de la Empresa para generar la cultura alrededor de la seguridad de la información, de supervisar los resultados del sistema de gestión de la seguridad de la información, solicitando ajustes o mejoras cuando sea requerido. Tendrá a cargo el direccionamiento de las comunicaciones a terceros, cuando se presenten incidentes en seguridad de la información. Garantizará la correcta atención y manejo de los incidentes en seguridad de la información que se pudiesen presentar. Identificará y asegurará las conexiones necesarias entre el SGSI y el Sistema de Gestión de Seguridad y Salud en el Trabajo (SG SST) de la Empresa con el propósito de mantener una visión unificada en la gestión de los riesgos que puedan afectar la seguridad de la información y la seguridad en el trabajo. El comité se deberá reunir con una periodicidad que por cuenta propia deberá definir, buscando garantizar se ejecutan oportunamente las funciones ya mencionadas.


    2. Gestión de activos.

      Se establecen las directrices mediante las cuales se le indica a los empleados los límites y procedimientos frente a la identificación, uso, administración y responsabilidad frente a los activos de información. Se plantean las siguientes:


      Identificación de activos: Se debe hacer un inventario de los activos de información de la Empresa, propios o de terceros, considerando la identificación del propietario o responsable de cada activo de información, y dejando clara las herramientas de apoyo que se usarán para realizar la tarea. Este inventario será levantado por el Líder de Riesgos en Seguridad de la Información, y deberá ser revisado y actualizado permanentemente cuando se ejecuten los cambios (adiciones, retiros).


      Clasificación de los activos de información: La Empresa deberá llevar a cabo la clasificación de los activos de información de acuerdo con la criticidad, sensibilidad y reserva de estos. Tales definiciones deben quedar estipuladas en un procedimiento de gestión definido por el Líder de Riesgos en Seguridad de la Información. En esta revisión se convocará a los terceros que han provisto activos de información para ser almacenados y custodiados por la Empresa, de manera que se hagan igual partícipes de la responsabilidad de aseguramiento de estos.


      Etiquetado de los activos de información: Todos los activos de información deberán ser etiquetados siguiendo criterios que permitan su rápida identificación, propósito y la clasificación dada. Estas definiciones deben quedar documentadas en un procedimiento definido por el Líder de Riesgos en Seguridad de la Información.


      Devolución/Eliminación de Activos: La Empresa delega en el Líder de Riesgos en Seguridad de la Información la definición de los instrumentos y los mecanismos para llevar a cabo las actividades de devolución y/o eliminación de los Activos de Información, cuando los terceros lo hayan definido en el inicio de relaciones de negocios. Así mismo establecerá los mecanismos y controles para asegurar que los empleados realicen la entrega de activos físicos y de la información una vez finalizado el empleo, acuerdo o contrato que se tenga con la Empresa. Deberá considerarse como primera acción de control, la posibilidad de eliminar dejando constancia de la actividad ejecutada y el alcance posible.


      Gestión de medios removibles: Para la Empresa, la adecuada custodia de los Activos de Información es actividad relevante, por ello, se restringe en general a todos los usuarios y/o empleados el uso de medios removibles, entendiendo como medio removible a todos aquellos dispositivos electrónicos que almacenan información y pueden ser extraídos de los computadores. Solo se autorizará, por el Líder de Riesgos en Seguridad de la Información, el uso previa justificación que haga el gerente del área a cargo del empleado que requiere uso continuo de medios removibles. Para los casos aprobados, el uso de medios removibles en la Empresa debe ir alineado a las clasificaciones de activos dispuestas en del procedimiento “Identificación y Clasificación de Activos”.


      Disposición de los activos: La Empresa debe establecer los mecanismos para la adecuada custodia y disposición de los activos de información que han sido identificados y clasificados. Estos mecanismos se plasmarán en un procedimiento que describa las maneras en las cuales se ejecutará, de forma segura y correcta, la eliminación, retiro, traslado o re uso cuando ya no se requieran los activos.


      Así mismo es deber de la Empresa, a través de las actividades que lleve a cabo el área de Infraestructura, en cabeza del Líder, la obtención de los respaldos o backup de los activos de información evitando así el acceso o borrado no autorizado de la información. Deberá establecerse por el Líder de Infraestructura, las directrices y procedimientos de almacenamiento de los activos de información, de manera que los respaldos se efectúen conforme la estrategia y las tecnologías en uso por la organización.


      Dispositivos móviles y de cómputo personales: Se establece que, en la Empresa, los empleados podrán acceder a las redes inalámbricas desde sus equipos de cómputo portátiles, entendiéndose que tendrán acceso mínimo permanente a una conexión desde su puesto de trabajo. No está permitido que se acceda a las redes inalámbricas de la Empresa desde teléfonos móviles, tabletas u otros dispositivos personales. Así mismo se establece que los empleados, a través de las redes de datos de la Empresa y de los enlaces a internet provistos por la Organización, podrán solo acceder a las cuentas de correo de la Empresa, y aquellos roles autorizados, a la plataforma productiva en internet, para cada uno de los ambientes a los que tiene el acceso otorgado. Se permite el uso de herramientas colaborativas, según la tecnología y la estrategia que haya definido el área de Tecnología de la Empresa. No se permite el uso de correos electrónicos, ni chats personales, ni sistemas de videoconferencia o transmisión de información diferentes a los autorizados desde la Dirección de Tecnología, en los equipos de cómputo provistos por la Empresa.


      Podrán los visitantes a las sedes de la Empresa acceder a una red inalámbrica de visitantes configurada con tal propósito y solo bajo autorización del Gerente de Servicio TIC, desde equipos de cómputo personales. Nunca podrán acceder a la red principal de datos de la Empresa. Se restringe a los visitantes el acceso desde teléfonos móviles. Los empleados de la Empresa tienen autorización en el ejercicio de sus funciones sólo del uso del equipo de cómputo que se le ha asignado. No está permitido el uso, la conexión a la red de la empresa ni la descarga de los activos de información de la Empresa en equipos de cómputo personales. El equipo de cómputo personal se asignará a cada empleado previa consideración de su rol y las aplicaciones y funcionalidades requeridas. Todo equipo trae instalado un sistema de seguridad informática, con base en la solución y mecanismos de protección antivirus que ha definido la Empresa. Ningún empleado puede deshabilitar en algún momento estas soluciones de seguridad y deberá monitorear y validar diariamente que el software permanezca actualizado y en servicio.


      No está permitido, que ningún empleado, salvo el Gerente General y el o los Líderes de Infraestructura puedan acceder a los componentes de la plataforma wolkvox desde locaciones externas a la oficina. Para ello, se deben matricular por estos roles las direcciones IP válidas desde las cuáles se permitirá el acceso a la plataforma. Sin embargo, ante situaciones de emergencia, que imposibiliten la asistencia de los empleados a las sedes físicas de la Empresa, se levantará esta restricción de acceso de los empleados a la plataforma wolkvox, mientras dure la condición de emergencia.


      El Gerente del Servicio TIC deberá definir e implementar los procedimientos necesarios para instrumentar las definiciones aquí planteadas.


    3. Control de acceso.

      Se establecen a continuación las directrices con las que en la Empresa se determinan los mecanismos de protección, los límites y procedimientos frente a la administración y responsabilidad, relacionados con los accesos a la información, sin importar si estos accesos sean electrónicos o físicos. A continuación, tales políticas:


      Control de acceso con usuario y contraseña: Es responsabilidad del Gerente del Servicio TIC la definición de los procedimientos para llevar a cabo la creación, modificación, suspensión o eliminación de usuarios y contraseñas. Tales procedimientos serán desplegados por el Líder de Soporte y el Líder de Infraestructura de la Empresa . Todo usuario de los servicios tecnológicos sea este empleado, contratista u otro tercero, que tenga una cuenta y acceso a las plataformas de la Empresa, debe velar por el buen manejo del usuario y contraseña brindados, entendiendo que estos son personales e intransferibles y no deben prestarse, ni compartirse. Por ello, la Empresa debe crear y proveer para cada empleado y/o usuario, acorde con las limitaciones de acceso a los activos de información, un usuario y una contraseña para el acceso. Es necesario además que todo usuario vigile que los accesos brindados a los activos de información correspondan a aquellos sobre los cuáles se ha otorgado acceso por motivo de sus funciones y tareas. Deben evitar acceder a activos de información que no hacen parte de la ejecución de sus funciones y tareas, reportando a su jefe inmediato y al Líder de Riesgos en Seguridad de la Información accesos no debidos que hayan identificado.


      Suministro del control de acceso: En cabeza del Líder de Soporte (para los equipos de cómputo personal) y del Líder de Infraestructura (para la plataforma wolkvox, y la infraestructura de red) del área de Tecnología de la Empresa, con el aval de la Gerencia del Servicio TIC, o en su defecto, del Director de Tecnología y del Director de Ingeniería de Software e Infraestructura, está la definición de los procedimientos para la gestión de asignación, modificación, revisión o revocación de derechos y/o privilegios a cada uno de los usuarios creados. Se incluirán en el procedimiento, el manejo a los casos especiales como lo son usuarios con privilegios superiores utilizados para la administración de infraestructura, aplicaciones y sistemas de información de la Empresa, estipulando el alcance que se otorga sobre las plataformas a cargo, y que en ningún caso, está autorizado para, por decisión propia, eliminar, corregir o alterar registros de uso de su usuario en la plataforma, como tampoco, alterar, sin el aval del comité directivo de seguridad de la información, la data que ha sido capturada durante la operación normal de los sistemas de información o plataformas que soportan las operaciones de la Empresa.


      Gestión de Contraseñas: Siendo las contraseñas el mecanismo básico establecido para llevar a cabo la autenticación de los usuarios en los accesos a la red, aplicaciones y/o sistemas de información de la Empresa, se define que las mismas deben tener una longitud mínima de 6 caracteres, y deben incluir al menos un carácter especial, un número y mezcla de letras mayúsculas y minúsculas. Se establece como requisito general el que se configure una temporalidad a la vigencia de las contraseñas, de máximo tres meses. Así como que se exija el cambio de la contraseña una vez haya sido asignada por un administrador interno del sistema de información. Es labor del Líder de Riesgos en Seguridad de la Información de la Empresa junto con el Líder de Infraestructura identificar los componentes de la plataforma sobre los cuáles no es posible la asignación de esta definición de contraseñas, e informar al comité directivo de seguridad de la información, para que se evalúe el riesgo y se determine la acción de tratamiento posible.


      Perímetros de Seguridad: Se establece como áreas con acceso restringido a empleados, contratistas o terceros las siguientes: el lugar dónde se encuentran ubicados los equipos de redes LAN y telecomunicaciones a internet en las sedes administrativas de la Empresa. Cualquier adición o modificación de la condición de estas áreas de seguridad física debe ser considerada por el comité directivo de seguridad de la información, y debe ser documentado por la Dirección de Tecnología qué roles de empleados, contratistas o terceros, tendrán acceso a dichas áreas de seguridad. Así mismo, accesos a dichas áreas por parte de personas que no se encuentren dentro los preautorizados, deben solicitar acceso a la persona que se haya delegado en cada caso, como responsable de autorizar acceso y en qué condiciones. Por ello, se debe documentar un procedimiento por la Gerencia del Servicio TIC.


    4. Confidencialidad.

      Para la Empresa la gestión de la confidencialidad de los activos de información es tarea relevante, por ello ha establecido que todo documento que regule las relaciones de la Empresa con empleados, contratistas u otros deberá contener cláusulas de confidencialidad que habrán de establecer las condiciones para la entrega, custodia y manejo de los activos de información que podrían intercambiarse entre las partes fruto de la relación laboral o comercial. Se estipularán además las consecuencias que conlleva el manejo inadecuado de los activos de información por una de las partes.


    5. Integridad.

      Para la Empresa toda información verbal, física o electrónica, debe ser adoptada, procesada y entregada o transmitida integralmente, coherentemente, exclusivamente a las personas correspondientes y a través de los medios correspondientes, sin modificaciones ni alteraciones, salvo que así lo determinen las personas autorizadas y/o responsables de dicha información. En el caso de vinculación contractual, el compromiso de administración y manejo integro e integral de la información interna y externa hará parte de las cláusulas del respectivo contrato, bajo la denominación de Cláusula de integridad de la información.


    6. Disponibilidad del servicio e información.

      La Empresa deberá contar con un plan de continuidad del negocio con el fin de asegurar, recuperar o restablecer la disponibilidad de los procesos que soportan el Sistema de Gestión de Seguridad de la Información y los procesos misionales de la Empresa ante el evento de un incidente de seguridad de la información.


      La Empresa ha establecido unos objetivos de disponibilidad de los servicios asociados a la plataforma wolkvox, comprometiéndose con unos niveles de disponibilidad iguales o superiores al 99,6% del tiempo del mes.


      Para lograr el cumplimiento de esta oferta de disponibilidad, la Empresa, en cabeza de la Dirección de Tecnología debe diseñar e implementar los procedimientos de gestión, acorde con las mejores prácticas de la industria de manera que pueda gestionar los riesgos que puedan afectar el logro del objetivo de disponibilidad planteado.


      Así mismo, la Empresa, en cabeza de la Dirección de Ingeniería de Software e Infraestructura deberá definir los lineamientos para lograr una segregación de ambientes que permita minimizar los riesgos de puesta en funcionamiento de cambios y nuevos desarrollos con el fin de reducir el impacto de la indisponibilidad del servicio durante las fases de desarrollo, pruebas y producción. Así mismo, incorporar los lineamientos de Gestión de Cambios para que los pasos a producción afecten mínimamente la disponibilidad y se realicen bajo condiciones controladas.


    7. Gestión de Incidentes de Seguridad de la Información.

      La Empresa, en cabeza de la alta dirección se compromete con el manejo idóneo de los eventos, incidentes y vulnerabilidades de seguridad de la información. Este manejo debe darse con base en las mejores prácticas y con alcance a todos los usuarios que tienen un acceso autorizado a cualquier sistema de información.


      Es responsabilidad del Líder de Riesgos en Seguridad de la Información y de la Gerencia del Servicio de TIC definir el procedimiento para el registro, atención y solución a los incidentes que tengan relación con la afectación de los activos de información propios o los de terceros que tiene bajo custodia. Se debe considerar las mejores prácticas para el manejo de la cadena de custodia de los elementos que puedan ser factor de análisis para identificar causas y responsables de los eventos presentados.


      Es la responsabilidad del Líder de Riesgos en Seguridad de la Información presentar al comité directivo de seguridad un informe mensual de los eventos registrados, el tratamiento dado y las acciones de gestión del riesgo que se viene formulando para la mitigación de tales riesgos.


    8. Capacitación y sensibilización en seguridad de la información.

      El logro de una cultura que comprenda y promueva los beneficios de la seguridad de la información es fundamental para la Empresa, pues ayudará en la disminución de las vulnerabilidades y amenazas relacionadas con las personas, por ello se ha establecido que:


      • Hay un compromiso de la alta dirección en destinar los recursos suficientes para desarrollar los programas de formación a los empleados y terceros, así como al mantenimiento del sistema de gestión de la seguridad de la información.
      • Deberá establecer un programa de formación a empleados alrededor del sistema de gestión de la seguridad de la información a cargo del área de gestión del talento humano en la empresa.
      • Serán objeto de formación todos los empleados de la organización y serán informados los contratistas y terceros relacionados con la empresa en los lineamientos del sistema, así como en las responsabilidades que les incumbe como parte fundamental del compromiso por la seguridad de la información.
      • A los empleados se les monitoreará en la asistencia a los eventos de formación alrededor del sistema de gestión de seguridad de la información que haga la Empresa, y se considerará esta actividad como elemento integrante del desempeño del empleado.
      • Se deberá hacer revisión periódica de los resultados de capacitaciones en pro de lograr el mejoramiento de los procesos.

    9. Seguimiento. Este documento de políticas deberá ser revisado al menos una vez al año por el comité directivo de seguridad de la información, o antes cuando se haga evidente que las políticas definidas deben revisarse y/o ajustarse para asegurar la confidencialidad, integridad y disponibilidad de los activos de información de la empresa.


tabla 1


tabla 2