Políticas de la seguridad de la información

Contenido:

1. Organización de la Seguridad de la Información
2. Seguridad de los Recursos Humanos
3. Gestión de Activos
4. Control de Acceso
5. Criptografía
6. Seguridad física y del entorno
7. Seguridad de las operaciones
8. Seguridad de las comunicaciones
9. Adquisición, desarrollo y mantenimiento de sistemas
10. Relación con los proveedores
11. Gestión de incidentes de seguridad de la información
12. Gestión De Continuidad Del Negocio
13. Cumplimiento

Introducción

La seguridad de la información ha tomado gran auge, debido a las cambiantes condiciones y nuevas plataformas tecnológicas disponibles.

La posibilidad de interconectarse a través de redes, ha abierto nuevos horizontes a las empresas para mejorar su productividad y poder explorar más allá de las fronteras nacionales, lo cual lógicamente ha traído consigo, la aparición de nuevas amenazas para la información de las organizaciones.

Estos riesgos que se enfrentan han llevado a que muchas empresas desarrollen Documentos y directrices que orientan en el uso adecuado de estas destrezas tecnológicas y recomendaciones para obtener el mayor provecho de estas ventajas, y evitar el uso indebido de las mismas, lo cual puede ocasionar serios problemas a los bienes, servicios y operaciones de la empresa.

En este sentido, las políticas de seguridad de la información surgen
como una herramienta organizacional para concientizar a los colaboradores de la Empresa sobre la importancia y sensibilidad de la información y servicios críticos que permiten a la Compañía crecer y mantenerse competitiva. Ante esta situación, el proponer o identificar una política de seguridad requiere un alto compromiso con la Organización, agudeza técnica para establecer fallas y debilidades, y constancia para renovar y actualizar dicha política en función del dinámico ambiente que rodea las empresas modernas.

La presente política tiene como objetivo establecer las condiciones y marco de referencia que rigen la compañía en la seguridad de su información, de tal manera que los colaboradores de todo nivel tengan una guía de acción en su trabajo y decisiones, con la cual deben armonizar las políticas y procedimientos de las diferentes áreas de la compañía.

Esta política es de obligatorio cumplimiento para todos los colaboradores. Cualquier duda respecto a su interpretación debe ser consultada con el Director de Operaciones.
Todo colaborador tiene la obligación de informar oportunamente y por escrito o correo electrónico al Gerente Administrativo y Financiero acerca de cualquier caso que conozca de incumplimiento por parte de la Compañía o sus colaboradores.

Organización de la seguridad de la información

1. La Compañía debe mantener el plan de Seguridad que permita controlar el entorno lógico y físico de la información estratégica de la Compañía, teniendo en cuenta los criterios de confidencialidad[1], integridad[2] y disponibilidad[3] de la
   información.

• El Área a cargo de la Tecnología Informática en conjunto con las demás áreas, deben definir las directrices básicas de Seguridad de la Información para la descripción de los diferentes requerimientos en la
  adquisición de tecnología (hardware y software) en la Compañía, y velar porque se realicen las pruebas de seguridad a los Sistemas
  de Información.

• El Área a cargo de la Tecnología Informática en conjunto con las demás áreas, deben definir las directrices básicas de Seguridad de la Información para la descripción de los diferentes requerimientos en la
  adquisición de tecnología (hardware y software) en la Compañía, y velar porque se realicen las pruebas de seguridad a los Sistemas
  de Información.

• El Área a cargo de la Tecnología Informática en conjunto con las demás áreas, deben definir las directrices básicas de Seguridad de la Información para la descripción de los diferentes requerimientos en la
  adquisición de tecnología (hardware y software) en la Compañía, y velar porque se realicen las pruebas de seguridad a los Sistemas
  de Información.

• El Área a cargo de la Tecnología Informática en conjunto con las demás áreas, deben definir las directrices básicas de Seguridad de la Información para la descripción de los diferentes requerimientos en la
  adquisición de tecnología (hardware y software) en la Compañía, y velar porque se realicen las pruebas de seguridad a los Sistemas
  de Información.

• El Área a cargo de la Tecnología Informática en conjunto con las demás áreas, deben definir las directrices básicas de Seguridad de la Información para la descripción de los diferentes requerimientos en la
  adquisición de tecnología (hardware y software) en la Compañía, y velar porque se realicen las pruebas de seguridad a los Sistemas
  de Información.

• El Área a cargo de la Tecnología Informática en conjunto con las demás áreas, deben definir las directrices básicas de Seguridad de la Información para la descripción de los diferentes requerimientos en la
  adquisición de tecnología (hardware y software) en la Compañía, y velar porque se realicen las pruebas de seguridad a los Sistemas
  de Información.

• El Área a cargo de la Tecnología Informática en conjunto con las demás áreas, deben definir las directrices básicas de Seguridad de la Información para la descripción de los diferentes requerimientos en la
  adquisición de tecnología (hardware y software) en la Compañía, y velar porque se realicen las pruebas de seguridad a los Sistemas
  de Información.

• El Área a cargo de la Tecnología Informática en conjunto con las demás áreas, deben definir las directrices básicas de Seguridad de la Información para la descripción de los diferentes requerimientos en la
  adquisición de tecnología (hardware y software) en la Compañía, y velar porque se realicen las pruebas de seguridad a los Sistemas
  de Información.

•  Seguridad de los Recursos Humanos

•  La seguridad física de las personas prevalece sobre cualquier activo de información.

Antes de asumir el empleo

• Dentro del proceso de selección y contratación de nuevos colaboradores se debe cumplir con los requerimientos establecidos en el Procedimiento de Selección de personal.

Términos y condiciones del empleo

• Todos los colaboradores contratados deben firmar como parte del proceso de contratación el Acuerdo de Confidencialidad Empleados y las personas jurídicas deben firmar un acuerdo de confidencialidad redactado de común acuerdo. Por tanto ningún colaborador o tercero debe tener acceso a los activos de LA COMPAÑÍA sin antes haber firmado dicho acuerdo el cual hace parte integral del contrato laboral. El acuerdo de confidencialidad de la información de LA COMPAÑÍA, debe continuar vigente como mínimo por dos (2) años después de la terminación del contrato laboral o relación contractual.

Durante la ejecución del empleo

• Todos los colaboradores deben conocer y ser concientizados en el acatamiento de las políticas de seguridad de la información junto a los procesos y procedimientos que apoyan el cumplimiento de las mismas.

• Los colaboradores deben participar de las charlas, eventos y campañas de sensibilización en seguridad de la información.

• Conforme a lo establecido en el reglamento Interno de Trabajo, el cual es presentando durante el proceso de inducción y entrenamiento y se encuentra publicado para consulta de todos los colaboradores, la organización aplicará el proceso disciplinario a los colaboradores que incumplan las políticas de seguridad de la información.

Terminación y cambio de responsabilidades de empleo

• Los cambios en las funciones y responsabilidades de los colaboradores o terminación de contrato deben cumplir con lo establecido en el procedimiento de Gestión de usuarios de la organización.

Gestión de Activos

• Los funcionarios deben proteger la información de la Compañía
  en cualquiera de sus formas (archivos de computador, impresa y/o
  verbal) evitando comprometer los intereses de la Organización o sus
  Accionistas. El responsable del proceso que genera, recibe o registra
  la información debe solicitar los permisos de los diferentes empleados
  de acuerdo a los activos de información que requiera tener acceso.

• Todo funcionario que utilice los recursos de tecnología de la información (equipos de cómputo, impresoras, redes de comunicación, servicios de internet, acceso a bases de dato de consulta, etc.), tiene la responsabilidad de velar por la confidencialidad, integridad, disponibilidad y confiabilidad de la información que maneje.

• El uso de los recursos de tecnología de la información es de
  carácter corporativo.

• Cualquier tipo de información interna de la Compañía no debe ser
  vendida, transferida o intercambiada con terceros para ningún
  propósito diferente al del negocio y se debe cumplir con los
  procedimientos de autorización internos para los casos en que se
  requiera.

• Todos los dispositivos extraíbles de grabación de información tales como memorias USB y SD, CD-ROM y DVD-ROM y entre otros se restringirá para acceso de solo lectura para evitar la fuga de información sensible.

• La información de la Compañía no debe ser divulgada sin contar
  con los permisos correspondientes, además ningún empleado,
  contratista o consultor debe tomarla cuando se retire de la
  Compañía.

• Cada usuario es responsable de la información almacenada en el
  computador o en cualquiera de los medios que le haya asignado
  la Compañía, la cual no es considerada privada y podrá ser
  revisada en caso de ser requerida.

• Los equipos de cómputo de la compañía solo deben ser alterados,
  mejorados, (retiros o cambios de procesador, adición de memoria,
  tarjetas o discos) y reubicados por el personal técnico que designe
  la Dirección de Tecnología Informática.

• Control de Acceso

• La Dirección de operaciones   de La compañía controla el acceso a los sistemas de información de la compañía, a través de autorizaciones formales.

• Las contraseñas de acceso a las redes y sistemas de información
  deben ser renovadas frecuentemente.

• Las cuentas de usuarios son personales e intransferibles, y cada
  persona es responsable de todas las actividades llevadas a cabo
  con su cuenta de usuario.

• El Área de Recursos Humanos debe informar al Área a cargo de Tecnología Informática sobre las novedades de ingresos, retiros y cambios de posición del personal dentro de la Organización.

• Las cuentas de usuario para consultores externos, empresas, o
  terceros en general deben ser solicitadas por los responsables de los procesos quienes garantizarán el buen uso de estas cuentas.

• Los usuarios no deben intentar sobrepasar los controles de los
  sistemas, examinar los computadores y redes de la Compañía en
  busca de archivos de otros usuarios sin su debida autorización o
  introducir intencionalmente software diseñado para causar daño, alterar, espiar o impedir el normal funcionamiento de los sistemas.

• Los equipos de computación de la Compañía que pueden ser
  accedidos por terceros a través de diversos canales, deben ser
  protegidos por mecanismos de control aprobados por el área de
  Tecnología informática

•  La información relacionada con las redes internas deben ser restringidas

• El área a cargo de tecnología informática debe definir la manera en que los computadores y equipos de comunicación de terceros se conectan a la red interna de la compañía.

• El acceso a los recursos corporativos (granja de servidores) debe
  estar protegido por sistemas de seguridad perimetral y determinados por el Área de Tecnología Informática.

• Los accesos a internet deben ser controlados y vigilados contra ataques externos

Criptografía

• Los discos duros de los equipos portátiles deben estar cifrados.

Seguridad física y del entorno

• El almacenamiento de los medios magnéticos se deben ubicar en áreas restringidas y en sitios alternos con acceso únicamente a personas autorizados.

• Las copias de respaldo de los sistemas de computación y redes
  deben ser almacenados en una zona diferente del edificio o
  instalación en donde reside la información original.

• La compañía promueve la protección  física de sus activos de información de  acuerdo  a  los  resultados  de  la  gestión  del  riesgo, garantizando  la  seguridad  de  las  instalaciones  a  través  de  perímetros de seguridad para la  protección  de  la información,  todo  esto  con el objetivo  de garantizar en toda la compañía la continuidad en cuanto al funcionamiento de los recursos.

• Todas las sedes de la Compañía deben contar con Racks de comunicaciones, ahí se consolidan los siguientes servicios: cableado estructurado, switches ethernet, enrutadores, equipos de comunicación, conmutadores telefónicos, servidores (si existen).

• Los centros de cómputo por definición debe ser un lugar seguro, de
  acceso restringido y controlado. Debe contar con medidas de
  seguridad como: detección y extinción automática de incendios,
  cámaras de seguridad, control de acceso Biométrico (o mínimo
  con teclado), Aire Acondicionados.

Seguridad de las operaciones

• La Dirección de operaciones   de La compañía establece su compromiso al velar por el cumplimiento de los procedimientos de operación realizados por los proveedores de las soluciones tecnológicas.

• El Área a cargo de Tecnología Informática debe garantizar el cumplimiento del plan de seguridad, con el objetivo de identificar los riesgos asociados a las amenazas y vulnerabilidades de los sistemas.

• El Área a cargo  de Tecnología Informática a través de actividades proactivas (Monitoreo, alertas tempranas, mantenimiento preventivos, actualizaciones) garantiza la detección oportuna de actividades y acciones inseguras para los Sistemas de información y comunicaciones.

• El área de tecnología informática realiza actividades de respaldo y pruebas de restauración periódicas a la información crítica.

Seguridad de las comunicaciones

• Contar con una gestión adecuada de los recursos de comunicaciones tecnológicas de la organización (Redes para la transmisión de datos) para apoyar los procesos y proteger la información contenida en los sistemas y aplicaciones.

Adquisición, desarrollo y mantenimiento de sistemas (Seguridad de la Información)

• El área a cargo de Tecnología Informática debe garantizar que el diseño e implementación de software, ya sea propio o adquirido por medio de un tercero, cumpla con controles de seguridad como autenticación, gestión y auditoria de usuarios y prácticas de desarrollo seguro.

• Se debe garantizar que existan ambientes independientes al productivo para realizar los desarrollos y las pruebas.

Relación con los proveedores

• Se debe garantizar que todo proveedor o tercero con acceso a activos de información de la organización tenga firmados acuerdos de confidencialidad y no revelación de la información.

• Se debe garantizar que todo proveedor o tercero con acceso a activos de información de la organización tenga firmados acuerdos de confidencialidad y no revelación de la información.

• Se debe garantizar que todo proveedor o tercero con acceso a activos de información de la organización tenga firmados acuerdos de confidencialidad y no revelación de la información.

Gestión de incidentes de seguridad de la información

• La Dirección de operacciones   de La compañía, establece un enfoque eficaz y eficiente para la gestión de incidentes de seguridad de la información, garantizado la implementación de acciones de manera oportuna y asegurándose de socializar para sensibilizar al personal.

• La Dirección de operacciones   de La compañía, establece un enfoque eficaz y eficiente para la gestión de incidentes de seguridad de la información, garantizado la implementación de acciones de manera oportuna y asegurándose de socializar para sensibilizar al personal.

• La Dirección de operacciones   de La compañía, establece un enfoque eficaz y eficiente para la gestión de incidentes de seguridad de la información, garantizado la implementación de acciones de manera oportuna y asegurándose de socializar para sensibilizar al personal.

Te puede interesar: Conoce nuestro bot (API Integration)

Gestión De Continuidad Del Negocio

• El área a cargo de tecnología informática  mantiene los planes de continuidad adecuados y actualizados, garantizando la  recuperación oportuna de los  servicios críticos  tras  fallas  o  desastres,  asegurando así  la  disponibilidad e integridad  de  la información.

• El área a cargo de tecnología informática  mantiene los planes de continuidad adecuados y actualizados, garantizando la  recuperación oportuna de los  servicios críticos  tras  fallas  o  desastres,  asegurando así  la  disponibilidad e integridad  de  la información.

Cumplimiento (Seguridad de la información)

• La Dirección de operaciones debe velar por la identificación de la normatividad legal vinculante con la seguridad de la información.

• La Dirección de operaciones debe velar por la identificación de la normatividad legal vinculante con la seguridad de la información.

• La Dirección de operaciones debe velar por la identificación de la normatividad legal vinculante con la seguridad de la información.

• La Dirección de operaciones debe velar por la identificación de la normatividad legal vinculante con la seguridad de la información.

• La Dirección de operaciones debe velar por la identificación de la normatividad legal vinculante con la seguridad de la información.

[1]Confidencialidad: Propiedad de la información de no ponerse a disposición o ser revelada a individuos, entidades o procesos no autorizados.

[2]Integridad: Propiedad de la información relativa a su exactitud y completitud.

[3]Disponibilidad: Propiedad de la información de estar accesible y utilizable cuando lo requiera una entidad autorizada.

Los buenos lectores se quedan leyendo más

• 
  Caso de éxito Apostar Risaralda
• 
  ID Evolution: AGILITY RUN
• 
  Novedades Sprint Agile ONE Clic
• 
  SPRINT UPDATE PLUS
• 
  ¿Qué tareas puedes automatizar en tu empresa?