Fecha de aprobacin: 12/05/14

Tipo de documento: Polticas con sus

respectivos estndares

Versin: 1
Aprobado por: Comit Directivo
Celsia

Poltica Seguridad de la
informacin

Poltica de la Organizacin de Seguridad

Poltica para la clasificacin y control de activos de informacin
Poltica de Uso Aceptable de los Activos y Recursos de informacin
Poltica del Tratamiento y Gestin del Riesgo en Seguridad de la Informacin
Poltica de Responsabilidad del Personal
Poltica de Seguridad Fsica y del Entorno
Poltica de Control de Acceso a la Informacin
Poltica de Gestin de incidentes de Seguridad de la Informacin
Poltica de Gestin de Telecomunicaciones e Infraestructura de TIC
Poltica de Adquisicin, Desarrollo y Mantenimiento de sistemas
Poltica para el Cumplimiento y Normatividad Legal

Poltica Seguridad de la informacin

TABLA DE CONTENIDO

1.

OBJETIVO ............................................................................................................................... 2

2.

ALCANCE................................................................................................................................ 2

3.

LNEA BASE DE LA POLTICA .............................................................................................. 2

3.1 RESPONSABILIDAD ............................................................................................................... 2

3.2 CUMPLIMIENTO...................................................................................................................... 2
3.3 EXCEPCIONES ....................................................................................................................... 2
3.4 ADMINISTRACIN DE LAS POLTICAS ................................................................................ 2
4.

DESCRIPCIN DE LAS POLTICAS Y ESTNDARES .......................................................... 3

4.1 ORGANIZACIN DE SEGURIDAD ......................................................................................... 3

4.2 CLASIFICACIN Y CONTROL DE ACTIVOS DE INFORMACIN ......................................... 4
4.3 USO ACEPTABLE DE LOS ACTIVOS Y RECURSOS............................................................ 4
4.4 TRATAMIENTO Y GESTIN DEL RIESGO EN SEGURIDAD DE LA INFORMACIN ........ 11
4.5 SEGURIDAD DEL PERSONAL ............................................................................................. 11
4.6 SEGURIDAD FSICA Y DEL ENTORNO ............................................................................... 12
4.7 CONTROL DE ACCESO A LA INFORMACIN .................................................................... 13
4.8 GESTIN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIN ................................. 15
4.9 GESTIN DE SEGURIDAD PARA TELECOMUNICACIONES E INFRAESTRUCTURA DE TIC
16
4.10GESTIN DE SEGURIDAD PARA LA ADQUISICIN, DESARROLLO Y MANTENIMIENTO
DE SISTEMAS .............................................................................................................................. 19
4.11CUMPLIMIENTO Y NORMATIVIDAD LEGAL ....................................................................... 20
5.

DOCUMENTACIN RELACIONADA .................................................................................... 21

6.

DEFINICIONES ...................................................................................................................... 21

7.

CONTROL DE CAMBIOS ...................................................................................................... 22

Celsia S.A. E.S.P.

www.celsia.com

Pgina 1

Poltica Seguridad de la informacin

1. OBJETIVO
Establecer las medidas organizacionales, tcnicas, fsicas y legales, necesarias para proteger los
activos de informacin contra acceso no autorizado, divulgacin, duplicacin, interrupcin de
sistemas, modificacin, destruccin, prdida, robo, o mal uso, que se pueda producir en forma
intencional o accidental.
2. ALCANCE
Esta Poltica es aplicable a todos los colaboradores, consultores, contratistas, terceras partes, que
usen activos de informacin que sean propiedad de la organizacin.

3. LNEA BASE DE LA POLTICA

3.1 RESPONSABILIDAD
Es responsabilidad de la Direccin de Gestin de Tecnologa hacer uso de la Poltica de Seguridad
de la Informacin, como parte de sus herramientas de gobierno y de gestin, de definir los
estndares, procedimientos y lineamientos que garanticen su cumplimiento.

3.2 CUMPLIMIENTO
El cumplimiento de la Poltica de Seguridad de la Informacin es obligatorio. Si los colaboradores,
consultores, contratistas, terceras partes violan estas polticas, la organizacin se reserva el derecho
de tomar las medidas correspondientes.

3.3 EXCEPCIONES
Las excepciones a cualquier cumplimiento de Poltica de Seguridad de la Informacin deben ser
aprobadas por la Direccin de Gestin de Tecnologa, la cual puede requerir autorizacin de la
Gerencia de Arquitectura Organizacional, la Vicepresidencia de Desarrollo Corporativo y Nuevos
Negocios, del Comit de Asuntos Corporativos o de la Presidencia de la compaa. Todas las
excepciones a la Poltica deben ser formalmente documentadas, registradas y revisadas.

3.4 ADMINISTRACIN DE LAS POLTICAS

Las modificaciones o adiciones de la Poltica de Seguridad de la Informacin sern propuestas por
la Presidencia de la compaa, la Vicepresidencia de Desarrollo Corporativo y Nuevos Negocios, por
medio de la Gerencia de Arquitectura Organizacional y sern aprobadas por el Comit de Asuntos
Corporativos de Celsia. Estas polticas deben ser revisadas como mnimo una vez al ao o cuando
sea necesario.

Celsia S.A. E.S.P.

www.celsia.com

Pgina 2

Poltica Seguridad de la informacin

4.

DESCRIPCIN DE LAS POLTICAS Y ESTNDARES

Generalidades
La informacin es un activo que la compaa considera esencial para las actividades de la empresa
y debe ser protegida de acuerdo con los principios de confidencialidad, integridad y disponibilidad.
A travs de esta Poltica se difunden los objetivos de seguridad de la informacin de la compaa,
que se consiguen a travs de la aplicacin de controles de seguridad, para gestionar un nivel de
riesgo aceptable. Este documento tiene el objetivo de garantizar la continuidad de los servicios,
minimizar la probabilidad de explotar las amenazas, y asegurar el eficiente cumplimiento de los
objetivos de negocio y de las obligaciones legales conforme al ordenamiento jurdico vigente y los
requisitos de seguridad destinados a impedir infracciones y violaciones de seguridad en Celsia.

4.1 ORGANIZACIN DE SEGURIDAD

Poltica de la organizacin de seguridad
La Direccin de Gestin de Tecnologa es responsable de definir, coordinar y controlar la gestin
necesaria para mitigar los riesgos asociados a la seguridad de la informacin en Celsia y reportar
al Comit de Seguridad de la Informacin, dicho comit debe contar con la presencia de personal
clave y claramente definido, con el objeto de cumplir y soportar las actividades de Seguridad de la
Informacin.

Estndares de la Poltica de la organizacin de seguridad

Responsabilidades para la seguridad de la informacin.

Celsia es el propietario de la informacin. Su tenencia y manejo es delegada a los vicepresidentes
de la compaa, quienes son responsables de la custodia de la informacin que las
vicepresidencias generan, considerando su propsito y uso. Por ello los vicepresidentes deben
ser conscientes de los riesgos a la que est expuesta la informacin a su cargo, de forma que
ejerzan frente a sus colaboradores el liderazgo apropiado para disminuirlos.

Contacto con autoridades y grupos de inters.

Celsia debe mantener contacto con las autoridades y grupos de inters para estar al corriente en
cambios de normativa del gobierno electrnico en Colombia e identificar las tendencias en
Seguridad de la Informacin.
Revisin independiente en seguridad de la informacin. Auditora Interna debe implementar
y ejecutar un plan interno de auditora de seguridad de la informacin. Este plan debe estar
enfocado hacia la revisin de todos los requerimientos (polticas y procedimientos) de seguridad.
Los resultados deben generar un programa de seguridad, que incluya como mnimo: acciones a
realizar, tablas de tiempo y responsables. El programa debe ser aprobado por el Comit de
Seguridad de la Informacin.
Celsia S.A. E.S.P.
www.celsia.com

Pgina 3

Poltica Seguridad de la informacin

Seguridad en los Accesos por Terceros. La Direccin de Gestin de Tecnologa debe realizar
una evaluacin de riesgos para identificar el riesgo de acceso por terceros a la informacin de
Celsia. Cada Vicepresidencia debe verificar la implementacin de acuerdos, monitorear el
cumplimiento de ellos y gestionar los cambios para asegurar que los servicios que se prestan
cumplen los requisitos acordados con los terceros.

4.2 CLASIFICACIN Y CONTROL DE ACTIVOS DE INFORMACIN

Poltica para la clasificacin y control de activos de informacin

La informacin debe estar inventariada y tener identificados los riesgos y exposiciones de seguridad;
con el objetivo de evitar prdidas financieras, operativas y/o de imagen para la compaa, la
informacin deber estar clasificada como secreta, restringida o general.
La informacin secreta y restringida debe estar soportada por un acuerdo de confidencialidad o de
no-divulgacin cuando sea compartida con terceros.

Estndares de la Poltica de clasificacin y control de activos de informacin

Responsabilidad sobre los activos.

Celsia pone al servicio de los colaboradores el uso de los medios necesarios para el normal
desarrollo de las labores propias de sus respectivos cargos, para lo cual adopta y comunica las
polticas de uso aceptable, controles y medidas dirigidas a garantizar la seguridad y continuidad
del servicio que presta.

Metodologa de clasificacin de activos.

Para asegurar que los activos de informacin reciben el nivel de proteccin adecuado, la
Direccin de Gestin de Tecnologa es responsable de definir la metodologa de clasificacin de
activos de informacin, estos se deben clasificar segn la necesidad, las prioridades y el grado
de proteccin esperado en el manejo de los mismos.

4.3 USO ACEPTABLE DE LOS ACTIVOS Y RECURSOS

Poltica de Uso Aceptable de los Activos y Recursos de informacin

Todos los colaboradores, consultores, contratistas, terceras partes, que usen activos de informacin
que sean propiedad de Celsia, son responsables de cumplir y acoger con integridad la Poltica de
Uso Aceptable para dar un uso racional y eficiente los recursos asignados.

Estndares para el uso aceptable de los activos de informacin

Celsia S.A. E.S.P.

www.celsia.com

Pgina 4

Poltica Seguridad de la informacin

Uso de los sistemas y equipos de cmputo.

La organizacin tiene regla de renuncia (disclaimer) que debe utilizarse al inicio de sesin en los
equipos de cmputo:
Advertencia! Este sistema (hardware, software y perifricos), as como la informacin en l
contenida es propiedad de la empresa y su uso est restringido nicamente para propsitos de
su negocio, reservndose el derecho de monitorearlo en cualquier momento. Cualquier
utilizacin, modificacin o acceso no autorizado a este sistema dar lugar a las acciones
disciplinarias y/o legales que correspondan. El ingreso y utilizacin de este sistema implica su
consentimiento con esta poltica.

Correo electrnico.
La organizacin, como muestra del respeto por los principios de libertad de expresin y privacidad
de informacin, no genera a los colaboradores ninguna expectativa de privacidad en cualquier
elemento que almacene, enve o que reciba por medio del sistema de correo electrnico
propiedad de la compaa; en consecuencia, podr denegar el acceso a los servicios de correo
electrnico, inspeccionar, monitorear y/o cancelar un buzn de correo asignado.
Las comunicaciones por correo electrnico entre la empresa y sus pblicos de inters deben
hacerse a travs del correo homologado y proporcionado por la empresa. No es permitido utilizar
cuentas personales para comunicarse con los pblicos de inters de la organizacin, ni para
transmitir cualquier otro tipo de informacin del negocio.
A los colaboradores que de acuerdo con sus funciones requieran una cuenta de correo, esta se
les asigna en el servidor una vez son vinculados. La Vicepresidencia de Gestin Humana y
Administrativa es responsable de informar a la Direccin de Gestin de Tecnologa, las
vinculaciones que requieran creacin de cuenta de correo; de igual manera debe informar
oportunamente los retiros de colaboradores para la suspensin de este servicio.
Esta cuenta estar activa durante el tiempo que dure la vinculacin del colaborador con la
compaa, excepto en casos de fuerza mayor o mala utilizacin que eventualmente puedan
causar la suspensin o cancelacin de la misma. Una vez se produzca la desvinculacin de la
persona, la cuenta ser dada de baja en el servidor mediante una solicitud enviada a la mesa de
servicios.
La capacidad mxima para almacenamiento de correo electrnico est definida por la Direccin
de Gestin de Tecnologa y depende del tipo de usuario. No obstante, en caso de necesidades
especiales, el interesado podr solicitar la ampliacin de la capacidad. De igual manera, en caso
de necesidad (por razones del negocio o tcnicas), las capacidades mximas de los buzones
podrn ser modificadas unilateralmente por parte de la compaa.

Celsia S.A. E.S.P.

www.celsia.com

Pgina 5

Poltica Seguridad de la informacin

El sistema de monitoreo filtrar los archivos anexos a los mensajes de correo electrnico, para
verificar la ausencia de virus. La entrega de todo mensaje a su destinatario final est sujeta a
que esta comprobacin sea exitosa.
La organizacin tiene regla de renuncia (disclaimer) que debe utilizarse siempre en los mensajes.
Para evitar reclamaciones legales todos los usuarios de correo de la empresa tienen que hacer
pblica la renuncia de responsabilidad legal por el envo de la informacin. El disclaimer
aprobado es:
La informacin contenida en este mensaje y en sus anexos es estrictamente confidencial. Si
usted recibi por error esta comunicacin, por favor notificar inmediatamente esta circunstancia
mediante reenvo a la direccin electrnica del remitente y brrela puesto que su uso no
autorizado acarrear las sanciones y medidas legales a que haya lugar. La empresa no se hace
responsable por la presencia en este mensaje o en sus anexos, de algn virus o malware que
pueda generar o genere daos en sus equipos, programas o afecte su informacin.
The information contained in this message and its attachments is strictly confidential. If you
received this communication in error, please immediately notify the sender of the situation by
replying it to sender email address and delete this message as its unauthorized use shall derive
in applicable penalties and legal actions.. The Company is not liable for the presence of any virus
or malware in this message or its attachments that cause or may cause damage to your
equipment, software or that affects your information.
El buzn de correo es personal e intransferible y corresponde al colaborador velar por la
seguridad protegiendo su clave de acceso. El usuario es el nico responsable por el buen uso
de su cuenta de correo electrnico. En consecuencia, al aceptar el buzn otorgado por la
organizacin, el usuario se compromete a:
Respetar la privacidad de las cuentas de otros usuarios del servicio, tanto dentro como
fuera de la red corporativa. El usuario no podr utilizar identidades ficticias o
pertenecientes a otros usuarios para el envo de mensajes.
El colaborador titular de correo o cuenta asignada por la organizacin, usar el correo
electrnico para enviar y recibir mensajes necesarios para el desarrollo de las labores
propias de su cargo o de las investigaciones que tenga asignadas; las nicas reas
autorizadas para el envo de correos masivos son la Vicepresidencia de Asuntos
Corporativos (a travs de la Direccin de Comunicaciones) y la Vicepresidencia de
Desarrollo Corporativo y Nuevos Negocios (a travs de la Direccin de Gestin de
Tecnologa). Otras necesidades de comunicacin masiva deben ser aprobadas por las
direcciones de Tecnologa y Comunicaciones.
El uso del correo electrnico propiedad de la compaa deber ser usado solamente para
fines propios a la organizacin. En su uso el colaborador actuar siempre con respeto y
cortesa; no podr crear, distribuir o reenviar mensajes que ofendan la dignidad, intimidad
y buen nombre de las personas, de las instituciones, o para realizar algn tipo de acoso,
difamacin, calumnia, con intencin de intimidar, insultar o cualquier otra forma de
actividad hostil; de igual forma se prohbe difundir ideas polticas, religiosas, propagandas
entre otros.

Celsia S.A. E.S.P.

www.celsia.com

Pgina 6

Poltica Seguridad de la informacin

La compaa se abstiene de enviar o recibir los mensajes de sus usuarios con contenido
impropio, difamatorio, ilcito, obsceno, indecente o que contengan difusin de noticias sin
identificar plenamente su autor; adicionalmente, los colaboradores no podrn enviar
annimos, propagandas o literatura de cualquier ndole, encuestas, concursos, esquemas
piramidales, cartas en cadena, mensajes no deseados, o cualesquiera que contenga
mensajes duplicativos o no solicitados, u otra informacin ajena a las labores que
desempean en su cargo.
Los colaboradores de la compaa se abstendrn de utilizar la cuenta para el envo o
reenvo de mensajes spam (no solicitados, no deseados o de remitente desconocido,
habitualmente de tipo publicitario, enviados en grandes cantidades), hoax (es un intento
de hacer creer que algo falso es real), con contenido que pueda resultar ofensivo o daino
para otros usuarios (como virus o pornografa), o que sea contrario a las polticas y
normas institucionales.
Evitar el envo desde su buzn de elementos (textos, software, msica, imgenes o
cualquier otro) que contravengan lo dispuesto en la legislacin vigente y en los
reglamentos internos, sobre propiedad intelectual y derechos de autor. En especial, es
necesario evitar la distribucin de software que requiera licencia, claves ilegales de
software, programas para romper licencias (crackers), y en general, cualquier elemento u
objeto de datos sin permiso especfico del autor cuando este sea requerido. La violacin
de esta obligacin origina automticamente la suspensin del servicio y puede ser causa
de sanciones al usuario, con perjuicio de las responsabilidades que eventualmente
puedan surgir ante la ley.
Realizar mantenimiento peridico de su correo, cuando el sistema le haga advertencias
de espacio disponible. Estas advertencias se realizan varias veces, por lo que debe estar
atento e informar a la mesa de servicios informticos, cuando requiera la depuracin del
mismo.
Utilizar la cuenta de correo electrnico corporativa para fines laborales, de investigacin
y los estrictamente relacionados con las actividades propias de su trabajo. Los
colaboradores deben evitar usar el buzn de correo electrnico para fines comerciales
diferentes a los que sean relativos al inters de la empresa.
El colaborador debe depurar mensualmente el contenido del buzn de entrada en el
servidor para evitar que los mensajes permanezcan en l un tiempo excesivo que
conduzca a la congestin o al bloqueo del mismo.
Respetar la privacidad de las cuentas de otros usuarios del servicio, tanto dentro como
fuera de la red corporativa.
Evitar el envo de respuestas con copia a todos los destinatarios de un mensaje recibido,
y en particular cuando se trata de mensajes que originalmente hayan sido dirigidos a un
grupo grande de usuarios; salvo cuando se trate de una respuesta que por su naturaleza
o contenido necesariamente requiera ser conocida por todos ellos.
Evitar abrir mensajes no esperados que contengan archivos adjuntos, aunque provengan
de personas conocidas. Podra tratarse de un virus. En particular, no abrir mensajes cuyo
asunto contenga palabras en ingls a menos que lo est esperando.
En lo posible, es necesario evitar usar letras maysculas, especialmente en el campo de
Asunto:, al igual que el uso excesivo de signos de exclamacin (&, %, $, #, ?, , !, ),
esto puede hacer que los sistemas de correo lo identifiquen como correo no deseado o
Celsia S.A. E.S.P.
www.celsia.com

Pgina 7

Poltica Seguridad de la informacin

spam, y el mensaje posiblemente no llegue al destinatario, o llegue con identificacin de

correo no solicitado.
Si utiliza el servicio de correo a travs del sitio web de la empresa, se recomienda que no
deje mensajes almacenados por mucho tiempo en el servidor de correo. Tenga presente
descargarlos con frecuencia, preferiblemente a diario. Tenga en cuenta que el tamao de
su buzn de correo es limitado; una vez superado este tope, el sistema no le procesar
ms correos. Elimine mensajes si lo necesita y vace la papelera siempre que sea posible.

Navegacin en Internet.
El uso de Internet debe estar destinado exclusivamente a la ejecucin de las actividades de la
organizacin y deben ser utilizados por el colaborador para realizar las funciones establecidas
para su cargo, por lo cual la compaa defini los siguientes parmetros para su uso:

El colaborador debe abstenerse de descargar programas que realicen conexiones

automticas o visores de sitios clasificados como pornogrficos y la utilizacin de los
recursos para distribucin o reproduccin de este tipo de material, ya sea va web o
medios magnticos.
La descarga de msica y videos no es una prctica permitida.
Evitar el uso de servicios descarga de archivos como: KaZaA, Emule, LimeWire,
Morpheus, GNUtella o similares.
Las salas de video-conferencia de la organizacin deben ser de uso exclusivo para
asuntos relacionados con la empresa. Cualquier excepcin a esta poltica debe ser
autorizada por la Direccin de Gestin deTecnologa.
Abstenerse de usar sitios que salten la seguridad del servidor de acceso a Internet (proxy).
El uso con fines comerciales, polticos, particulares o cualquier otro que no sea el laboral
y que dio origen a la habilitacin del servicio, no est permitido.
Evitar coleccionar, almacenar, difundir, transmitir, solicitar, inducir o incitar en cualquier
forma actos ilegales, inmorales, engaosos y/o fraudulentos es una responsabilidad de
los colaboradores de la organizacin; as como tambin amenazas, abusos,
difamaciones, injurias, calumnias, escndalos, actos obscenos, pornogrficos, profanos,
racistas, discriminatorios, actos que invadan la privacidad de los dems u otro tipo de
materias, informaciones, mensajes o comunicaciones de carcter ofensivo.
Los colaboradores no debern coleccionar, almacenar, divulgar, transmitir o solicitar
cualquier material, informacin, mensaje o comunicacin que pueda infringir o violar
cualquier patente, derechos de autor, marcas, secretos empresariales o cualquier otro
derecho intelectual de otra persona.
Abstenerse de coleccionar, almacenar, divulgar, transmitir o solicitar cualquier material,
informacin, mensaje o comunicacin que viole la ley o de la cual puedan surgir
responsabilidades u obligaciones de carcter criminal o civil bajo cualquier ley estatal,
local, nacional o internacional; incluyendo, pero no limitado, las leyes y regulaciones de
control y exportacin de Colombia y de los decretos sobre fraudes de computacin.
Coleccionar, almacenar, divulgar, transmitir o solicitar informacin personal (incluyendo
sin limitacin alguna, informacin biogrfica, habitacional, social, marital, ocupacional,

Celsia S.A. E.S.P.

www.celsia.com

Pgina 8

Poltica Seguridad de la informacin

financiera, y de salud) sobre otros usuarios, sin su consentimiento o conocimiento, son

prcticas no permitidas por la compaa.
Los colaboradores se deben abstener de coleccionar, divulgar, transmitir o solicitar
programas de computacin dainos, virus, cdigos, expedientes o programas.
Hacer ofertas fraudulentas de compra o venta, as como tambin, conducir cualquier tipo
de fraude financiero, tales como "cartas en cadena" o "las pirmides", son faltas se
constituyen como violaciones a esta Poltica.
No est permitido personificar o intentar personificar a otra persona a travs de la
utilizacin de encabezados falsificados u otra informacin personal.
Hacer o intentar hacer, cualquier cosa que afecte desfavorablemente la habilidad de
utilizar el servicio de internet por otros usuarios, incluyendo sin limitacin alguna,
"negacin de servicios", ataques contra otros sistemas o contra el anfitrin de redes u
otros usuarios, se constituye como una violacin a esta Poltica.

Uso de herramientas que comprometen la seguridad.

Hacer o intentar hacer, sin permiso del dueo o del anfitrin del sistema o de la Direccin de
Gestin de Tecnologa, cualquiera de los siguientes actos:
o Acceder el sistema o red.
o Monitorear datos o trfico.
o Sondear, copiar, probar firewalls o herramientas de hacking.
o Atentar contra la vulnerabilidad del sistema o redes.
o Violar las medidas de seguridad o las rutinas de autenticacin del sistema o de la red.

Recursos compartidos.
El uso de carpetas compartidas en los equipos de cmputo de los usuarios es una prctica que,
aunque puede ser una herramienta til de trabajo, tiene implcitos algunos riesgos que pueden
afectar los principios de confidencialidad, integridad y disponibilidad de la informacin, por lo
tanto su uso y aplicacin debe ser controlado. Con este propsito la organizacin define los
siguientes lineamientos para su uso seguro:
Se debe evitar el uso de carpetas compartidas en equipos de escritorio.
Los administradores de la red establecen e implementan, en los casos aprobados, la
configuracin de acceso a la carpeta, previo requerimiento formal de la misma a travs
de la Mesa de Servicios.
El usuario que autoriza y dispone el recurso compartido es el responsable por las
acciones y los accesos sobre la informacin contenida en dicha carpeta.
Se debe definir el tipo de acceso y los roles estrictamente necesarios sobre la carpeta
(lectura, escritura, modificacin y borrado).
Debe tenerse claramente especificado el lmite de tiempo durante el cual estar
publicada la informacin y compartido el recurso en el equipo.
Si se trata de informacin confidencial o crtica para la empresa, deben utilizarse las
carpetas destinadas para tal fin en el servidor de archivos de usuarios, para que sean
incluidos en las copias diarias de respaldo de informacin o implementar herramientas
para el respaldo continuo de informacin sobre dichos equipos.
El acceso a carpetas compartidas debe delimitarse a los usuarios que las necesitan y
deben ser protegidas con contraseas.
No se debe permitir el acceso a dichas carpetas a usuarios que no cuenten con
antivirus corporativo actualizado.

Celsia S.A. E.S.P.

www.celsia.com

Pgina 9

Poltica Seguridad de la informacin

Sitios Web para compartir documentos.

El dueo del sitio ser el responsable de la seguridad del mismo y del acceso a la informacin
que se encuentra alojada.
o El dueo del sitio ser el responsable de otorgar los permisos requeridos.
o El dueo del sitio definir un delegado que tengan control total sobre el sitio, a manera
de contingencia, para la asignacin de los permisos requeridos en su ausencia.

Computacin en nube.
Ninguna informacin de Celsia podr utilizar tecnologas de computacin en nube si no est
previamente autorizado por la Direccin de Gestin de Tecnologa.

Uso equipos porttiles y dispositivos mviles.

Los colaboradores, contratistas y terceros se comprometen a hacer uso adecuado de los
dispositivos mviles para el acceso a los servicios corporativos de movilidad proporcionados por
la empresa, tales como escritorios y aplicaciones virtuales, correo, comunicaciones unificadas,
redes virtuales privadas (VPN), entre otros, atendiendo las siguientes directrices:
o El dispositivo mvil debe estar en el bolsillo, maletn o lugar no visible en partes
pblicas.
o El dispositivo mvil debe estar configurado para bloqueo automtico por un tiempo de
inactividad a travs de medios disponibles de configuracin tales como contrasea,
patrn huella dactilar, reconocimiento de voz, entre otras.
o Uso de aplicacin de antivirus.
o Uso de canales seguros y cifrados cuando se conecte a redes compartidas de acceso
libre, no seguras.

Acceso de equipos distintos a los asignados.

o Desactivar la opcin de autoguardado de contraseas en los diferentes navegadores
web.
o No dejar claves en ningn sistema de almacenamiento de informacin web.
o Creacin de contraseas seguras, no incluir informacin personal como nombres,
fechas de nacimiento, otros.
o Cerrado de sesin de escritorio virtual cuando no est en uso.

La Direccin de Gestin Tecnologa debe implementar las medidas necesarias para proteccin frente
al riesgo de la utilizacin de equipos y comunicacin mvil. Se prestar especial cuidado para
asegurar que no se compromete la informacin del negocio, teniendo en cuenta los riesgos que
conlleva el trabajar con el equipo mvil en entornos desprotegidos.
La utilizacin de los servicios mviles conectados a las redes, debe tener una proteccin idnea. El
acceso remoto a la informacin del negocio a travs de redes pblicas usando servicios de
computacin mvil, slo debera tener lugar despus de la identificacin y autenticacin exitosa y
con el establecimiento de los mecanismos adecuados del control del acceso.

Celsia S.A. E.S.P.

www.celsia.com

Pgina 10

Poltica Seguridad de la informacin

4.4 TRATAMIENTO Y GESTIN DEL RIESGO EN SEGURIDAD DE LA INFORMACIN

Poltica del Tratamiento y Gestin del Riesgo en Seguridad de la Informacin

La Direccin de Gestin de Tecnologa, es responsable de analizar los riesgos en seguridad de la
informacin, con base en los objetivos de negocio y de acuerdo con la Poltica de Gestin de Riesgos
y con aprobacin del Comit de Seguridad de la Informacin.
Las vicepresidencias son responsables de priorizar y realizar el tratamiento de los riesgos en
seguridad de la informacin de acuerdo con el apetito de riesgo de la empresa.

Estndares de la Poltica del Tratamiento y Gestin del Riesgo en Seguridad de la Informacin

Peridicamente se debe realizar una valoracin del riesgo para contemplar los cambios en los
requisitos de seguridad y la situacin de riesgo, tales como cambio en los activos, las amenazas, las
vulnerabilidades y los impactos. Se debe decidir cundo un riesgo es aceptable, ya sea por motivos
de objetivos de negocio o por costes no rentables.
Los posibles tratamientos a los riesgos identificados incluyen:

Evitar el riesgo.
Disminuir la probabilidad de ocurrencia.
Disminuir el impacto.
Transferir los riesgos.
Retener los riesgos.

4.5 SEGURIDAD DEL PERSONAL

Poltica de Responsabilidad del Personal

La Vicepresidencia de Gestin Humana debe notificar a la Direccin de Gestin de Tecnologa todas
las novedades del personal directo e indirecto tales como ingresos, traslados, delegaciones, retiros
y vacaciones.

Estndares de la Poltica de Seguridad del Personal

Seguridad previa a la contratacin del personal.

Para toda persona que ingrese a la compaa, la Vicepresidencia de Gestin Humana y
Administrativa debe asegurar las responsabilidades sobre seguridad de manera previa a la
contratacin. Esta tarea debe reflejarse en una adecuada descripcin del cargo y en los trminos
y condiciones de la contratacin.
Celsia S.A. E.S.P.
www.celsia.com

Pgina 11

Poltica Seguridad de la informacin

Seguridad durante el contrato.

La Vicepresidencia de Gestin Humana y Administrativa debe desarrollar un programa efectivo
y continuo de concientizacin de proteccin de la informacin para todo el personal. Tambin se
requiere de capacitacin especfica en administracin de riesgos tecnolgicos para aquellos
individuos que estn a cargo de responsabilidades especiales de proteccin y los conceptos
bsicos con que debe cumplir todo colaborador.
Es responsabilidad y deber de cada colaborador de Celsia asistir a los cursos de concientizacin
en seguridad de la informacin que la empresa programe y aplicar la seguridad segn las
polticas y los procedimientos establecidos por la empresa.

Finalizacin o cambio de puesto.

La Vicepresidencia de Gestin Humana y Administrativa debe asegurar que todos los
colaboradores, consultores, contratistas, terceras partes, que salgan de la empresa o cambien
de puesto de trabajo, hayan firmado un acuerdo de confidencialidad, cuyo cumplimiento ser
vigente hasta que Celsia lo considere conveniente, incluso despus de la finalizacin del puesto
de trabajo o del contrato.
La Vicepresidencia de Gestin Humana y Administrativa se asegurar que la salida o movilidad
de los colaboradores, contratistas o terceros sea gestionada hasta la completa devolucin de
todos los activos y retirada de los derechos de acceso.

4.6 SEGURIDAD FSICA Y DEL ENTORNO

Poltica de Seguridad Fsica y del Entorno

El centro de procesamiento de datos y cuarto de equipos de TIC, deben de estar en reas protegidas
fsicamente contra el acceso no autorizado, dao o interferencia y deben cumplir con las polticas de
seguridad fsica.

Estndares de la Poltica de Seguridad Fsica y del Entorno

Controles de acceso fsico.

El acceso a reas TIC restringidas slo se debe permitir para:

Desarrollo de operaciones tecnolgicas.

Tareas de aseo (monitoreado por personal de la Direccin de Gestin Tecnologa).
Pruebas de equipos.
Almacenamiento de equipos.
Implementacin o mantenimiento de los controles ambientales.

Escritorio limpio.

Celsia S.A. E.S.P.

www.celsia.com

Pgina 12

Poltica Seguridad de la informacin

La implementacin de una directriz de escritorio limpio permitir reducir el riesgo de acceso no

autorizado o dao a medios y documentos.
Los computadores deben bloquearse despus de diez (10) minutos de inactividad, el usuario
tendr que autenticarse antes de reanudar su actividad. Todos los colaboradores, consultores,
contratistas, terceras partes, deben bloquear la sesin al alejarse de su computador.

Seguridad de los equipos.

Para prevenir la prdida de informacin dao o el compromiso de los activos de informacin y la
interrupcin de las actividades de Celsia, los equipos deben estar conectados a la toma regulada
destinada para tal fin.

Retiro de equipos.
Se deben tener en cuenta los procesos de instalacin y retirada del equipo, de tal manera que
estos se hagan de forma controlada y segura. La proteccin de los equipos, incluso cuando se
utilizan fuera de la oficina, es necesaria para reducir el riesgo no autorizado de acceso a la
informacin y para protegerlo contra prdida o robo.

4.7 CONTROL DE ACCESO A LA INFORMACIN

Poltica de Control de Acceso a la Informacin

La Direccin de Gestin de Tecnologa, conforme la clasificacin de activos de informacin, debe
implementar las medidas de seguridad aplicables segn el caso, con el fin de evitar la adulteracin,
prdida, fuga, consulta, uso o acceso no autorizado o fraudulento.
El control de acceso de datos e informacin sensible se debe basar en el principio del menor
privilegio, lo que implica que no se otorgar acceso a menos que sea explcitamente permitido.

Estndares de Poltica de Control de Acceso a la Informacin

Gestin de acceso a usuarios.

La Direccin de Gestin de Tecnologa establecer procedimientos formales para controlar la
definicin de perfiles y la asignacin de derechos de acceso a los usuarios, previamente definidos
por la Vicepresidencia responsable del proceso. Dichos procedimientos deben cubrir todas las
etapas del ciclo de vida del usuario, desde su registro inicial hasta la eliminacin o desactivacin
del registro a quienes no necesiten el acceso. Se debe brindar atencin y seguimiento especial,
donde sea apropiado, a la necesidad del control de asignaciones de accesos privilegiados.

Registro de usuarios.
Todos los usuarios deben tener una identificacin nica personal o jurdica, que se utilizar para
el seguimiento de las actividades de responsabilidad individual o jurdica. Las actividades
habituales de usuario no deben ser desempeadas a travs de cuentas privilegiadas.

Celsia S.A. E.S.P.

www.celsia.com

Pgina 13

Poltica Seguridad de la informacin

En circunstancias excepcionales, por beneficio de la compaa, se podr usar un identificador

compartido, para un grupo de usuarios con trabajo especfico; este debe ser autorizado y
debidamente aprobado por la respectiva Direccin de Gestin de Tecnologa.

El usuario debe tener autorizacin de la respectiva vicepresidencia para el uso del sistema o
servicio de informacin. Se debe verificar que el nivel de acceso otorgado sea adecuado para los
propsitos de la empresa y conserven una adecuada segregacin de funciones. Adicionalmente,
deben tomar y certificar la formacin y as garantizar el uso adecuado del sistema o servicio de
informacin.

Responsabilidades del usuario.

Una seguridad efectiva requiere la cooperacin de los usuarios autorizados, quienes deben saber
sus responsabilidades para el mantenimiento de controles efectivos al acceso, en particular,
aquellos con referencia al uso de contraseas, La Direccin de Gestin de Tecnologa
implementar los procedimientos necesarios que permitan controlar la creacin, modificacin,
desactivacin y eliminacin de usuarios, administracin de contraseas y permisos de acceso a
los recursos tecnolgicos y a la informacin. Adicionalmente, es necesario implementar un
procedimiento de revisin peridica de los permisos de acceso de los usuarios.
Los colaboradores, contratistas y terceros entienden las condiciones de acceso y deben
mantener confidenciales las contraseas personales y conservar las contraseas de grupo
nicamente entre los miembros de este. Esta declaracin puede ser incluida en los trminos y
condiciones laborales. Igualmente deben cumplir las buenas prcticas en la seleccin y uso de
la contrasea.

Control de acceso a la red.

nicamente se debe proporcionar a los colaboradores el acceso a los servicios para los que
especficamente se les haya autorizado su uso. Se deben utilizar mtodos apropiados de
autenticacin para el control de acceso a los usuarios remotos. Se deben implantar controles
adicionales para el acceso por redes inalmbricas. Se debe establecer una adecuada
segregacin de redes, separando los entornos de red de usuarios y los servicios.

Control de acceso a las aplicaciones.

El uso de programas que puedan ser capaces de invalidar los controles del sistema y de la
aplicacin, deben estar restringidos y estrictamente controlados.
Las sesiones inactivas deben cerrarse despus de un perodo de inactividad definido y se deben
usar restricciones en los tiempos de conexin para proporcionar una seguridad adicional a las
aplicaciones de alto riesgo.
Las cuentas de usuario de herramientas o productos que vengan por omisin se deben
deshabilitar inmediatamente despus de la instalacin de los sistemas o software.

Celsia S.A. E.S.P.

www.celsia.com

Pgina 14

Poltica Seguridad de la informacin

Las contraseas predeterminadas por el proveedor se deben cambiar inmediatamente despus

de la instalacin de los sistemas o software.
La Direccin de Gestin de Tecnologa debe integrar las aplicaciones con el Directorio Activo.

4.8 GESTIN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIN

Poltica de Gestin de incidentes de Seguridad de la Informacin
Todos los colaboradores, consultores, contratistas, terceras partes, deben anotar y comunicar
cualquier punto dbil que hayan observado o que sospechen que exista en los sistemas o servicios
a travs de la mesa de servicios.
Estndares de la Poltica de Gestin de Incidentes de Seguridad de la Informacin

Notificacin de eventos y debilidades de seguridad de la informacin.

La Direccin de Gestin de Tecnologa debe asegurarse de que los eventos y los puntos
dbiles de seguridad de la informacin asociados con los sistemas de informacin, se
comunican de forma que sea posible emprender acciones correctivas.

Se debe establecer un procedimiento formal de comunicacin de eventos de seguridad de la

informacin, junto con un procedimiento de respuesta y escalado de incidentes, que
determine la respuesta que debe darse cuando se recibe un informe de un evento de
seguridad de la informacin.

Gestin de incidentes de seguridad de la informacin.

Se deben establecer responsabilidades y procedimientos para tratar los eventos y los puntos
dbiles de seguridad de la informacin de forma efectiva. Una vez que se hayan comunicado
a travs de un proceso de mejora continua, el grupo de resolucin de problemas se encargar
de analizar la causa y evaluar conforme al proceso de gestin de problemas.
Cuando se detecta por primera vez un evento de seguridad de la informacin, puede que no
resulte evidente si dicho evento tendr como consecuencia una accin legal. Por este motivo,
existe el peligro que se destruyan de forma intencional o accidental de las pruebas necesarias
antes de tomar conciencia de la gravedad del incidente. Se debe hacer uso de los servicios
jurdicos de Celsia y/o de la Polica en las primeras fases de cualquier accin legal que se
est considerando, as como asesorarse de las pruebas necesarias.
Cuando una accin contra una persona u organizacin, despus de un incidente de seguridad
de la informacin, implique medidas legales (tanto civiles como penales), deberan

Celsia S.A. E.S.P.

www.celsia.com

Pgina 15

Poltica Seguridad de la informacin

recopilarse pruebas, que deberan conservarse y presentarse de manera que se ajusten a

las normas legales vigentes.
A la hora de la recopilacin de las pruebas, se preservar la cadena de custodia y se utilizarn
herramientas y procedimientos aceptados de anlisis forenses.
4.9 GESTIN DE SEGURIDAD PARA TELECOMUNICACIONES E INFRAESTRUCTURA DE TIC

Poltica de Gestin de Telecomunicaciones e Infraestructura de TIC

La Direccin de Gestin de Tecnologa debe proveer el funcionamiento correcto y seguro de las
instalaciones de procesamiento de la informacin y medios de comunicacin, a travs de una Gestin
de Telecomunicaciones e Infraestructura de TIC efectiva y eficiente.

Estndares de la Poltica de la Poltica de Gestin de Telecomunicaciones e Infraestructura

de TIC

Procedimientos y responsabilidades de operacin.

La Direccin de Gestin de Tecnologa debe definir y documentar claramente las
responsabilidades para el manejo y operacin de instalaciones de computadores y redes,
apoyadas por instrucciones operacionales apropiadas incluyendo procedimientos de respuesta
en caso de incidentes.
La Direccin de Gestin de Tecnologa debe definir controles que garanticen la apropiada
operacin tecnolgica. Estos controles deben incluir como mnimo los siguientes procedimientos:
Copias de seguridad.
Verificacin de cintas.
Recuperacin de datos y reversin de cambios.
Administracin de sistemas de antivirus.
Administracin de usuarios y contraseas.
Administracin de acceso a los recursos.
Administracin de acceso remoto.
Medicin de desempeo.
Capacidad y disponibilidad de los recursos de TI.
Gestin de pistas de auditoria y sistemas de registro de informacin.
Aseguramiento de plataformas.

Gestin del Cambio.

La Direccin de Gestin de Tecnologa debe implementar los controles necesarios que permitan
garantizar la segregacin de funciones y un adecuado seguimiento a los cambios efectuados a
los activos crticos de TI. La documentacin debe incluir, entre otros:
o Persona que solicita el cambio.
o Responsable de autorizacin.
o Descripcin del cambio.

Celsia S.A. E.S.P.

www.celsia.com

Pgina 16

Poltica Seguridad de la informacin

o
o
o
o
o

Justificacin del cambio para el negocio.

Lista de chequeo para evaluacin de riesgos, sistemas y/o dispositivos comprometidos.
Nivel de impacto.
Pruebas, aprobacin revisiones de post-implementacin.
Capacitacin, cuando sea necesario.

Segregacin de funciones.
Las tareas y responsabilidades propias de gestin de tecnologa, se deben segregar para reducir
e impedir las oportunidades de acceso no autorizado a la red y cualquier modificacin o mal uso
de los activos de los sistemas de informacin. Se prestar especial cuidado que una persona no
pueda por si misma acceder, modificar o utilizar los activos, sin previa autorizacin.

Separacin de Ambientes.
Cuando aplique los ambientes de desarrollo, pruebas y produccin deben estar separados para
reducir los riesgos de acceso o cambios no autorizados, prevenir fallos e implementar controles.

Planificacin y Aceptacin.
Se deben definir los requisitos de capacidad futura, con el fin de reducir el riesgo a una
sobrecarga del sistema. Los requisitos operativos de sistemas nuevos se deben establecer,
documentar y probar antes de su aceptacin. Los requisitos de restitucin para los servicios
apoyados por diferentes aplicaciones se deben coordinar y revisar frecuentemente. Los
administradores de TI deben estar alerta a los riesgos asociados a estas tecnologas, as mismo
considerar la toma de medidas especiales para su prevencin o deteccin.

Proteccin contra el cdigo malicioso.

La Direccin de Gestin de Tecnologa debe implementar controles de deteccin, prevencin y
recuperacin para la proteccin frente al cdigo malicioso. Los usuarios deben ser conscientes
de los peligros de los cdigos maliciosos. En Celsia no est permitido el uso de software no
licenciado y su instalacin en cualquiera de los equipos de la compaa.

Copias de seguridad.
Se deben hacer copias de respaldo de la informacin y del software. Para garantizar la integridad
y disponibilidad, se debe hacer su comprobacin regular de los mecanismos y la informacin en
conformidad con la poltica de respaldo acordada, conservando los niveles de confidencialidad
requeridos. La Direccin de Gestin de Tecnologa debe almacenar las copias de seguridad por
fuera de las instalaciones de Celsia con el fin de garantizar su recuperacin en caso de un evento
mayor en la sede principal.

Gestin de seguridad en las redes.

Se le debe dar atencin especial al manejo de la seguridad en redes, la cual puede extenderse
ms all de los lmites fsicos de Celsia. Procedimientos y medidas especiales se requieren para
proteger el paso de informacin sensible a redes de dominio pblico. La Direccin de Gestin de
Tecnologa debe garantizar que los proveedores de servicios de red implementan medidas en
cumplimiento con las caractersticas de seguridad, acuerdos de niveles de servicio y requisitos
de gestin.

Celsia S.A. E.S.P.

www.celsia.com

Pgina 17

Poltica Seguridad de la informacin

Se deben establecer controles especiales para salvaguardar la integridad y confidencialidad de

los datos que pasan por redes pblicas o redes inalmbricas y para proteger los sistemas y
aplicaciones conectadas, igualmente se debe garantizar la disponibilidad de los servicios de red
y computadores conectados.

Servicios de Comercio Electrnico.

Se debe realizar una evaluacin para identificar el riesgo asociado con el uso de servicios de
comercio electrnico, incluyendo las transacciones en lnea y los requisitos para los controles.
Se debe considerar la integridad y la disponibilidad de la informacin publicada electrnicamente
a travs de sistemas disponibles al pblico.

Monitoreo de uso del sistema.

El nivel de monitoreo necesario para los servicios se determinar mediante una evaluacin de
riesgos. Celsia cumplir los requisitos legales que se apliquen en sus actividades de monitoreo.
Se deben registrar las actividades tanto del operador como del administrador del sistema. Las
actividades a monitorear incluyen: operaciones privilegiadas, acceso no autorizado y alertas o
fallas del sistema, entre otras.

Registros de Auditora.
Se deben elaborar y mantener durante un perodo acordado, los registros de auditora de las
actividades de usuario, de operacin y administracin del sistema.

Proteccin de la informacin de registro.

Los servicios y la informacin de la actividad de registro se deben proteger contra el acceso o
manipulacin no autorizados.

Tratamiento de medios con informacin.

Se deben controlar los medios y proteger para prevenir la revelacin, modificacin, eliminacin
o destruccin no autorizada de los activos y la interrupcin de las actividades del negocio.
La Direccin de Gestin de Tecnologa debe implementar los controles que permitan garantizar
que la eliminacin de cualquier dispositivo o componente tecnolgico que contenga informacin
sensible, sean destruidos fsicamente, o bien que la informacin sea destruida, borrada o
sobrescrita, mediante tcnicas que no hagan posible la recuperacin de la informacin original,
en lugar de utilizar un borrado normal o formateado.

Sincronizacin de relojes.
Los relojes de los sistemas dentro de Celsia deben estar sincronizados con un tiempo acordado.
Debe establecerse segn una norma aceptada, por Ej. PST o un tiempo normalizado local.

Celsia S.A. E.S.P.

www.celsia.com

Pgina 18

Poltica Seguridad de la informacin

4.10 GESTIN DE SEGURIDAD PARA LA ADQUISICIN, DESARROLLO Y MANTENIMIENTO

DE SISTEMAS

Poltica de Adquisicin, Desarrollo y Mantenimiento de sistemas

La Direccin de Gestin de Tecnologa debe proveer medidas de seguridad en sistemas de
informacin desde la fase de requerimientos, y deben ser incorporados en las etapas de desarrollo,
implementacin y mantenimiento.
Estndares de la Poltica de Adquisicin, Desarrollo y Mantenimiento de Sistemas

Requerimientos de seguridad de los sistemas.

La Direccin de Gestin de Tecnologa debe asegurar que todas las actividades relacionadas
con el desarrollo y mantenimiento de sistemas de informacin, consideren la administracin
de los riesgos de seguridad. Todos los requerimientos de seguridad se deben identificar
durante la etapa de requerimientos, al igual que justificar, acordar y documentarse, como
parte de todo el proyecto del sistema de informacin.

Seguridad de las aplicaciones del sistema.

Se deben desarrollar estndares que indiquen cmo se deben asegurar los diferentes
sistemas, aplicaciones y desarrollos, para minimizar la aparicin de errores, prdidas y
modificaciones no autorizadas o usos indebidos en la informacin de las aplicaciones.
Se deben disear controles adecuados en las aplicaciones, para garantizar un correcto
procesamiento. Se debe incluir la validacin de los datos introducidos, el procesamiento
interno y los datos resultantes.
Las aplicaciones que se desarrollen en Celsia deben cumplir unos requerimientos mnimos
de seguridad, conforme a las buenas prcticas en seguridad de la informacin y a esta poltica
de seguridad. El diseo y operacin de los sistemas debe obedecer a estndares de
seguridad comnmente aceptados y la normatividad vigente.

Seguridad de los sistemas de archivos.

Se debe controlar el acceso al sistema de archivos y al cdigo fuente de los programas. La
actualizacin del software aplicativo, las aplicaciones y las libreras, slo debe ser llevada a
cabo por los administradores.

Seguridad de los procesos de desarrollo y soporte.

Se requiere de un control estricto en la implementacin de cambios. Los procedimientos de
control de cambios deben validar que los procesos de seguridad y control no estn
comprometidos; igualmente deben cerciorarse de que los programadores de apoyo posean
acceso slo a las partes en el sistema necesarias para desarrollar su trabajo, que dichos
cambios sean aprobados con un procedimiento adecuado y con la documentacin
correspondiente.

Celsia S.A. E.S.P.

www.celsia.com

Pgina 19

Poltica Seguridad de la informacin

4.11

CUMPLIMIENTO Y NORMATIVIDAD LEGAL

Poltica para el Cumplimiento y Normatividad Legal

Toda solucin de servicios o infraestructura tecnolgica debe garantizar que su seleccin est de
acuerdo con las condiciones contractuales, de legislacin y regulacin externa e interna, para el
debido cumplimiento de los regmenes legales a los cuales est sometida la organizacin.
Estndares de la Poltica para el Cumplimiento y Normatividad Legal

Cumplimiento legal.
Todos los requerimientos contractuales y legales que puedan afectar los sistemas de
informacin de Celsia, deben definirse previamente y documentarse de acuerdo con la
metodologa empleada por la empresa. Los controles especficos, medidas de proteccin y
responsabilidades individuales que cumplan con los requerimientos, deben as mismo
definirse y documentarse. El rea jurdica de Celsia asesorar al Comit de Seguridad en
dichos aspectos legales especficos.

Propiedad intelectual.
Se proteger adecuadamente la propiedad intelectual de Celsia, tanto propia como la de
terceros (derechos de autor de software o documentos, derechos de diseo, marcas
registradas, patentes, licencias, cdigo fuente, entre otros). El material registrado con
derechos de autor no se debe copiar sin la autorizacin del propietario.

Proteccin de datos.
Los estndares de seguridad son de obligatorio cumplimiento para los colaboradores con
acceso a los datos de carcter personal y a los sistemas de informacin. Debern considerar,
los siguientes aspectos:
mbito de aplicacin del procedimiento con especificacin detallada de los recursos
protegidos.
Medidas, normas, procedimientos, reglas y estndares encaminados a garantizar el nivel
de seguridad exigido por la ley.
Funciones y obligaciones del personal con acceso a las bases de datos.
Estructura de las bases de datos de carcter personal y descripcin de los sistemas de
informacin que los tratan.
Procedimiento de notificacin, gestin y respuesta ante los incidentes.
Procedimientos de realizacin de copias de respaldo y de recuperacin de los datos.
Controles peridicos que se deban realizar para verificar el cumplimiento de lo dispuesto
en el procedimiento de seguridad que se implemente.
Medidas a adoptar cuando un soporte o documento va ha ser transportado, desechado o
reutilizado.
El procedimiento se mantendr actualizado en todo momento y deber ser revisado siempre que
se produzcan cambios relevantes en el sistema de informacin o en la organizacin del mismo.

Cumplimiento de polticas y normas de seguridad.

Los directivos de la compaa se deben asegurar que todos los procedimientos de seguridad
dentro de su rea de responsabilidad se realizan correctamente, con el fin de cumplir las

Celsia S.A. E.S.P.

www.celsia.com

Pgina 20

Poltica Seguridad de la informacin

polticas y normas de seguridad; en caso de incumplimiento se evaluaran y propondrn

acciones correctivas. Los resultados de estas revisiones sern mantenidos para su revisin
con auditoria.

5.

Cumplimiento tcnico.
Se debe comprobar peridicamente que los sistemas de informacin cumplen con las normas
de implementacin de seguridad. Se deben realizar auditoras peridicas con ayuda de
herramientas automatizadas y se deben generar informes tcnicos que reflejen la evaluacin
de riesgos de seguridad de la informacin, las vulnerabilidades y su grado de exposicin al
riesgo.
DOCUMENTACIN RELACIONADA

6.

Cdigo de Buen Gobierno Corporativo.

Sistema de Gestin de la Calidad y Poltica Ambiental de la organizacin.
Poltica de Gestin Humana.
Poltica de Gestin de Riesgos
Poltica de tecnologa de informacin y comunicacin.
DEFINICIONES

Para los propsitos de este documento, se definen los siguientes conceptos:

Activo: cualquier cosa que tenga valor para la empresa.

Amenaza: causa potencial de un incidente no deseado, que puede ocasionar dao a un

sistema o a la empresa.

Confidencialidad: propiedad que determina que la informacin no est disponible ni sea

revelada a individuos, entidades o procesos no autorizados.

Comit de Seguridad de la Informacin: el Comit de Seguridad de la Informacin debe

establecer los criterios de direccin y control, que permitan implantar los mecanismos ms
apropiados de proteccin de la informacin de Celsia, aplicando los principios de
confidencialidad, integridad y disponibilidad de la misma y de los recursos informticos o de
otra ndole que la soportan, acorde con la planeacin estratgica de la empresa.

Desastre o contingencia: interrupcin de la capacidad de acceso a informacin y

procesamiento de la misma a travs de computadoras u otros medios necesarios para la
operacin normal de un negocio.

Disponibilidad: propiedad de que la informacin sea accesible y utilizable por solicitud de

una entidad autorizada.
Estndares de seguridad: son productos, procedimientos y mtricas aprobadas, que
definen en detalle como las polticas de seguridad sern implementadas para un ambiente
en particular, teniendo en cuenta las fortalezas y debilidades de las caractersticas de
seguridad disponibles. Deben estar reflejadas en un documento que describe la implantacin
de una gua para un componente especfico de hardware, software o infraestructura.

Celsia S.A. E.S.P.

www.celsia.com

Pgina 21

Poltica Seguridad de la informacin

7.

Evaluacin del riesgo: proceso de comparar el riesgo estimado contra criterios de riesgo
dados, para determinar la importancia del riesgo.
Evento de seguridad de la informacin: presencia identificada de una condicin de un
sistema, servicio o red, que indica una posible violacin de la poltica de seguridad de la
informacin o la falla de las salvaguardas, o una situacin desconocida previamente que
puede ser pertinente a la seguridad.

Integridad: propiedad de salvaguardar la exactitud y el estado completo de los activos.

Impacto: la consecuencia que al interior de la empresa se produce al materializarse una

amenaza.

Organizacin de seguridad: es una funcin que busca definir y establecer un balance entre
las responsabilidades y los requerimientos de los roles asociados con la administracin de
seguridad de la informacin.

Polticas: toda intencin y directriz expresada formalmente por la direccin.

Procesos: se define un proceso de negocio como cada conjunto de actividades que reciben
una o ms entradas para crear un producto de valor para el cliente o para la propia empresa
(concepto de cliente interno de calidad). Tpicamente una actividad empresarial cuenta con
mltiples procesos de negocio que sirven para el desarrollo de la actividad en s misma.

Procedimientos: los procedimientos son los pasos operacionales que los funcionarios deben
realizar para alcanzar ciertos objetivos.

Riesgo: combinacin de la probabilidad de un evento y sus consecuencias.

Seguridad de la informacin: preservacin de la confidencialidad, integridad y

disponibilidad de la informacin, adems puede involucrar otras propiedades tales como:
autenticidad, trazabilidad (accountability), no repudio y fiabilidad.

TI: se refiere a tecnologas de la informacin

TIC: se refiere a tecnologas de la informacin y comunicaciones

Vulnerabilidad: debilidad de un activo o grupo de activos, que puede ser aprovechada por
una o ms amenazas.

CONTROL DE CAMBIOS
VERSION
1

FECHA
12/05/2014

JUSTIFICACIN DE LA VERSIN
Creacin del documento

Celsia S.A. E.S.P.

www.celsia.com

Pgina 22

Poltica Seguridad de la informacin

Celsia S.A. E.S.P.

www.celsia.com

Pgina 23