Академический Документы
Профессиональный Документы
Культура Документы
Versin: 1
Aprobado por: Comit Directivo
Celsia
Poltica Seguridad de la
informacin
TABLA DE CONTENIDO
1.
OBJETIVO ............................................................................................................................... 2
2.
ALCANCE................................................................................................................................ 2
3.
6.
DEFINICIONES ...................................................................................................................... 21
7.
Pgina 1
1. OBJETIVO
Establecer las medidas organizacionales, tcnicas, fsicas y legales, necesarias para proteger los
activos de informacin contra acceso no autorizado, divulgacin, duplicacin, interrupcin de
sistemas, modificacin, destruccin, prdida, robo, o mal uso, que se pueda producir en forma
intencional o accidental.
2. ALCANCE
Esta Poltica es aplicable a todos los colaboradores, consultores, contratistas, terceras partes, que
usen activos de informacin que sean propiedad de la organizacin.
3.1 RESPONSABILIDAD
Es responsabilidad de la Direccin de Gestin de Tecnologa hacer uso de la Poltica de Seguridad
de la Informacin, como parte de sus herramientas de gobierno y de gestin, de definir los
estndares, procedimientos y lineamientos que garanticen su cumplimiento.
3.2 CUMPLIMIENTO
El cumplimiento de la Poltica de Seguridad de la Informacin es obligatorio. Si los colaboradores,
consultores, contratistas, terceras partes violan estas polticas, la organizacin se reserva el derecho
de tomar las medidas correspondientes.
3.3 EXCEPCIONES
Las excepciones a cualquier cumplimiento de Poltica de Seguridad de la Informacin deben ser
aprobadas por la Direccin de Gestin de Tecnologa, la cual puede requerir autorizacin de la
Gerencia de Arquitectura Organizacional, la Vicepresidencia de Desarrollo Corporativo y Nuevos
Negocios, del Comit de Asuntos Corporativos o de la Presidencia de la compaa. Todas las
excepciones a la Poltica deben ser formalmente documentadas, registradas y revisadas.
Pgina 2
4.
Generalidades
La informacin es un activo que la compaa considera esencial para las actividades de la empresa
y debe ser protegida de acuerdo con los principios de confidencialidad, integridad y disponibilidad.
A travs de esta Poltica se difunden los objetivos de seguridad de la informacin de la compaa,
que se consiguen a travs de la aplicacin de controles de seguridad, para gestionar un nivel de
riesgo aceptable. Este documento tiene el objetivo de garantizar la continuidad de los servicios,
minimizar la probabilidad de explotar las amenazas, y asegurar el eficiente cumplimiento de los
objetivos de negocio y de las obligaciones legales conforme al ordenamiento jurdico vigente y los
requisitos de seguridad destinados a impedir infracciones y violaciones de seguridad en Celsia.
Pgina 3
Seguridad en los Accesos por Terceros. La Direccin de Gestin de Tecnologa debe realizar
una evaluacin de riesgos para identificar el riesgo de acceso por terceros a la informacin de
Celsia. Cada Vicepresidencia debe verificar la implementacin de acuerdos, monitorear el
cumplimiento de ellos y gestionar los cambios para asegurar que los servicios que se prestan
cumplen los requisitos acordados con los terceros.
Pgina 4
Correo electrnico.
La organizacin, como muestra del respeto por los principios de libertad de expresin y privacidad
de informacin, no genera a los colaboradores ninguna expectativa de privacidad en cualquier
elemento que almacene, enve o que reciba por medio del sistema de correo electrnico
propiedad de la compaa; en consecuencia, podr denegar el acceso a los servicios de correo
electrnico, inspeccionar, monitorear y/o cancelar un buzn de correo asignado.
Las comunicaciones por correo electrnico entre la empresa y sus pblicos de inters deben
hacerse a travs del correo homologado y proporcionado por la empresa. No es permitido utilizar
cuentas personales para comunicarse con los pblicos de inters de la organizacin, ni para
transmitir cualquier otro tipo de informacin del negocio.
A los colaboradores que de acuerdo con sus funciones requieran una cuenta de correo, esta se
les asigna en el servidor una vez son vinculados. La Vicepresidencia de Gestin Humana y
Administrativa es responsable de informar a la Direccin de Gestin de Tecnologa, las
vinculaciones que requieran creacin de cuenta de correo; de igual manera debe informar
oportunamente los retiros de colaboradores para la suspensin de este servicio.
Esta cuenta estar activa durante el tiempo que dure la vinculacin del colaborador con la
compaa, excepto en casos de fuerza mayor o mala utilizacin que eventualmente puedan
causar la suspensin o cancelacin de la misma. Una vez se produzca la desvinculacin de la
persona, la cuenta ser dada de baja en el servidor mediante una solicitud enviada a la mesa de
servicios.
La capacidad mxima para almacenamiento de correo electrnico est definida por la Direccin
de Gestin de Tecnologa y depende del tipo de usuario. No obstante, en caso de necesidades
especiales, el interesado podr solicitar la ampliacin de la capacidad. De igual manera, en caso
de necesidad (por razones del negocio o tcnicas), las capacidades mximas de los buzones
podrn ser modificadas unilateralmente por parte de la compaa.
Pgina 5
El sistema de monitoreo filtrar los archivos anexos a los mensajes de correo electrnico, para
verificar la ausencia de virus. La entrega de todo mensaje a su destinatario final est sujeta a
que esta comprobacin sea exitosa.
La organizacin tiene regla de renuncia (disclaimer) que debe utilizarse siempre en los mensajes.
Para evitar reclamaciones legales todos los usuarios de correo de la empresa tienen que hacer
pblica la renuncia de responsabilidad legal por el envo de la informacin. El disclaimer
aprobado es:
La informacin contenida en este mensaje y en sus anexos es estrictamente confidencial. Si
usted recibi por error esta comunicacin, por favor notificar inmediatamente esta circunstancia
mediante reenvo a la direccin electrnica del remitente y brrela puesto que su uso no
autorizado acarrear las sanciones y medidas legales a que haya lugar. La empresa no se hace
responsable por la presencia en este mensaje o en sus anexos, de algn virus o malware que
pueda generar o genere daos en sus equipos, programas o afecte su informacin.
The information contained in this message and its attachments is strictly confidential. If you
received this communication in error, please immediately notify the sender of the situation by
replying it to sender email address and delete this message as its unauthorized use shall derive
in applicable penalties and legal actions.. The Company is not liable for the presence of any virus
or malware in this message or its attachments that cause or may cause damage to your
equipment, software or that affects your information.
El buzn de correo es personal e intransferible y corresponde al colaborador velar por la
seguridad protegiendo su clave de acceso. El usuario es el nico responsable por el buen uso
de su cuenta de correo electrnico. En consecuencia, al aceptar el buzn otorgado por la
organizacin, el usuario se compromete a:
Respetar la privacidad de las cuentas de otros usuarios del servicio, tanto dentro como
fuera de la red corporativa. El usuario no podr utilizar identidades ficticias o
pertenecientes a otros usuarios para el envo de mensajes.
El colaborador titular de correo o cuenta asignada por la organizacin, usar el correo
electrnico para enviar y recibir mensajes necesarios para el desarrollo de las labores
propias de su cargo o de las investigaciones que tenga asignadas; las nicas reas
autorizadas para el envo de correos masivos son la Vicepresidencia de Asuntos
Corporativos (a travs de la Direccin de Comunicaciones) y la Vicepresidencia de
Desarrollo Corporativo y Nuevos Negocios (a travs de la Direccin de Gestin de
Tecnologa). Otras necesidades de comunicacin masiva deben ser aprobadas por las
direcciones de Tecnologa y Comunicaciones.
El uso del correo electrnico propiedad de la compaa deber ser usado solamente para
fines propios a la organizacin. En su uso el colaborador actuar siempre con respeto y
cortesa; no podr crear, distribuir o reenviar mensajes que ofendan la dignidad, intimidad
y buen nombre de las personas, de las instituciones, o para realizar algn tipo de acoso,
difamacin, calumnia, con intencin de intimidar, insultar o cualquier otra forma de
actividad hostil; de igual forma se prohbe difundir ideas polticas, religiosas, propagandas
entre otros.
Pgina 6
La compaa se abstiene de enviar o recibir los mensajes de sus usuarios con contenido
impropio, difamatorio, ilcito, obsceno, indecente o que contengan difusin de noticias sin
identificar plenamente su autor; adicionalmente, los colaboradores no podrn enviar
annimos, propagandas o literatura de cualquier ndole, encuestas, concursos, esquemas
piramidales, cartas en cadena, mensajes no deseados, o cualesquiera que contenga
mensajes duplicativos o no solicitados, u otra informacin ajena a las labores que
desempean en su cargo.
Los colaboradores de la compaa se abstendrn de utilizar la cuenta para el envo o
reenvo de mensajes spam (no solicitados, no deseados o de remitente desconocido,
habitualmente de tipo publicitario, enviados en grandes cantidades), hoax (es un intento
de hacer creer que algo falso es real), con contenido que pueda resultar ofensivo o daino
para otros usuarios (como virus o pornografa), o que sea contrario a las polticas y
normas institucionales.
Evitar el envo desde su buzn de elementos (textos, software, msica, imgenes o
cualquier otro) que contravengan lo dispuesto en la legislacin vigente y en los
reglamentos internos, sobre propiedad intelectual y derechos de autor. En especial, es
necesario evitar la distribucin de software que requiera licencia, claves ilegales de
software, programas para romper licencias (crackers), y en general, cualquier elemento u
objeto de datos sin permiso especfico del autor cuando este sea requerido. La violacin
de esta obligacin origina automticamente la suspensin del servicio y puede ser causa
de sanciones al usuario, con perjuicio de las responsabilidades que eventualmente
puedan surgir ante la ley.
Realizar mantenimiento peridico de su correo, cuando el sistema le haga advertencias
de espacio disponible. Estas advertencias se realizan varias veces, por lo que debe estar
atento e informar a la mesa de servicios informticos, cuando requiera la depuracin del
mismo.
Utilizar la cuenta de correo electrnico corporativa para fines laborales, de investigacin
y los estrictamente relacionados con las actividades propias de su trabajo. Los
colaboradores deben evitar usar el buzn de correo electrnico para fines comerciales
diferentes a los que sean relativos al inters de la empresa.
El colaborador debe depurar mensualmente el contenido del buzn de entrada en el
servidor para evitar que los mensajes permanezcan en l un tiempo excesivo que
conduzca a la congestin o al bloqueo del mismo.
Respetar la privacidad de las cuentas de otros usuarios del servicio, tanto dentro como
fuera de la red corporativa.
Evitar el envo de respuestas con copia a todos los destinatarios de un mensaje recibido,
y en particular cuando se trata de mensajes que originalmente hayan sido dirigidos a un
grupo grande de usuarios; salvo cuando se trate de una respuesta que por su naturaleza
o contenido necesariamente requiera ser conocida por todos ellos.
Evitar abrir mensajes no esperados que contengan archivos adjuntos, aunque provengan
de personas conocidas. Podra tratarse de un virus. En particular, no abrir mensajes cuyo
asunto contenga palabras en ingls a menos que lo est esperando.
En lo posible, es necesario evitar usar letras maysculas, especialmente en el campo de
Asunto:, al igual que el uso excesivo de signos de exclamacin (&, %, $, #, ?, , !, ),
esto puede hacer que los sistemas de correo lo identifiquen como correo no deseado o
Celsia S.A. E.S.P.
www.celsia.com
Pgina 7
Navegacin en Internet.
El uso de Internet debe estar destinado exclusivamente a la ejecucin de las actividades de la
organizacin y deben ser utilizados por el colaborador para realizar las funciones establecidas
para su cargo, por lo cual la compaa defini los siguientes parmetros para su uso:
Pgina 8
Recursos compartidos.
El uso de carpetas compartidas en los equipos de cmputo de los usuarios es una prctica que,
aunque puede ser una herramienta til de trabajo, tiene implcitos algunos riesgos que pueden
afectar los principios de confidencialidad, integridad y disponibilidad de la informacin, por lo
tanto su uso y aplicacin debe ser controlado. Con este propsito la organizacin define los
siguientes lineamientos para su uso seguro:
Se debe evitar el uso de carpetas compartidas en equipos de escritorio.
Los administradores de la red establecen e implementan, en los casos aprobados, la
configuracin de acceso a la carpeta, previo requerimiento formal de la misma a travs
de la Mesa de Servicios.
El usuario que autoriza y dispone el recurso compartido es el responsable por las
acciones y los accesos sobre la informacin contenida en dicha carpeta.
Se debe definir el tipo de acceso y los roles estrictamente necesarios sobre la carpeta
(lectura, escritura, modificacin y borrado).
Debe tenerse claramente especificado el lmite de tiempo durante el cual estar
publicada la informacin y compartido el recurso en el equipo.
Si se trata de informacin confidencial o crtica para la empresa, deben utilizarse las
carpetas destinadas para tal fin en el servidor de archivos de usuarios, para que sean
incluidos en las copias diarias de respaldo de informacin o implementar herramientas
para el respaldo continuo de informacin sobre dichos equipos.
El acceso a carpetas compartidas debe delimitarse a los usuarios que las necesitan y
deben ser protegidas con contraseas.
No se debe permitir el acceso a dichas carpetas a usuarios que no cuenten con
antivirus corporativo actualizado.
Pgina 9
Computacin en nube.
Ninguna informacin de Celsia podr utilizar tecnologas de computacin en nube si no est
previamente autorizado por la Direccin de Gestin de Tecnologa.
La Direccin de Gestin Tecnologa debe implementar las medidas necesarias para proteccin frente
al riesgo de la utilizacin de equipos y comunicacin mvil. Se prestar especial cuidado para
asegurar que no se compromete la informacin del negocio, teniendo en cuenta los riesgos que
conlleva el trabajar con el equipo mvil en entornos desprotegidos.
La utilizacin de los servicios mviles conectados a las redes, debe tener una proteccin idnea. El
acceso remoto a la informacin del negocio a travs de redes pblicas usando servicios de
computacin mvil, slo debera tener lugar despus de la identificacin y autenticacin exitosa y
con el establecimiento de los mecanismos adecuados del control del acceso.
Pgina 10
Evitar el riesgo.
Disminuir la probabilidad de ocurrencia.
Disminuir el impacto.
Transferir los riesgos.
Retener los riesgos.
Pgina 11
Escritorio limpio.
Pgina 12
Retiro de equipos.
Se deben tener en cuenta los procesos de instalacin y retirada del equipo, de tal manera que
estos se hagan de forma controlada y segura. La proteccin de los equipos, incluso cuando se
utilizan fuera de la oficina, es necesaria para reducir el riesgo no autorizado de acceso a la
informacin y para protegerlo contra prdida o robo.
Registro de usuarios.
Todos los usuarios deben tener una identificacin nica personal o jurdica, que se utilizar para
el seguimiento de las actividades de responsabilidad individual o jurdica. Las actividades
habituales de usuario no deben ser desempeadas a travs de cuentas privilegiadas.
Pgina 13
El usuario debe tener autorizacin de la respectiva vicepresidencia para el uso del sistema o
servicio de informacin. Se debe verificar que el nivel de acceso otorgado sea adecuado para los
propsitos de la empresa y conserven una adecuada segregacin de funciones. Adicionalmente,
deben tomar y certificar la formacin y as garantizar el uso adecuado del sistema o servicio de
informacin.
Pgina 14
Pgina 15
Pgina 16
o
o
o
o
o
Segregacin de funciones.
Las tareas y responsabilidades propias de gestin de tecnologa, se deben segregar para reducir
e impedir las oportunidades de acceso no autorizado a la red y cualquier modificacin o mal uso
de los activos de los sistemas de informacin. Se prestar especial cuidado que una persona no
pueda por si misma acceder, modificar o utilizar los activos, sin previa autorizacin.
Separacin de Ambientes.
Cuando aplique los ambientes de desarrollo, pruebas y produccin deben estar separados para
reducir los riesgos de acceso o cambios no autorizados, prevenir fallos e implementar controles.
Planificacin y Aceptacin.
Se deben definir los requisitos de capacidad futura, con el fin de reducir el riesgo a una
sobrecarga del sistema. Los requisitos operativos de sistemas nuevos se deben establecer,
documentar y probar antes de su aceptacin. Los requisitos de restitucin para los servicios
apoyados por diferentes aplicaciones se deben coordinar y revisar frecuentemente. Los
administradores de TI deben estar alerta a los riesgos asociados a estas tecnologas, as mismo
considerar la toma de medidas especiales para su prevencin o deteccin.
Copias de seguridad.
Se deben hacer copias de respaldo de la informacin y del software. Para garantizar la integridad
y disponibilidad, se debe hacer su comprobacin regular de los mecanismos y la informacin en
conformidad con la poltica de respaldo acordada, conservando los niveles de confidencialidad
requeridos. La Direccin de Gestin de Tecnologa debe almacenar las copias de seguridad por
fuera de las instalaciones de Celsia con el fin de garantizar su recuperacin en caso de un evento
mayor en la sede principal.
Pgina 17
Registros de Auditora.
Se deben elaborar y mantener durante un perodo acordado, los registros de auditora de las
actividades de usuario, de operacin y administracin del sistema.
Sincronizacin de relojes.
Los relojes de los sistemas dentro de Celsia deben estar sincronizados con un tiempo acordado.
Debe establecerse segn una norma aceptada, por Ej. PST o un tiempo normalizado local.
Pgina 18
Pgina 19
4.11
Cumplimiento legal.
Todos los requerimientos contractuales y legales que puedan afectar los sistemas de
informacin de Celsia, deben definirse previamente y documentarse de acuerdo con la
metodologa empleada por la empresa. Los controles especficos, medidas de proteccin y
responsabilidades individuales que cumplan con los requerimientos, deben as mismo
definirse y documentarse. El rea jurdica de Celsia asesorar al Comit de Seguridad en
dichos aspectos legales especficos.
Propiedad intelectual.
Se proteger adecuadamente la propiedad intelectual de Celsia, tanto propia como la de
terceros (derechos de autor de software o documentos, derechos de diseo, marcas
registradas, patentes, licencias, cdigo fuente, entre otros). El material registrado con
derechos de autor no se debe copiar sin la autorizacin del propietario.
Proteccin de datos.
Los estndares de seguridad son de obligatorio cumplimiento para los colaboradores con
acceso a los datos de carcter personal y a los sistemas de informacin. Debern considerar,
los siguientes aspectos:
mbito de aplicacin del procedimiento con especificacin detallada de los recursos
protegidos.
Medidas, normas, procedimientos, reglas y estndares encaminados a garantizar el nivel
de seguridad exigido por la ley.
Funciones y obligaciones del personal con acceso a las bases de datos.
Estructura de las bases de datos de carcter personal y descripcin de los sistemas de
informacin que los tratan.
Procedimiento de notificacin, gestin y respuesta ante los incidentes.
Procedimientos de realizacin de copias de respaldo y de recuperacin de los datos.
Controles peridicos que se deban realizar para verificar el cumplimiento de lo dispuesto
en el procedimiento de seguridad que se implemente.
Medidas a adoptar cuando un soporte o documento va ha ser transportado, desechado o
reutilizado.
El procedimiento se mantendr actualizado en todo momento y deber ser revisado siempre que
se produzcan cambios relevantes en el sistema de informacin o en la organizacin del mismo.
Pgina 20
5.
Cumplimiento tcnico.
Se debe comprobar peridicamente que los sistemas de informacin cumplen con las normas
de implementacin de seguridad. Se deben realizar auditoras peridicas con ayuda de
herramientas automatizadas y se deben generar informes tcnicos que reflejen la evaluacin
de riesgos de seguridad de la informacin, las vulnerabilidades y su grado de exposicin al
riesgo.
DOCUMENTACIN RELACIONADA
6.
Pgina 21
7.
Evaluacin del riesgo: proceso de comparar el riesgo estimado contra criterios de riesgo
dados, para determinar la importancia del riesgo.
Evento de seguridad de la informacin: presencia identificada de una condicin de un
sistema, servicio o red, que indica una posible violacin de la poltica de seguridad de la
informacin o la falla de las salvaguardas, o una situacin desconocida previamente que
puede ser pertinente a la seguridad.
Organizacin de seguridad: es una funcin que busca definir y establecer un balance entre
las responsabilidades y los requerimientos de los roles asociados con la administracin de
seguridad de la informacin.
Procesos: se define un proceso de negocio como cada conjunto de actividades que reciben
una o ms entradas para crear un producto de valor para el cliente o para la propia empresa
(concepto de cliente interno de calidad). Tpicamente una actividad empresarial cuenta con
mltiples procesos de negocio que sirven para el desarrollo de la actividad en s misma.
Procedimientos: los procedimientos son los pasos operacionales que los funcionarios deben
realizar para alcanzar ciertos objetivos.
Vulnerabilidad: debilidad de un activo o grupo de activos, que puede ser aprovechada por
una o ms amenazas.
CONTROL DE CAMBIOS
VERSION
1
FECHA
12/05/2014
JUSTIFICACIN DE LA VERSIN
Creacin del documento
Pgina 22
Pgina 23