20/20 BIENES Y SERVICIOS  S.A.S

POLÍTICAS GENERALES SEGURIDAD DE LA INFORMACIÓN

Identificación

20/20 BIENES & SERVICIOS S.A.S. – en adelante “LA EMPRESA”.

NIT No. 901.007.372-5
E-Mail: [email protected] ; [email protected]
Dirección: Carrera 15 No. 110 71 Oficina 101 de Bogotá D.C.
Sitio Web: https://muebles2020.com/

 

Objetivo La presente política tiene como objetivo definir el criterio utilizado por LA EMPRESA con la finalidad de disminuir el riesgo de adulteración, pérdida, consulta o acceso no autorizado o fraudulento a la información contenida en las bases de datos. Así mismo, formaliza el compromiso de LA EMPRESA, con las actividades de protección de activos de información, preservación de la confidencialidad, integridad y disponibilidad de los mismos.

Alcance El presente documento aplica a todos los activos de información de LA EMPRESA incluidos: tecnología, procesos operativos y humanos. La política define lineamientos generales, los detalles particulares serán definidos por la Dirección.

Definiciones LA EMPRESA entiende por la Seguridad de la Información como el conjunto de procesos por el cual se gestionan los riesgos a la confidencialidad, integridad y disponibilidad de sus activos de información utilizados para brindar servicios, en función de los objetivos estratégicos definidos para alcanzar sus metas organizacionales.

Gestión Operativa  Con la finalidad de contribuir al cumplimiento del presente instructivo, se contará con asesoría externa de personal idóneo en seguridad informática que llevará a cabo la definición y seguimiento de las políticas, procedimientos, normas y estándares necesarios, en coordinación con la Dirección  y el Oficial de Bases de Datos.

Principios

Los principios presentados para la Seguridad de la Información se aplican a todos los niveles de política y operacionales que controlan la seguridad de los sistemas y redes de información.

Toma de conciencia: El Responsable debe estar consciente de la necesidad de seguridad de los sistemas y redes de la información y de lo que pueden hacer para mejorar la seguridad.

Responsabilidad: Todos los usuarios y personal de LA EMPRESA son responsables por la seguridad de los sistemas y redes de información.

Respuesta: El Responsable debe actuar de una manera oportuna y en cooperación para evitar, detectar y responder ante incidentes de seguridad.

Valoración de riesgos: El Responsable debe realizar valoraciones de los riesgos.

Diseño e implementación de la seguridad: El Responsable debe incorporar la seguridad como un elemento esencial de los sistemas y redes de información.

Gestión de la seguridad: El Responsable debe adoptar un enfoque amplio hacia la gestión de la seguridad. La gestión de riesgos es un proceso que incluye la prevención, detección y respuesta a incidentes, mantenimiento, auditorías y revisión continuos.

Reevaluación: El Responsable debe revisar y reevaluar la seguridad de los sistemas y redes de información, y hacer las modificaciones apropiadas a las políticas, prácticas, medidas y procedimientos de seguridad.

MEDIDAS DE SEGURIDAD APLICABLES PARA LA BDP

Las medidas de seguridad aplicables para proteger LA BDP, serán como mínimo:

1). Determinar contractualmente quien será el Usuario/Oficial de Cumplimiento y/o Encargado del tratamiento de LA BDP, de acuerdo con las finalidades de la misma. 2). Disponer de mecanismos para identificar y autenticar de forma inequívoca y personalizada a los usuarios del sistema, y si la autenticación está basada en contraseñas, las cuales caducarán periódicamente y serán almacenadas de forma ininteligible. 3). Establecer perfiles de acceso a LA BDP, en atención a la asignación de obligaciones y responsabilidades relacionadas a las LA BDP. La asignación del perfil y otorgamiento del acceso se hará mediante un procedimiento documentado y auditable. 4). Mantener un registro de incidencias, que haya afectado o haya tenido el riesgo  de afectar la seguridad de LA BDP. 5. Conservar al menos durante dos años, el registro de incidencias en la seguridad  de LA BDP.

ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

Organización Interna y partes externas

Comité de Seguridad

Con las recomendaciones de los asesores externos y con la finalidad principal de alinear las políticas, estrategias y actividades de Seguridad de la Información con las necesidades del negocio, se analizará la viabilidad de conformar un Comité, integrado por empleados de áreas clave de LA EMPRESA

La existencia del Comité, una vez conformado, tendrá como objetivo principal que la Seguridad de la Información involucre a toda la organización y no sea un esfuerzo aislado.

Participantes del Comité

El Comité tendrá la potestad para convocar a los empleados y/o asesores externos de cualquiera de las áreas que conforman la organización, según el tema o proyecto que lo justifique.

Los asesores externos en Seguridad de la Información serán los responsables de organizar y coordinar a los integrantes en cada convocatoria.

Frecuencia

El Comité se reunirá al menos una vez cada tres meses.

Si existieran situaciones que lo justifiquen, se convocarán a reuniones extraordinarias.

Funciones

Las funciones principales son las siguientes:

  • Aprobación de las Políticas, Normas y Procedimientos del ámbito de Seguridad de la Información.
  • Consensuar el nivel de los Riesgos Informáticos que afecten a los Activos de Información de LA EMPRESA.
  • Definir el tratamiento de incidentes que afecten la integridad, disponibilidad o confidencialidad de los Activos de Información.
  • Evaluar la implementación de nuevos controles para los sistemas o servicios de  la organización.
  • Promover la difusión y apoyar las iniciativas que mejoren la seguridad general, según las responsabilidades y competencias de cada área.

Compromiso de LA EMPRESA

LA EMPRESA entiende lo importante que es la Seguridad de la Información para la eficaz y eficiente realización de sus actividades operativas, sustentabilidad económica, viabilidad regulatoria e integración de su organización.

LA EMPRESA demuestra su compromiso con la Seguridad de la Información al aprobar esta política e implementar el conjunto de procesos que derivan de la misma.

Modelo de Gestión

En busca de estar alineado con sus principales clientes, se analizará la posibilidad de aplicar un modelo de gestión de Seguridad de la Información basado en ISO 27001.

Concientización

Los asesores externos evaluarán periódicamente la posibilidad de implementar un plan continuo de educación y concientización en aspectos de Seguridad de la Información para que todos los integrantes de la organización estén informados de los riesgos y cuenten con las herramientas para protegerse de los mismos.

Documentación Asociada

Luego de cada convocatoria se realizará un acta que detalle: participantes, temas tratados, compromisos asumidos y próximas acciones a realizar.

Adicionalmente, el Comité podrá utilizar como material de referencia cualquiera de los siguientes documentos: resultados de auditorías, actas previas, informes de riesgos, publicaciones que muestren tendencias de seguridad, entre otros.

GESTIÓN DE ACTIVOS

Responsabilidad por los activos

1) Todos los activos deben estar claramente identificados y se debe elaborar y mantener un inventario de todos los activos importantes. 2) Toda la información y los activos asociados con los servicios de procesamiento de información deben ser «propiedad» de una parte designada de LA EMPRESA. 3) Se deben identificar, documentar e implementar las reglas sobre el uso aceptable de la información y de los activos asociados con los servicios de procesamiento de la información.

Clasificación de la información

1) La información se debe clasificar en términos de su valor, de los requisitos  legales, de la sensibilidad y la importancia para LA EMPRESA.

2) Se deben desarrollar e implementar un conjunto de procedimientos adecuados para el etiquetado y el manejo de la información de acuerdo al esquema de clasificación adoptado por LA EMPRESA.

SEGURIDAD FÍSICA Y DEL ENTORNO

Áreas seguras

  1. En LA EMPRESA se utiliza un sistema de vigilancia CCTV con video en toda la instalación y el perímetro.
  2. En LA EMPRESA se utiliza una seguridad física privada mediante personal de vigilancia durante las 24 horas.
  3. LA EMPRESA posee extinguidores de incendio en todas las instalaciones y  salas de ventas.
  4. En LA EMPRESA se utiliza un control de acceso físico a las instalaciones, solo  a personal autorizado.

Seguridad de los equipos

  1. La red de cableado cuenta con una topología nivel 5E de comunicación y sus  elementos activos y pasivos obedecen a los estándares y normas establecidas.
  2. Todos los equipos informáticos y de comunicación de LA EMPRESA se  encuentran en áreas de acceso controlado.
  3. Todos los equipos informáticos y de comunicación de LA EMPRESA poseen  sistemas de alimentación ininterrumpida (UPS).
  4. En el centro de cableado de LA EMPRESA se cuenta con una unidad de distribución de energía (PDU).
  5. El acceso al centro de cómputo es restringido y sólo personal autorizado por la  Dirección  y el Soporte de Informática puede tener acceso a él.
  6. Sólo el personal autorizado por la Dirección  y el Soporte de Informática puede abrir los gabinetes de los servidores y equipos de comunicación y Networking.
  7. El acceso a los servidores de LA EMPRESA, ya sea usando la consola de administración local o una consola de administración remota es restringido a personal autorizado por el Soporte de Informática. El intento de conexión por alguna persona no autorizada a cualquier consola de administración de los servidores se considera una violación de las políticas de seguridad.
  8. Para todos los equipos informáticos y de comunicación propiedad de LA EMPRESA, el Soporte de Informática es el único autorizado a realizar las actividades de soporte técnico y cambios de configuración en los equipos informáticos y de comunicación. En el caso de labores de mantenimiento efectuadas por terceros éstas deben ser previamente aprobadas por la Dirección .
  9. Para el correcto funcionamiento de los equipos de cómputo deberán de realizarse como mínimo tres (3) mantenimientos preventivos al año, al equipo propiedad de LA EMPRESA que no cuente con garantía del fabricante, de acuerdo al plan de mantenimiento preventivo del equipo de cómputo anual elaborado por el Soporte de Informática a principio de cada contrato.
  10. El Soporte de Informática deberá implementar las acciones necesarias para el correcto funcionamiento del equipo de cómputo, tales como actividades preventivas consideradas en el cronograma de trabajo.
  11. Se debe suministrar seguridad para los equipos fuera de las instalaciones teniendo en cuenta los diferentes riesgos de trabajar fuera de las instalaciones de LA EMPRESA.
  12. Ningún equipo, información ni software se deben retirar sin autorización previa.

GESTIÓN DE COMUNICACIONES Y OPERACIONES

Procedimientos operacionales y responsabilidades

1) Los procedimientos de operación se deben documentar, mantener y estar disponibles para todos los usuarios que los necesiten en LA EMPRESA.

Gestión de la prestación del servicio por terceras partes

1) LA EMPRESA debe garantizar que los controles de seguridad, las definiciones del servicio y los niveles de prestación del servicio incluidos en el acuerdo, sean implementados, mantenidos y operados por las terceras partes.

2) Para conectar un Equipo Informático a la Red Corporativa que no esté bajo el control administrativo de LA EMPRESA (computadoras privadas del personal, computadoras de otras empresas o terceros en general, las cuales no están sujetas a la totalidad de las políticas de seguridad de LA EMPRESA y por ende constituyen un riesgo al ser conectadas a la red corporativa) se deberá solicitar permiso al Soporte de Informática para que ésta inspeccione el equipo, compruebe que no constituye un riesgo para la seguridad de LA EMPRESA, evalúe el porqué de la necesidad de conectar el equipo a nuestra red privada y dé la autorización en su caso.

Planificación y aceptación del sistema

1) LA EMPRESA debe hacer seguimiento y adaptación del uso de los recursos, así como proyecciones de los requisitos de la capacidad futura para asegurar el desempeño requerido del sistema. 2) LA EMPRESA debe establecer criterios de aceptación para sistemas de información nuevos, actualizaciones y nuevas versiones y llevar a cabo los ensayos adecuados del sistema durante el desarrollo y antes de la aceptación, con el objetivo de minimizar el riesgo de fallas de los sistemas.

Protección contra códigos maliciosos y móviles

1) Todos los equipos de cómputo bajo la supervisión de LA EMPRESA, cuentan con un software antivirus actualizado y un firewall personal administrado por el personal del área de seguridad informática, con el objetivo de proteger el equipo de programas maliciosos. 2) Todos los equipos de cómputo bajo la supervisión de LA EMPRESA, son actualizados de manera periódica con los últimos parches de seguridad del sistema operativo y aplicaciones instaladas en el equipo. 3) Queda completamente prohibido introducir software malicioso en la red o en los servidores (virus, worms, ráfagas de correo electrónico no solicitado, entre otros).

Respaldo

1) El sistema de Backup se encuentra configurado en una unidad de almacenamiento externo USB de 1 TB en el cual se copia:

  • Estado del sistema operativo.
  • Toda la unidad donde se aloja el programa SICAD.
  • Todos los repositorios representados en las unidades U: y T: 2) Toda la información ofimática por usuarios, debe estar almacenada en el repositorio individual de cada funcionario ubicada en la ruta en la ruta U:INFRA1usuario y no puede ser distribuida o almacena en dispositivos ajenos a LA EMPRESA, sin la autorización del Soporte Informático, el cual atenderá las solicitudes de manera inmediata. 3) Es responsabilidad del Soporte Informático realizar el respaldo de los correos electrónicos en un archivo .PST, los cuales se almacenan en cada repositorio de usuario en una carpeta BDCORREOS. 4) Cada repositorio de usuario cuenta con una cuota de 2GB de almacenamiento; el cual podrá variarse por solicitud del usuario con aprobación de la Dirección . 5) Las áreas de almacenamiento en la red pueden ser tratadas como almacenamientos temporales de acuerdo a la necesidad de cada usuario. El Soporte de Informática revisará el aprovechamiento óptimo de los recursos compartidos para mantener la integridad y para asegurar que los usuarios utilicen los recursos de manera responsable. 6) Los respaldos que contengan información de LA EMPRESA y que fueron realizados o solicitados por el usuario del equipo de cómputo, se tendrán exclusivamente bajo resguardo, debiendo de entregarlos en el momento de la finalización de la relación laboral.

Gestión de la seguridad de las redes

La infraestructura informática de LA EMPRESA se encuentra construida con el producto Microsoft Windows Server Essential 2012 configurada para 25 Usuarios, instalado en una máquina tipo server de entrada de marca HP Proliant ML110 G9 el cual ofrece a todos los usuarios la siguiente gestión de la seguridad:

  1. Servidor de Sistema Windows 2012 Server, como base operativa de toda la infraestructura y donde se conforman las directivas y políticas de seguridad para cada uno de los usuarios. Por lo tanto, es aquí donde, por ejemplo, se dan todas las credenciales de ingreso al sistema.
  2. Sistema de credencial de ingreso al sistema basado en cuentas de usuarios de Dominio y definidas en forma genérica, para darle mayor estabilidad y menor carga de trabajo a la administración del sistema, en los eventos donde un usuario salga del sistema y deba ser reemplazado por otro, sin la necesidad de tener que desplegar nuevamente el perfil y su rol operativo en la estación de trabajo y a sí mismo su replicación en otra que lo exija. Lo único que debe cambiar es el distintivo, el método de validación para los equipos con Windows Home Edition que utilizan dos funcionarios de venta es diferente, ya que estos no se validan a un dominio Microsoft.
  3. Repositorios de Archivos, Este servicio quedó configurado en el servidor INFRA1, identificado con las unidades T: y U: que corresponden a las  unidades de colaboración por grupos y unidades individuales de trabajo por usuario. Estos repositorios de documentos y carpetas se encuentran dispuestas en el sistema de manera organizadas y clasificadas de tal manera que se tengan sitios centralizados los cuales ofrecen la oportunidad de:
  • Tener un solo sitio donde se guarde con seguridad (solo se puede ingresar con su credencial) los documentos de responsabilidad personal ubicados en la ruta U:INFRA1usuario.
  • Tener un sitio centralizado donde se pueda compartir documentos correspondientes a la misma área de trabajo que permita el trabajo en grupo. El sitio destinado es la ruta T:INFRA1Grupo_de_Trabajo. 4) Servidor de Aplicaciones, Se diseñó en esta máquina un volumen identificado con la letra INFRA1Datos(F:) con 200 GB disponibles para la instalación del programa CICAD; esta unidad se encuentra dispuesta para que el Ingeniero de soporte de la aplicación ejerza control y aplique las instalaciones necesarias para el manejo de la base de datos del programa, como también la manera de administrar los datos según el motor de base de datos utilizado.

Manejo de los medios

  1. Queda completamente prohibido difundir información de LA EMPRESA y toda aquella identificada como confidencial a través de medios removibles y recursos compartidos (memorias USB, OneDrive, Google Drive, Discos duros externos) que involucren el uso de la Tecnología de Información.
  2. Queda completamente prohibido la divulgación, modificación, retiro o destrucción de activos no autorizada, y la interrupción en las actividades del negocio.
  3. Sólo está permitido acceder a los servicios de Internet por los medios físicos dispuestos por el Soporte de Informática:
  • Cuando el equipo se encuentre conectado físicamente a la red local.
  • Para el caso de los equipos portátiles cuando se encuentran fuera de LA EMPRESA sí podrán conectarse a Internet por los medios disponibles en cada momento; sin embargo, el intercambio de información con la red local de las oficinas administrativas será únicamente a través de una conexión privada virtual. (Este procedimiento aplica solo para los soportes de los aplicativos CICAD y el Soporte de la Infraestructura informática).

Intercambio de la información

1) El intercambio de la información de LA EMPRESA realizada por correo electrónico, sólo será a través de las cuentas asignadas; con el objetivo de garantizar la integridad y confidencialidad de la información.

2) El correo electrónico es correspondencia privada entre el emisor y el destinatario; por lo tanto, no podrá transmitirse a través de Internet información considerada como de uso confidencial hacia el personal externo de LA EMPRESA, salvo instrucción expresa de la Gerencia del área correspondiente.

3) El usuario es responsable del contenido de los mensajes enviados esto incluye entre otros: contenido de material ofensivo u obsceno, cualquier quebrantamiento de propiedad intelectual, Copyright o cualquier información ilegal o criminal.

 4) Se prohíbe la transmisión de mensajes que puedan: crear un medio hostil sobre la raza, edad, sexo, religión, política, nacionalidad, origen, incapacidad u orientaciones personales; comentarios despectivos, noticias informales o mal intencionadas, cadenas de cartas, mensajes masivos de índole personal, y en general cualquier tipo de información que cause congestión en la red o interfiera con el trabajo de otros.

5) El soporte de Informática bloqueará en forma automática la recepción de correos electrónicos desde aquellas direcciones que se han identificado como fuentes de correo basura, virus y código malicioso en general. En caso que el usuario necesite recibir correo electrónico desde alguna de estas direcciones identificadas como ofensivas para LA EMPRESA debe comunicarse al Soporte de Informática para analizar y atender su solicitud.

6) El Soporte de Informática definirá el tipo de archivo (.doc, .xls, .ppt, .pdf, .jpg, .bmp, .zip, .gif, .dwg), que se podrá enviar o recibir como datos adjuntos en los correos electrónicos por el personal de LA EMPRESA. En caso que el usuario necesite recuperar un archivo que ha sido bloqueado por el sistema o enviar un archivo no permitido, deberá comunicarse con el Soporte de Informática para analizar y atender su solicitud.

7) El Soporte de Informática establecerá límites para los correos electrónicos que se envíen hacia Internet o reciban desde Internet de acuerdo a las cuotas establecidas y a las necesidades de las diferentes áreas y usuarios con el objetivo de evitar el congestionamiento del enlace a Internet y por lo tanto la afectación a otros servicios que también se ofrecen utilizando este medio de comunicación.

8) Los funcionarios y empleados son responsables de mantener su imagen profesional dentro de Internet, así como proteger la imagen corporativa y reputación de LA EMPRESA.

9) En las oficinas administrativas y salas de ventas, ningún usuario tiene acceso a Internet de manera automática al conectarse a la red de LA EMPRESA. El usuario para poder ingresar a Internet debe solicitarlo al Soporte de Informática, con previa autorización de la Dirección ; en caso de ser aprobada la solicitud, se realizará la configuración necesaria en el equipo del usuario y le asignará ciertos privilegios en el uso del servicio de acuerdo a las actividades que desempeña el usuario.

10) No se debe de utilizar el acceso a Internet e intercambio de información corporativa como un medio de participación, acceso y distribución de actividades o materiales que vayan en contra de la Ley.

11) No acceder, ver o bajar desde sitios de Internet: gráficos, imágenes o cualquier otro material que pueda ser percibido como obsceno, abusivo o que contenga humor inapropiado, lenguaje amenazante, acosante u otra forma de lenguaje objetable dirigido a un individuo o grupo.

12) El Soporte de Informática asignará a cada usuario con acceso a internet un perfil de navegación en dependencia de sus actividades que realiza éste. Como resultado de esto el usuario tendrá bloqueado automáticamente las páginas con contenido ofensivo o malicioso para LA EMPRESA, así como los límites de tiempo para navegar en páginas con contenido dudoso de acuerdo a su utilidad para LA EMPRESA.

Monitoreo

1) Se implementó un sistema de seguridad en la navegación; como apoyo al monitoreo en el manejo de la gestión de la seguridad de las redes; en la cual se restringe la navegación a redes sociales, mensajería instantánea, streaming de video y música. Estas reglas se han activado a las estaciones de trabajo para un adecuado control de seguridad en las redes informáticas de LA EMPRESA.
2) Queda completamente prohibido en la operación de LA EMPRESA el uso por parte de los usuarios de correos electrónicos personales; ya que en su gran mayoría pertenecen a páginas gratuitas asociadas a cuentas de redes sociales.
3) Se adquirirá un Hosting de correos corporativos, para que todos los  funcionarios operaren estos correos y no los correos personales.
4) Los servicios de acceso a internet y correo electrónico son administrados corporativamente por el Soporte de Informática, quien tomará los reportes de los problemas técnicos y errores de recepción y envío relacionados con nuestros servidores, para su posible atención inmediata. Sin embargo, el proveedor del enlace a Internet es responsable de garantizar la disponibilidad del enlace, así como de los anchos de banda contratados.
5) El Soporte de Informática está facultado para monitorear periódicamente las actividades de cada uno de los usuarios de correo electrónico, Internet y comunicación por la red de datos de LA EMPRESA, con la finalidad de vigilar el cumplimiento de las políticas del presente documento, manteniendo la confidencialidad de la información.
6) Los servicios de acceso a internet en las salas de ventas son contratados por las oficinas administrativas, su uso y administración son de acuerdo a los lineamientos que marque el proveedor del servicio.

CONTROL DE ACCESO

Requisito del negocio para el control de acceso

  1. Todos los usuarios internos de LA EMPRESA requieren de un nombre de usuario y una contraseña para utilizar el equipo de cómputo que tiene asignado y servicios de red como correo electrónico, impresión, archivos compartidos, intranet, internet entre otros.

Gestión del acceso de usuarios

1) Se maneja un inventario de identificación de usuarios y administración de accesos (Inventario de usuarios y roles).

2) Se identifican sesiones de usuario individuales que se vuelven a verificar con cada transacción.

3) Se maneja una adecuada gestión de usuarios, en función de los servicios específicos que se utilizan.

4) El Soporte de Informática es responsable de configurar a los usuarios el servicio correspondiente.

5) Las cuentas y claves de acceso de los servicios de internet y correo electrónico son personales y confidenciales y se rigen por las políticas de contraseñas definidas en el presente documento.

6) Las contraseñas de los usuarios deben cumplir con ciertos requerimientos de seguridad los cuales definirá el Soporte de Informática con el objetivo de evitar que los usuarios elijan contraseñas débiles. Las contraseñas son personales y conocidas únicamente por el propio usuario el cual será responsable de toda la actividad que se realice con ella.

7) Por seguridad las contraseñas se cambian cada tres (3) meses por el propio  usuario.

8) El Soporte de Informática se reserva el derecho de restablecer en cualquier momento la contraseña de cualquiera de los usuarios de LA EMPRESA, con previo aviso para no afectar de ninguna manera la continuidad de su trabajo, si se detecta que ha sido comprometida.

9) Todas las computadoras de escritorio y portátiles deben tener configurados un protector de pantalla y el cual se activará si el equipo se deja desatendido después de cierto tiempo.

10) Los equipos de cómputo portátiles y los que no se encuentran dentro de oficinas con acceso controlado, deben contar con una contraseña adicional en el momento del encendido del equipo.

11) Los sistemas internos cuentan con su propia contraseña independiente de la  utilizada para iniciar sesión en la red corporativa.

12) Los usuarios y contraseñas de los equipos localizados en las salas de ventas son responsabilidad del Soporte de Informática y sólo éste tiene la autoridad para realizar cambios de configuración a dichos equipos.

13) Las cuentas de correo electrónico y las contraseñas de éstas son asignadas y  gestionadas por el Soporte de Informática.

Responsabilidades de los usuarios

  1. El usuario es el único responsable del contenido de transmisiones a través de  cualquier servicio.
  2. El usuario debe cumplir con las leyes de transmisión de datos técnicos de los países desde los cuales y hacia donde se envían los mensajes de correo electrónico.
  3. El usuario no debe usar el servicio para propósitos ilegales o de entretenimiento.
  4. El usuario debe cumplir con todas las regulaciones, políticas y procedimientos  de Internet.
  5. La comunicación de los usuarios se debe conducir con respeto y consideración,  evitando los abusos y el uso del lenguaje inapropiado.
  6. Cuando exista algún incidente (robo, extravío, daño físico, entre otros.) que afecte de manera directa a un equipo de cómputo de LA EMPRESA, el usuario deberá notificar de inmediato al Soporte de Informática.
  7. Se prohíbe el acceso a cualquier fuente de información cuyo contenido no se encuentre relacionado con las actividades de LA EMPRESA o con las actividades del empleado.

Control de acceso a las redes, Control de acceso al sistema operativo, Control de acceso a las aplicaciones y a la información, Computación móvil y trabajo remoto

1) En las oficinas administrativas de LA EMPRESA, se conectan a Internet a través de un enlace enrutado a través de un proveedor de servicio de Internet ISP. 2) En las oficinas administrativas de LA EMPRESA, se maneja un enrutador corporativo de seguridad perimetral que bloquean los protocolos no utilizados. 3) En las oficinas administrativas de LA EMPRESA, se maneja un servicio (Active Directory) de seguridad interno que segrega el tráfico entre la aplicación y los niveles de base de datos. 4) LA EMPRESA utiliza distintos métodos para evitar, detectar y erradicar el malware. 5) También se llevan a cabo periódicamente evaluaciones de seguridad  independientes por parte del Soporte de Informática. 6) Se realizan copias de seguridad en unidades de almacenamiento externo en  sitio. 7) Las copias de seguridad se clonan a través de enlaces de seguridad en la nube,  con una herramienta de Backup de Microsoft Azure, fuera del domicilio. 8) El Soporte de informática de LA EMPRESA controla las notificaciones de distintas fuentes y las alertas del sistema interno para identificar y controlar amenazas.

ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE INFORMACIÓN

Requisitos de seguridad de los sistemas de información

  1. Para el control de la navegación y tráfico en la red se implementó un router firewall corporativo balanceador de cargas con tres reglas de acceso (Internet Total, Internet sin Redes Sociales y Sin Internet). 2) En LA EMPRESA se implementó un antivirus corporativo con su consola de administración en la nube donde se crearon dos perfiles una para gerencia y el otro para los funcionarios en general, donde se administran y registran todas las incidencias de ataque que pueda tener los equipos protegidos por esta herramienta.

Procesamiento correcto en las aplicaciones, Controles criptográficos, Seguridad de los archivos del sistema, Seguridad en los procesos de desarrollo y soporte

  1. El usuario notificará inmediatamente al Soporte de Informática cualquier uso no  autorizado de su cuenta, o cualquier intrusión de seguridad conocida. 2) El usuario tiene la obligación de usar los servicios con fines corporativos. 3) Se prohíbe el acceso, descarga o transmisión de información cuyo origen no sea constatado como seguro o de aquél que se desconozca su confiabilidad. 4) Cualquier archivo o aplicación obtenida o descargada a través de internet o correo electrónico debe revisarse con software antivirus. 5) El usuario tiene la obligación de realizar las descargas habituales del correo, para evitar que los buzones se saturen, ya que el espacio en el servidor de correo es limitado. 6) No deberá utilizarse el correo electrónico en suscripciones a listas que saturen  la capacidad de almacenamiento del buzón. 7) Se implementa un sistema de gestión de llaves para apoyar el uso de las  técnicas criptográficas por parte de la organización.

Gestión de la vulnerabilidad técnica 1) El Soporte de Informática prueba la vulnerabilidad de la seguridad de todos los equipos informáticos y escanea con regularidad la red y los sistemas para detectar vulnerabilidades. 2) El Soporte de Informática realiza evaluaciones de vulnerabilidad de red. 3) El Soporte de Informática realiza una revisión y prueba de marco de control de  seguridad.

GESTIÓN DE LOS INCIDENTES DE LA SEGURIDAD DE LA INFORMACIÓN

Reporte sobre los eventos y las debilidades de la seguridad de la información – Gestión de los incidentes y las mejoras en la seguridad de la información

  1. Se maneja un proceso de administración de incidentes para eventos de seguridad que pueden afectar la confidencialidad, integridad o disponibilidad de los sistemas o datos; a través de un sistema de reportes técnicos administrado por el Soporte de informática. 2) Se deben utilizar los formatos para el reporte técnico de los eventos de seguridad de la información; para soportar la acción de reporte y ayudar a que la persona que hace el reporte recuerde todas las acciones necesarias en caso de un evento de seguridad de la información; y el Soporte de Informática tenga una trazabilidad de los eventos e incidencias reportadas. 3) Además del reporte de los eventos y las debilidades de la seguridad de la información, el monitoreo de los sistemas, las alertas y las vulnerabilidades se debería emplear para detectar los incidentes de la seguridad de la información. 4) El Soporte de Informática está capacitado para realizar pruebas y manejar evidencias en preparación para un evento, incluido el uso de herramientas de terceros y de propiedad exclusiva.

GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO

Aspectos de seguridad de la información, de la gestión de la continuidad del negocio

1) El servicio de seguridad de LA EMPRESA realiza una réplica del disco en  tiempos programados diariamente en cada centro de datos. 2) Los datos confidenciales se transmiten de manera segura, a través de herramientas propias del fabricante de la Infraestructura Informática Servidor (Windows Server 2012). 3) Las pruebas de recuperación de desastres verifican nuestros tiempos de  recuperación proyectados y la integridad de los datos del cliente.

CUMPLIMIENTO

Cumplimiento de los requisitos legales

1) Bajo ninguna circunstancia los empleados de LA EMPRESA, pueden utilizar los recursos informáticos para realizar actividades prohibidas por las normas establecidas o por normas jurídicas nacionales o internacionales. 2) Los usuarios de cualquier equipo de cómputo de LA EMPRESA deben estar conscientes que los datos que ellos crean y manipulan en los sistemas, aplicaciones y cualquier medio de procesamiento electrónico, durante el desarrollo normal de sus actividades laborales, son propiedad y responsabilidad de LA EMPRESA. 3) Los derechos patrimoniales de un programa de computación, hojas de cálculo, archivos de Word, macros, entre otros, y su documentación, creados por uno o varios empleados en el ejercicio de sus actividades laborales corresponden a LA EMPRESA. 4) La información disponible en Internet, incluyendo textos, software, música, sonido, fotografía, vídeo, gráficos u otro material contenido, está protegida por copyright, marcas registradas, patentes u otros derechos de propiedad y leyes. Sólo se permite el uso de este material bajo autorización expresa del autor. 5) El bajar, cargar, archivar, copiar, imprimir o enviar cualquier material debe ser  realizado solamente bajo la autorización del autor. 6) Los usuarios no deben descargar ni instalar ningún tipo de software comercial, shareware o freeware en las unidades de disco o en cualquier disco, sin la autorización escrita del Soporte de Informática.

Cumplimiento de las políticas y las normas de seguridad y cumplimiento técnico

  1. Los terceros pueden obtener información solamente a través de procesos legales como órdenes de allanamiento, órdenes judiciales y citaciones, y también mediante una exención jurídica o el consentimiento del usuario.
  2. LA EMPRESA mantiene una política de privacidad sólida que ayuda a proteger los datos de usuarios y clientes, de acuerdo a la normatividad legal vigente.
  3. En LA EMPRESA se comprende que la confidencialidad, integridad y disponibilidad de la información de sus activos, son vitales para sus operaciones comerciales y su propio éxito.
  4. En LA EMPRESA se utiliza un enfoque basado en múltiples estrategias y medidas de seguridad para proteger la información clave mediante el control y la mejora continua de sus aplicaciones, sistemas y procesos con el objetivo de cumplir con las crecientes demandas y desafíos de amenazas de seguridad dinámicas.

Consideraciones de la auditoría de los sistemas de información

  1. Se realizan revisiones periódicas del cumplimiento de los requisitos y las actividades de auditoría que implican verificaciones de los sistemas operativos, las cuales son planificadas y acordadas cuidadosamente para minimizar el riesgo de interrupciones de los procesos del negocio.