Políticas de Privacidad y Seguridad

1. PROPOSITO.

Establecer las medidas organizacionales, técnicas, físicas y legales, necesarias para proteger los activos de información contra acceso no autorizado, divulgación, duplicación, interrupción de sistemas, modificación, destrucción, pérdida, robo, o mal uso, que se pueda producir en forma intencional o accidental.

 

2. ALCANCE.

Esta Política es aplicable a todos los empleados, consultores, contratistas, terceras partes, que usen activos de información que sean propiedad de la organización.

 

3. DEFINICIONES

Para los propósitos de este documento, se definen los siguientes conceptos:

Activo: cualquier cosa que tenga valor para la empresa.

Amenaza: causa potencial de un incidente no deseado, que puede ocasionar daño a un sistema o a la empresa.

Confidencialidad: propiedad que determina que la información no esté disponible ni sea revelada a individuos, entidades o procesos no autorizados.

Comité de Seguridad de la Información: el Comité de Seguridad de la Información debe establecer los criterios de dirección y control, que permitan implantar los mecanismos más apropiados de protección de la información de la organización, aplicando los principios de confidencialidad, integridad y disponibilidad de la misma y de los recursos informáticos o de otra índole que la soportan, acorde con la planeación estratégica de la organización.

Desastre o contingencia: interrupción de la capacidad de acceso a información y procesamiento de la misma a través de computadoras u otros medios necesarios para la operación normal de un negocio.

Disponibilidad: propiedad de que la información sea accesible y utilizable por solicitud de una entidad autorizada. Estándar: Regla que especifica una acción o respuesta que se debe seguir a una situación dada. Los estándares son orientaciones obligatorias que buscan hacer cumplir las políticas. Los estándares son diseñados para promover la implementación de las políticas de alto nivel de la entidad antes de crear nuevas políticas.

Estándares de seguridad: son productos, procedimientos y métricas aprobadas, que definen en detalle como las políticas de seguridad serán implementadas para un ambiente en particular, teniendo en cuenta las fortalezas y debilidades de las características de seguridad disponibles. En lo posible deberían estar reflejadas en un documento que describa la implantación de una guía para un componente específico de hardware, software o infraestructura.

Evaluación del riesgo: proceso de comparar el riesgo estimado contra criterios de riesgo dados, para determinar la importancia del riesgo.

Evento de seguridad de la información: presencia identificada de una condición de un sistema, servicio o red, que indica una posible violación de la política de seguridad de la información o la falla de las salvaguardas, o una situación desconocida previamente que puede ser pertinente a la seguridad.

Integridad: propiedad de salvaguardar la exactitud y el estado completo de los activos.

Impacto: la consecuencia que al interior de la empresa se produce al materializarse una amenaza.

Mejor Práctica: Una regla de seguridad específica o una plataforma que es aceptada, a través de la industria al proporcionar el enfoque más efectivo a una implementación de seguridad concreta. Las mejores prácticas son establecidas para asegurar que las características de seguridad de los sistemas utilizados con regularidad estén configurados y administrados de manera uniforme, garantizando un nivel consistente de seguridad a través de la organización.

Organización de seguridad: es una función que busca definir y establecer un balance entre las responsabilidades y los requerimientos de los roles asociados con la administración de seguridad de la información.

Política: Declaración de alto nivel que describe la posición de la entidad sobre un tema específico.

Procesos: se define un proceso de negocio como cada conjunto de actividades que reciben una o más entradas para crear un producto de valor para el cliente o para la propia empresa (concepto de cliente interno de calidad). Típicamente una actividad empresarial cuenta con múltiples procesos de negocio que sirven para el desarrollo de la actividad en sí misma.

Procedimientos: los procedimientos son los pasos operacionales que los funcionarios deben realizar para alcanzar ciertos objetivos.

Riesgo: combinación de la probabilidad de un evento y sus consecuencias.

Seguridad de la información: preservación de la confidencialidad, integridad y disponibilidad de la información, además puede involucrar otras propiedades tales como: autenticidad, trazabilidad, no repudio y fiabilidad.

TI: se refiere a tecnologías de la información

TIC: se refiere a tecnologías de la información y comunicaciones

Vulnerabilidad: debilidad de un activo o grupo de activos, que puede ser aprovechada por una o más amenazas.

 

4. POLITICAS Y OBJETIVOS DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN

4.1. POLITICA GENERAL Y OBJETIVOS ESPECIFICOS DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN

La dirección de CONEXUSIT SAS, entendiendo la importancia de una adecuada gestión de la información, se ha comprometido con la implementación de un sistema de gestión de seguridad de la información buscando establecer un marco de confianza en el ejercicio de sus deberes con sus clientes, aliados de negocio y otras partes interesadas, todo enmarcado en el estricto cumplimiento de las legislación vigente y aplicable, en concordancia con la misión y visión de la organización.

Para CONEXUSIT SAS, la protección de la información busca la disminución del impacto generado sobre sus activos, por los riesgos identificados de manera sistemática con objeto de mantener un nivel de exposición que permita responder por la integridad, confidencialidad y la disponibilidad de la misma, acorde con las necesidades de los diferentes grupos de interés identificados.

De acuerdo con lo anterior, esta política aplica a la Organización en el alcance definido, sus funcionarios, terceros, aprendices, practicantes, proveedores, aliados y la ciudadanía en general, teniendo en cuenta siempre un marco funcional de mejora continua, el cumplimiento de los requisitos legales y el de los siguientes objetivos específicos:

      • Minimizar el riesgo en las funciones más importantes de la organización.
      • Cumplir con los principios de seguridad de la información.
      • Cumplir con el objeto misional de la organización.
      • Mantener la confianza de sus clientes, socios, aliados, empleados y otras partes interesadas pertinentes.
      • Apoyar la innovación tecnológica.
      • Proteger los activos tecnológicos.
      • Establecer las políticas y documentación necesaria en materia de seguridad de la información.
      • Fortalecer la cultura de seguridad de la información en los funcionarios, terceros, aprendices, practicantes, aliados y clientes de CONEXUSIT SAS.
      • Garantizar la continuidad del negocio frente a incidentes.
      • Definir, implementar, operar y mejorar de forma continua un Sistema de Gestión de Seguridad de la Información,
      • Estar soportados en lineamientos claros alineados a las necesidades del negocio, y a los requisitos regulatorios aplicables.

 

4.2. POLITICAS ESPECIFICAS DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN

A continuación, se establecen las políticas específicas de seguridad que soportan el SGSI de CONEXUSIT:

  1. CONEXUSIT ha decidido definir, implementar, operar y mejorar de forma continua un Sistema de Gestión de Seguridad de la Información, soportado en lineamientos claros alineados a las necesidades del negocio, y a los requisitos regulatorios que le aplican a su naturaleza.
  2. Las responsabilidades frente a la seguridad de la información serán definidas, compartidas, publicadas y aceptadas por cada uno de los empleados, contratistas o terceros.
  3. CONEXUSIT protegerá la información generada, procesada o resguardada por los procesos de negocio y activos de información que hacen parte de los mismos.
  4. CONEXUSIT protegerá la información creada, procesada, transmitida o resguardada por sus procesos de negocio, con el fin de minimizar impactos financieros, operativos o legales debido a un uso incorrecto de esta. Para ello es fundamental la aplicación de controles de acuerdo con la clasificación de la información de su propiedad o en custodia.
  5. CONEXUSIT protegerá su información de las amenazas originadas por parte del personal.
  6. CONEXUSIT protegerá las instalaciones de procesamiento y la infraestructura tecnológica que soporta sus procesos críticos.
  7. CONEXUSIT controlará la operación de sus procesos de negocio garantizando la seguridad de los recursos tecnológicos y las redes de datos.
  8. CONEXUSIT implementará control de acceso a la información, sistemas y recursos de red.
  9. CONEXUSIT garantizará que la seguridad sea parte integral del ciclo de vida de los sistemas de información.
  10. CONEXUSIT garantizará a través de una adecuada gestión de los eventos de seguridad y las debilidades asociadas con los sistemas de información una mejora efectiva de su modelo de seguridad.
  11. CONEXUSIT garantizará la disponibilidad de sus procesos de negocio y la continuidad de su operación basado en el impacto que pueden generar los eventos.
  12. CONEXUSIT garantizará el cumplimiento de las obligaciones legales, regulatorias y contractuales establecidas.

 

15. GESTIÓN DEL CUMPLIMIENTO LAS POLÍTICAS

5.1. RESPONSABILIDAD

Es responsabilidad de la Alta Dirección hacer uso de la Política de Seguridad de la Información, como parte de sus herramientas de gobierno y de gestión, de definir los estándares, procedimientos y lineamientos que garanticen su cumplimiento.

 

5.2. CUMPLIMIENTO

El cumplimiento de la Política de Seguridad de la Información es obligatorio. Si los colaboradores, consultores, contratistas, aliados y otras terceras partes violan estas políticas, la organización se reserva el derecho de tomar las medidas correspondientes.

Para asegurar la efectividad en el control y seguimiento al cumplimiento de la política general y los objetivos que se derivan de esta política, se ha definido el documento PLAN DE CONTROL CUMPLIMIENTO DE POLITICA Y OBJETIVOS”, PL-01, en el cual se establecen los indicadores que miden el grado de cumplimiento de cada objetivo del Sistema de Gestión de Seguridad de la Información y se establece también “Los Planes Operativos para el cumplimiento de los Objetivos de SI”.

 

5.3. EXCEPCIONES

Las excepciones a cualquier cumplimiento de Política de Seguridad de la Información deben ser aprobadas por la Alta Dirección de la organización, para lo cual podría requerir autorización de la Gerencia o Subgerencia de la organización. Todas las excepciones a la Política deben ser formalmente documentadas, registradas y revisadas.

 

5.4. ADMINISTRACIÓN DE LAS POLÍTICAS

Las modificaciones o adiciones de la Política de Seguridad de la Información serán propuestas por funcionarios del nivel de Dirección y serán aprobadas por el Comité de Gerencia. Estas políticas deben ser revisadas como mínimo una vez al año o cuando sea necesario.

 

6. POLÍTICAS COMPLEMENTARIAS DEL SGSI:

6.1. Política de uso de correo electrónico.

Objetivo: Definir las pautas generales para asegurar una adecuada protección de la información de CONEXUSIT cuando se usa el servicio de correo electrónico por parte de los usuarios autorizados.

Principios y Aplicabilidad: Esta es una política del CONEXUSIT que aplica a toda la entidad y a todos los usuarios autorizados para acceder al servicio.

Los usuarios autorizados para usar el servicio de correo electrónico son responsables de mantener un comportamiento ético y acorde a la ley y de evitar prácticas o usos que puedan comprometer la seguridad de la información de CONEXUSIT

El servicio debe ser empleado para servir a una finalidad operativa y administrativa en relación con CONEXUSIT. Todas las comunicaciones establecidas mediante este servicio, sus buzones y copias de seguridad se consideran de propiedad de CONEXUSIT y pueden ser escaneadas por el administrador del servicio y revisadas por las instancias de vigilancia y control.

Detalle de la Política.

Este servicio debe utilizarse exclusivamente para las tareas propias de la función desarrollada en CONEXUSIT y no debe utilizarse para ningún otro fin.

El acceso al servicio podrá ser asignado a las personas que tengan algún tipo de vinculación con CONEXUSIT, ya sea como funcionario, contratista o colaborador y para las cuales un funcionario de nivel directivo lo solicite formal y expresamente.

El servicio debe utilizarse única y exclusivamente para las tareas propias de la función desarrollada en CONEXUSIT y no debe utilizarse para ningún otro fin.

La clave de acceso al servicio es la mejor defensa contra el uso no autorizado al servicio de correo de CONEXUSIT, por lo tanto, se requiere que se mantenga con la mayor reserva posible, no debe suministrarse a otras personas o exhibirse en público.

El único servicio de correo electrónico autorizado en la entidad es el asignado directamente por el Área de Sistemas, el cual cumple con todos los requerimientos técnicos y de seguridad, evitando ataques de virus, spyware y otro tipo de malware. Además, este servicio tiene respaldo de diferentes procesos de copia de respaldo aplicados de manera periódica y segura.

En CONEXUSIT puede supervisar cualquier cuenta de correo para certificar que se está usando para los propósitos legítimos. El incumplimiento de la presente política puede conducir a acciones disciplinarias tales como terminación de la relación laboral o acciones de índole legal.

Los funcionarios, contratistas y demás colaboradores que sean autorizados para usar este servicio no deben considerar que los mensajes que envían o reciben en su cuenta de correo electrónico sean confidenciales a no ser que sea establecido expresamente por CONEXUSIT.

Todo usuario es responsable por la destrucción de todo mensaje cuyo origen es desconocido, y asume la responsabilidad de las consecuencias que puede ocasionar la ejecución de cualquier archivo adjunto. En estos casos no se deben contestar dichos mensajes, ni abrir los archivos adjuntos.

La encriptación del correo electrónico no es necesaria en la mayoría de situaciones, pero los mensajes confidenciales deben tener alguna forma de codificación. En caso de dudas contacte al Área de Sistemas.

Los usuarios deben seleccionar correctamente los destinatarios. En la mayoría de situaciones se deben enviar correos electrónicos a correos corporativos de otras entidades.

Los correos electrónicos deben contener una sentencia de confidencialidad ubicada al final del texto, después de la firma del mismo.

El tamaño del buzón de correo electrónico se asignará de acuerdo con el rol que desempeña el usuario en CONEXUSIT, la capacidad específica será definida y administrada por el Área de Sistemas.

Si una cuenta de correo es capturada por hackers o se reciben excesiva cantidad de correo no deseado (SPAM), una nueva cuenta será generada y la anterior será borrada.

Todo usuario es responsable de informar de contenidos o acceso a servicios que no le estén autorizados o no correspondan a sus funciones dentro de CONEXUSIT.

Cuando un funcionario, contratista o colaborador al que le haya sido autorizado el uso de una cuenta de acceso a la red y al servicio de correo corporativo se retire de CONEXUSIT, deberá abstenerse de continuar empleándolas y deberá verificar que su cuenta y acceso a los servicios sean cancelados.

El servicio de correo electrónico no debe ser usado para:

  • Envío de correos masivos.
  • Envío, reenvío o intercambio de mensajes no deseados o considerados SPAM, cartas en cadena o publicidad.
  • Envío de correos con archivos adjuntos de gran tamaño que puedan causar congestión en la red o que no puedan ser recibidos por la cuenta destinataria.
  • Envío o intercambio de mensajes con contenido que atente contra la integridad de las personas o instituciones, tales como contenidos ofensivos, obscenos, pornográficos, chistes, terroristas, o cualquier contenido que represente riesgo de malware.
  • Envío o intercambio de mensajes que promuevan la discriminación sobre la base de raza, género, nacionalidad de origen, edad, estado marital, orientación sexual, religión o discapacidad.
  • Envío de mensajes que contengan amenazas o mensajes violentos.
  • Creación, almacenamiento o intercambio de mensajes que violen las leyes de material protegido por la ley de derechos de autor.
  • Distribuir información de CONEXUSIT clasificada como no pública, a otras entidades o ciudadanos sin la debida autorización.
  • Crear, enviar, alterar, borrar mensajes de un usuario sin su autorización.
  • Abrir, usar o revisar indebidamente la cuenta de correo electrónico de otro usuario como si fuera propia sin la debida autorización.
  • Cualquier otro propósito inmoral o ilegal.

Responsabilidades: El área de Talento Humano es la responsable de solicitar la creación, modificación o cancelación de las cuentas de acceso a la red y al servicio de correo electrónico corporativo al Área de Sistemas.

Todos los funcionarios, contratistas y demás colaboradores, en el desarrollo de sus tareas habituales u ocasionales, que utilicen cualquier servicio de tecnología de información (TI) que provea CONEXUSIT son responsables del cumplimiento y seguimiento de esta política.

El Área de Sistemas es la responsable de administrar la plataforma tecnológica que soporta el acceso al servicio de correo electrónico corporativo para los funcionarios, contratistas y demás colaboradores que desempeñen labores en CONEXUSIT.

El Área de Sistemas se reserva el derecho de escanear el servicio de correo electrónico corporativo.

El Área de Sistemas se reserva el derecho de filtrar los contenidos que se trasmitan en la red del CONEXUSIT y en uso del servicio del correo electrónico corporativo.

 

6.2. Política de Uso de Internet.

Objetivo: Definir las pautas generales para asegurar una adecuada protección de la información de CONEXUSIT en el uso del servicio de Internet por parte de los usuarios autorizados.

Principios y Aplicabilidad: Esta es una política de CONEXUSIT que aplica a toda la entidad y a todos los usuarios autorizados para acceder al servicio.

Los usuarios autorizados para usar el servicio de Internet son responsables de evitar prácticas o usos que puedan comprometer la seguridad de la información de CONEXUSIT.

El servicio debe ser empleado para servir a una finalidad operativa y administrativa en relación con CONEXUSIT. Todas las comunicaciones establecidas mediante este servicio pueden ser escaneadas por el administrador del servicio o revisadas por cualquier instancia de vigilancia y control distrital o nacional.

Detalle de la Política.

Este servicio debe utilizarse exclusivamente para las tareas propias de la función desarrollada en CONEXUSIT y no debe utilizarse para ningún otro fin.

El acceso al servicio podrá ser asignado a las personas que tengan algún tipo de vinculación con CONEXUSIT, ya sea como funcionario, contratista o colaborador y para las cuales un funcionario de nivel directivo lo solicite formal y expresamente.

El navegador autorizado para el uso del servicio de Internet en CONEXUSIT es el designado por el Área de Sistemas, el cual cumple con todos los requerimientos técnicos y de seguridad, evitando ataques de virus, spyware y otro tipo de software malicioso.

Los servicios a los que un determinado usuario pueda acceder desde Internet dependerán del rol que desempeña el usuario en CONEXUSIT y para los cuales este formal y expresamente autorizado.

Todo usuario es responsable de informar de contenidos o acceso a servicios que no le estén autorizados o no correspondan a sus funciones dentro de CONEXUSIT.

Cuando un funcionario, contratista o colaborador al que le haya sido autorizado el uso de una cuenta de acceso a la red y al servicio de Internet, se retire de CONEXUSIT, deberá abstenerse de continuar empleándolas y deberá verificar que su cuenta y acceso a los servicios sean cancelados.

Todo usuario es responsable tanto del contenido de las comunicaciones como de cualquier otra información que se envíe desde la red del CONEXUSIT o descargue desde Internet.

Este servicio no debe ser usado para:

  • Envío o descarga de información de gran tamaño que pueda congestionar la red.
  • Envío, descarga o visualización de información con contenidos que atenten contra la integridad moral de las personas o instituciones.
  • Acceso a páginas web, portales, sitios web o aplicaciones web que no hayan sido autorizadas por CONEXUSIT.
  • Cualquier otro propósito considerado inmoral o ilegal.

Responsabilidades: El área de Talento Humano es la responsable de solicitar la creación, modificación o cancelación de las cuentas de acceso a la red y al servicio de Internet al Área de Sistemas.

Todos los funcionarios, contratistas y demás colaboradores que interactúan en el desarrollo de sus tareas habituales u ocasionales, que utilicen cualquier servicio de tecnología de la información (TI) que provea CONEXUSIT son responsables del cumplimiento y seguimiento de esta política.

El Área de Sistemas es la responsable de administrar la plataforma tecnológica que soporta el acceso a la red/cuentas de usuario o al servicio de Internet para los funcionarios, contratistas y demás colaboradores que desempeñen labores en CONEXUSIT.

El Área de Sistemas se reserva el derecho de escanear las comunicaciones o información que presenten un comportamiento inusual o sospechoso.

El Área de Sistemas se reserva el derecho de filtrar los contenidos que se reciban desde Internet o se envíen desde la red de CONEXUSIT.

 

6.3. Política de Uso de Antivirus.

Objetivo: Definir las pautas generales para asegurar una adecuada protección de la información del CONEXUSIT contra malware.

Principios y Aplicabilidad: Esta es una política de CONEXUSIT que aplica a toda la organización y a todos los usuarios autorizados para utilizar este servicio.

Los usuarios de los servicios TI de CONEXUSIT son responsables de la utilización de programas antivirus para analizar, verificar y si es posible eliminar virus o código malicioso de la red, el computador, los dispositivos de almacenamiento fijos o removibles o los archivos o el correo electrónico que esté autorizado a emplear.

CONEXUSIT contará permanentemente con los programas antivirus de protección a nivel de red y de estaciones de trabajo, contra virus o código malicioso, el servicio será administrado por el Área de Sistemas.

Los programas antivirus deben ser instalados por el Área de Sistemas en los equipos centralizados de procesamiento y en las estaciones de trabajo de modo residente para que estén activos durante su uso.

Se deben actualizar periódicamente las versiones de los programas antivirus y dicha situación debe estar reflejada en los contratos con los proveedores.

Detalle de la Política.

Este servicio debe utilizarse exclusivamente para las tareas propias de la función desarrollada en CONEXUSIT y no debe utilizarse para ningún otro fin.

Verificar frecuentemente con las herramientas (software) antivirus instaladas en el computador o dispositivos la no presencia de virus o código malicioso en los dispositivos de almacenamiento fijos o removibles o archivos en los computadores o dispositivos informáticos que esté autorizado a emplear.

Ejecutar el escaneo de virus con las herramientas antivirus provistos cada vez que detecte que algún equipo o dispositivo informático funcionando de manera irregular o se sospeche de la presencia de virus en equipos, dispositivos, archivos o correos electrónicos.

El servicio de antivirus corporativo no requiere de solicitud o autorización para su uso. Todo usuario es responsable por la destrucción de archivos o mensajes que les hayan sido enviados por cualquier medio, cuyo origen le sea desconocido o sospechoso y asume la responsabilidad de las consecuencias que puede ocasionar su apertura o ejecución. En estos casos no se deben contestar dichos mensajes, ni abrir los archivos adjuntos, el usuario debe reenviar el correo a la cuenta adelgado@conexusit.com con la frase “correo sospechoso” en el asunto.

El único servicio de antivirus autorizado en la entidad es el asignado directamente por el Área de Sistemas, el cual cumple con todos los requerimientos técnicos de seguridad, evitando ataques de virus, spyware y otro tipo de software malicioso. Además, este servicio tiene diferentes procesos de actualización que se aplican de manera periódica y segura. Excepcionalmente se podrá realizar la ejecución de otro programa antivirus, únicamente por personal autorizado por el Área de Sistemas, a efectos de reforzar el control de presencia y/o programación de virus y/o código malicioso.

Este servicio no debe ser usado para:

  • Abrir o descargar archivos o documentos de remitente desconocido, no confiable o sospechoso. En lo posible deberán ser borrados de las carpetas donde se encuentren y eliminarlos de la papelera del computador.
  • Intercambio de archivos que hayan sido identificados como infectados por virus o código malicioso o sean sospechosos de estar infectados.
  • Desactivar o eliminar los programas antivirus o de detección de código malicioso en los equipos o sistemas en que estén instalados.
  • Instalar o emplear programas no autorizados.
  • Instalar, conectar o emplear dispositivos de almacenamiento fijos o removibles o archivos en los computadores o dispositivos informáticos no autorizados.

Responsabilidades: Todos los funcionarios, contratistas y demás colaboradores que, en el desarrollo de sus tareas habituales u ocasionales, utilicen cualquier servicio de tecnología de la información (TI) o manipulen equipos pertenecientes a la red que provea CONEXUSIT son responsables del cumplimiento y seguimiento de esta política.

El Área de Sistemas es la responsable de administrar la plataforma tecnológica que soporta el servicio de Antivirus para los computadores o equipos informáticos de la red de CONEXUSIT que son empleados por funcionarios, contratistas y demás colaboradores que desempeñen labores en la entidad.

El Área de Sistemas se reserva el derecho de escanear las comunicaciones o la información que se generen, comuniquen, tramitan o trasporten y almacenen en cualquier medio, en busca de virus o código malicioso.

El Área de Sistemas se reserva el derecho de filtrar los contenidos que se trasmitan en la red de CONEXUSIT para evitar amenazas de virus. Todos los correos electrónicos serán escaneados para verificar que tengan virus. Si el virus no puede ser eliminado, la información será borrada.

 

6.4. Política de Control de Acceso.

Objetivo: Garantizar que la información, las áreas de procesamiento de información, las redes de datos, los recursos de la plataforma tecnológica y los sistemas de información de la empresa CONEXU IT estén debidamente protegidos contra accesos no autorizados a través de mecanismos de control de acceso lógico y físico.

Aplicabilidad: Esta política aplica a toda la información contenida en cualquier medio (digital o físico), áreas de procesamiento de información, redes de datos, recursos de la plataforma tecnológica y sistemas de información de la empresa CONEXUS IT, además para todo el personal y personas que tengan acceso a las instalaciones de la compañía y sistemas de información.

Detalle de la política.

Remítase al documento PT-02-01 política de control de acceso

 

6.5. Política de Escritorio y Pantalla Limpia.

Objetivo: Definir las pautas generales para reducir el riesgo de acceso no autorizado, pérdida y daño de la información durante y fuera del horario y trabajo normal de los usuarios.

Aplicabilidad: Esta política aplica a todos los funcionarios y contratistas de CONEXUSIT actuales o por ingresar, que usen su infraestructura.

Detalle de la política.

El personal de CONEXUSIT debe conservar su escritorio libre de información propia de la entidad, que pueda ser alcanzada, copiada o utilizada por terceros o por personal que no tenga autorización para su uso o conocimiento.

El personal del CONEXUSIT debe bloquear la pantalla de su computador con el protector de pantalla designado por la entidad, en los momentos que no esté utilizando el equipo o cuando por cualquier motivo deba dejar su puesto de trabajo.

Al imprimir documentos de carácter público o reservado, estos deben ser retirados de la impresora inmediatamente.

Los equipos tecnológicos que generalmente pueden estar desatendidos como escáneres, fax o fotocopiadoras, deben ser autorizados para su uso.

 

6.6. Política de Respaldo y Restauración.

Objetivo: Proporcionar medios de respaldo adecuados para asegurar que todo software e información esencial se pueda recuperar después de una falla.

Aplicabilidad: Esta política será aplicada por los administradores de tecnología, encargados de sistemas de información y cargos de liderazgo de áreas que decidan sobre la disponibilidad e integridad de los datos.

Detalle de la política.

La información de cada sistema debe ser respaldada regularmente sobre un medio de almacenamiento como: respaldo en la nube, respaldo en servidores externos, respaldo en servidores internos, DVD, discos magnéticos o discos flash entre otros.

El área de sistemas es la responsable de definir la frecuencia de respaldo y requerimientos de seguridad de la información en compañía del dueño de la información, y de realizar las pruebas de respaldos periódicas.

Las copias de respaldo se guardarán únicamente con el objetivo de restaurar el sistema luego de una infección de virus informático, defectos en los discos de almacenamiento, problemas de los servidores o computadores y por requerimientos legales.

Un ítem de este tema se incluye en “El Plan de Continuidad del Negocio” y debe ser desarrollado para todas las aplicaciones que manejen información crítica, el dueño de la información debe asegurar que las acciones planteadas son adecuadas, y debe ser periódicamente actualizado, probado y revisado.

 

6.7. Políticas Específicas de Usuario.

Objetivo: Definir las pautas generales para asegurar una adecuada protección de la información del CONEXUSIT por parte de los usuarios de la organización.

Aplicabilidad: Estas políticas aplican a todos los funcionarios de CONEXUSIT actuales o por ingresar.

Detalle de la Política.

CONEXUSIT suministra una cuota de almacenamiento de la información en un servidor de archivos con los permisos necesarios para que cada usuario guarde la información importante y sobre ella se garantizará la disponibilidad en caso de un daño en el equipo asignado al usuario, esta información será guardada de acuerdo a lo definido en la retención documental.

El CONEXUSIT únicamente a través del personal del Área de Sistemas, instalara copias de los programas que han sido adquiridos legalmente en los equipos asignados en las cantidades necesarias para suplir sus necesidades. El uso de programas obtenidos a partir de otras fuentes (software o música), puede implicar amenazas legales y de seguridad a la entidad, por lo que dicho uso está estrictamente prohibido. El CONEXUSIT no se hace responsable por las copias no autorizadas.

El uso de dispositivos de almacenamiento como DVD, CD, memorias USB, Agendas Electrónicas, celulares, tabletas y teléfonos inteligentes entre otros, pueden ocasionalmente generar riesgos para la entidad al ser conectados a los computadores, ya que son susceptibles de transmisión de virus informáticos o pueden ser utilizados para fuga de información, por lo tanto, está prohibido su uso si este no ha sido autorizado individualmente.

Los programas instalados en los equipos son de propiedad de CONEXUSIT, la copia no autorizada de programas legales o de su documentación, implica una violación a la política general del CONEXUSIT. Aquellos empleados que utilicen copias no autorizadas de programas y su respectiva documentación, quedarán sujetos a las acciones disciplinarias o legales establecidas por CONEXUSIT.

CONEXUSIT se reserva el derecho de proteger su reputación y sus inversiones en hardware y software, fomentando controles internos para prevenir el uso y las copias no autorizadas de los programas. Estos controles pueden incluir valoraciones periódicas del uso de los programas, auditorías anunciadas y no anunciadas.

Los recursos tecnológicos y de software asignados a los funcionarios del CONEXUSIT son responsabilidad de los funcionarios.

Ninguna clase de información de tipo electrónico de la entidad debe almacenarse en los discos duros de los computadores personales de los empleados. Se deben utilizar las unidades creadas por CONEXUSIT para estos propósitos.

Los usuarios solo tendrán acceso a los datos y recurso autorizados por CONEXUSIT, y serán responsables por la divulgación no autorizada de esta información.

Es responsabilidad de cada usuario proteger la información que está contenida en documentos, formatos, listados, etc., que son el resultado de los procesos informáticos, así como los datos de entrada a los mismos.

Los recursos (computadores, impresoras, fotocopiadores, escáner, etc.) solo deben utilizarse para los fines autorizados por la organización.

Los equipos que se encuentren fuera de las instalaciones del CONEXUSIT no deben dejarse en sitios públicos sin una adecuada vigilancia.

Los equipos como portátiles de CONEXUSIT deben ser tratados y llevados como equipaje de mano. En caso de llevar varios equipos, debe contratarse un servicio de transporte adecuado.

Cualquier incidente o posible evento que afecte la seguridad de la información debe ser reportado inmediatamente al “Comité de Gestión de Seguridad de la Información”.

El personal de la organización debe ser consciente que debe tomar las precauciones necesarias para no revelar información no pública cuando se hace una llamada telefónica que puede ser interceptada mediante acceso físico a la línea o al auricular o escuchada por personas que se encuentren cerca. Lo anterior debe aplicar también cuando el empleado se encuentre en sitios públicos como restaurantes, transporte público o ascensores.

 

6.8. Políticas Específicas de Personal de Tecnología.

Objetivo: Definir las pautas generales para asegurar una adecuada protección de la información de CONEXUSIT por parte del personal de liderazgo en los temas de TI de la organización.

Aplicabilidad: Estas políticas aplican al personal del Área de Sistemas de CONEXUSIT, y al personal que este encargado del Sistema de Gestión de Seguridad de la Información de la organización.

Detalle de la Política.

Toda licencia y sus medios se deben guardar y relacionar de tal forma que asegure su protección y disposición en un futuro.

Las copias licenciadas y registradas del software adquirido deben ser únicamente instaladas en los equipos de cómputo y servidores de la entidad. Se deben hacer copias de seguridad en concordancia con las políticas del proveedor.

No se pueden hacer copias de programas o su documentación sin el consentimiento de CONEXUSIT y del proveedor.

Por defecto, en los servidores virtuales, todos los protocolos y servicios deben ser bloqueados, no se debe permitir ninguno a menos que sea solicitado y aprobado por el Área de Sistemas.

Servicios y procedimientos informáticos no esenciales y que no se puedan asegurar no serán permitidos.

El acceso a cualquier servicio o a algún servidor o sistema de información debe ser autenticado, autorizado y auditado.

Todos los servidores deben ser configurados con el mínimo de servicios asegurados para desarrollar las funciones designadas.

Pruebas de laboratorio, pruebas de sistemas de información, pruebas de software tipo freeware o shareware o pruebas de sistemas que necesiten conexión a internet, deben ser realizadas sin conexión a la red LAN de la entidad y con una conexión separada de internet o en su defecto con una dirección IP diferente a las direcciones públicas de producción.

Dentro del sistema autónomo de interconexión de redes de la entidad, deben establecerse los controles necesarios de enrutamiento, así como la autenticación del protocolo de enrutamiento cuando el dispositivo lo permita.

 

6.9. Política de Gestión de Incidentes de Seguridad de la Información.

Objetivo: Proteger la integridad, disponibilidad y confidencialidad de la información de la entidad, prevenir la perdida de servicios y cumplir con requerimientos legales. Esta política establece los mecanismos de coordinación para dar respuesta a

los incidentes de seguridad y habilita a la entidad para una remediación rápida, recopilación de datos y reporte de los eventos que afectan la infraestructura de información y tecnología.

Principios y Aplicabilidad: Un incidente de seguridad de la información (“incidente”) es cualquier evento que daña o representa una amenaza seria para toda o una parte de la infraestructura de información y tecnología de CONEXUSIT (sistemas de cómputo, sistemas de información, sistemas de telefonía), como pueden ser: ausencia de servicios, inhibición para el uso de sistemas de información, incluyendo cambios no autorizados al hardware, firmware, software o datos, crímenes definidos en la ley 1273 de 2009 u otras normas que cobijen a la organización.

Un sistema de información es cualquier equipo de cómputo o telecomunicaciones, sistema o sub sistema interconectado o no conectado usado para la adquisición, almacenamiento, manipulación, gestión, movimiento, control, despliegue, conmutación, intercambio, transmisión o recepción de voz, datos, vídeo en formas análogas o digitales, así como el software, firmware o hardware que forme parte del sistema.

La política permite establecer las directrices para gestionar, dar respuesta, documentar y reportar los incidentes de seguridad de la información que afectan a la infraestructura de información y comunicaciones de CONEXUSIT. Los incidentes  incluyen eventos como: sustracción de información, intrusión a sistemas de información, uso no autorizado de datos, denegación de servicios, violación a las políticas de uso de servicios como correo, y otras actividades contrarias a las políticas de uso adecuado de recursos de información y tecnología de la organización.

La política se aplica a funcionarios, contratistas, proveedores y todo personal que tenga acceso a recursos de información y tecnología de CONEXUSIT, así como a todos los recursos de información y tecnología empleados para la prestación de servicios de la entidad.

La política de gestión de incidentes de seguridad de la información de CONEXUSIT y sus procedimientos de apoyo (Procedimiento Gestión Incidentes de Seguridad de la Información, PR-03), definen los métodos estándar para identificar, realizar seguimiento y responder a los incidentes de seguridad de la información de la organización.

Detalle de la Política.

Cualquier funcionario del CONEXUSIT, contratista o entidades externas pueden reportar eventos relacionados con la seguridad de la información (Reportes de Incidentes de Seguridad de la Información, FO-006) al “Oficial de Seguridad de la Información” o al responsable de la Seguridad Informática”, o al Coordinador SIGde CONEXUSIT.

El “Oficial de Seguridad de la Información” y/o el responsable de la Seguridad Informática”, y/o el Coordinador SIG por sí mismos también pueden identificar incidentes a través de supervisión proactiva de los sistemas de información y tecnología de la organización. Una vez identificado el incidente el Oficial de Seguridad de la Información” y/o “el Responsable de la Seguridad Informática” y/o el Coordinador SIG utilizarán los procedimientos internos aprobados para registrar y realizar seguimiento a los incidentes y trabajar con otros funcionarios u organizaciones para tomar las acciones apropiadas como investigar, escalar, remediar, referenciar el incidente a otras organizaciones como lo establecen los procedimientos de respuesta a incidentes de seguridad de la información.

Cualquier dispositivo de uso personal como teléfonos inteligentes, computadores portátiles, handhelds, u otros dispositivos de cómputo que estén implicados en incidentes de seguridad pueden ser sometidos a cadena de custodia o retención para fines de investigación o evidencia ante procesos legales. En caso de usar ese tipo de dispositivos, sus propietarios aceptan formalmente las políticas de seguridad de CONEXUSIT.

Responsabilidades: “el Oficial de Seguridad de la Información” y/o “el responsable de la Seguridad Informática” son los responsables por el aislamiento y recuperación de los accesos a sistemas de comunicaciones y cómputo afectados por el incidente. Deben conformar un equipo para la atención y respuesta a incidentes; de acuerdo con la naturaleza del incidente pueden ser convocados: Niveles directivos de la entidad, áreas de control interno de la entidad, equipos jurídicos o técnicos especializados.

“El Oficial de Seguridad de la Información” y/o “el Responsable de la Seguridad Informática” y/o el “Coordinador SIG” deben garantizar que los incidentes sean apropiadamente registrados y almacenados de acuerdo con los procedimientos de control de registros del sistema integrado de gestión y deben remitir los reportes de incidentes al “Comité de Gestión de Seguridad de la Información” y son responsables de comunicar al personal pertinente las etapas y acciones que se siguen para dar respuesta al incidente.

El plan de respuesta o remediación específico para un incidente pueden ser suministrado por requerimiento especifico o por iniciativa de CONEXUSIT a organismos de seguridad, control o respuesta a incidentes de seguridad del estado u otros, con el fin de evaluar su efectividad, solicitar apoyo, demostrar debida diligencia u otros propósitos definidos por CONEXUSIT.

Cuando sea factible, CONEXUSIT adoptará procedimientos para llevar a cabo actividades de prevención de incidentes, supervisión y filtrado de anomalías que puedan afectar a la seguridad de la información o los recursos de información y tecnología de la organización.

El “Oficial de Seguridad de la Información” y el “Responsable de la Seguridad Informática”, y el “Coordinador SIG” de CONEXUSIT deben mantener procedimientos para registro, seguimiento y reporte de incidentes. Mantendrán los procedimientos para la respuesta e investigación de los diferentes tipos de incidentes de seguridad de la información, así como asegurar la custodia de las evidencias obtenidas durante la investigación.

 

6.10. Políticas Generales del Negocio.

Objetivo: Definir las pautas de propósito general del negocio para asegurar una adecuada protección de la información de CONEXUSIT.

Aplicabilidad: Estas son políticas que aplican a la gerencia, directores, coordinadores, personal de liderazgo, responsables del Sistema Integrado de Gestión y Área de Sistemas para cumplir con los propósitos generales del negocio de CONEXUSIT.

Detalle de la política.

Diseñar, programar y realizar por parte del proceso “Sistemas Integrados de Gestión” los programas de auditoría del Sistema de Gestión de Seguridad de la Información.

La Dirección de CONEXUSIT, a través del Comité de Gestión de Seguridad de la Informacióndebe desarrollar, construir, implementar, revisar y actualizar la política de seguridad.

EL COMITÉ DE SEGURIDAD DE LA INFORMACIÓN, realizara una revisión anual para identificar y ejecutar actualizaciones, modificaciones o ajustes basados en las recomendaciones y sugerencias. Para CONEXUSIT la información es un activo fundamental para la prestación de sus servicios y la toma de decisiones eficientes, razón por la cual existe un compromiso de protección de sus activos de información como parte de una estrategia orientada a:

  • La continuidad del negocio
  • La administración de riesgos
  • La implementación de una cultura de seguridad en el manejo de la información.

Además del cumplimiento de los requerimientos de los clientes, buscamos dar cumplimiento al ámbito legal y regulatorio. El proceso de análisis y desarrollo de las Políticas de Seguridad de la Información y la formulación de los controles, está liderado de manera permanente por el COMITÉ DE SEGURIDAD DE LA INFORMACIÓN.

Todo software de cómputo debe ser comprado o aprobado por el Área de Sistemas en concordancia con la política de adquisición y compras de la entidad.

Los jefes de área deben asegurarse que todos los procedimientos de seguridad de la información dentro de su área de responsabilidad, se realizan correctamente para alcanzar conformidad con las políticas de seguridad de la información.

 

6.11. Política de Tercerización.

Objetivo: Mantener la seguridad de la información y los servicios de procesamiento de información a los cuales tienen acceso las partes externas o que son procesados, comunicados o dirigidos por estas.

La política aplica a toda la organización. La tercerización generalmente incluye el mantenimiento de hardware y software, el contrato de consultores, contratistas externos y personal temporal.

Detalle de la política.

Los riesgos asociados con la tercerización deben ser gestionados por medio de controles físicos o lógicos y la implementación de procedimientos legales y administrativos.

  • Selección de terceros.

Se deben exigir criterios de selección que contemplen la historia y reputación de la empresa, certificaciones y recomendaciones de otros clientes, estabilidad financiera de la compañía, procesos de selección de personal, seguimiento de estándares de gestión de calidad y seguridad, otros criterios que resulten de un análisis de riesgos de la selección y los criterios que tenga establecidos la entidad.

  • Análisis de riesgos.

Se deben identificar los riesgos de seguridad y los servicios de procesamiento de la información de la organización, los procesos de negocio que involucren partes externas. El resultado del análisis de riesgos será la base para el establecimiento de los controles y debe ser presentado a la Dirección antes de firmar un contrato de tercerización.

  • Consideraciones de seguridad con los clientes.

Para los clientes que tienen acceso a los activos de información de la entidad se deben considerar todos los requisitos de seguridad de información internos para que sean aplicados a los clientes, dentro de estos se encuentran las políticas, convenios, acuerdos de niveles de servicio, responsabilidades legales y derechos de propiedad intelectual entre otros.

  • Acuerdos con terceras partes.

Un contrato formal entre la entidad y el tercero debe existir para proteger ambas partes. El contrato definirá claramente el tipo de información que intercambiaran las partes. Si la información intercambiada no es pública, un acuerdo de confidencialidad entre la entidad y el tercero debe ser preparado de acuerdo al objetivo y alcance del contrato y firmado por ambas partes. En todos los casos deben firmarse acuerdos de niveles de servicio que permitan cumplir con las políticas de seguridad de la información y con los objetivos de negocio de la entidad.

 

6.12. Política de Controles Criptográficos.

Objetivo: Proporcionar medios criptográficos adecuados para proteger la confidencialidad, autenticidad o integridad de la información cuando sea necesario.

Aplicabilidad: Esta política aplica para cualquier información que se maneje, la almacenada en los sistemas de información, la información transportada por los medios y dispositivos móviles o removibles o a través de las redes informáticas, y que por su clasificación necesita asegurarse por sistemas criptográficos.

Detalle de la política.

El Comité de Seguridad de la Información de CONEXUSIT definirá de acuerdo a la clasificación y análisis de riesgos de la información, que datos deben ser cifrados y su nivel de protección para escoger el tipo de algoritmo criptográfico utilizado.

La Dirección y El Comité de Seguridad de la Información del CONEXUSIT dará las directrices necesarias para asignar el responsable o responsables de la implementación del sistema criptográfico y el cómo se gestionarán las claves que usa el sistema.

En el documento principios de ingeniería seguros se detalla las características de los controles criptográficos

El Comité de Seguridad de la Información de CONEXUSIT tendrá en cuenta la legislación y marcos normativos vigentes cuando se utilizan sistemas criptográficos sobre la información, en especial la ley 594 de 2000, la ley 527 de 1999 y el decreto 1747 de 2000.

 

6.13. Política de Comunicaciones Móviles y teletrabajo

Objetivo: Garantizar la seguridad de la información cuando se utilizan dispositivos de comunicación móvil dentro de la entidad o cuando se usan estos u otros dispositivos para realizar funciones o actividades de teletrabajo o trabajo remoto.

Aplicabilidad: Esta política aplica para cualquier equipo o conexión de trabajo remoto autorizada, que tenga acceso a la información ya sea almacenada o no en los sistemas de información y que por su clasificación necesita protegerse de riesgos de confidencialidad e integridad.

Detalle de la política.

El Comité de Seguridad de la Información de CONEXUSIT de acuerdo a la tecnología existente definirá las directrices necesarias para la aprobación de conexión de equipos de tecnología móviles tales como celulares, portátiles, tabletas y teléfonos inteligentes entre otros, a las redes de CONEXUSIT.

La Dirección y El Comité de Seguridad de la Información del CONEXUSIT de acuerdo a las necesidades del negocio definirá las directrices necesarias para la aprobación de actividades de teletrabajo dependiendo de las necesidades de la organización, características de trabajo dentro o fuera de la organización, modalidades (trabajadores con contrato laboral, trabajadores independientes, trabajadores que utilizan dispositivos móviles), beneficios y obstáculos de acuerdo a la ley 1221 de 2008 y al decreto 0884 de 2012 que reglamentan el teletrabajo en Colombia.

Cada persona que sea autorizada a realizar teletrabajo o trabajo remoto deberá ajustarse a los mismos lineamientos establecidos dentro de las instalaciones de CONEXUSIT y deberá registrar la salida de los activos en el FO-064-01 Registro de Entrega y Devolución de Activos.

 

6.14. Políticas de uso de Sistemas de Información

Objetivo: Delimitar el uso de los Sistemas de Información provistos por CONEXUSIT para garantizar adecuadas fuentes de información, trazabilidad al que hacer misional y la adecuada protección de la información de CONEXUSIT y partes interesadas.

Aplicabilidad: Estas políticas aplican a todos los funcionarios de CONEXUSIT actuales o por ingresar.

Detalle de la Política.

CONEXUSIT suministra los sistemas de información tanto en la parte administrativa, como misional, como exclusiva herramienta de apoyo al cumplimiento misional.

La Dirección en cabeza de la Gerencia tendrán en cuenta que las dos partes constituyen un solo sistema de información como única herramienta de apoyo en la toma de decisiones de la alta dirección y el seguimiento de los P&S.

Los funcionarios y colaboradores de la organización no podrán desarrollar ninguna herramienta paralela para el tratamiento de actividades administrativas y misionales diferentes a las que le provee la organización.

La información consignada en los sistemas de información de CONEXUSIT es legalmente de CONEXUSIT, no del personal a cargo del registro de información y solo se puede emplearse con la finalidad del cumplimiento misional, control administrativo y/o político.

El uso indebido de la información de CONEXUSIT o la negativa a emplear los sistemas de Información serán sujeto de las acciones disciplinarias o legales dispuestas por CONEXUSIT.

CONEXUSIT se reserva el derecho de proteger su información promoviendo controles internos para prevenir el uso indebido, las copias no autorizadas y la distribución de la información. Estos controles pueden incluir, auditorías anunciadas y no anunciadas, registro de actividades de los usuarios de los sistemas de información.

El personal del Instituto, independiente de la modalidad de contratación, debe hacer uso de los sistemas de información que le ofrece la organización con el fin de registrar, consolidar, identificar, caracterizar, focalizar, las actuaciones administrativas y los beneficiarios misionales de CONEXUSIT.

Los usuarios solo tendrán acceso a los datos y recursos autorizados por CONEXUSIT, y serán responsables por la divulgación no autorizada de esta información.

Cualquier incidente o posible evento que afecte la seguridad de la información debe ser reportado inmediatamente al jefe inmediato, o al comité de gestión de seguridad de la información, o al coordinador SIG.

El personal de la organización debe ser consciente que debe tomar las precauciones necesarias para no revelar información no pública cuando se hace una llamada telefónica que puede ser interceptada mediante acceso físico a la línea o al auricular o escuchada por personas que se encuentren cerca. Lo anterior debe aplicar también cuando el empleado se encuentre en sitios públicos como restaurantes, transporte público o ascensores.

 

6.15. POLITICA PARA LA SEGURIDAD DE LA INFOMACIÓN EN LA GESTION DE PROYECTOS

Objetivo: Asegurar la aplicabilidad en seguridad de CONEXUSIT a todos los proyectos que se desarrollen dentro de la organización.

Aplicabilidad: Esta política aplica a los proyectos que desarrolle CONEXUSIT

Detalle de la Política.

Para afrontar este requisito CONEXUSIT realizará una evaluación de riesgos, centrada en la seguridad de la información, al comienzo de cualquier proyecto para identificar amenazas, vulnerabilidades y riesgos asociados al proyecto y se tendrán en cuenta los siguientes puntos.

  1. Objetivos de seguridad
  2. Evaluación de riesgos
  3. Controles de seguridad

 

6.16. POLITICA DE GESTION DE MEDIOS REMOVIBLES

Objetivo: Establecer controles de los medios de almacenamiento removibles, que permitan asegurar la integridad, confidencialidad y disponibilidad de la información de CONEXUSIT

Aplicabilidad: Todos los medios de almacenamiento removibles que contengan información de la Entidad, tales como discos duros externos, memorias flash (USB, SD, microSD) CD, DVD, entre otros. Los responsables de la aplicación eficaz de este procedimiento son todos los funcionarios de CONEXUSIT

 

Detalle de la Política.

EL uso de medios removibles estará autorizado para aquellos funcionarios que para el cumplimiento de sus funciones así lo requieran.

La persona autorizada para usar medios removibles es el responsable de mantener asegurada la información, libre de software malicioso y cifrada si es información confidencial, sin poner en riesgo a la Entidad.

En caso de pérdida de algún tipo de medio en el que contenga información de CONEXUSIT deberá ser reportado a través de la plataforma de freshdesk

Se incentiva el uso de la plataforma corporativa en la nube de ONE DRIVE para evitar e uso de dispositivos removibles.

 

6. 17. POLITICA PARA AREA DE DESPACHO Y CARGA

Objetivo: Asegurar la aplicabilidad en seguridad de activos de Información de CONEXUSIT para cualquier carga que sea despachada o recibida en las instalaciones.

Aplicabilidad: Esta política aplica sobre las compras tangibles en materia de activos de información que adquiera CONEXUSIT

Detalle de la Política.

CONEXUSIT aloja sus oficinas administrativas en el EDIFICIO GREEN GOLD en la ciudad de Bucaramanga, dicho edificio cuenta con áreas delimitadas para cargue y descargue que pueden ser usadas por los propietarios de las oficinas, sin embargo dada la operación de la compañía no se recepcionan cargas de mayor volumen por lo cual se procede a dar cumplimiento a las políticas de Acceso para el ingreso a las instalaciones de CONEXUSIT de quien realice la entrega de algún activo de Información.

 

6.18. POLITICA CONTRA AMENAZAS EXTERNAS Y AMBIENTALES

Objetivo: garantizar la seguridad de los activos de información frente a amenazas externas y ambientales Aplicabilidad: Esta política aplica sobre los activos de la información y el talento humano de CONEXUSIT

Detalle de la Política.

CONEXUSIT cuenta con respaldo de un servidor en la nube para surtir las contingencias que se presenten con los activos de información de la organización, para sus instalaciones físicas cuenta con Extintores en caso de presentarse un evento relacionado a incendios, algunos otros riesgos asociados a la naturaleza del negocio se contemplan en el plan de continuidad del negocio. PL-03-02

 

6.19. POLITICA DE USO DE FIRMAS ELECTRONICAS

Objetivo: garantizar el uso exclusivo de las firmas electrónicas de CONEXUIT y sus partes interesadas de acuerdo al servicio contratado

Aplicabilidad: Esta política aplica sobre los activos de la información y el talento humano de CONEXUSIT

Detalle de la Política.

CONEXUSIT cuenta con un proveedor autorizado y acreditado ante el Organismo de Acreditación de Colombia (ONAC) para la emisión de firmas electrónicas que son usadas exclusivamente para el servicio contratado por los clientes, así mismo tanto

el proveedor como CONEXUIT se encuentran certificados bajo la norma técnica NTC- ISO- IEC 27001:2013 SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN.

 

7. ASPECTOS RELEVANTES A TENER EN CUENTA POR CADA UNA DE LAS PARTES INTERESADAS EN REFERENCIA A ESTAS POLITICAS

    • Las revisiones técnicas de los equipos de cómputo o de comunicaciones (computadores, switchs, router, firewall, etc) sólo podrán ser realizadas por personal autorizado del área de Sistemas.
    • La estación de trabajo es una herramienta para uso exclusivo de las actividades contratadas propias del cargo operativo o administrativo, además no deben ser usados como “laboratorio”, intentando manipular los archivos de configuración del sistema, para lo cual solo está autorizado el personal del Departamento de Sistemas.
    • Para evitar suplantaciones y accesos no autorizados a las estaciones de trabajo, los colaboradores deben bloquearla sesión de Windows cada vez que se ausenten del puesto.
    • Para garantizar la seguridad de los equipos de cómputo, los colaboradores sólo podrán iniciar los sistemas operativos instalados en sus equipos o autorizados por el Departamento de Sistemas.
    • Los colaboradores tendrán usuarios con perfil estándar de Windows, los cuales no permiten ejecutar programas, crear, eliminar y modificar archivos, instalar programas, cambiar configuración de opciones del sistema. Esto para evitar instalaciones automáticas del malware o configuraciones inseguras.
    • Todos los aspectos relacionados con software deben contar con la autorización y asesoría del área de sistemas, tales como:

Instalación de software bien sea existente, adquirido o desarrollado a la medida Comprar, contratar o desarrollar software

Descargar e instalar software desde internet Programas versión trial, demos y otros

    • Es deber de los colaboradores abstenerse de utilizar software portable.
    • El área de sistemas monitoreará periódicamente el software instalado en las máquinas y podrá desinstalar el software no autorizado.
    • Es deber de los colaboradores reportar al área de Sistemas, cualquier tipo de software no autorizado que se encuentre instalado en su máquina u otras máquinas.
    • Para evitar accesos no autorizados se eliminará el acceso remoto no autorizado a las estaciones de trabajo de CONEXUSIT, así como la instalación de software para tal fin. En caso de requerir un acceso remoto, se debe hacer la solicitud al área de sistemas, donde se evaluará el caso y se determinaran posibles soluciones.
    • Es deber de los colaboradores proteger y preservar las estaciones de trabajo y todos sus periféricos (CPU, Teclado, Mouse, Pantalla, etc.).
    • La responsabilidad de administración, cuidado y utilización del equipo está en cabeza de cada uno de los colaboradores a quien este a nombre el activo.
    • Todo usuario de recurso(s) informático(s) deberá velar por la preservación de éstos, teniendo presente las siguientes directrices:

Mantener limpia la zona donde se encuentran los equipos de cómputo.

No ingerir alimentos ni líquidos cerca o sobre los equipos; con ello se evita la caída o derrame que cause posible deterioro a los componentes de los equipos.

  • Informar al área de Sistemas cualquier novedad que se presente en la red, las aplicaciones, los equipos o sus instalaciones.
  • Solo el área de Sistemas o sus autorizados podrán destapar, desconectar, intercambiar el hardware o alterar las conexiones existentes en la red a fin de no alterar los recursos informáticos ofrecidos por la empresa
  • Es deber de los colaboradores no divulgar información técnica de la red como, IP, nombre del equipo, etcétera: el único autorizado para suministrar esta información es el área de Sistemas
  • Apagar los equipos de cómputo cuando finalice el horario laboral y/o se retire del puesto de trabajo asignado (Excepción de los que requieran estar encendidos para fines organizacionales), de lo contrario se incrementa el riesgo de pérdida y/o difusión de la información

 

8. HISTORIAL DE REVISIONES

VERSION

FECHA DE VIGENCIA

DESCRIPCION

01

05/11/2019

LIBERACION

02

19/11/2020

Complementadas políticas generales.

03

12/01/2021

Inclusión Política de contraseñas y periodo de revisión

04

16/01/2021

Complementadas políticas generales

05

12/07/2021

Complementadas políticas generales