POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

Codigo: A2P–1 PT 1 - Versión: 1 - Fecha: 20/03/2019
1. OBJETIVO

Proteger la información de la organización, garantizando la integralidad, confidencialidad y disponibilidad de la misma.

2. ALCANCE

Aplica para todos los colaboradores y procesos de la organización.

3. TECNOLOGIA DE LA INFORMACIÓN

3.1 Será responsabilidad del proceso de tecnología de la información:

3.1.1 Garantizar la implementación y vigencia de herramientas de antivirus, con el fin de asegurar la integralidad, confidencialidad y disponibilidad de la información.

3.1.2 Garantizar la implementación y vigencia de herramientas de intrusión (firewall), con el fin de evitar accesos no autorizados.

3.1.3 Asegurar la activación y desactivación oportuna de usuarios y claves asignados a los colaboradores de la organización.

3.1.4 Garantizar que dispositivos no autorizados no se conecten a la red corporativa.

3.1.5 Garantizar que la instalación de software en los dispositivos de la organización sea realizada por personal autorizado. Cualquier instalación realizada sin autorización de TI por algún colaborador acarreará acciones disciplinarias por parte del proceso de Gestión Humana.

3.1.6 Asegurar la instalación de software legal.

3.1.7 Capacitar a todos los colaboradores de la organización en temas asociados a seguridad de la información.

3.1.8 Asegurar la evidencia correspondiente a la entrega de equipos a cada colaborador.

3.1.9 Garantizar una correcta disposición final de los equipos de cómputo, con el fin de asegurar que la información y licencias de software han sido removidos de manera adecuada.

3.1.10 Garantizar revisiones y actualizaciones periódicas a las políticas y procedimientos definidos por la organización.

3.1.11 Implementar políticas de bloqueo automático a los equipos de cómputo después de 15 minutos de inactividad.

4. DISPOSTIVOS MOVILES

4.1 Los colaboradores que cuenten con equipos móviles corporativos no están autorizados a cambiar la configuración, a desinstalar software, formatear o restaurar de fábrica los equipos, únicamente se deben aceptar y aplicar las actualizaciones.

5. USO DE INTERNET

5.1 Está prohibido el acceso a páginas con contenido de pornografía, contenido degradante, racista, extrema derecha o izquierda, contenido radical, juegos y apuestas, violencia, grupos armados, streaming (distribución de contenido multimedia), redes sociales y demás categorizadas por la organización como sitios no autorizados.

6. CORREO ELECTRONICO

6.1 Los colaboradores deberán abrir únicamente correos de destinatarios conocidos, con el fin de evitar ataques informáticos.

6.2 No se permitirá el envío de documentos o información categorizada como confidencial ó sensible vía correo electrónico.

7. MANEJO DE INFORMACION, MEDIOS Y EQUIPOS

7.1 El acceso a Internet, fileserver, sistemas de información, aplicaciones y equipos son propiedad de la compañía y deben ser usados únicamente para el desarrollo de las funciones del cargo.

7.2 Está restringida la copia de archivos en medios removibles de almacenamiento, por lo cual se deshabilita la opción de escritura en dispositivos USB en todos los equipos.

Nota: La autorización de uso de los medios removibles debe ser tramitada al proceso de tecnología de la información, y este evaluará el caso de acuerdo a las necesidades del usuario.

7.3 Será responsabilidad de todos los colaboradores de la organización, toda vez que se retiré de su equipo de cómputo, realizar el bloqueo inmediato con el fin de evitar el uso inapropiado de la información contenida en él.

7.4 Una vez un colaborador de retire de la compañía, se realizará la eliminación del usuario en los sistemas de información y aplicaciones, además de realizar backup del equipo.

8. USO Y PROTECCION DE CLAVES DE ACCESO

8.1 Es responsabilidad de todos los colaboradores asegurar el correcto uso de usuarios y contraseñas entregadas con el fin de garantizar la integridad de la información.

8.2 Ningún colaborador debe acceder a equipos, sistemas de información o aplicaciones, utilizando una cuenta de usuario o clave de otro usuario.

8.3 Será responsabilidad del proceso de tecnología de la información asignar a cada usuario de acuerdo a su rol, los accesos correspondientes en los diferentes sistemas de información.

Nota: El usuario y contraseña son de uso personal e intransferible.

8.4 Los usuarios administradores de los sistemas de información deben seguir las políticas de cambio de contraseña y salvaguardar o custodiar las mismas en un sitio seguro. A este lugar solo debe tener acceso los colaboradores del proceso de Tecnología de la información.

8.5 Los colaboradores del proceso de tecnología de la información no deben dar a conocer su clave de usuario a terceros de los sistemas de información.

8.6 Los usuarios y contraseñas de los administradores son de uso personal e intransferible.

8.7 Los colaboradores del proceso de tecnología de la información deben emplear obligatoriamente las contraseñas con un alto nivel de complejidad y utilizar los servicios de autenticación fuerte de acuerdo al rol asignado.

9. BACK UP

9.1 Cada usuario es responsable de realizar backups de su equipo y reportar al proceso de tecnología de la información cualquier novedad que se presente.

9.2 Garantizar la implementación de sistemas de backups para todos los equipos de la organización.

10. SEGRUIDAD FISICA

10.1 El proceso de tecnología de la información garantizara que el acceso a los cuartos de servidores sea realizado únicamente por personal autorizado y se lleven los registros de acceso correspondientes.

10.2 Los servidores que contengan información deben ser mantenidos en un ambiente seguro y protegido por los menos con controles de acceso y seguridad física, detección de incendio y sistemas de extinción de conflagraciones, controles de humedad y temperatura, bajo riesgo de inundación, sistemas eléctricos regulados y respaldados por fuentes de potencia ininterrumpida (UPS).

11. DEFINICIONES

11.1 Backup: Copia de seguridad de uno o más archivos de servidores y equipos de cómputo de usuarios, que se hacen para prevenir posibles pérdidas de información.

11.2 Seguridad de la información: consiste en asegurar que los recursos del Sistema de Información de la organización, se utilicen de la forma que ha sido decidido y el acceso de información se encuentra contenida, así como controlar que la modificación solo sea posible por parte de las personas autorizadas para tal fin y por supuesto, siempre dentro de los límites de la autorización.

12. ANEXOS Y REFERENCIAS

N/A

13. HISTORIAL DE CAMBIOS
Item
1
Fecha
20/03/2019
Cambio
Creación del documento.
Versión
1
Responsable
Juan Piñeros
Ir a la Pagina Principal