Conoce nuestras políticas de seguridad y manejo de información
1. Introducción
A continuación se establece una Política de la Seguridad de la Información para GRUPO TRIARIO, en adelante GRUPO, como marco de trabajo de la organización en lo referente al uso adecuado de los recursos, buscando niveles de protección y resguardo de la información, definiendo sus lineamientos, para garantizar el debido control y minimizar los riesgos asociados.
2. Objetivo
Establecer las normas para proteger de posibles riesgos de daño, pérdida y uso indebido de la información, los equipos y demás recursos informáticos de la entidad, los cuales están en constante cambio y evolución de acuerdo con el avance de la tecnología y los requerimientos de la entidad.
3. Alcance
Esta política aplica a todos aquellos usuarios que:
- Posean algún tipo de contacto con estos activos.
- Estén a cargo de los activos de información de la entidad deberán diligenciar un acuerdo de confidencialidad, que los comprometa con el cumplimiento de las políticas de seguridad aquí descritas.
El GRUPO no posee puestos de trabajo físico para cada uno de los usuarios, ya que cuenta con la modalidad de trabajo híbrido.
El GRUPO tampoco cuenta con una red propia, y para acceder a las redes de los cliente se adapta a la políticas de seguridad de cada cliente.
4. Responsabilidades
4.1 Alta dirección
- Asegurar el establecimiento de objetivos y planes para garantizar la Seguridad de la Información.
- Establecer roles y responsabilidades de seguridad de la información.
- Comunicar a la organización la importancia de lograr los objetivos de seguridad de la información y de cumplir con la política de seguridad.
- Asignar todos los recursos necesarios para llevar a cabo los planes para garantizar la Seguridad de la Información.
- Decidir todos los criterios de aceptación de riesgos y sus correspondientes niveles.
- Asegurar que se realizan todas las auditorías internas.
- Realizar revisiones periódicas del resultado obtenido al ejecutar los planes para garantizar la Seguridad de la Información.
- Aprobar iniciativas para incrementar la seguridad de la información.
4.2 Empleados
- Mantener la confidencialidad de las contraseñas de aplicaciones y sistemas.
- Reportar supuestas violaciones de la seguridad de la información.
- Asegurarse de ingresar información adecuada a los sistemas.
- Adecuarse a las políticas de seguridad del GRUPO.
- Utilizar la información del GRUPO únicamente para los propósitos autorizados.
4.3 Clientes
- Si el cliente utiliza la infraestructura o información del GRUPO, este deberá aceptar los términos y condiciones de las políticas de seguridad del GRUPO.
4.4 Proveedores
- Deberán contar con un registro de activos actualizado en el que se puedan identificar los activos utilizados para la prestación del servicio.
- Deberán notificar al GRUPO las bajas de los activos utilizados para la prestación del servicio. Si dicho activo contiene otra propiedad del GRUPO (hardware, software u otro tipo de activos), deberá ser entregado al GRUPO previamente a llevar a cabo la baja para que el GRUPO proceda a la retirada de los activos de su propiedad.
- Siempre que un activo haya contenido información considerada sensible, deberán llevar a cabo las bajas de activos garantizando la eliminación segura de dicha información, aplicando funciones de borrado seguro o destruyendo físicamente el activo, para que la información que haya contenido no pueda ser recuperable.
- Todos los activos utilizados para la prestación del servicio deberán tener un responsable, que deberá asegurar de que dichos activos incorporan las medidas de seguridad mínimas establecidas por el GRUPO.
- Deberá establecer una normativa de copias de seguridad que garantice la salvaguarda de cualquier dato o información relevante para el servicio prestado, con una periodicidad semanal.
4.5 Persona responsable de la seguridad de la información deberá
- Establecer y documentar las responsabilidades de la organización en cuanto a seguridad de información.
- Mantener la política y estándares de seguridad de información de la organización.
- Identificar objetivos de seguridad y estándares del GRUPO (prevención de virus, uso de herramientas de monitoreo, etc.).
- Definir metodologías y procesos relacionados a la seguridad de información.
- Comunicar aspectos básicos de seguridad de información a los empleados del GRUPO. Esto incluye un programa de concientización para comunicar aspectos básicos de seguridad de información y de las políticas del GRUPO.
- Desarrollar controles para las tecnologías que utiliza la organización. Esto incluye el monitoreo de vulnerabilidades documentadas por los proveedores.
- Monitorear el cumplimiento de la política de seguridad del GRUPO.
- Controlar e investigar incidentes de seguridad o violaciones de seguridad.
- Realizar una evaluación periódica de vulnerabilidades de los sistemas que conforman la red de datos del GRUPO.
- Evaluar aspectos de seguridad de productos de tecnología, sistemas o aplicaciones utilizados en el GRUPO.
- Administrar un programa de clasificación de activos de información, incluyendo la identificación de los propietarios de las aplicaciones y datos.
- Administración de accesos a las principales aplicaciones del GRUPO.
- Controlar aspectos de seguridad en el intercambio de información con entidades externas.
5. Políticas y Procedimientos internos
5.1 Activos y Recursos informáticos
- Los colaboradores debe cumplir las instrucciones de uso que dicte el GRUPO
- Los recursos informáticos deben ser usados solamente para fines laborales
- Los colaboradores deben cumplir las licencias de uso de los aplicativos del GRUPO, estos deben firmar un acuerdo de confidencialidad donde se le da manejo a la información de uso restringido
- Los usuarios manejan un perfil limitado en las aplicaciones para controlar los accesos de este según su rol.
- Los colaboradores son responsables por sus accesos y recursos informáticos, no deben permitir que otras personas realicen labores bajo su identidad.
- Cualquier daño a recursos informáticos por descuido o negligencia por el usuario o terceras persona con consentimiento de éste es responsabilidad del usuario.
- El GRUPO puede: Restringir o revocar los privilegios de cualquier usuario, Inspeccionar, copiar, remover cualquier dato, programa u otro recurso que vaya en contra de los objetivos, Tomar cualquier medida necesaria para manejar y proteger los sistemas de información, incluso sin conocimiento del usuario.
- Cuando exista la necesidad de compartir algún recurso se debe hacer con autorización del líder/gerente de su equipo de trabajo.
- Un usuario puede ser monitoreado bajo previa autorización del director del GRUPO
- Está totalmente prohibido obtener acceso a sistemas de información a los que no se tiene privilegios y de alguna forma dañar o alterar la operación de dichos sistemas.
- Los usuarios no deben leer, modificar, copiar o borrar información perteneciente a otro usuario sin la debida autorización de este.
- A no ser que exista una aprobación por escrito para ello o sea parte de su función laboral, los usuarios no deben explotar las deficiencias de seguridad de los sistemas de información para dañar los sistemas o la información contenida en ellos.
- Cualquier incidente de Seguridad debe reportarse por escrito al correo electrónico al líder de la UNA TI.
- Solamente los colaboradores del área técnica de sistemas están autorizados para cambiar la configuración del sistema operativo de las estaciones de trabajo de los usuarios.
- Las licencias deben ser custodiadas y controladas por el área de Sistemas. Esta área debe realizar auditorías de licencia de software como mínimo una vez al año generando las evidencias respectivas.
- El usuario tiene prohibida la instalación de software y hardware en los computadores de el GRUPO.
- La reparación o retiro de cualquier parte o elemento en los equipos de computación o demás recursos informáticos sólo puede ser realizada por los colaboradores de sistemas autorizados por el GRUPO.
5.2 Acuerdos de confidencialidad
- Todo usuario debe firmar un acuerdo de confidencialidad y un acuerdo de Seguridad de los sistemas de información, este puede estar atado al contrato laboral.
- Las participaciones en proyectos de clientes del GRUPO también deben contemplar la firma de acuerdos de confidencialidad por parte de los usuarios
5.3 Gestión de usuarios de aplicaciones
- A cada usuario se le asigna una contraseña para el acceso a los sistemas de información, debe ser personal, confidencial e intransferible.
- Cada usuario debe velar porque sus contraseñas no sean vistas y aprendidas por otras personas.
- Cada usuario deberá utilizar diferentes contraseñas para cada recurso al que tiene acceso.
- Todos los colaboradores deben cambiar su contraseña cuando el sistema de información lo indique.
- Todas las contraseñas deben tener una longitud mínima de DOCE (12) caracteres: Incluir combinación de números, letras mayúsculas y minúsculas y símbolos o caracteres especiales, no deben ser nombres propios ni palabras del diccionario.
- No se debe generar contraseñas compuestas por una combinación fija de caracteres y una combinación variable pero predecible. p.e. fechas, etc.
- El usuario no debe generar una contraseña idéntica o sustancialmente similar a una que ya haya utilizado anteriormente.
- Ninguna contraseña debe ser guardada de forma legible en archivos “batch”, scripts, macros, teclas de función de terminal, archivos de texto, en computadores o en otras ubicaciones en donde personas no autorizadas puedan descubrirlas o usarlas.
- Toda contraseña deberá ser cambiada de forma inmediata si se sospecha o se conoce que ha perdido su confidencialidad.
- No está permitido revelar la contraseña a otros colaboradores o terceras personas.
- Ningún usuario deberá intentar obtener contraseñas de otros usuarios.
5.4 Entrega y devolución de activos
- Cuando un usuario inicie su relación laboral con el GRUPO se debe diligenciar el documento de entrega de inventario.
- Cuando un usuario termine su vinculación laboral, o por alguna otra circunstancia deje de utilizar el computador personal o el recurso tecnológico suministrado con carácter permanente, deberá hacerse una validación de lo entregado por el usuario contra lo registrado en el formato de descargue de inventario.
- El colaborador será responsable de los deterioros o daños que por su negligencia haya ocasionado a los equipos de hardware.
5.5 Software
- Todo sistema o aplicativo debe contar con ambiente de desarrollo y ambiente de producción. Así mismo para la realización de pruebas no se deben utilizar datos de producción.
- Todo cambio y/o actualización en los sistemas de información que se encuentren en producción, serán evaluados en ambientes de prueba cuya función es determinar el correcto funcionamiento y compatibilidad con las herramientas base.
- Todo cambio y/o actualización en los sistemas de información que se encuentren en producción, debe tener la documentación respectiva.
- Ninguna contraseña deberá ser incorporada en el código de un software desarrollado o modificado por el GRUPO o sus proveedores, para permitir que las contraseñas sean cambiadas con regularidad.
- Se debe desarrollar sistema de logs o registro de actividades de los sistemas para el monitoreo de las acciones y la información.
- La modificación de información en producción debe darse únicamente mediante procesos con privilegios dentro de la aplicación que maneja dicha información. Esto con el fin de evitar que la información pueda ser modificada por medios diferentes a los canales establecidos.
- El desarrollador debe tener en cuenta durante la elaboración de la aplicación, la validación de las entradas de código con el objeto de evitar la ejecución de comandos que pongan en riesgo la seguridad de los sistemas.
- Los registros de sistemas y aplicaciones no deben estar disponibles para personal no autorizado. Personal no autorizado es aquel que no pertenece a auditoría interna, personal de seguridad informática, personal de administración de sistemas o administradores de bases de datos.
- Para los desarrollos en HubSpot y WordPress se deben seguir los lineamientos planteados en el documento de seguridad.
5.6 Copias de seguridad y respaldos
- Se debe programar una copia de seguridad de los sistemas de información con una frecuencia que defina para cada proyecto o sistema.
- Al momento de realizar un desarrollo o actualización a un aplicativo existente se debe realizar copia parcial o completa al código fuente.
- Todos los desarrollos que se realicen se deben subir y gestionar con GIT, el “commit” se debe realizar diariamente.
- Las copias de seguridad se realizan tanto del repositorio ó código fuente, como de la base de datos en la que se albergan los metadatos y otra metainformación.
- Las copias de seguridad son verificadas periódicamente mediante la restauración de una réplica.
5.7 Dispositivos móviles
- No descargar ni almacenar información del GRUPO en el dispositivo móvil.
- Instalar y configurar un software de antivirus.
- Configurar el bloqueo de pantalla para un máximo de 2 minutos de inactividad.
- Configurar la opción de borrado remoto de información en los dispositivos móviles, con el fin de eliminar los datos de dichos dispositivos de forma remota, en caso de ser requerido.
- Es necesario realizar el cifrado del dispositivo móvil.
- En caso de pérdida o hurto de dispositivos móviles que se conecten o almacenen información del GRUPO, se debe reportar la pérdida al jefe inmediato o de personal.
5.8 Gestión de proveedores
- Todos los acuerdos relacionados con el manejo de información o de recursos de informática del GRUPO por parte de terceros, deben incluir una cláusula especial que involucre confidencialidad y derechos reservados.
- El GRUPO puede ejercer auditoría sobre los controles usados para el manejo de la información y específicamente de cómo será protegida la información.
- Socios de negocios, proveedores, clientes y otros asociados a los negocios del GRUPO deben tener conocimiento de sus responsabilidades relacionadas con la seguridad informática y esta responsabilidad se debe ver reflejada en los contratos con el GRUPO y verificada por la gerencia, el responsable del manejo de estos terceros deberá realizar un acompañamiento controlado durante su participación en los proyectos involucrados.
5.9 Infraestructura Google y AWS (Amazon Web Services)
- El GRUPO, sus colaboradores y proveedores acepta y cumple las políticas de seguridad de cada una de estas empresas prestadoras de servicio tecnológico.
- Se garantizarán unos procedimientos para asegurar la seguridad de la infraestructura que utilicemos
5.10 Trabajo remoto
- Los colaboradores deben auditar las vulnerabilidades de su propio entorno doméstico antes de conectar los dispositivos de trabajo.
- El empleado debe tener acceso a sistemas de chat, video y conferencias para poder comunicarse con los demás empleados.
- Conectarse a redes seguras y controladas, donde personas externas a su entorno familiar o laboral no tengan acceso.
- Al momento de dejar el equipo de cómputo o celular solo, bloquearlo para no permitir acceso a personas ajenas.
- Los documentos relacionados con el GRUPO que se descarguen, deben ser subidos a la nube de la entidad y posteriormente deben ser eliminados del equipo.
5.11 Riesgos
- Se velará por la mitigación eliminación o gestión de los riesgos asociados a la información y activos de información del GRUPO.
5.12 Cumplimiento y sanciones
- Todo colaborador debe cumplir con esta política, en caso de incumplimiento el GRUPO tomará las medidas correctivas y sanciones pertinentes con cada caso.