POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

Home / POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

Se definen las Políticas de Seguridad de la Información como la manifestación que hace la alta dirección de CUSTODIAR LIMITADA, de definir las bases para gestionar de manera adecuada y efectiva, la seguridad de la información; garantizando la confidencialidad, integridad y disponibilidad de sus activos de información.

 

Políticas generales:

 

  • La gestión de los riesgos de los activos de información teniendo en cuenta el nivel de tolerancia al riesgo de la entidad.
  • Una gestión integral de riesgos basada en la implementación de controles físicos y digitales orientados a la prevención de incidentes.
  • El fomento de la cultura y toma de conciencia entre el personal (funcionarios, contratistas, proveedores y terceros) sobre la importancia de la seguridad de la información.
  • Las responsabilidades frente a la seguridad de la información serán definidas, compartidas, publicadas y aceptadas por cada uno de los empleados, proveedores, socios de negocio o terceros.
  • Proteger la información generada, procesada o resguardada por los procesos de negocio, su infraestructura tecnológica y activos del riesgo que se genera de los accesos otorgados a terceros (ej.: proveedores o clientes), o como resultado de un servicio interno en Outsourcing.
  • Se mitigarán los incidentes de Seguridad y Privacidad de la Información, Seguridad Digital de forma efectiva, eficaz y eficiente, y se protegerá la información creada, procesada, transmitida o resguardada por sus procesos de negocio, con el fin de minimizar impactos financieros, operativos o legales debido a un uso incorrecto de ésta. Para ello es fundamental la aplicación de controles de acuerdo con la clasificación de la información de su propiedad o en custodia.
  • Se protegerá la información de las amenazas originadas por parte del personal de Custodiar Ltda.
  • Se generará conciencia para el cambio organizacional requerido para la apropiación de la Seguridad y Privacidad de la Información.
  • Se protegerá las instalaciones de procesamiento y la infraestructura tecnológica que soporta sus procesos críticos.
  • Se controlará la operación de sus procesos garantizando la seguridad de los recursos tecnológicos y las redes de datos.
  • Se implementará control de acceso a la información, sistemas y recursos de red.
  • Se garantizará que la seguridad sea parte integral del ciclo de vida de los sistemas de información.

 

Políticas individuales de los usuarios de la información:

 

  • Usar la información de Custodiar Limitada únicamente para propósitos del negocio autorizado y en cumplimiento de su labor.
  • Respetar la confidencialidad de la información de Custodiar Ltda.
  • No compartir perfiles de usuarios, contraseñas, sesiones en estaciones de trabajo, documentos o cualquier tipo de información confidencial.
  • No anotar y/o almacenar en lugares visibles las contraseñas de acceso a los sistemas.
  • Ajustarse a las directrices de clasificación de la información.
  • Bloquear la sesión de la estación de trabajo al momento de ausentarse de la misma.
  • Las impresiones deben ser recogidas al momento de generarlas, no se deben dejar por largos periodos de tiempo en la impresora.
  • Devolver y no conservar ningún tipo de copia de sus activos de información, en buen estado, una vez cese su relación laboral con la entidad.
  • Está estrictamente prohibido la divulgación, cambio o retiro no autorizado de información de la entidad almacenada en medios físicos removibles, como USB, cintas magnéticas, entre otros.
  • Está estrictamente prohibido utilizar software no licenciado en los recursos tecnológicos, copiar software licenciado de Custodiar Ltda., para utilizar en computadores personales, ya sea en su domicilio o en cualquier otra instalación y/o entregarlos a terceros.
  • Los usuarios de las estaciones de trabajo deben mantener la política de escritorio limpio, es decir, todo se debe guardar en la red. En el escritorio sólo se encontrarán los íconos de los programas instalados autorizados.

 

Políticas para los responsables del personal:

 

  • Conceder autorizaciones de acceso a la información acorde con las funciones a ser realizadas por las personas a quienes le coordinan el trabajo.
  • Asegurar que los privilegios de acceso individuales reflejen una adecuada segregación de Un usuario no debe tener los permisos suficientes para originar, registrar y corregir/verificar una transacción sensitiva del negocio sin controles adecuados o una revisión independiente.
  • Restringir el acceso del personal a aquellas áreas que hayan sido restringidas por razones de seguridad.
  • Conservar los registros de los empleados con privilegios de acceso a la información.
  • El proceso TIC como encargado de la Seguridad de la Información, debe mantener actualizadas las autorizaciones y perfil de usuarios basándose en los archivos de Recursos Humanos y/o contratación, donde se encuentran todos los empleados y las áreas a las que pertenecen, al igual como se establece en la política de roles y perfiles.
  • Los contratos de outsourcing o con terceras personas, deben identificar claramente los acuerdos relacionados con la propiedad de la información y la no divulgación de información confidencial.

Cuando un empleado se ausenta de su trabajo por un período de tiempo superior al mínimo establecido para cumplir con las regulaciones, su superior inmediato debe:

  1. Determinar si los accesos a los recursos físicos y a la información deben ser suspendidos.
  2. Notificar la fecha en que el acceso debe ser suspendido, de ser necesario.
  3. Recoger los equipos de seguridad como, por ejemplo: llaves, claves, computadoras, etc.
  4. Cuando un empleado se encuentra por fuera de las instalaciones de Custodiar Ltda., ya sea por licencia, suspensión, Incapacidad etc., el acceso a los recursos físicos y a la información debe ser inmediatamente suspendido por solicitud de su jefe inmediato, de ser necesario.

 

Cuando un empleado es retirado (voluntaria o involuntariamente), su jefe inmediato es responsable por:

  1. Solicitar la revocación de las autorizaciones.
  2. Revocar o restringir los privilegios de acceso antes de notificarle la terminación del contrato, si es apropiado.

 

Políticas relacionadas con el manejo de información confidencial:

 

  • Los documentos con información confidencial no pueden ser desatendidos o inseguros.
  • Debe ser apropiadamente autorizado para la divulgación de acuerdo con los estándares de clasificación de la información por parte de los propietarios.
  • La divulgación cualquiera que fuere su medio: verbal, escrita, telefónica o electrónica, debe ser efectuada sobre la base de la necesidad de conocerla de acuerdo a sus funciones.
  • No debe ser accedida o enviada a través de cualquier tecnología de fácil acceso, tales como teléfonos celulares.
  • El etiquetado debe ser fácilmente leíble a simple vista.
  • Antes de divulgarse verbalmente información clasificada como restringida o confidencial debe indicarse su clasificación.
  • Distribución de información confidencial debe ser limitada a personas o grupos con la necesidad de conocerla o usarla para cumplir con sus funciones.
  • Los mecanismos de entrega utilizados para información restringida, deben contemplar confirmación de recibo.
  • Estas políticas aplican tanto a los originales como a todas las copias de la información.
  • Acceso a información confidencial que se encuentre almacenada debe ser adecuadamente Esto incluye información confidencial almacenada externamente o copias de respaldo.
  • Las copias de respaldo de información confidencial deben ser protegidas de destrucción intencionada o accidental.
  • Información almacenada por períodos prolongados debe ser revisada regularmente para verificar su legibilidad.
  • Las personas que tienen acceso remoto a la información de Custodiar Ltda., son responsables por la seguridad de la información con los mismos niveles de control requeridos dentro de la organización.

 

Uso adecuado de software:

 

  • En las estaciones de trabajo de Custodiar Ltda., sólo se puede instalar software desarrollado o adquirido legalmente y cuya licencia de uso esté a nombre de Custodiar Ltda.
  • La coordinación y ejecución de mantenimiento de programas o aplicaciones instaladas en las estaciones de trabajo, es del proceso TIC.
  • Las estaciones de trabajo de Custodiar Ltda., deben ser utilizadas por los empleados, proveedores o contratistas sólo para el desarrollo de las funciones normales de su trabajo.

 

Control de Virus:

 

  • Los computadores personales deben mantener activo un software antivirus, Sistema Operativo, Microsoft Office, licenciados y Actualizados y que su uso haya sido Autorizado por el equipo de trabajo del departamento de las TIC.
  • Los servidores de archivos, correo electrónico deben mantener activo un software antivirus.
  • Los computadores personales y servidores deben ser analizados contra virus periódica y automáticamente.
  • Cualquier información que venga por medio electrónico o magnético como correo electrónico o información de INTERNET, debe ser revisada por un software antivirus antes de ser descargada y utilizada.
  • Es responsabilidad de los usuarios reportar todos los incidentes de infección de virus a las áreas encargadas.
  • Es responsabilidad de los usuarios tomar copias de la información y verificar que el respaldo esté libre de cualquier infección de virus.
  • El usuario debe asegurar que toda la información provenga de fuentes conocidas.
  • Ningún usuario puede escribir, distribuir o introducir software que conozca o sospeche que tiene virus.

 

Las claves o contraseñas deben:

 

  • Poseer algún grado de complejidad y no deben ser palabras comunes que se puedan encontrar en diccionarios, ni tener información personal, por ejemplo: fechas de cumpleaños, nombre de los hijos, placas de automóvil, etc.
  • Tener mínimo ocho caracteres alfanuméricos.
  • Cambiarse obligatoriamente la primera vez que el usuario ingrese al sistema.
  • Cambiarse periódicamente o cuando lo establezca el departamento TIC.
  • Cada vez que se cambien estas deben ser distintas por lo menos de las últimas tres anteriores.
  • Cambiar la contraseña si ha estado bajo riesgo o se ha detectado anomalía en la cuenta de usuario.
  • No se deben usar caracteres idénticos consecutivos, ni que sean todos numéricos, ni todos alfabéticos.
  • No debe ser visible en la pantalla, al momento de ser ingresada o mostrarse o compartirse.
  • No ser reveladas a ninguna persona, incluyendo al personal de Sistemas.
  • No registrarlas en papel, archivos digitales o dispositivos manuales, a menos que se puedan almacenar de forma segura y el método de almacenamiento esté aprobado.
  • Siempre que el Administrador de contraseñas asigne una contraseña, es responsabilidad del usuario cambiarla en su primer uso.

 

Copias de respaldo de información (Back-up):

 

  • Se debe contar con un sistema automático para la recolección de copias de respaldo.
  • Las copias de respaldo deben tener el mismo nivel de protección de la información que poseen en su fuente original.
  • Los medios magnéticos que contienen información deben ser almacenados en lugares físicamente seguros.
  • Los usuarios responsables por respaldar la información, también son responsables de facilitar la oportuna restauración de la información.
  • Los medios magnéticos deben tener rótulos visibles y legibles tanto internos como externos.
  • Para responder adecuadamente a una contingencia, los respaldos de la información se deben almacenar en sitios externos.
  • Al enviar Información clasificada como restringida o confidencial a terceros se debe exigir un acuse de recibo.
  • Todos los medios que contengan información clasificada como restringida o confidencial y que finalice su ciclo de vida, deben ser sobre escritos o destruidos físicamente para que la información no pueda ser recuperada.

 

Política de manejo de correo electrónico:

 

  • Los usuarios deben tratar los mensajes de correo electrónico y archivos adjuntos como información de propiedad de Custodiar Ltda. Los mensajes de correo electrónico deben ser manejados como una comunicación privada y directa entre emisor y receptor.
  • Los usuarios podrán enviar información reservada y/o confidencial vía correo electrónico siempre y cuando vayan de manera comprimida y destinada exclusivamente a personas autorizadas y en el ejercicio estricto de sus funciones y atribuciones.
  • Las comunicaciones electrónicas en lo posible, deben ser concretas, precisas y completas.
  • Las comunicaciones electrónicas oficiales hacia el exterior deben ser revisadas por un jefe inmediato.
  • Solamente se considera oficial un mensaje de correo electrónico que incluya el nombre y el cargo del funcionario de donde lo envía.
  • La asignación de cuentas de correo electrónico a empleados será autorizada por el proceso TIC.
  • Todas las direcciones de correo electrónico deben ser creadas usando el estándar establecido por la empresa para dicho fin.
  • El uso del correo electrónico para fines personales deberá ser recional.
  • Se establecerá un tamaño de buzón de correo para cada usuario, es decir un espacio en disco en el servidor de correo, destinado al almacenamiento de mensajes electrónicos de cada usuario.
  • El usuario responsable del buzón deberá dar un trámite ágil al correo electrónico recibido, es decir, diariamente debe leer, responder y eliminar o archivar en el disco duro local, solamente los mensajes que soporten información relevante para el desarrollo de sus labores en la entidad.
  • El mantenimiento de la lista de contactos y del buzón será responsabilidad del usuario y deberá conservar únicamente los mensajes necesarios con el fin de no exceder el máximo límite de almacenamiento.
  • Los mensajes deben ser redactados de forma clara y concreta, evitando el uso de MAYUSCULAS sostenidas, que según normas internacionales de redacción en Internet, equivale a gritar.
  • En el nombre del destinatario y el asunto debe evitarse el uso de caracteres especiales como slash (/), tildes (‘), guiones (-), etc.
  • Los mensajes de correo salientes siempre deben llevar en el campo «Asunto» una frase que haga referencia directa al contenido del texto.
  • Todos los mensajes de correo enviados deben contener como mínimo la siguiente información: Nombre, Cargo, Dependencia, Entidad, Teléfono Ext. Email.
  • Ningún usuario deberá permitir a otro enviar correos utilizando su cuenta, sin aclarar el remitente.
  • La «confirmación de lectura» solo debe ser utilizada en situaciones estrictamente necesarias con el fin de evitar la congestión de mensajes.
  • Cuando un funcionario requiere ausentarse de la Entidad por un período superior a 8 días debe programar el correo electrónico para que automáticamente responda a los remitentes indicando fecha de llegada, nombre y dirección de correo electrónico de la persona encargada durante su ausencia.
  • Antes de enviar un correo deberá verificarse que esté dirigido solamente a los interesados y/o a quienes deban conocer o decidir sobre el tema, evitando duplicidades o desmejoramiento en el servicio y operación de la red.

 

Estas políticas se revisaron y firmaron en el mes de abril del 2024, sin requerir cambios.