Documente Academic
Documente Profesional
Documente Cultură
EL A B O R A DO P O R :
F ER N A N DO R O JA S
IN G EN IER O EN SIST EM A S / C IB ER SEG U R IDA D
P ER EIR A 2 0 2 2
1
T A B L A DE C O N T EN IDO
1 . IN TR O DU C C IO N ..............................................................................................................................................................4
2 . PR O PO SIT O ...................................................................................................................................................................... 6
3 . R EF ER EN C IA N O R M A T IV A ........................................................................................................................................... 6
4 . A L C A N C E.........................................................................................................................................................................7
5 . DEF IN IC IO N ES.................................................................................................................................................................9
6 . C U M PL IM IEN T O ..............................................................................................................................................................9
7 . PO L IT IC A DEL SG SI– SIST EM A DEG EST IO N DESEG U R IDA D DEL A
IN F O R M A C IO N . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1 0
7 .1 PR IN C IPIO S...............................................................................................................................................................1 0
7 .2 PR O T EC C IO N DEL A IN F O R M A C IO N .................................................................................................................. 1 0
7 .2 .1 PR O T EC C IO N DEL O S R EC U R SO S.....................................................................................................................1 0
7 .2 .2 A U T O R IZ A C IO N DEL O S U SU A R IO S................................................................................................................ 1 1
7 .2 .5 IN T EG R IDA D. . . . . . . . . . . . ............................................................................................................................................ 1 1
7 .2 .6 C O N F IA N Z A . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1 1
8 . PO L IT IC A S A PL IC A B L ES A L O S U SU A R IO S..................................................................................................... 1 4
2
8 .6 PO L IT IC A DESEG U R IDA D DEL O S EQ U IPO S M O V IL ES.................................................................................... 2 0
8 .1 0 PO L IT IC A DEPR O Y EC T O S................................................................................................................................2 4
3
1 . IN T R O DU C C IO N
N IV EL DE C U M P L IM IEN T O
4
1 . Definir, impl
ementar, operar y mejorar de forma continua un Sistema de
Seguridad de l
a informació n, soportado en l
ineamientos claros al
ineados a l
as
necesidadesde l
aempresa, y al osrequerimientosregulatorios.
2 . L as responsabil
idades frente a l
a seguridad de l
a informació n será n definidas,
compartidas, publicadasy aceptadasporcadauno de suscol aboradores, terceros,
practicantes.
5 . Proteger su informació n de l
as amenaz as originadas por parte de l
os
colaboradores.
6 . Proteger l
as instal
aciones de procesamiento y l
a infraestructura tecnol
ó gica que
soportasusprocesoscrí ticos.
7 . C ontrol
arlaoperació nde l
osprocesosde laentidad garantiz ando l
aseguridadde
losrecursostecnol
ó gicosy l
asredesde datos.
8 . Impl
ementarcontrolde acceso al
ainformació n, sistemasy recursosde red.
9 . G arantiz arque l
aseguridad seaparte integraldelcicl
o de vida de l
ossistemasde
informació n.
1 1 . G arantiz arl
adisponibil
idad de l
osprocesosde l
aempresay lacontinuidad de
suoperació nbasadaenelimpacto que puedengenerarl
oseventos.
5
2 . P R O P O SIT O
L a implementació n de l
as polí ticas buscar reducir elriesgo de divulgar, modificar,
destruir o usaren formaindebidal osactivos de informació ny operacionescrí ticas,
ya sea accidentalo intencional mente. A lmismo tiempo se establ ecenpol í ticascon
objeto de orientar y mejorar l a administració n de seguridad de l os activos de
informació ny proveer lasbases paraelmonitoreo atravé sde toda l aentidad.
3 . R EF ER EN C IA N O R M A T IV A
L ey 1 3 4 1 del3 0 de Jul
io de 2 . 0 0 9 : Porl
acualse definenl osprincipios yconceptos
sobre l a sociedad de la informació n y l a organiz ació n de las T ecnologí as de l
a
Informació ny l asC omunicaciones- T IC - , se creal aA genciaN acionaldelEspectro
y se dictanotrasdisposiciones.
6
2 . C apitul
o Segundo: De l osatentadosinformá ticosy otrasinfracciones. C omo se
puede ver en elprimer capí tul
o, esta L ey está muy l igada a l
a ISO 2 7 0 0 0 , l
o cual
coloca alPaí s a la vanguardia en l egisl ació n de seguridad de la informació n,
abriendo así l
aposibil
idad de nuevasentradasconeste tema.
L ey 1 2 7 3 DE 2 0 0 9 : Por medio de l
a cualse modifica elC ó digo Penal, se crea un
nuevo bientutel ado denominado “ de l aprotecció nde lainformació ny losdatos”y
se preservan integral mente l os sistemas que util icen las tecnologí as de l a
informació ny l ascomunicaciones, entre otrasdisposiciones.
L ey 1 3 4 1 de 2 0 0 9 : T ecnol ogí as de l
a Informació n y apl
icació n de seguridad
L ey 1 7 1 2 de 2 0 1 4 : T ransparenciaenelacceso al ainformació np bl ica.
Decreto N o. 2 5 7 3 de 2 0 1 4 , establ
ece como l
ineamiento la Seguridad y privacidad
de la Informació n y comprende acciones transversal es ademá s de componentes
enunciados, a proteger l a informació n y sistemas de informació n, delacceso,
divulgació n, interrupció no destrucció nno autoriz ada.
2 . A L CA N CE
Este M anualde Seguridad de l a Informá tica aplica para todos los activos de
informació n de propiedad de C L O U D SER V IC ES con excepció n de aquell
os que
h ayan sido especí ficamente definidos por elC oordinador delDepartamento de
T ecnologí aInformá tica.
A C T IV O S F ÍSIC O S
7
identificació n y autentificació n, controlde acceso delpersonaly otros dispositivos
de seguridad como porejempl ol ascá maras( circuito cerrado de T V ) .
A C T IV O S H U M A N O S
- Em pl
eados: col
aboradoresy terceros.
L ainformació n util
iz ada para eldesarrol l
o de las actividades y funciones diarias o
contratadas por M A SDA S. A . S S. A . S, es propiedad de l a empresa por talraz ó n,
todos los colaboradores, y terceros está n obl igados a proteger dich a informació n,
incl
uso unavez h ayaterminado surel ació ncontractualo l egalconl aempresa.
8
5 . DEF IN IC IO N ES
B atch : A rch ivo magné tico que tiene almacenada una secuencia de comandos. A l
ejecutarse, reempl az a l
a operació n de digitar l
os comandos de secuencia cadavez
que se requiere efectuar una operació n. Se util iz a para al
macenar operaciones
repetitivas.
Script: A rch ivo que contiene una secuencia de comandos que se util
iz a para
comunicarseenformaautomá ticaentre dosapl icaciones.
T ercero( s) : C ual
quierpersonanaturalo jurí dicaencal
idad de proveedor, o consul
tor.
A cuerdo de C onfidencial idad: C ontrato suscrito entre las partes con elfin de
compartir materialconfidencialo conocimiento para ciertos propó sitos, pero
restringiendo suuso p bl ico.
Encargado de Seguridad Inform á tica: Persona del egada cuyas funciones
principales son asesorar en materia de seguridad de l a informació n y supervisar el
cumpl imiento de l
apresente Pol í tica.
6 . C U M P L IM IEN T O
Elcumpl imiento de l as pol í ticas de seguridad deberá ser acogido por todos l
os
col
aboradores, terceros y p bl ico en general, los que no está n exentos del
cumplimiento de estaspolí ticas.
9
7 . P O L IT IC A DE SG SI – SIT EM A DE G EST IO N DE SEG U R IDA D DE L A
IN F O R M A C IO N
2 . V elar por l
a protecció n de l
os activos informá ticos de apoyo en l
os procesos
delosdepartamentos.
3 . Identificary darcumpl
imiento al
osrequisitosl
egal
esy regul
atorios.
7 .1 P R IN C IP IO S
7 .2 P R O T EC C IO N DE L A IN F O R M A C IO N
7 .2 .1 P R O T EC C IO N DE L O S R EC U R SO S
1 0
7 .2 .2 A U T O R IZ A C IO N DE U SU A R IO S
7 .2 .3 R ESP O N SA B IL IDA D
L os col aboradores y custodios de l os activos de informació n de C L O U D
SER V IC ES son responsables por eluso apropiado, l a protecció n y privacidad de
estos activos. Eldepartamento de tecnol ogí a informá ticagenerará y mantendrá n
pistas apropiadas de auditorí a para identificar usuarios, y para documentar l as
situacionesrel acionadasconeventosde seguridad.
7 .2 .4 DISP O N IB IL IDA D
7 .2 .5 IN T EG R IDA D
7 .2 .6 C O N F IA N Z A
L os col
aboradores y terceros deben demostrar capacidad para reunir o excederl
os
requerimientos de seguridad de C L O U D SER V IC ES, y deben justificar l a
confianz a en sus capacidades para asegurar l os activos de informació n de la
empresa. L aconfianz aempiez aaincrementarsuimportanciacuando l osactivosde
informació nsoncompartidosconterceros.
7 .2 .7 ESF U ER Z O DE EQ U IP O
1 1
7 .2 .8 SO P O R T E P R IM A R IO PA R A LA SEG U R IDA D DE
IN F O R M A C IO N
L os col aboradores son responsabl es de famil iariz arse, observar y cumpl ir las
pol í ticas de seguridad de informació n, las dudas que puedan surgir al rededor de
é stas deben ser consul tadas alElDepartamento de T ecnol ogí a Informá tica
directamente con el encargado de l a seguridad informá tica al correo
seguridadinformatica@ cl oud- services. com. co
7 .3 C L A SIF IC A C IO N DE L A IN F O R M A C IO N
1 2
T A B L A DE C L A SIF IC A C IO N
A ctivo de l
ainformació ndisponibl e sol
o paraungrupo de personas
dentro o fuera de C L O U D SER V IC ES ( definido por elpropietario)
cuya no disponibil idad, divulgació n o alteració n no autoriz ada por
terceros pueden conl l
evar un impacto negativo de í ndol e legal ,
econó micay de imagenparal aempresa.
L osejempl osincl
uyenl osservidores y l
osdocumentosdigital
es de
los departamentos que se encuentran al
ojadosenestos.
L osejempl
osincl
uyen, ó rdenesde compra, facturas, entre otros.
7 .4 DESA R R O L L O DE P O L IT IC A S
L as estrategias de seguridad de l a informació n delDepartamento de T ecnol ogí a
Informá tica son directrices global es de largo plaz o, que sirvencomo base para l a
planeació n adecuada y l a definició n de soluciones de seguridad para ajustarse a l
as
necesidadesde l aempresa, tanto como futuras.
1 3
L as decisiones y disposiciones de seguridad de informació n estará n basadas en
aná l
isis de riesgo y mé todos de eval uació n. É stas incl
uirá n mé tricas que
considerenelval orparal aempresa acorto y l argo plaz o.
L a administració n de l
a seguridad de informació n se desarrol
lará sobremé todos y
está ndaresglobal es.
8 . P O L IT IC A S A P L IC A B L ES A L O S U SU A R IO S
8 .1 P O L IT IC A S DE A C C ESO A L O S R EC U R SO S DE IN F O R M A C IO N
Se debe vigil
ary sal
vaguardarl
os til es, equipos, mueblesy bienesque l
e h ansido
encomendados, y cuidar que sean util iz ados debida y racional mente, de
conformidad conlosfinesalosque h ansido destinados.
Elacceso de losusuariosalared y al
osdiferentesserviciosde red debe permitirse
nicamente cuando seaformal
mente autoriz ado poreljefe inmediato.
1 4
L oscol aboradores, tercerosy p bl ico engeneraldebengarantiz arque elacceso al a
informació n y l a utiliz ació n de la misma sea excl usivamente para actividades
relacionadas con funciones propias de l a empresa, y que é sta sea util
iz ada de
acuerdo a l os criterios de confidencial idad definidos por elDepartamento de
T ecnologí aInformá tica.
M ó dems, C abl
e- mó dems o dispositivos de í ndol e similar no deben serutiliz ados
para l as comunicaciones de M A SDA S. A . S S. A . S, amenosque un
firewally una red privada virtualsea establ ecida entre los equipos de có mputo
involucradosendich acomunicació n.
L a devol
ució n o retiro de equipos, informació n o software sol
o debereal
iz arl
a el
personalautoriz ado.
8 .2 P O L IT IC A DE U SO DE L O S R EC U R SO S DE IN F O R M A C IO N
N o se puedenal
macenar, instal
aro util
iz arjuegosenl
osequiposde có mputo .
A menos que sean especí ficamente autoriz ados por el C oordinador del
departamento de tecnol
ogí a informá tica l
os col
aboradores de C L O U D SER V IC ES
1 5
debenutil iz arh erramientasde h ardware o software que puedanserempl eadaspara
evaluar vul nerabil idades o comprometer l a seguridad de l os sistemas de
informació no l ainformació nde otrosusuarios. Incidentesque invol ucreneste tipo
de h erramientas y elintento no autoriz ado de comprometer l as medidas de
seguridad de l os sistemasde informació n, será n considerados como viol aciones
serias de l aspol í ticasestabl
ecidasporeldepartamento de tecnologí ainformá tica.
EL DEPA R T A M EN T O DE T EC N O L O G IA IN F O R M A T IC A se reserva el
derech o de examinar toda la informació n almacenada, o transmitida por sus
sistemas de có mputo y de comunicació n, y debe informar a col aboradoresy
terceros que no deben esperar privacidad asociada con l a informació n que
almacenano enví anatravé sde estossistemas.
N o se permitirá l
anavegació nensitiosW eb de uso social , que no generanval
oral
a
entidad: sitioscomo youtube, myspace, facebook, h i5 , entre otros.
Está proh ibido eluso de emisoras de radio por Internet, debido alincremento en el
uso de anch o de banda, que afecta l
a velocidad denavegació nde l osusuarios de la
empresa.
N o se permite l
adescargaporInternetde arch ivosde video, m sica, etc. , porafectar
elrendimiento de l
ared y uso delenl
ace de Internet.
Eldepartamento de tecnol ogí a informá tica garantiz ará que todos l os usuarios
cuenten con una configuració n está ndar en eluso de l os recursos de la empresa, y
acceso Internet, con elpropó sito de asegurar que lo establ ecido en é sta pol
í tica se
cumpl a.
8 .2 .1 P O L IT IC A DE U SO DEL C O R R EO EL EC T R O N IC O
Elcorreo el
ectró nico esunmedio formalde comunicació nde C L O U D SER V IC ES.
T odos l
os mensajes de correo el
ectró nico deben enviarse mostrando alfinalel
1 6
nombre compl eto, cargo, elnombre de l a entidad y que seestá actuando en
representació nde C L O U D SER V IC ES.
L a conexió n alcorreo el
ectró nico y servicios de navegació n por Interneth an sido
suministrados para eluso de personalautoriz ado nicamente para propó sitos
propios y oficiales. En todas l as ocasiones los intereses y elbuen nombre de l a
empresadebenserprotegidosporl oscol aboradoresy terceros que l aboranparal a
misma.
C uando se utilice elcorreo electró nico paraasuntosrelacionadosconl as funciones
de la empresa, debe existir cl aridad en que al gunospuntosde vistaexpresados
pueden ser de l os individuos y no representan necesariamente l a pol í tica de
M A SDA S. A . S S. A . S
A ntes de enviar un correo deberá verificarse que esté dirigido sol amente a los
interesados y/ o a quienes deban conocer o decidir sobre eltema, evitando
dupl icidadesy otrosinconvenientes.
Está proh ibida l
a reproducció n y enví o de mensajes tipo cadena osimil
ares; puede
ocasionar suspensió n delservicio temporalo definitivamente, aunque eliniciador
h ayasido otrapersona.
1 7
Elcorreo el ectró nico no deberá usarse para enviar informació n concontenido
discriminatorio. Se deben evitar l os estereotipos de raz a, gé nero, rel
igió n, origen
é tnico, localiz ació ngeográ fica, orientació nsexual, discapacidad, aparienciafí sicao
estrato social.
8 .3 P O L IT IC A DE A DM IN IST R A C IO N DE C O N T R A SEÑ A S
8 .3 .1 EL EC C IO N DE C O N T R A SEÑ A S
N o util
iz ar contraseñ as que sean nicamente palabras ( aunque sean extranjeras) , o
nombres ( elde usuario, personajes de ficció n, miembros de l a familia, mascotas,
ciudades, marcas, l ugaresuotro relacionado) .
N o usar pal
abras existentes en eldiccionario, ni l
as mismas escritas en orden
inverso.
8 .3 .2 P R O T EC C IO N DE C O N T R A SEÑ A S
1 8
6 . Está proh ibido enviar l
a contraseñ a por elcorreo el
ectró nico, ( teniendo en
cuentaque este no esunmedio seguro) y mencionarl aenunaconversació n.
8 . 4 P O L IT IC A DE C U M P L IM IEN T O A N T E R EQ U ER IM IEN T O S L EG A L ES Y
C O N T R A C T U A L ES DER EC H O S DE A U T O R
1 9
empresa, sin l a autoriz ació n respectiva por parte delpersonalencargado de l
a
seguridad informá tica.
8 .5 P O L IT IC A DE C O N T R O L DE V IR U S
4 . T odosl
osmediosmagné ticossuministradosporuntercero debenserrevisados
porelantivirusde laempresaantesque estos seanutil
iz adosenl
oscomputadores
personaleso servidoresde l
aempresa.
8 .1 P O L IT IC A DE SEG U R IDA D DE L O S EQ U IP O S M O V IL ES
1 . L as computadoras personal
es no se deben util iz ar en la empresa para
conectarse aInternetuotrasredes si no existen control espara l
osvirus
y firewallde l a computadora personal , instal ados y en constante
2 0
funcionamiento.
2 . Durante l os viajes, l
os equipos ( y medios) no se deben dejar
desatendidos enlugares p bl
icos. L as computadorasportá til
es se deben
ll
evarcomo equipaje de mano.
3 . L os portá til
es son vulnerables alrobo, pé rdida o acceso no autoriz ado
durante l os viajes. Se l
es deben proporcionar una forma apropiada de
protecció n alacceso ( ej. C ontraseñ as de encendido, encripció n, etc. )
C onelfinde preveniracceso no autoriz ado.
8 .2 P O L IT IC A DE C O N F IDEN C IA L IDA D DE L A IN F O R M A C IO N
1 . Si la informació n no está cl
asificada como p blica, é sta no podrá ser
proporcionadaaningunaentidad externasinunacuerdo de confidencial
idad.
3 . L os col
aboradores y terceros que trabajan para l a empresa no deben enviar
informació n de cará cter diferente a Dominio P blico porcorreo el
ectró nico, a
menosque se tenganmedidasadicional esde protecció n.
2 1
modifiquen sin consentimiento a terceras partes ( prestadores de servicios,
entidades externas y personal es que real iz a alguna actividad dentro de l a
entidad) . Estas entidades tendrá n acceso a l a informació n nicamente cuando
se demuestre l a necesidad de conocer su existencia y cuando se h aga a travé s
de unacl á usul
ao contrato de confidencialidad.
8 . 3 P O L IT IC A DE M O N IT O R EO Y EV A L U A C IO N DEL C U M P L IM IEN T O
1 2 . Eldepartamento de tecnol
ogí ainformá ticase reservaelderech o de monitorear
2 2
o inspeccionar en cual quier momento todos l os sistemas de informació n de la
empresa. Estaeval uació npuede tenerl ugarconelconsentimiento, presenciao
conocimiento deljefe inmediato. L os sistemas de informació n sujetos a tal
examen incl uyen, pero no está n l imitados a sistemas de arch ivo de correo
electró nico, arch ivosendiscosdurosde computadorespersonal es, arch ivosde
correo de voz , arch ivosencol asde impresió ny salidasde má quinasde fax.
2 3
8 .4 P O L IT IC A DE R EP O R T ES DE IN DIC EN T ES DE SEG U R IDA D DE
IN F O R M A C IO N
T odo elpersonaldebe estar vigil ante respecto a los incidentes o debil idades de
seguridad ( incl
uyendo fallas en elsistema, pé rdidadelservicio, erroresresultado de
datosdelnegocio incompl etoso inadecuados, rompimiento de l aconfidencial idad) .
Si se detectanestos incidentes o debil idadesde seguridad, debenserreportadosen
forma inmediata alencargado de l a seguridad informá tica alcorreo el ectró nico
seguridadinformatica@ cloud- services. com. co
8 .5 P O L IT IC A DE P R O Y EC T O S
- Incl
uir val oració n de riesgos de seguridad en cada una de l
as etapas del
proyecto, paraidentificarloscontrolesnecesarios.
2 4
desatendido. Esnecesario guardarl o bajo l
lave y/ o utiliz arunaguayade seguridad.
d) Se deben util iz ar restricciones en l os tiempos de conexió n para brindar
seguridad adicional.
e) Por fuera delh orario regul ar de trabajo, cuando l os col aboradoress no se
encuentrenensupuesto de trabajo, debenl impiarsusescritoriosy á reasde trabajo
de cualquier informació n que util icen para eldesarrol lo de sus l abores y sea
considerada “ C onfidencial ” de acuerdo a l
a cla sificació n. A sí mismo, deben
asegurarenformaapropiadadich ainformació n.
f) L ainformació nconsideradacomo sensitivao crí ticadebe siempre permanecer
bajo l l
ave y no debe dejarse desatendida en ning n sitio durante otros turnos de
trabajo o elfinde losmismos.
8 .7 P O L IT IC A DE R ESP A L DO DE DA T O S
L os col aboradores y terceros que trabajan para la empresa deben establ ecer con el
DEPA R T A M EN T O DE T EC N O L O G IA IN F O R M A T IC A l
os l
ineamientos para el
respal do, al
macenamiento y destrucció nde l ainformació nsensibl e, val
iosao crí tica
de l a empresa, minimiz ando elriesgo de pé rdidas de informació n o elmaluso de
é sta.
2 5
inadvertidamente enelproceso de restauració n.
3 . L asimpl
icacionesenl
ospl
anesparal
acontinuidad de l
aempresa.
5 . L os procedimientos y responsabil
idades para reportar y manejar incidentes de
seguridad.
8 . 1 . 1 P O L IT IC A DE A C C ESO L O G IC O
2 6
8 . 1 . 2 P O L IT IC A DE A C C ESO F ISIC O
8 . 1 . 3 P O L IT IC A DE C O N T R O L DE A C C ESO
8 .1 P O L IT IC A DE T R A N SF ER EN C IA DE IN F O R M A C IO N
2 7
diferentes raz ones requieran conocer o intercambiar informació n cl
asificaday
reservada.
Llevando estos l
ineamientos M A SDA S. A . S S. A . S. estará mas segura, en caso de
dudaso inconvenientesinformar
F ernando R ojas
Ingeniero sistemas/ C iberSeguridad
Info@ cloud- services. com. co
2 8