M A N U A L SEG U R IDA D DE L A IN F O R M A C IÓ N

EL A B O R A DO P O R :

F ER N A N DO R O JA S
IN G EN IER O EN SIST EM A S / C IB ER SEG U R IDA D

P ER EIR A 2 0 2 2

1
 T A B L A DE C O N T EN IDO

1 . IN TR O DU C C IO N ..............................................................................................................................................................4
2 . PR O PO SIT O ...................................................................................................................................................................... 6
3 . R EF ER EN C IA N O R M A T IV A ........................................................................................................................................... 6
4 . A L C A N C E.........................................................................................................................................................................7
5 . DEF IN IC IO N ES.................................................................................................................................................................9
6 . C U M PL IM IEN T O ..............................................................................................................................................................9
7 . PO L IT IC A DEL SG SI– SIST EM A DEG EST IO N DESEG U R IDA D DEL A
IN F O R M A C IO N . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1 0

7 .1 PR IN C IPIO S...............................................................................................................................................................1 0

7 .2 PR O T EC C IO N DEL A IN F O R M A C IO N .................................................................................................................. 1 0

7 .2 .1 PR O T EC C IO N DEL O S R EC U R SO S.....................................................................................................................1 0

7 .2 .2 A U T O R IZ A C IO N DEL O S U SU A R IO S................................................................................................................ 1 1

7 .2 .3 R ESPO N SA B IL IDA D............................................................................................................................................ 1 1

7 .2 .4 DISPO N IB IL IDA D................................................................................................................................................ 1 1

7 .2 .5 IN T EG R IDA D. . . . . . . . . . . . ............................................................................................................................................ 1 1

7 .2 .6 C O N F IA N Z A . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1 1

7 .2 .7 ESF U ER Z O DEEQ U IPO ....................................................................................................................................... 1 1

7 .2 .8 SO PO R T EPR IM A R IO PA R A L A SEG U R IDA D DEL A IN F O R M A C IO N ............................................................ 1 2

7 .2 .9 R EV ISIO N DESEG U R IDA D EN SIST EM A S DEIN F O R M A C IO N ...................................................................... 1 2

7 .3 C L A SIF IC A C IO N DEL A IN F O R M A C IO N ...........................................................................................................1 2

7 .4 DESA R R O L L O DEPO L IT IC A S............................................................................................................................1 3

8 . PO L IT IC A S A PL IC A B L ES A L O S U SU A R IO S..................................................................................................... 1 4

8 .1 PO L IT IC A DEA C C ESO A L O S R EC U R SO S DEIN F O R M A C IO N ...................................................................... 1 4

8 .2 PO L IT IC A DEU SO DEL O S R EC U R SO S DEL A IN F O R M A C IO N ......................................................................1 5

8 .2 .1 PO L IT IC A DEU SO DEC O R R EO EL EC T R O N IC O ............................................................................................. 1 6

8 .3 PO L IT IC A DEA DM IN IST R A C IO N DEC O N T R A SEÑ A S...................................................................................1 8

8 .3 .1 EL EC C IO N DEC O N T R A SEÑ A S.........................................................................................................................1 8

8 .3 .2 PR O T EC C IO N DEC O N T R A SEÑ A S....................................................................................................................1 8

8 .4 PO L IT IC A DEC U M PL IM IEN T O A N T ER EQ U ER IM IEN T O S L EG A L ES Y

C O N T A C T U A L ES – DER EC H O S DEA U T O R ...............................................................................................................1 9

8 .5 PO L IT IC A DEC O N T R O L DEV IR U S...................................................................................................................... 2 0

2
8 .6 PO L IT IC A DESEG U R IDA D DEL O S EQ U IPO S M O V IL ES.................................................................................... 2 0

8 .7 PO L IT IC A DEC O N F IDEN C IA L IDA D DEL A IN F O R M A C IO N .............................................................................. 2 1

8 .8 PO L IT IC A DEM O N IT O R EO Y EV A L U A C IO N DEL C U M PL IM IEN T O .................................................................2 2

8 .9 PO L IT IC A DER EPO R T ES DEIN C IDEN T ES DESEG U R IDA D DEIN F O R M A C IO N ............................................. 2 4

8 .1 0 PO L IT IC A DEPR O Y EC T O S................................................................................................................................2 4

8 .1 1 PO L IT IC A DEPA N T A L L A DESPEJA DA Y ESC R IT O R IO L IM PIO ....................................................................2 4

8 .1 2 PO L IT IC A DER ESPA L DO DEDA T O S............................................................................................................... 2 5

8 .1 3 PO L IT IC A DEL A SEG U R IDA D DEL A C C ESO DETER C ER O S........................................................................ 2 6

8 .1 3 .1 PO L IT IC A DEA C C ESO L O G IC O ........................................................................................................................2 6

8 .1 3 .2 PO L IT IC A DEA C C ESO F ISIC O .......................................................................................................................... 2 7

8 .1 3 .3 PO L IT IC A DEC O N T R O L DEA C C ESO .............................................................................................................. 2 7

8 .1 4 PO L IT IC A DET R A N SF ER EN C IA DEIN F O R M A C IO N ........................................................................................2 7

3
1 . IN T R O DU C C IO N

Eldepartamento de tecnol ogí a informá tica de C L O U D SER V IC ES desarrol la una

gestió nseguray provee unambiente adecuado paral aoptimiz ació n de l os activos
de informació n que se encuentran al ojados en l os servidores de l a empresa,
asegurando l a confidencialidad, disponibil idad e integridad, de l a informació n. El
DEPA R T A M EN T O DE T EC N O L O G IA IN F O R M A T IC A propende por el
cumpl imiento de l as directrices delG obierno N acionalrel acionadas con l a
seguridad de l ainformació n, l aprotecció nde l osdatos, elbuennombre de C L O U D
SER V IC ES y de l os terceros con l os que l a empresa tenga ví ncul os, aplicando
metodol ogí asde valoració ny tratamiento de l osriesgosseg nl asnecesidadesde l a
empresa.

Elpresente M anualde Seguridad de l a Informació n es l

a decl aració n generalque
representa l a posició n de l a administració n del DEPA R T A M EN T O DE
T EC N O L O G IA IN F O R M A T IC A con respecto a l a protecció n de activos de
informació n( L astecnol ogí asde l ainformació nincluido elh ardware, elsoftware, l os
procesos, l a informació n) , a l a implementació n del Sistema de Seguridad de l a
Informació ny alapoyo, generació ny publ icació nde suspol í ticas, procedimientose
instructivos.

ElDEPA R T A M EN T O DE T EC N O L O G IA IN F O R M A T IC A paraelcumpl imiento

de sumisió n, visió n, objetivosestraté gicosy apegadosasusval oresempresariales,
establ
ece lafunció nde Seguridad de l aInformació nenl aempresa, con el objetivo
de:

M inimiz arelriesgo enl asfuncionesmá simportantesde l aempresa. C umpl irconlos

principiosde seguridad de l ainformació n.
M antener l aconfianz a de suscol aboradores internos y usuarios externos. A poyar l
a
innovació ntecnol ó gica.
Establecer las pol í ticas, procedimientos e instructivos en materia deseguridad de l a
informació n.
F ortal
ecerl aculturade seguridad de l ainformació nenl osservidoresdel aempresa.
G arantiz arl
acontinuidad delnegocio frente aincidentes.

N IV EL DE C U M P L IM IEN T O

T odas las personas cubiertas por elal

cance y apl
icabil
idad se espera que se
adh ieranen un1 0 0 % al
apol í tica.

A continuació n se establecen l as 1 2 Pol í ticas de seguridad que soportan EL

DEPA R T A M EN T O DE T EC N O L O G IA IN F O R M A T IC A de l
a empresa C L O U D
SER V IC ES paraM A SDA S. A . S S. A . S.

4
1 . Definir, impl
ementar, operar y mejorar de forma continua un Sistema de
Seguridad de l
a informació n, soportado en l
ineamientos claros al
ineados a l
as
necesidadesde l
aempresa, y al osrequerimientosregulatorios.

2 . L as responsabil
idades frente a l
a seguridad de l
a informació n será n definidas,
compartidas, publicadasy aceptadasporcadauno de suscol aboradores, terceros,
practicantes.

3 . Proteger l a informació n generada, procesada o resguardar por l os procesos de la

empresa, su infraestructura tecnol ó gica y activos de riesgo que se generade los
accesos otorgados a terceros ( ej: M esas de A yuda) , o como resul tado de un
servicio interno.

4 . Proteger la informació n creada, procesada, transmitida o resguardada por sus

procesos, con elfin de minimiz ar impactos financieros, operativos o l egales
debido a un uso incorrecto de esta. Para el lo es fundamentall a aplicació n de
controlesde acuerdo conl aclasificació nde l
ainformació nde supropiedad o en
custodia.

5 . Proteger su informació n de l
as amenaz as originadas por parte de l
os
colaboradores.

6 . Proteger l
as instal
aciones de procesamiento y l
a infraestructura tecnol
ó gica que
soportasusprocesoscrí ticos.

7 . C ontrol
arlaoperació nde l
osprocesosde laentidad garantiz ando l
aseguridadde
losrecursostecnol
ó gicosy l
asredesde datos.

8 . Impl
ementarcontrolde acceso al
ainformació n, sistemasy recursosde red.

9 . G arantiz arque l
aseguridad seaparte integraldelcicl
o de vida de l
ossistemasde
informació n.

1 0 . G arantiz arque a travé sde una adecuada gestió nde l

os eventos de seguridady
lasdebil
idadesasociadasconl ossistemasde informació nunamejoraefectivade
sumodel o de seguridad.

1 1 . G arantiz arl
adisponibil
idad de l
osprocesosde l
aempresay lacontinuidad de
suoperació nbasadaenelimpacto que puedengenerarl
oseventos.

1 2 . G arantiz ar el cumpl imiento de l

as obl
igaciones l
egal
es, regul
atorias y
contractualesestabl
ecidas.

5
2 . P R O P O SIT O

Elmanualde Seguridad de seguridad de l a informació n delDEPA R T A M EN T O DE

T EC N O L O G IA IN F O R M A T IC A de C L O U D SER V IC ES Identifica responsabil
idades,
establecer pol í ticas y objetivos para la protecció napropiaday consistente de l osactivosde
informació nde l aempresa.

L a implementació n de l
as polí ticas buscar reducir elriesgo de divulgar, modificar,
destruir o usaren formaindebidal osactivos de informació ny operacionescrí ticas,
ya sea accidentalo intencional mente. A lmismo tiempo se establ ecenpol í ticascon
objeto de orientar y mejorar l a administració n de seguridad de l os activos de
informació ny proveer lasbases paraelmonitoreo atravé sde toda l aentidad.

3 . R EF ER EN C IA N O R M A T IV A

L ey 6 0 3 de 2 . 0 0 0 Esta ley se refiere a l a protecció n de l

os derech os de autor en
C olombia. R ecuerde: elsoftware es un activo, ademá s está protegido por el
Derech o de A utor y l a L ey 6 0 3 de 2 0 0 0 obl igada a las empresas a declarar si l
os
probl emasde software sono no l egales.

L ey Estatutaria 1 2 6 6 del3 1 De Diciembre de 2 . 0 0 8 : Por l

a cualse dictan l as
disposiciones general es delH á beas Data y se regula elmanejo de l a informació n
contenidaenbasesde datospersonal es.
L ey 1 2 7 3 del5 de Enero de 2 . 0 0 9 : Por medio de la cualse modifica elC ó digo
Penal , se crea unnuevo bienjurí dico tutel ado - denominado “ de laprotecció nde l a
informació n y de l os datos”- y se preservan integralmente los sistemas que util icen
lastecnol ogí asde l
ainformació ny l ascomunicaciones, entre otrasdisposiciones.

L ey 1 3 4 1 del3 0 de Jul
io de 2 . 0 0 9 : Porl
acualse definenl osprincipios yconceptos
sobre l a sociedad de la informació n y l a organiz ació n de las T ecnologí as de l
a
Informació ny l asC omunicaciones- T IC - , se creal aA genciaN acionaldelEspectro
y se dictanotrasdisposiciones.

L ey Estatutaria 1 5 8 1 De 2 0 1 2 : Entró en vigencia l a L ey 1 5 8 1 del1 7 de octubre

2 0 1 2 de Protecció n de Datos Personal es, sancionada siguiendo l os l
ineamientos
establ ecidos por elC ongreso de l a R ep bl ica y l
a Sentencia C - 7 4 8 de 2 0 1 1 de l
a
C orte C onstitucional .

Decreto 1 3 7 7 De 2 0 1 3 : Protecció n de Datos, decreto por elcualse regl amenta

parcialmente l a L ey 1 5 8 1 de 2 0 1 2 . A ñ ade dos nuevos capí tul
os alC ó digo Penal
C olombiano: 1 . C apitul o Primero: De l os atentados contra l
a confidencialidad, l
a
integridad y l adisponibil idad de l osdatosy de l ossistemasinformá ticos.

6
2 . C apitul
o Segundo: De l osatentadosinformá ticosy otrasinfracciones. C omo se
puede ver en elprimer capí tul
o, esta L ey está muy l igada a l
a ISO 2 7 0 0 0 , l
o cual
coloca alPaí s a la vanguardia en l egisl ació n de seguridad de la informació n,
abriendo así l
aposibil
idad de nuevasentradasconeste tema.

L ey 1 2 7 3 DE 2 0 0 9 : Por medio de l
a cualse modifica elC ó digo Penal, se crea un
nuevo bientutel ado denominado “ de l aprotecció nde lainformació ny losdatos”y
se preservan integral mente l os sistemas que util icen las tecnologí as de l a
informació ny l ascomunicaciones, entre otrasdisposiciones.

L ey 1 3 4 1 de 2 0 0 9 : T ecnol ogí as de l
a Informació n y apl
icació n de seguridad
L ey 1 7 1 2 de 2 0 1 4 : T ransparenciaenelacceso al ainformació np bl ica.

Decreto1 0 7 8 de 2 0 1 5 : Decreto Ú nico R egl

amentario delSectorde T ecnol
ogí asdel
a
Informació ny l asC omunicaciones.

A rtí culo 2 3 0 de l al ey 1 4 5 0 de 2 0 1 1 establ

eció que todas las Entidades deben
adel antar acciones señ al adas por el G obierno N acional , concernientes a
impl ementar l as estrategias de G obierno en L í nea que se definen por elM inisterio
de T ecnol ogí asde laInformació ny l ascomunicaciones.
Decreto N o. 2 6 9 3 de 2 0 1 2 , respal
da elM anualde G obierno en L í nea y trae
inmerso elmanualde seguridad, creando l osl
ineamientos, pl
az osy té rminosparael
mejoramiento de l asT ecnol ogí asde l
aInformació ny l
asC omunicaciones.

Decreto N o. 2 5 7 3 de 2 0 1 4 , establ
ece como l
ineamiento la Seguridad y privacidad
de la Informació n y comprende acciones transversal es ademá s de componentes
enunciados, a proteger l a informació n y sistemas de informació n, delacceso,
divulgació n, interrupció no destrucció nno autoriz ada.

N ormaT é cnicaC olombianaN T C - ISO - IEC 2 7 0 0 1 : 2 0 1 3 . N ormaté cnicade sistemas

degestió nde seguridad de l
ainformació n.

2 . A L CA N CE

Este M anualde Seguridad de l a Informá tica aplica para todos los activos de
informació n de propiedad de C L O U D SER V IC ES con excepció n de aquell
os que
h ayan sido especí ficamente definidos por elC oordinador delDepartamento de
T ecnologí aInformá tica.

A ctivosde inform ació nson:

A C T IV O S F ÍSIC O S

- Infraestructura de T I: Edificios, oficinas, centro de datos, h abitaciones de

servidores y equipos, armarios de red ( R acks) , cabl
eado, , escritorios, cajones,
arch ivadores, sal
as de al macenamiento de medios fí sicos, dispositivos de

7
identificació n y autentificació n, controlde acceso delpersonaly otros dispositivos
de seguridad como porejempl ol ascá maras( circuito cerrado de T V ) .

- C ontrolesdelentorno de T I: A larmas, sistemade refrigeració n, supresió ncontra

incendio, sistemas de al
imentació n ininterrumpida, al
imentació n de potencia y de
red.

- H ardware de T I: Estaciones de trabajo, computadores de escritorio y portá tiles,

dispositivos de al macenamiento, servidores, mó dem, dispositivos de
comunicaciones, impresoras, fax, scanner, fotocopiadorasy equiposmul tifunció n.

- Docum entació n: Procedimientos, programas, guí as, formatos, manuales y demá s

documentació n fí sica de propiedad de M A SDA S. A . S S. A . S. el
aborados por
C L O U D SER V IC ES.

A C T IV O S DE SER V IC IO S DE T I: Servicios de autenticació n de usuario y

administració n de procesos de usuario, apl icaciones, F irewal l s, servidores proxy,
servicios de red, servicios web, servicios inal á mbricos, anti- virus, anti- spyware,
anti- spam, detecció n y prevenció n de intrusiones, seguridad, F T P, bases de datos,
correo el ectró nico y mensajerí a instantá nea, h erramientas de desarrol lo, contratos
de soporte y mantenimiento de software.

A C T IV O S H U M A N O S

- Em pl
eados: col
aboradoresy terceros.

- Externos: C onsultores externos o asesores especial

istas, trabajadores temporal
es,
pasantes, proveedoresy socios.

L as pol í ticas de seguridad de la informació n descritas en este M anualapl ican a

todos l os activos de informació n durante su cicl o de vida, incl uyendo creació n,
distribució n, transmisió n, al
macenamiento y eliminació n.

De lamismaforma, estaspol í ticasestá norientadasagarantiz areluso apropiado de

losdispositivos tecnol ó gicos ( computadores de escritorio, portá til es, etc. ) y de
servicioscomo elinternet, elcorreo el ectró nico y elER P, brindando al os
colaboradores, terceros, pautas para l a util iz ació n apropiada de dich os recursos,
permitiendo así minimiz ar l osriesgosde unaeventualpé rdidade activosde
informació nsensitivos

Éstas polí ticasapl

ican a todos l
os col
aboradores, terceros y p blico en generalque
accedenaactivosde informació nde M A SDA S. A . S S. A . S, l
oscualesestá nsujetos
alosmismosrequerimientosde seguridad, y tienenl asmismasresponsabil idadesde
seguridadde informació nque lostrabajadoresde laempresa.

L ainformació n util
iz ada para eldesarrol l
o de las actividades y funciones diarias o
contratadas por M A SDA S. A . S S. A . S, es propiedad de l a empresa por talraz ó n,
todos los colaboradores, y terceros está n obl igados a proteger dich a informació n,
incl
uso unavez h ayaterminado surel ació ncontractualo l egalconl aempresa.

8
5 . DEF IN IC IO N ES

SG SI: Sistemade G estió nde l

aSeguridad de l
aInformació n.

Seguridad Inform á tica: C aracterí sticas y condiciones de sistemas de

procesamiento de datos y su al
macenamiento, para garantiz ar su confidencial
idad,
integridad y disponibil
idad.

Seguridad de l a Inform ació n: Protecció n que se brinda a los activos de

informació nmediante medidaspreventivasconelfinde asegurarl acontinuidad del
negocio y evitarl
amaterial
iz ació nde l
osriesgos.

B atch : A rch ivo magné tico que tiene almacenada una secuencia de comandos. A l
ejecutarse, reempl az a l
a operació n de digitar l
os comandos de secuencia cadavez
que se requiere efectuar una operació n. Se util iz a para al
macenar operaciones
repetitivas.

C able- m odem : Dispositivo de comunicació n que permite establ

ecer una conexió n
a unservicio de bandaanch aque brindaunproveedorde serviciosde Internet.

F irewall: Dispositivo tecnol

ó gico que tiene como funció n proteger l
a red interna de una
compañ í ade accesosno autoriz adosdelexteriorví aInternet.

M ó dem : Dispositivo de comunicació nque permite establ

ecerunaconexió natravé s
de lal
í neatelefó nica.

R ed privada virtual– V P N : M etodol

ogí a de conexió n ví a Internetque permite a
losusuariosconectarse alared corporativautil iz ando conexionesp bl icas, atravé s
de canalessegurosde comunicació n.

Script: A rch ivo que contiene una secuencia de comandos que se util
iz a para
comunicarseenformaautomá ticaentre dosapl icaciones.

T ercero( s) : C ual
quierpersonanaturalo jurí dicaencal
idad de proveedor, o consul
tor.

A cuerdo de C onfidencial idad: C ontrato suscrito entre las partes con elfin de
compartir materialconfidencialo conocimiento para ciertos propó sitos, pero
restringiendo suuso p bl ico.
Encargado de Seguridad Inform á tica: Persona del egada cuyas funciones
principales son asesorar en materia de seguridad de l a informació n y supervisar el
cumpl imiento de l
apresente Pol í tica.

6 . C U M P L IM IEN T O

Elcumpl imiento de l as pol í ticas de seguridad deberá ser acogido por todos l
os
col
aboradores, terceros y p bl ico en general, los que no está n exentos del
cumplimiento de estaspolí ticas.

9
7 . P O L IT IC A DE SG SI – SIT EM A DE G EST IO N DE SEG U R IDA D DE L A
IN F O R M A C IO N

Eldepartamento de tecnol ogí ainformá ticareconoce l

ainformació ncomo unactivo
fundamentalque debe serprotegido frente amenaz asinternaso externasque puedan
comprometer l a confidencialidad, integridad y disponibilidad de l
a misma. El
DEPA R T A M EN T O DE T EC N O L O G IA IN F O R M A T IC A h a de establ ecer
estrategiasy control
esenelmarco de unSistemade Seguridad de l aInformació n.

O B JET IV O S DEL SIST EM A DE SEG U R IDA D DE L A IN F O R M A C IO N

1 . Protegerl ainformació nrecibiday generadaporl oscolaboradoresde C L O U D

SER V IC ES en sus procesos, mediante l a impl ementació n de controles de
conformidad conlanormaN T C ISO / IEC 2 7 0 0 1 : 2 0 1 3 .

2 . V elar por l
a protecció n de l
os activos informá ticos de apoyo en l
os procesos
delosdepartamentos.

3 . Identificary darcumpl
imiento al
osrequisitosl
egal
esy regul
atorios.

4 . G estionar l os riesgos de seguridad de l a informació n de acuerdo con l as

directrices de la entidad, con elfin de proteger la confidencial
idad, integridad y
disponibilidad de lainformació n.

5 . C apacitar y sensibil iz ar alpersonalen temas relacionados con seguridad de l a

informació n, buscando un aumento progresivo en l a cultura de seguridad alinterior
de laentidad, reflejado enelnivelde cumpl imiento de pol í ticasyprocedimientosy,
elreporte de eventose incidentesde seguridad.

SIT EM A DE G EST IO N DE SEG U R IDA D DE L A IN F O R M A C IO N

7 .1 P R IN C IP IO S

L os siguientes principios bá sicos fundamentan l as pol í ticas de seguridad de l

a
informació nparal ainfraestructuratecnol ó gicay de informació n

7 .2 P R O T EC C IO N DE L A IN F O R M A C IO N

L os activos de informació nserá nprotegidos con elnivelnecesario en proporció na

su val or y elriesgo de pé rdida para l a entidad. L a protecció n debe acentuar l
a
confidencial idad, integridad y disponibil
idad de l
osactivosde informació n.

7 .2 .1 P R O T EC C IO N DE L O S R EC U R SO S

L os recursos tecnoló gicos será n protegidos con elnivelnecesario en proporció n a

suval ory elriesgo de pé rdidaparal aempresa. Dich osrecursosdebenserutil iz ados
exclusivamente para eldesarrol lo de l as actividades l aboral
es establ
ecidas a l os
colaboradores, tercerosy así mismo suutil iz ació nse h ará enformaadecuada, conel
má ximo de eficienciay conejempl arracional idad.

1 0
7 .2 .2 A U T O R IZ A C IO N DE U SU A R IO S

T odos l os usuarios deben ser identificados independientemente, con permisos de

acceso especí ficamente e individual mente autoriz ados por raz ones bá sicas de sus
funciones. L os mecanismosde acceso de usuarios deben exigirun proceso robusto
de autenticació n ( por ejempl o: identificació n delusuario nica y contraseñ a) ,
autoriz ació napropiaday auditorí aconfiable.

7 .2 .3 R ESP O N SA B IL IDA D
L os col aboradores y custodios de l os activos de informació n de C L O U D
SER V IC ES son responsables por eluso apropiado, l a protecció n y privacidad de
estos activos. Eldepartamento de tecnol ogí a informá ticagenerará y mantendrá n
pistas apropiadas de auditorí a para identificar usuarios, y para documentar l as
situacionesrel acionadasconeventosde seguridad.

7 .2 .4 DISP O N IB IL IDA D

L os activos de informació n deben estar disponibl

es para soportar los objetivos de
C L O U D SER V IC ES. Debentomarse medidasadecuadasparaasegurareltiempo de
recuperació nde todal ainformació ny elacceso portercerosautoriz ados.

7 .2 .5 IN T EG R IDA D

L osactivosde informació ndebenestaradecuadamente protegidosparaasegurarsu

integridad y precisió n. L asmedidas de validació n definidas permitirá ndetectar l
a
modificació n inapropiada, el iminació n o adul teració n de l os activos de
informació n.

7 .2 .6 C O N F IA N Z A

L os col
aboradores y terceros deben demostrar capacidad para reunir o excederl
os
requerimientos de seguridad de C L O U D SER V IC ES, y deben justificar l a
confianz a en sus capacidades para asegurar l os activos de informació n de la
empresa. L aconfianz aempiez aaincrementarsuimportanciacuando l osactivosde
informació nsoncompartidosconterceros.

7 .2 .7 ESF U ER Z O DE EQ U IP O

Para que l ogre ser efectiva, l

a seguridad de informació n debe ser un esfuerz o de
equipo donde debe participar en forma activa cual quier col aborador que tenga
interacció ncon l ainformació no l ossistemasde informació nde l aempresa. T odos
los col aboradores y terceros deben cumpl ir con las pol í ticas de seguridad de
informació n y desempeñ ar un papelproactivo para l a protecció n y divulgació n de
estaspol í ticas.

1 1
7 .2 .8 SO P O R T E P R IM A R IO PA R A LA SEG U R IDA D DE
IN F O R M A C IO N

ElDepartamento de T ecnol ogí a Informá tica debe facilitar l

a administració n y
desarroll
o de iniciativas sobre seguridad de informació n. ElDepartamento de
T ecnologí a Informá tica deberá proveer direcció n y experiencia té cnica para
asegurar que l a informació n de C L O U D SER V IC ES se encuentre protegida
apropiadamente. Esto incl uye considerar l a confidencial
idad, la integridad y la
disponibil idad de l
ainformació ny de l osrecursosinformá ticosque l asoportan.

L os col aboradores son responsabl es de famil iariz arse, observar y cumpl ir las
pol í ticas de seguridad de informació n, las dudas que puedan surgir al rededor de
é stas deben ser consul tadas alElDepartamento de T ecnol ogí a Informá tica
directamente con el encargado de l a seguridad informá tica al correo
seguridadinformatica@ cl oud- services. com. co

7 .2 .9 R EV ISIO N ES DE SEG U R IDA D EN SIST EM A S DE

IN F O R M A C IO N

A lmenosunavez alañ o elDepartamento de T ecnol ogí aInformá tica debe efectuar

las pruebas necesarias para eval uar elcumpl imiento de l as diferentes pol í ticas de
seguridad, l o mismo que para verificar elcumpl imento de l os está ndares de
configuració n en las diferentes plataformas té cnicas e instal aciones de tecnol ogí a
de informació n. A nualmente se real iz ar l
a revisió n y actualiz ació n de las pol í ticas
establecidas, conelfinde asegurarl asuficiente, convenienciay eficiencia.

C O M P R O M ISO DEL DEP A R T A M EN T O DE T EC N O L O G IA

IN F O R M A T IC A C O N L A SEG U R IDA D DE L A IN F O R M A C IO N

EsdeberdelDepartamento de tecnol ogí ainformá ticaparticiparde maneraactivaen

laseguridad de l
ainformació nmediante revisió ny aprobació ndelpresente manual ,
la del
egació nde funciones, responsabilidades y la iniciació n de pl
anesy programas
paramantenerl aconcentració nsobre laseguridad de l ainformació n.

7 .3 C L A SIF IC A C IO N DE L A IN F O R M A C IO N

Elsistemade cl asificació ndefinido poreldepartamento de tecnol ogí ainformá tica

debe tener en cuenta l os pil ares de seguridad de l a informació n: confidencial idad,
integridad y disponibil idad; definiendo tres nivel es de cl asificació n para estas
propiedades, ademá sde l aL ey 1 7 1 2 de 2 0 1 4 – L ey de T ransparenciay A cceso al a
informació ny L ey 1 5 8 1 de 2 0 1 2 – Protecció nde datospersonal es.

Este sistema de cl asificació n de l a informació n debe ser util iz ado por el

departamento de tecnologí ainformá tica para asignar cl
asificaciones sensitivas con
requerimientosindependientesbasadosenl atablade clasificació n.

Esta pol í tica establ

ece un esquem a de cl
asificació n de inform ació n de l
a
siguiente m anera:

1 2
 T A B L A DE C L A SIF IC A C IO N

A ctivo de l
ainformació ndisponibl e sol
o paraungrupo de personas
dentro o fuera de C L O U D SER V IC ES ( definido por elpropietario)
cuya no disponibil idad, divulgació n o alteració n no autoriz ada por
terceros pueden conl l
evar un impacto negativo de í ndol e legal ,
econó micay de imagenparal aempresa.

C O N F IDEN C IA L Elacceso a esta informació n debe ser estrictamente restringido. L a

revel
ació nde estainformació nrequiere l aaprobació nde sudueñ o y
enelcaso de terceros, elacuerdo de confidencialidad firmado.

Ejemplos de esta informació n son l

os informes de desempeñ o y
rendimiento de los colaboradores o los pl anes de desarrol
lo de
nuevosproductos.

Esta informació n puede ser revelada a terceros si se h afirmado un

acuerdo de confidencialidad. Se espera que l a revel ació n de esta
informació n no cause dañ os serios a l a empresa C L O U D
SER V IC ES, y su acceso es l ibre para los col aboradores de l a
empresaatravé sde l aInternet.

Informaciones que por su contenido sol o interesa a quienes va

U SO IN T ER N O dirigida y cuya no disponibil
idad, divul gació n o al
teració n no
autoriz ada puede ocasionar perjuicios a determinada entidad,
agrupació no persona.

L osejempl osincl
uyenl osservidores y l
osdocumentosdigital
es de
los departamentos que se encuentran al
ojadosenestos.

Estaeslaclasificació npordefecto paral

ainformació nque no tiene
unadesignació nespecí fica.

Informació n que puede ser entrega o publica sin restricciones a

cualquierpersonadentro o fuerade laempresaC L O U D SER V IC ES
P U B L IC O sinque esto conl
leve unimpacto negativo de ningunaí ndole.

L osejempl
osincl
uyen, ó rdenesde compra, facturas, entre otros.

7 .4 DESA R R O L L O DE P O L IT IC A S
L as estrategias de seguridad de l a informació n delDepartamento de T ecnol ogí a
Informá tica son directrices global es de largo plaz o, que sirvencomo base para l a
planeació n adecuada y l a definició n de soluciones de seguridad para ajustarse a l
as
necesidadesde l aempresa, tanto como futuras.

1 3
L as decisiones y disposiciones de seguridad de informació n estará n basadas en
aná l
isis de riesgo y mé todos de eval uació n. É stas incl
uirá n mé tricas que
considerenelval orparal aempresa acorto y l argo plaz o.

L a seguridad de informació n considera revisiones continuas delval

or paral
a
empresade l asmedidasde seguridad enuso.

L a administració n de l
a seguridad de informació n se desarrol
lará sobremé todos y
está ndaresglobal es.

L aspol í ticasde Seguridad deberá nserrevisadascadavez que se cumpl

auncicl
o
de gestió nde seguridad de lainformació n.

L as polí ticas de Seguridad, deberá n ser aprobadas por elDepartamento de

T ecnol
ogí aInformá tica, y estaracorde al
osl
ineamientos.

8 . P O L IT IC A S A P L IC A B L ES A L O S U SU A R IO S

8 .1 P O L IT IC A S DE A C C ESO A L O S R EC U R SO S DE IN F O R M A C IO N

Se debe custodiar y cuidar la documentació n e informació n que, por raz ó nde su

empleo, cargo o funció n, conserve bajo su cuidado o a l a cualtenga acceso, e
impediro evitarsusustracció n, destrucció n, ocul
tamiento o util
iz ació nindebida.

Se debe vigil
ary sal
vaguardarl
os til es, equipos, mueblesy bienesque l
e h ansido
encomendados, y cuidar que sean util iz ados debida y racional mente, de
conformidad conlosfinesalosque h ansido destinados.

Elacceso de losusuariosalared y al
osdiferentesserviciosde red debe permitirse
nicamente cuando seaformal
mente autoriz ado poreljefe inmediato.

Elacceso a l os sistemas y recursos de informació n sol

amente se debe permitir si
existe autoriz ació nformaly escritaporparte deljefe inmediato, teniendo encuenta
lossiguientespará metros:

Eljefe inmediato sol

o puede autoriz aracceso ainformació npropiadelá reaque
coordina y sol o podrá asignar privil
egios de acceso a l
os col
aboradores y terceros
que está nbajo susupervisió n.

En caso de su ausencia o vacancia, elcargo inmediatamente superior en l a

jerarquí apodrá eval
uary autoriz aracceso al
ainformació n. ( A dministrador)

Elacceso a l os recursos de informació n de l a empresa presupone l aaceptació n de

este M anualde Seguridad de l ainformació n, así como l asrespectivas sanciones por
su incumpl imiento de acuerdo a l o establ ecidoen elC ó digo Ú nico Discipl inario
( L ey 7 3 4 de 2 0 0 2 ) . Esto se confirmará ( para elcaso de l os col
aboradores) atravé s
de la firma de un acuerdo de responsabil idad y/ o confidencialidad que h ará parte
delmanualde funciones, y ( paraelcaso de l osterceros) loscontratos.

1 4
L oscol aboradores, tercerosy p bl ico engeneraldebengarantiz arque elacceso al a
informació n y l a utiliz ació n de la misma sea excl usivamente para actividades
relacionadas con funciones propias de l a empresa, y que é sta sea util
iz ada de
acuerdo a l os criterios de confidencial idad definidos por elDepartamento de
T ecnologí aInformá tica.

Elestabl ecimiento de conexiones directas entre l os sistemas de có mputo y

comunicaciones de C L O U D SER V IC ES con cual quier otraorganiz ació n, atravé s
de Internet o cual quier otro tipo de red, debe contar con una eval uació n y
autoriz ació nformalprevia, basada en un aná l
isis de riesgos de seguridad por parte
deladministradorde red o elencargado de l aseguridad informá tica.

M ó dems, C abl
e- mó dems o dispositivos de í ndol e similar no deben serutiliz ados
para l as comunicaciones de M A SDA S. A . S S. A . S, amenosque un
firewally una red privada virtualsea establ ecida entre los equipos de có mputo
involucradosendich acomunicació n.

U na vez se dé por terminada l a rel ació n l

aboralde un colaborador, contratista o
tercero, se deben retirar todos los derech os de acceso a los recursos a l
os cual es
estuvo autoriz ado y se debe real
iz artambié nunadevol ució nde activos.

L a devol
ució n o retiro de equipos, informació n o software sol
o debereal
iz arl
a el
personalautoriz ado.

8 .2 P O L IT IC A DE U SO DE L O S R EC U R SO S DE IN F O R M A C IO N

Se deben util iz ar los bienes y recursos informá ticos asignados nica y

exclusivamente para eldesempeñ o de su empl eo, cargo y/ o funció n. De l
amisma
formal as facul tadesque l e sean atribuidas, o l
a informació nreservada aque tenga
acceso porraz ó nde sufunció n, deben serutil iz adasenformaexcl usivaparafines
laboralesdentro de l aempresa.
L ossistemasde có mputo entregadosporeldepartamento de tecnol ogí ainformá tica
deben ser utiliz ados nicamente para propó sitos propios de l a empresa y son
propiedad de C L O U D SER V IC ES, por esta raz ó n se recuerda que eluso que se l e
dé alosmismosesde cará cterl aboral.

N o se puedenal
macenar, instal
aro util
iz arjuegosenl
osequiposde có mputo .

L as nicas personas autoriz adas por eladministrador para instal ar y realiz ar

cambios alsoftware y h ardware de l os equipos de C L O U D SER V IC ES es el
coordinador de tecnol ogí a informá tica y té cnicos de mesa de ayuda con previa
autoriz ació n deladministrador de l a empresa, motivo por elcualse proh í be a los
funcionarios instalar al g n software sin previa autoriz ació n deldepartamento de
tecnologí a informá tica, con el finde constatarl aseguridad y legal
idad delmismo.

L oscambios, ajusteso mejorasenl ainfraestructurafí sicao l

ó gicade apl
icaciones,
deberá nceñ irse al
aspol
í ticasde seguridad informá ticade laempresa.

A menos que sean especí ficamente autoriz ados por el C oordinador del
departamento de tecnol
ogí a informá tica l
os col
aboradores de C L O U D SER V IC ES

1 5
debenutil iz arh erramientasde h ardware o software que puedanserempl eadaspara
evaluar vul nerabil idades o comprometer l a seguridad de l os sistemas de
informació no l ainformació nde otrosusuarios. Incidentesque invol ucreneste tipo
de h erramientas y elintento no autoriz ado de comprometer l as medidas de
seguridad de l os sistemasde informació n, será n considerados como viol aciones
serias de l aspol í ticasestabl
ecidasporeldepartamento de tecnologí ainformá tica.

Eldepartamento de tecnol ogí a informá tica, debe realiz ar un A ná l

isis de R iesgos
para elsoftware ( apl
icativo, sistema operativo) y h ardware nuevo, que l l
egue a l a
empresa.

EL DEPA R T A M EN T O DE T EC N O L O G IA IN F O R M A T IC A se reserva el
derech o de examinar toda la informació n almacenada, o transmitida por sus
sistemas de có mputo y de comunicació n, y debe informar a col aboradoresy
terceros que no deben esperar privacidad asociada con l a informació n que
almacenano enví anatravé sde estossistemas.

N o se permitirá l
anavegació nensitiosW eb de uso social , que no generanval
oral
a
entidad: sitioscomo youtube, myspace, facebook, h i5 , entre otros.

T ampoco se permitirá eluso de h erramientas en l

í nea y directasde ch at, video ch at,
etc. , tipo messenger, yah oo, skype. ( en el caso de Skype admenos que el
administradorautorice)

Está proh ibido eluso de emisoras de radio por Internet, debido alincremento en el
uso de anch o de banda, que afecta l
a velocidad denavegació nde l osusuarios de la
empresa.

N o se permite l
adescargaporInternetde arch ivosde video, m sica, etc. , porafectar
elrendimiento de l
ared y uso delenl
ace de Internet.

Eldepartamento de tecnol ogí a informá tica garantiz ará que todos l os usuarios
cuenten con una configuració n está ndar en eluso de l os recursos de la empresa, y
acceso Internet, con elpropó sito de asegurar que lo establ ecido en é sta pol
í tica se
cumpl a.

Elenví o de informació n a travé s de cual quier medio el ectró nico, servicio o

apl icació n ( como por ejempl o correo el ectró nico) y que requiera un proceso de
autenticació n, esdecir, usuario y contraseñ a, será responsabil idad de cadausuario.
L o anterior sustentado en elartí cul o 5 5 de l a L ey 1 4 3 7 de 2 0 1 1 que establ ece:
“ L os documentosp bl icosautoriz adoso suscritospormediosel ectró nicostienen
laval idez y fuerz aprobatoria que le confieren al os mismos l as disposiciones del
C ó digo de Procedimiento C ivil ”.

8 .2 .1 P O L IT IC A DE U SO DEL C O R R EO EL EC T R O N IC O

Elcorreo el
ectró nico esunmedio formalde comunicació nde C L O U D SER V IC ES.

T odos l
os mensajes de correo el
ectró nico deben enviarse mostrando alfinalel

1 6
nombre compl eto, cargo, elnombre de l a entidad y que seestá actuando en
representació nde C L O U D SER V IC ES.

L a conexió n alcorreo el
ectró nico y servicios de navegació n por Interneth an sido
suministrados para eluso de personalautoriz ado nicamente para propó sitos
propios y oficiales. En todas l as ocasiones los intereses y elbuen nombre de l a
empresadebenserprotegidosporl oscol aboradoresy terceros que l aboranparal a
misma.
C uando se utilice elcorreo electró nico paraasuntosrelacionadosconl as funciones
de la empresa, debe existir cl aridad en que al gunospuntosde vistaexpresados
pueden ser de l os individuos y no representan necesariamente l a pol í tica de
M A SDA S. A . S S. A . S

Enl ascomunicaciones el ectró nicas deben observarse losconductosregul ares de l

a
Entidad, respetando elfuero y á mbito de decisió nde l
asdiferentesinstancias.

N ing n usuario deberá permitir a otro enviar correos util

iz ando su cuenta, sin
aclararelremitente.

C uando uncol aboradorrequiere ausentarse de l aempresaporunperí odo superiora

8 dí as, debe comunicar por correo el ectró nico aldepartamento de tecnologí a para
que programe elcorreo el ectró nico para que automá ticamente responda a l os
remitentes indicando fech ade l
legada, nombre y direcció n de correo electró nico de
lapersonaencargadadurante suausencia.

A ntes de enviar un correo deberá verificarse que esté dirigido sol amente a los
interesados y/ o a quienes deban conocer o decidir sobre eltema, evitando
dupl icidadesy otrosinconvenientes.
Está proh ibida l
a reproducció n y enví o de mensajes tipo cadena osimil
ares; puede
ocasionar suspensió n delservicio temporalo definitivamente, aunque eliniciador
h ayasido otrapersona.

N o se deben transmitir o reproducir mensajes escritos y / o grá ficosque no atañ en

directamente aasuntospropiosde l aempresa.

L a responsabilidad delcontenido de l os mensajes de correo será delusuario

remitente. Elreceptorno deberá al
terarl
osmensajessinlaautoriz ació ndelemisor.

Elcontenido de l os mensajes de correo se considera confidencialysolo

perderá este cará cter en casos de investigaciones administrativas, judicial
es o
incidentes relacionados con seguridad informá tica, entendiendo por confidencial
aquel lainformació ncuyo conocimiento porparte de personasno autoriz adaspueda
impl icarriesgosparal aempresa.

N o se deberá util iz ar elcorreo el

ectró nico para enviar mensajes polí ticos, avisos
clasificados, publicidad comercialo bol etines cuya informació nno guarde rel ació n
directaconl osinteresesde l aempresa.

1 7
Elcorreo el ectró nico no deberá usarse para enviar informació n concontenido
discriminatorio. Se deben evitar l os estereotipos de raz a, gé nero, rel
igió n, origen
é tnico, localiz ació ngeográ fica, orientació nsexual, discapacidad, aparienciafí sicao
estrato social.

8 .3 P O L IT IC A DE A DM IN IST R A C IO N DE C O N T R A SEÑ A S

8 .3 .1 EL EC C IO N DE C O N T R A SEÑ A S

Para elbuen uso de l

as contraseñ as se debe tener en cuenta l
os siguientesaspectos:

L ascontraseñ asno debenserconstruidasconmenosde och o ( 8 ) caracteres.

N o util
iz ar contraseñ as que sean nicamente palabras ( aunque sean extranjeras) , o
nombres ( elde usuario, personajes de ficció n, miembros de l a familia, mascotas,
ciudades, marcas, l ugaresuotro relacionado) .

N o utiliz arcontraseñ ascompl

etamente numé ricascon al
g nsignificado
( tel
é fono, fech as) .

El egir una contraseñ a que mez cl

e caracteres especial
es y al
fanumé ricos
( may sculasmin sculas) .

N o usar pal
abras existentes en eldiccionario, ni l
as mismas escritas en orden
inverso.

8 .3 .2 P R O T EC C IO N DE C O N T R A SEÑ A S

1 . N o se debe permitir que individuos que no sean miembros de C L O U D

SER V IC ES obtengan acceso a l os servicios de có mputo y comunicaciones.
T odosl oscol aboradoresy tercerosdebenvel arporque este tipo de situaciones
no se presentenalinteriorde laempresa.

2 . C ada contraseñ a es de uso personale intransferible. L os col

aboradores y
terceros que trabajan para la C L O U D SER V IC ES no h an de revelar la
contraseñ ade sucuentaaotroscol aboradoreso terceros.

3 . Está proh ibido intentar ingresar a l

os servicios de có mputo y comunicaciones
pormedio de l acuentade otro funcionario.

4 . L os col aboradores, contratistas y terceros que trabajan para C L O U D

SER V IC ES deben notificar inmediatamente aldepartamento de sistemas
informá ticossi sospech anque alguienh aobtenido acceso sinautoriz ació nasu
cuentay debe modificarl aenformainmediata.
5 . Elusuario es responsabl e por la custodia de su contraseñ a. Debe evitar en l
o
posible digitar l
a contraseñ a mientras al
guna persona está observando l o que
escribe en elteclado. Esunanorma tá cita de buen usuario no mirar eltecl ado
mientrasal guientecleasucontraseñ a.

1 8
6 . Está proh ibido enviar l
a contraseñ a por elcorreo el
ectró nico, ( teniendo en
cuentaque este no esunmedio seguro) y mencionarl aenunaconversació n.

7 . N o se debenal macenarcontraseñ asenformato l egibl

e enarch ivostipo scripts
de logon automá ticos, macros de software, tecl
as de funció n de terminales,
computadores sin controlde acceso o en otros sitios donde personas no
autoriz adaspuedandescubrirlosy util
iz arl
os.

8 . L os col aboradores y terceros que trabajan para C L O U D SER V IC ES deben

utiliz ar contraseñ as diferentes en cada uno de l os sistemas a l os cuales
tengan acceso, sol o se podrá n utiliz ar contraseñ as simil ares en diferentes
sistemas cuando eldepartamento de tecnol ogí a informá tica h aya informado
directay expresamente que esto no compromete l aseguridad de l ainformació n
de laempresa.

8 . 4 P O L IT IC A DE C U M P L IM IEN T O A N T E R EQ U ER IM IEN T O S L EG A L ES Y
C O N T R A C T U A L ES DER EC H O S DE A U T O R

1 . Es pol í tica delDEPA R T A M EN T O DE T EC N O L O G IA IN F O R M A T IC A , el

cumpl imientode todasl asobligacionesl egal
es, adquiriendo elmaterialpatentado de
laempresapropietariao dupl icá ndolo bajo expresaautoriz ació nde l amisma. T odo
elsoftware operativo y apl icativo es de propiedad de l a polí tica de C L O U D
SER V IC ES y sol olamesade soporte tiene previaautoriz ació ndeladministrador de
la empresa, autoriz ando alcoordinador para instal arlo enl os ordenadores de l a
empresa.

2 . Si se requiere utiliz ar software patentado, é ste debe tener l as respectivas

licenciasde uso y se debe pedirautoriz ació nparainstal ació naladministradorde l a
empresa. Para que la mesa de soporte instal e elsoftware en l os ordenadores de la
empresa.

3 . Elsoftware patentado es general mente suministrado bajo un acuerdo de

licencia, elcuall imita eluso de dich os productos en equipos especí ficos, y puede
limitarl ascopias nicamente aaquel lasconelobjetivo de mantenerunrespal do de
los medios. Por l o tanto los col aboradores y terceros que trabajan para C L O U D
SER V IC ES no deben copiar elsoftware suministrado por empresa en medios de
al macenamiento, transferirdich o software aotroscomputadoreso suministrardich o
software a terceras partes sin l a autoriz ació n escrita del C oordinador del
departamento de tecnol ogí a. . L atransgresió nde derech osencierto software, bajo l
a
L ey de derech osde autor, constituye undel ito criminal
.

4 . El departamento de tecnol ogí a informá tica cuenta con l a autoridad y

autonomí a para real iz ar auditorí as perió dicas sobre las estaciones de trabajo,
previaautoriz ació ndeladministradoro jefe inmediato, paraverificarelapropiado
uso de software. Se mantendrá nl osregistrosde l osh al
laz gosidentificados

5 . . Eladministrador delcontrato con terceros monitoreara y h ará revisió n de l

os
serviciosprestadosporterceros.

6 . N o está permitido distribuir copias de esta pol

í tica a personas externas de l
a

1 9
 empresa, sin l a autoriz ació n respectiva por parte delpersonalencargado de l
a
seguridad informá tica.

7 . Se debe cumpl iracabal idad contodasl

asl
eyes, normas, decretos, sentenciasy
demá sque seanaplicabl
es.

8 .5 P O L IT IC A DE C O N T R O L DE V IR U S

1 . Eldepartamento de tecnol ogí a informá tica es responsable por suministrar un

sistema efectivo de antivirus elcualdebe estar instal ado en cada estació n de
trabajo; l
osusuarios no debendesactivarestafuncional idad o intentarmanipular
l aconfiguració nensusequipos.

2 . Es responsabilidad de cada usuario util iz ar elsoftware para diagnosticar l

a
presencia de virus en l a informació n que provenga por diferentes medios ( p. ej:
Internet, memorias U SB , arch ivos compartidos, etc) . Este proceso debe ser
realiz ado antesde abriro ejecutarl osarch ivosasí como antesde divul garl
os, con
elfinde no propagarvirusinformá ticosuotrosprogramasmal iciososalinteriorde
l ared.

3 . L os sistemas de có mputo que se sospech en h an sido comprometidosporvirus

o software mal icioso deben ser apagados y desconectados de l a red en forma
inmediata. Elusuario debe sol icitar apoyo té cnico e informar aldepartamento de
tecnol ogí ainformá tica.

4 . T odosl
osmediosmagné ticossuministradosporuntercero debenserrevisados
porelantivirusde laempresaantesque estos seanutil
iz adosenl
oscomputadores
personaleso servidoresde l
aempresa.

5 . L os colaboradores y terceras partes que trabajan para l a empresa no deben

instalarsoftware en las estaciones de trabajo que l
es h an sido asignadas. El nico
personalautoriz ado parainstal arsoftware elencargado de l amesade soporte con
previaautoriz ació ndeladministradorde l aempresa.
6 . L os usuarios final
esde los sistemas de có mputo y comunicaciones no deben
descargarsoftware desde Internetbajo ningunacircunstancia.

7 . A ntes de restaurar arch ivos desde copias de respal

do, dich as copias deben ser
eval
uadasconelsoftware antivirusde l aempresa.

8 .1 P O L IT IC A DE SEG U R IDA D DE L O S EQ U IP O S M O V IL ES

L osequiposde có mputo mó vil esutil

iz adosdentroo fuerade lasinstal acionesy en
funcionespropiasde l aempresa, debenserexcl usivamente utiliz ados para brindar
apoyo al asactividadesde laempresay debensersujetosaungrado equival ente de
protecció n alde l os equipos que se encuentran dentro de l as instalaciones. Se
debenapl icarlassiguientespautas:

1 . L as computadoras personal
es no se deben util iz ar en la empresa para
conectarse aInternetuotrasredes si no existen control espara l
osvirus
y firewallde l a computadora personal , instal ados y en constante

2 0
 funcionamiento.

2 . Durante l os viajes, l
os equipos ( y medios) no se deben dejar
desatendidos enlugares p bl
icos. L as computadorasportá til
es se deben
ll
evarcomo equipaje de mano.

3 . L os portá til
es son vulnerables alrobo, pé rdida o acceso no autoriz ado
durante l os viajes. Se l
es deben proporcionar una forma apropiada de
protecció n alacceso ( ej. C ontraseñ as de encendido, encripció n, etc. )
C onelfinde preveniracceso no autoriz ado.

4 . L asinstruccionesdelfabricante concernientesalaprotecció ndelequipo

se deben seguir en todo momento ( p. ej: para protegerse contra l a
exposició nde camposel ectromagné ticosmuy fuertes) .

5 . L os equipos de có mputo, así como l a informació n almacenada en l os

mismos, son propiedad de l a empresa, y pueden ser inspeccionados, o
utiliz ados de cual quier manera y en cual quier momento en que l a
empresa l o considere. Estos deben ser devuel tos aldepartamento de
tecnol ogí a informá tica en elmomento en que elusuario deje de tener
relació nl aboralconl aempresa.

6 . U n computador personal , equipo portá til , tel

é fono inteligente o
cualquier otro sistema de có mputo usado para actividades del
departamento de tecnol ogí a informá tica que contenga informació n
sensible, no se deberá prestar a nadie y será responsabilidad exclusiva
delfuncionario que lo tengaasignado

8 .2 P O L IT IC A DE C O N F IDEN C IA L IDA D DE L A IN F O R M A C IO N

L os siguientes el ementos deben ser considerados por l os Propietarios de la

Informació n y eldepartamento de tecnol ogí a informá tica independientemente de
la cl
asificació n delnivelde sensibil idad de l a informació n, con elobjeto de que
toda la informació n ( medio fí sico y electró nico) de l
a empresa quede protegida
enformapredeterminada:

1 . Si la informació n no está cl
asificada como p blica, é sta no podrá ser
proporcionadaaningunaentidad externasinunacuerdo de confidencial
idad.

2 . L os col aboradores y terceros que trabajan para l a empresa, en ausencia de

instrucciones cl aras o precisas, considerará n l a informació n como de uso
interno excl usivamente. Esta pol í tica apl
ica especial
mente cuando, por algn
motivo, no se h arealiz ado unacl asificació nde lainformació nporunpersonal
idó neo.

3 . L os col
aboradores y terceros que trabajan para l a empresa no deben enviar
informació n de cará cter diferente a Dominio P blico porcorreo el
ectró nico, a
menosque se tenganmedidasadicional esde protecció n.

4 . T odalainformació n( Dominio P bl ico, U so Interno y C onfidencial) debe estar

protegida para evitar que personas no autoriz adas la consul ten, divulguen o

2 1
 modifiquen sin consentimiento a terceras partes ( prestadores de servicios,
entidades externas y personal es que real iz a alguna actividad dentro de l a
entidad) . Estas entidades tendrá n acceso a l a informació n nicamente cuando
se demuestre l a necesidad de conocer su existencia y cuando se h aga a travé s
de unacl á usul
ao contrato de confidencialidad.

5 . Si se confirma o se sospech a que l a informació n o datos confidenciales o

privados, sonextraviadoso revel adosaentidadesno autoriz adas, elPropietario
de lainformació no quien evidenció elh ech o deberá notificarinmediatamente
alencargado de l a seguridad informá tica de la empresa, con elobjeto de
realiz aruncontrolefectivo de posibl
esdañ osy tomarl asaccionesnecesarias.

6 . N ing n colaborador o tercero que tenga al guna relació n l

aboralrevel ará l os
controlesde seguridad de lossistemasde informació ny l aformaenque está n
impl ementados, a menos que se obtenga una autoriz ació n previa del
C oordinador DEL DEPA R T A M EN T O DE T EC N O L O G IA IN F O R M A T IC A .
Esto incluye: Informació nque se proporcionaenpresentaciones, discusiones, o
estratadaendiferentesforosque incl uyaaspectosté cnicosde infraestructura.

7 . L a informació n especí fica de debil

idades en sistemas de Informació n ( como
pueden ser l a caí da de un sistema, falta de un control, etc. ) , no debe ser
distribuida a personas que no demuestren l a necesidad de conocer esta
informació n. Es decir, l as col
aboradores que tengan acceso a este tipo de
informació n, deben saber que es estrictamente control ada, y evitar que sea
conocida por entidades que puedan representar un riesgo o comprometer l os
sistemasde informació nde l aempresa.

8 . T oda informació n cl asificada seg n l

al ey 1 7 1 2 de 2 0 1 4 debe ser etiquetada
( marcada) con base en está ndares definidos. Se buscará que estas etiquetas
seanmantenidasenbuenestado y visibl esde talformaque se puede identificar
laclasificació nde l
ainformació nde l aentidad encual quiermomento.

9 . C ualquier medio de al macenamiento de có mputo que contenga informació n

p bl ica clasificada y/ o informació n p bl
ica reservada o de uso interno ( tal
es
como cintas, discos, y otros) , debe ser etiquetado de acuerdo con l a
clasificació n.

1 0 . T oda l a documentació n impresa, escrita a mano o documento l egible que

contenga informació n clasificada como confidencialo de uso interno, debe
tenerunaetiquetaque indique elnivelapropiado de sensibil
idad conbase enl a
clasificació n.

8 . 3 P O L IT IC A DE M O N IT O R EO Y EV A L U A C IO N DEL C U M P L IM IEN T O

1 1 . T odos l os col aboradores y terceros en primera instancia, tienen l a

responsabil idad de monitorear sus estaciones de trabajo en forma permanente
con elfin de identificar materialque pueda ser considerado como ofensivo o
potencial mente il egal, así como situaciones que afecten l a seguridad
informá ticade laentidad, y debenreportareste tipo de situaciones.

1 2 . Eldepartamento de tecnol
ogí ainformá ticase reservaelderech o de monitorear

2 2
 o inspeccionar en cual quier momento todos l os sistemas de informació n de la
empresa. Estaeval uació npuede tenerl ugarconelconsentimiento, presenciao
conocimiento deljefe inmediato. L os sistemas de informació n sujetos a tal
examen incl uyen, pero no está n l imitados a sistemas de arch ivo de correo
electró nico, arch ivosendiscosdurosde computadorespersonal es, arch ivosde
correo de voz , arch ivosencol asde impresió ny salidasde má quinasde fax.

1 3 . Debido a que l os sistemas de có mputo y comunicaciones suministrados por

C L O U D SER V IC ES se emplean nicamente para propó sitos de l a empresa,
los col aboradores, terceros no deben tener expectativas de privacidad
asociadas con la informació n que el
los al
macenan o enví an a travé s de estos
sistemasde informació n.

1 4 . Eladministrador/ o coordinador delDEPA R T A M EN T O DE T EC N O L O G IA

IN F O R M A T IC A en un proceso contractualdeberá reportar los incidentes de
seguridad de acuerdo alseguimiento mensualde l as actividades y tareas
establ ecidasparadarcumpl imiento alasespecificacionesdelcontrato.

1 5 . Eldepartamento de tecnologí ainformá ticaconservaelderech o de retirarde l

os
sistemasde informació ncual quiermaterialque puedaserconsiderado ofensivo
o potencial
mente il
egal .

1 6 . El administrador del DEPA R T A M EN T O DE T EC N O L O G IA

IN F O R M A T IC A no facil itará a otra persona que l ea elcontenido de ning n
arch ivo de correo electró nico delpersonalsinobtenerelpermiso delusuario o,
en su defecto, deljefe inmediato, cuando exista un motivo raz onabl e para
h acerlo. Dich os motivos pueden incl uir, sin l
imitarse a el lo, mantener la
integridad delsistema ( talcomo l a eliminació nde virus) , cumplirobl
igaciones
legal es ( talcomo citaciones judicial es) y efectuar ciertas funciones de
administració n delsistema ( talcomo remitir l os mensajescon direcciones
erró neas) .

1 7 . N o obstante l o anterior, Eldepartamento de tecnol ogí a informá tica puede

obteneracceso al ainformació nde loscol aboradores, terceros, encaso que se
requiera dich a informació n para investigaciones o en caso de emergencia. Por
ejempl o, si el col aborador o tercera está ausente durante un perí odo
prolongado de tiempo debido a enfermedad u otro motivo ( previa
autoriz ació n escrita del
jefe inmediato) , se podrá teneracceso al ainformació n
parasupl irnecesidadesdelservicio y paral asinvestigaciones.

1 8 . Eldepartamento de tecnol ogí a informá tica se reserva elderech o de

interceptar o vigilar cualquier trá fico de informació n que pase a travé s del
sistema de l a entidad como parte de sus actividades de vigil ancia,
mantenimiento, investigació n, auditorí ao seguridad deldesempeñ o delsistema.
T odo elpersonaldebe estar consciente de esto cuando use l os sistemas de
tecnologí asde informació nde l aempresa.

2 3
8 .4 P O L IT IC A DE R EP O R T ES DE IN DIC EN T ES DE SEG U R IDA D DE
IN F O R M A C IO N

Se entiende porincidente enl apl ataformainformá tica, cualquierevento que ponga

en riesgo la integridad, disponibil
idad, confiabil
idad, veracidad yconsistencia de l
a
informació nde l aempresa.

T odo elpersonaldebe estar vigil ante respecto a los incidentes o debil idades de
seguridad ( incl
uyendo fallas en elsistema, pé rdidadelservicio, erroresresultado de
datosdelnegocio incompl etoso inadecuados, rompimiento de l aconfidencial idad) .
Si se detectanestos incidentes o debil idadesde seguridad, debenserreportadosen
forma inmediata alencargado de l a seguridad informá tica alcorreo el ectró nico
seguridadinformatica@ cloud- services. com. co

8 .5 P O L IT IC A DE P R O Y EC T O S

T odo proyecto independiente de su natural ez a, deberá asegurar que l

os riesgosde seguridad
de lainformació n, se identifiqueny gestionencomo parte del mismo; teniendo encuenta
como mí nimo l ossiguientesrequerimientos:
- Establ
ecerl
osobjetivosde seguridad de l
ainformació ndentro delproyecto.

- Incl
uir val oració n de riesgos de seguridad en cada una de l
as etapas del
proyecto, paraidentificarloscontrolesnecesarios.

- G arantiz ar en todas las fases de l

a metodologí a de proyectos, l
a apl
icació n de
laseguridad de l a informació n, ademá s de l
os control es establecidos en l a
normaISO 2 7 0 0 1 .

- L a gestió n deberá ser permanente durante elcicl

o de vida delproyecto y se
deberá nasignarl osrolesy responsabil
idadesde dich al
abor.

8 .6 P O L IT IC A DE P A N T A L L A DESP EJA DA Y ESC R IT O R IO L IM P IO

T odosloscol aboradoresy tercerosdebentenerconocimiento de l osrequerimientos

de seguridad y de l
os procedimientos para proteger equipos sin atenció n. T ambié n
debenconocersuresponsabil idad, y l
aimplementació nde dich aprotecció n.

L oscolaboradoresy tercerosdebenadoptarcomo mí nimo l

assiguientes prá cticasal
dejardesatendido suequipo:

a) T erminarl asesió nactivaalfinal iz ar, amenosque se puedaasegurarpormedio

de un software que proporcione protecció n: p. ej: “ Protector de Pantal la” o
“ bl
oqueo delequipo”con W indows 7 o W indows 1 0 . Se puedenasegurar PC ’ s ( o
terminal es) por medio de una l lave ó controlequival ente ( p. ej: contraseñ a de
acceso) .
b) En equipos servidores se debe desactivar ( l og off) la sesió n si se pretende
apagar elequipo o si simpl emente se va a dejar desatendido por un periodo de
tiempo considerabl e. Paracomputadorasmainframe se debe final iz arl
asesió n– en
vez de simpl emente apagarl aterminalo PC .
c) C ual quier equipo portá tildebe ser debidamente asegurado si se va a dejar

2 4
desatendido. Esnecesario guardarl o bajo l
lave y/ o utiliz arunaguayade seguridad.
d) Se deben util iz ar restricciones en l os tiempos de conexió n para brindar
seguridad adicional.
e) Por fuera delh orario regul ar de trabajo, cuando l os col aboradoress no se
encuentrenensupuesto de trabajo, debenl impiarsusescritoriosy á reasde trabajo
de cualquier informació n que util icen para eldesarrol lo de sus l abores y sea
considerada “ C onfidencial ” de acuerdo a l
a cla sificació n. A sí mismo, deben
asegurarenformaapropiadadich ainformació n.
f) L ainformació nconsideradacomo sensitivao crí ticadebe siempre permanecer
bajo l l
ave y no debe dejarse desatendida en ning n sitio durante otros turnos de
trabajo o elfinde losmismos.

8 .7 P O L IT IC A DE R ESP A L DO DE DA T O S

L os col aboradores y terceros que trabajan para la empresa deben establ ecer con el
DEPA R T A M EN T O DE T EC N O L O G IA IN F O R M A T IC A l
os l
ineamientos para el
respal do, al
macenamiento y destrucció nde l ainformació nsensibl e, val
iosao crí tica
de l a empresa, minimiz ando elriesgo de pé rdidas de informació n o elmaluso de
é sta.

L os procedimientos de al macenamiento en medios magné ticos y ó pticos

( dispositivosde al macenamiento U SB , C D, cintasmagné ticas, etc. ) , debenasegurar
que lainformació nsensibl e, crí ticao val
iosaalmacenadaporperiodosprol ongados
de tiempo, no se pierda por deterioro. Por ejempl o, elDEPA R T A M EN T O DE
T EC N O L O G IA IN F O R M A T IC A debe efectuar copias de l
os datos en medios de
almacenamiento diferentes, si elmedio de al macenamiento originalmuestraseñ as
de deterioro.

T odalainformació nsensibl e, valiosao crí ticaresidente enl

ossistemasdecó mputo
debe respal
darse perió dicamente.

Para prevenir que l a informació n al macenada fuera de l a empresa, considerada

como sensibl e, valiosa o crí tica, sea revel
ada o util
iz ada por partesno autoriz adas,
se buscará que é sta sea debidamente protegida. De l a misma forma un acuerdo de
confidencialidad de informació ndebe serfirmado porl oscolaboradoresque h ace l a
custodiade lamisma.

L os colaboradores deberá n estar conscientes de que l

a informació n C onfidencialo
sensible almacenada en sus computadoras puede ser recuperada con mé todos
avanz adosauncuando h ayasido “ normal mente”borrada. Porestaraz ó nsedeberá n
tener l as precauciones para el manejo de informació n C onfidencial en l as
computadoras y memorias U SB que h ayan tenido esta informació n y que se
pretendanprestaro compartir.

L osdatoscrí ticosque h ayansido respal dadosno debenutil iz arse directamente para

restaurar datos, a menos que exista otra copia de respal do de l os mismos en un
medio de al macenamiento diferente ( cinta, disco, memorias U SB , smart- card,
C D- R O M , etc. ) . Si se sospech al
aexistencia de virus uotro probl emade software,
la copia de respal do adicionaldebe real iz arse en una computadora diferente. Esta
polí tica previene que l a nica copia de respal do de datos crí ticos sea dañ ada

2 5
inadvertidamente enelproceso de restauració n.

Deberá existir un l ugar de almacenamiento de medios, externo con informació n

crí tica de la entidad para propó sitos de recuperació n contra desastres, con l
os
está ndares de seguridad y conservació n adecuados en sus instal aciones, para
custodiar l os medios magné ticos de la entidad. De l
a misma forma un acuerdo de
confidencial idad de informació n debe ser firmado por l a empresa que h ace l a
custodiade l ainformació n.

L os respaldos de informació n sensibl

e, crí tica y val
iosa deben almacenarse en un
sitio protegido contraincl emenciasdelmedio ambiente y concontrol esestrictosde
acceso que se encuentre a una distancia raz onabl emente fuera delal
cance de un
evento enl az onaoriginal
.

8 .1 P O L IT IC A DE L A SEG U R IDA D DEL A C C ESO DE T ER C ER O S

Elacceso fí sico o l ó gico ( conexió n a l a red) de un contratista o tercero puede

introducirunn mero de riesgosal aseguridad – tal
escomo dañ o o pé rdidade datos
en l as instal aciones. Estos riesgos deben ser identificados y eval uados por EL
DEPA R T A M EN T O DE T EC N O L O G IA IN F O R M A T IC A I, y l as medidas de
seguridad apropiadas se deben acordar con eltercero y se deben incl uir en el
contrato. L assituacionesparticul ares que se necesitenseñ al
ar, especialmente enel
acceso l ó gico, debenincl uirl o siguiente:

1 . L a documentació n del acceso en donde se describa, como mí nimo,

informació n referente a: responsable de l
a conexió n, fech a de instal
ació n, fech a de
desconexió n, persona que autoriz a, justificació n para instal ar dich a conexió n,
personalque usal aconexió n, periodosde conexió n.

2 . L anecesidad de identificary eval

uarl
osriesgosparaM A SDA S. A . S S. A . S.

3 . L asimpl
icacionesenl
ospl
anesparal
acontinuidad de l
aempresa.

4 . L osestá ndaresde seguridad aespecificarse y elproceso paramedirelgrado de

cumpl imiento.

5 . L os procedimientos y responsabil
idades para reportar y manejar incidentes de
seguridad.

6 . L aspautassobre contratoscontercerosque esté ninvol

ucradasenel acceso a
instal
acionesde M A SDA S. A . S S. A . S.

8 . 1 . 1 P O L IT IC A DE A C C ESO L O G IC O

EL DEPA R T A M EN T O DE T EC N O L O G IA IN F O R M A T IC A debe contar con un

controlefectivo para elcuidado de l a informació n que reside en l os sistemas
informá ticos de l
a empresa, que tenga l ineamientos y pol í ticas que restrinjan el
acceso de l osusuariosal asapl icacionesy sistemasde l aempresa. A dicional mente
se debe contar con un bl oqueo automá tico de l os equipos de có mputo, cuando
transcurre untiempo de inactividad superiora5 minutos.

2 6
8 . 1 . 2 P O L IT IC A DE A C C ESO F ISIC O

ElDepartamento de tecnol ogí ainformá ticaesunaz onarestringiday deberá contar

con un controlde acceso fí sico apropiado para asegurar que só lo se permita el
acceso apersonalautoriz ado.

8 . 1 . 3 P O L IT IC A DE C O N T R O L DE A C C ESO

a) T odos l os sistemas conectados a l a red de M A SDA S. A . S S. A . S. deben

solicitarelusuario de acceso al ared y contraseñ amá ximo endos( 2 ) intentos.
Se debe buscar l a informació n especí fica como elnombre de l a empresa, el
sistema operativo, elnombre de l a apl icació n y otros aspectos rel evantes no
aparez canh astaque elusuario tengaacceso exitosamente alsistema.
b) T oda computadora personaldeberá contar con una contraseñ a deprotector de
pantal l
a.
c) T odos l os usuarios deben ser identificados previamente con un usuario de
acceso a l a red, que será nico en elsistema, y una contraseñ a secreta para
poder usar cual quier computadora mul ti- usuario, servidores, o recursos de
sistemasy apl icacionesenproducció n.
d) A menos que se h ayan otorgado l os permisos adecuados por EL
DEPA R T A M EN T O DE T EC N O L O G IA IN F O R M A T IC A , l os sistemas no
debenpermitir sesiones simul tá neas con elmismo user- id desde diferentes
terminal eso PC ´s.
e) Elusuario no debe abandonar su PC , terminalo estació n de trabajo sin antes
sal irse de l os sistemas o apl icaciones pertinentes o bl oquear l a estació n de
trabajo conelcomando W indows+ L .
f) T oda computadora personaldebe estar desconectada de l a red cuando no sea
utiliz ada por periodos prol ongados de tiempo ( vacaciones, enfermedades,
viajesl argos, entre otros) .
g) L osusuariosdebenteneracceso só l o al ainformació nque seanecesariaparael
desarrol lo de susactividadesy paral acualtenganautoriz ació n.
h) Elacceso de usuarios remotos debe ser autoriz ado por eljefe inmediato y el
coordinadorEL DEPA R T A M EN T O DET EC N O L O G IA IN F O R M A T IC A .
i) Elacceso a sistemas y apl icaciones se debe control ar mediante un proceso de
ingreso seguro, de acuerdo al osperfil esque se h ayanasignado al osusuarios
de cada apl icació n. A demá s, só l ol os usuarios administradores podrá n tener
acceso al ossistemasoperativos.
j) Se debe contarconcontrol escriptográ ficosque cumpl anconelaseguramiento
de acceso al ainformació nde l osapl icativos
k) Se deben revisar almenos cada seis meses l os derech os de acceso de l os
usuariosal osdatosy al osserviciosde informació n, paramanteneruncontrol
eficaz .

8 .1 P O L IT IC A DE T R A N SF ER EN C IA DE IN F O R M A C IO N

L atransferenciade informació ndeberá real

iz arse protegiendo l aC onfidencialidad
e Integridad de l
osdatosde acuerdo conl aclasificació ndelactivo tipo informació n
invol ucrada.

Se firmará actasde confidencial

idad conl
oscol
aboradoresy/ o C ontratistasque por

2 7
diferentes raz ones requieran conocer o intercambiar informació n cl
asificaday
reservada.

Enestosacuerdosquedará nespecificadaslasresponsabil idadesparaelintercambio

de l
ainformació nparacadaunade l aspartesy se deberá nfirmarantesdelacceso o
uso de dich ainformació n.

a) L os col aboradores y contratistas deben seguir l as indicaciones del

Procedimiento de C l asificació n, Etiquetado y M anejo de l a Informació n de
M A SDA S. A . S S. A . S, para la transferencia de informació n de acuerdo con l a
clasificació nde l amisma.
b) L a transferencia e intercambio de datos e informació n sensibl e ( informació n
p bl ica cl asificada, informació n p bl ica reservada y sobretodo aquel la que
contenga datos personal es) sol amente puede h acerse a travé s de l a red o
copiarse a otro medio de al macenamiento, siempre que l a confidencial idad e
integridad de l osdatosse garantice mediante eluso de té cnicasde cifrado.
c) Se deben usar mecanismos criptográ ficos para garantiz ar l a confidencial idad,
integridad y disponibil idad de l a informació n durante su transferencia, de
acuerdo consunivelde cl asificació n.
d) Se debe transferir informació n nicamente a receptores autoriz ados, quienes
garanticen por escrito l a confidencial idad de la informació n que se l es vaya a
suministrar, pormedio de acuerdosde confidencial idad.
e) N o se permite elintercambio de informació npormediosno autoriz adosporl a
empresa.
f) L os emisores deben verificar previamente alenví o, elnombre de l os
destinatarios de l a informació n cl asificada como p bl ica reservada, con elfin
de reducir l a posibil idad de enví o de este tipo de datos, a destinatarios no
deseados.
g) Se proh í be elenví o de arch ivosque contengan extensionesejecutabl esy otras
que puedan ser util iz adas para enví o de có digos mal iciosos, por medio del
correo el ectró nico de l aempresa.
h) N o se permite elreenví o de correos el ectró nicos que contengan arch ivos
adjuntos con informació n cl asificada como p bl ica reservada, a correos
externos.
i) A ntes de transferir cual quier informació n, se debe revisar con un software
antivirus y antimal ware, para garantiz ar que no esté comprometida con al gn
có digo mal icioso.

Llevando estos l
ineamientos M A SDA S. A . S S. A . S. estará mas segura, en caso de
dudaso inconvenientesinformar

F ernando R ojas
Ingeniero sistemas/ C iberSeguridad
Info@ cloud- services. com. co

2 8