MANUAL DE POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN
- Toda la información de tipo institucional
que utilicen los colaboradores de RSN, debe ser almacenada en los
repositorios de la nube autorizados para este fin.
- Los
discos duros de los equipos de cómputo de escritorio y portátiles no deben
contener información institucional, ya que a éstos no se les realiza
copias de respaldo.
- RSN no es responsable del respaldo de la
información personal almacenada en los equipos de cómputo de escritorio o
portátiles en caso de pérdida.
- Se debe realizar seguimiento a la ejecución
de las copias de respaldo, registrando las fallas presentadas, con el fin
de asegurar el correcto funcionamiento de las mismas
en caso de restauración.
- Las copias de respaldo se deben probar
semestralmente, con el fin de asegurar que se puede depender de ellas en
caso de contingencia.
- Las restauraciones de copias de respaldo
solicitadas se deben realizar de acuerdo al Procedimiento de backup nubes y locales y se podrán documentar
como pruebas.
- La restauración de la información
respaldada se debe realizar en medios de prueba dedicados, no
sobrescribiendo el medio original, para evitar que en caso de que el
proceso de elaboración de copias de respaldo o de restauración falle,
cause daño o pérdida de datos.
- Las copias de respaldo se guardan
únicamente con el objetivo de restaurar información en caso de situaciones
como borrado de datos, incidentes de seguridad de la información, defectos
en los discos de almacenamiento, problemas de los servidores o equipos de
cómputo, o que, por requisitos legales, sea necesario recuperarla.
- Los Colaboradores son los responsables de
almacenar la información que requiera copias de respaldo en el destino o
recurso asignado por el área de IT, o solicitar formalmente la ejecución
de copias de seguridad de la información almacenadas por fuera de estas.
- No se podrá almacenar en la infraestructura
de la entidad información de índole personal o que no corresponda a la
legalmente autorizada, cumpliendo con la normatividad relacionada con
derechos de autor.
- Se deben
considerar los siguientes criterios de respaldo:
RSN
IT SOLUTIONS SAS reconoce la importancia del activo de información dentro de la
Compañía y como componente fundamental para la consecución de los objetivos
estratégicos trazados por la Alta Dirección, por lo cual es necesario
establecer un plan de trabajo robusto y claramente definido en aras de asegurar
que la información sea debidamente recepcionada,
tratada, almacenada, procesada y distribuida.
En
el presente manual se establecen las políticas que integran el Sistema de
Gestión de Seguridad de la Información SGSI, las cuales deben ser adoptadas por
los colaboradores, proveedores y terceros que presten sus servicios o tengan
algún tipo de relación con RSN IT SOLUTIONS SAS; estas se encuentran enfocadas
al cumplimiento de la normatividad legal colombiana vigente y a las buenas
prácticas de seguridad de la información, basadas en la norma ISO 27001:2013.
En
este documento se enuncian las políticas y las normas de seguridad bajo las
cuales se regirán las operaciones de RSN IT SOLUTIONS SAS, teniendo como
referencia las leyes, normas y demás regulaciones vigentes aplicables.
Las
políticas especificadas en este manual se constituyen como parte fundamental
del sistema de gestión de seguridad de la información y se convierten en la
base para la implantación de los controles, procedimientos y estándares
definidos.
Establecer
las políticas que regulan la seguridad de la información, cumpliendo con los
principios de integridad, disponibilidad y confidencialidad y presentando en
forma clara y coherente los elementos que conforman la política de seguridad
que deben conocer, acatar y cumplir todos los colaboradores, proveedores,
visitantes y terceros que presten sus servicios o tengan algún tipo de relación
con RSN IT SOLUTIONS SAS.
La
cobertura de la aplicabilidad de las políticas de seguridad de la información
cubre todos los procesos e involucra los aspectos administrativos y de control
que deben ser cumplidos por los directivos, los colaboradores y terceros que
laboren o que tengan algún tipo de relación con la Compañía.
Activo de la Información: todos los componentes físicos (hardware), lógicos
(software), de comunicaciones y humanos, que reciben, procesan o emiten
información del negocio.
Acuerdo de Confidencialidad: documento diligenciado y aceptado entre la Compañía y
cualquier tercero que pueda impactar positiva o negativamente los resultados de
la operación a través de la gestión de la información haciendo uso de los
servicios provistos por la Compañía.
Análisis de Riesgos de la
Información: proceso ordenado que realiza la
Compañía, acerca de la identificación de fuentes, estimación de impactos y
probabilidades y comparación de sus resultados contra criterios, para
determinar las consecuencias potenciales de pérdida de confidencialidad,
integridad y disponibilidad de la información.
Autenticación: procedimiento realizado para comprobar la identidad de un
usuario o un recurso informático al momento de acceder a los sistemas provistos
por la Compañía para su operación.
Cifrado de Datos: acción que se ejecuta sobre la información, con la cual se
oculta el verdadero sentido de la misma (dato en claro
o crudo), y que requiere herramientas especializadas que generan códigos
específicos y llaves públicas y privadas.
Cifrado fuerte: Técnicas de codificación para protección de la
información que utilizan algoritmos reconocidos internacionalmente, brindando
al menos niveles de seguridad ofrecidos por 3DES o AES
Clave: identificación única e intransferible que, como
complemento de un nombre de usuario, permite el acceso a una persona natural o
jurídica a los servicios provistos por la Compañía.
Confidencialidad: garantía de que la información no está disponible o
divulgada a personas naturales y jurídicas o procesos no autorizados.
Control: acción o procedimiento a aplicar o ejecutar para proteger
o minimizar el riesgo de un objetivo de control plenamente identificado en ISO
27000.
Custodio o Propietario del activo
de información: área funcional o proceso, interno
o externo, encargado de mantener las medidas de protección establecidas sobre
los activos de información que están a su cargo o asignación.
Disponibilidad: garantía de que los usuarios tienen acceso a la
información en el momento que la requieran, con base en una autenticación.
Dominio: Ámbito de ISO 2700, que permite identificar las áreas o
ambientes que se tendrán en cuenta en el SGSI.
Hacking Ético: acción o conjunto de acciones utilizadas para intentar
penetrar las redes de datos, voz y sistemas de la Compañía, que pretende
determinar la vulnerabilidad existente en cada frente, sin daño en ninguno de
los esquemas implementados. Los resultados de estas pruebas de seguridad
permitirán establecer los controles y/o correctivos a
tener en cuenta, previniendo ataques reales, mejorando el nivel de seguridad de
la Compañía.
Integridad: protección de la precisión, exactitud y completitud de la
información almacenada y de los activos.
ISO 27000: conjunto de estándares internacionales que suministran un
marco (frentes de trabajo), para la gestión de la seguridad de la información e
involucran las buenas prácticas y procedimientos para su implementación, la
cual puede ser total o parcial de acuerdo con la necesidad.
ISO 27001: Norma que contiene los requisitos del sistema de gestión
de seguridad a implementar.
ISO 27002: guía de buenas prácticas que describe los objetivos de
control y los controles o acciones a aplicar, una vez identificados los frentes
que se manejarán en el sistema de gestión.
Objetivo de Control: punto o tema central a proteger como componente de un
Dominio en ISO 27000.
Perfil: rasgos y características particulares que tiene un usuario
o grupo de usuarios que tiene acceso a los servicios informáticos.
Política de Seguridad de la
Información: mandato o directriz corporativa
que regirá al interior y exterior de RSN IT SOLUTIONS SAS y cuya aplicación y
cumplimiento son obligatorios, para el rumbo, procedimientos y procesos que se
deben aplicar en el tema de la Seguridad de la Información.
Rol: función desempeñada por un usuario con el que se puede
distinguir lo que una persona es y la función que representa ante la Compañía.
SGSI: Sistema de Gestión de Seguridad de la Información. Diseñado
e implementado para determinar el rumbo de la Seguridad de la Información,
teniendo en cuenta todos los aspectos contemplados en la norma ISO 27001
Usuario: persona natural o jurídica, interna o externa, que tiene
acceso al sistema que gestiona los servicios provistos por RSN IT SOLUTIONS SAS
Vulnerabilidad informática: Ausencia o deficiencia de los controles informáticos que
permiten el acceso no autorizado a los canales de distribución o a los sistemas
informáticos de la Compañía.
El
Sistema de Gestión de Seguridad de la información – SGSI para RSN IT SOLUTIONS
SAS, se aplica en todo el ámbito de la Compañía, a sus recursos y a todos los
procesos internos y externos vinculados a través de contratos.
Las actividades realizadas por los procesos administrativos y de operación se encuentran interrelacionadas y actúan en concordancia con las políticas y directrices establecidas, con el objeto de gestionar adecuadamente la seguridad de la información.
El
objetivo del Sistema de Gestión de Seguridad de la información – SGSI es
asegurar el buen manejo de la información Pública, Privada y Confidencial, y la
continuidad del negocio, minimizando la materialización del riesgo, la
protección de los activos y optimización de los recursos de la Compañía.
El
objetivo de la seguridad de la información es proteger adecuadamente los
activos de información
para asegurar la continuidad del negocio, minimizar los daños en
la Compañía y maximizar el retorno de las inversiones así como aumentar las
oportunidades de negocio.
7.1.
Sistema de Gestión de Seguridad
de la Información (SGSI)
Dentro
de las premisas para RSN IT Solutions SAS se
encuentra la utilización de los sistemas de gestión, el mejoramiento continuo
de los procesos y servicios, la satisfacción del cliente, el bienestar de los
colaboradores, el cumplimiento de las metas y presupuesto, la alta rentabilidad
y el manejo de las certificaciones, CMMI-DEV e ISO 27001, como herramientas
competitivas. Asegurando la confidencialidad, integridad y disponibilidad de la
información que administra mediante la aplicación eficaz de controles a los
riesgos que los procesos internos generan, cumpliendo con todas las
disposiciones legales que le aplican.
La
Compañía basará su estrategia, arquitectura, acciones, comportamiento y control
de la información, en el conjunto de estándares ISO 27001.
La
Gerencia General de la Compañía provee evidencia de su compromiso con la
implementación y mantenimiento del Sistema de Gestión de Seguridad de la
Información, mediante:
❖ La autorización y liderazgo en la implementación del SGSI.
❖ La implementación de la política del SGSI
❖ Las revisiones periódicas del SGSI
❖ La asignación de roles y responsabilidades en seguridad de
la información
❖ Socialización de la importancia de lograr los objetivos de
seguridad, de cumplir sus responsabilidades y de buscar el mejoramiento
continuo en seguridad a todos los Colaboradores de RSN IT Solutions
SAS
❖ El suministro de todos los recursos necesarios para una
adecuada implementación del SGSI
❖
Asegurando que el personal que
participa en el SGSI y a quienes se le ha asignado responsabilidades dentro del
sistema son competentes para desempeñar dicho rol.
7.2.
Políticas para el uso de
dispositivos móviles
La
Política para Uso de Dispositivos Móviles será aplicada por el área de TI,
adicional a todos los colaboradores, usuarios, proveedores y partes interesadas
que utilicen dispositivos móviles para acceder los servicios ofrecidos por la
Compañía.
Para
el cumplimiento de la Política para Uso de Dispositivos Móviles se hace
necesario que el área de TI garantice el inventario de dispositivos móviles de
la Compañía y adicional, identifique al propietario de cada dispositivo.
A continuación, se despliegan las políticas establecidas
por RSN IT Solutions para dispositivos móviles.
a. En RSN se permite el ingreso de dispositivos móviles
personales al interior de las instalaciones, sin embargo, existen unas reglas
para el uso de los mismos, de modo que se minimice el
riesgo de comprometer la información.
b. Existen tres tipos de dispositivos móviles que pueden
ingresar a RSN:
○ Cualquier dispositivo electrónico móvil personal
[Dispositivo + Plan de datos Personal].
○ Dispositivos móviles híbridos [Dispositivo
personal + Plan de datos Corporativo].
○ Dispositivos móviles corporativos [Celulares
asignados por la compañía para los cuales tanto el equipo como el plan de datos
es corporativo].
c. No está permitido el acceso, en ningún dispositivo
móvil, a los sistemas y aplicaciones corporativas excepto al correo electrónico
el cual debe ser utilizado de acuerdo con las políticas de uso de correo
electrónico, drive personal y drive de archivos compartidos.
d. Cuando se traten temas laborales mediante dispositivos
móviles, los empleados deben tener precaución de no ser víctimas de escuchas
intrusivas.
e. Está prohibido el uso de dispositivos móviles como
medio de almacenamiento, grabación y captura de imágenes dentro de las
instalaciones de RSN.
f. No está permitido el uso de dispositivos móviles, en
las redes internas de RSN, únicamente pueden conectarse a las redes que se
encuentren identificadas como “invitados”.
g. La red inalámbrica de “invitados”, solo debe ser usada
por usuarios externos a RSN, la cual permite el acceso a Internet con las
restricciones que establece la empresa. No se debe permitir la conexión de
usuarios externos a las redes corporativas de RSN.
h. Los dispositivos móviles con líneas y datos de RSN no
deben dejarse desatendidos.
i. En el momento de la entrega del cargo se debe tener en
cuenta la asignación/entrega de equipo y/o plan de datos al personal que por
sus funciones así lo requiera y comunicarle las políticas y demás directrices
que debe conocer para proteger la información.
j. Bajo ninguna circunstancia se
deben prestar los dispositivos móviles a personal ajeno a RSN.
k. No se deben utilizar las líneas ni los datos de RSN
para comunicados con contenidos obscenos, fraudulentos, comunicaciones con
contenido que afecte la integridad de las personas o viole los derechos de las mismas, tampoco se deben utilizar las líneas ni los
datos de RSN para hacer bromas o acciones de burla a las personas.
l. Existe un acuerdo con los Colaboradores para que
suministren su equipo para el uso de los datos y línea corporativos, en ese
sentido los Colaboradores pueden realizar llamadas, enviar mensajes personales
e instalar cualquier aplicación para su uso personal.
m. No se permite la descarga de software/aplicaciones
fraudulentas, que no cumplan con derechos de autor o que violen las leyes
nacionales como las aplicaciones de grabación de llamadas.
n. Los responsables de áreas y procesos definirán los
parámetros técnicos que deben cumplir los dispositivos que serán autorizados
como BYOD aplicando los controles definidos en el SGSI de RSN.
o. Los responsables de áreas y procesos deben administrar
los controles de seguridad de los diferentes dispositivos BYOD de modo que se
preserve la seguridad de la información tanto de RSN como aquella que se ha
considerado Confidencial de las partes interesadas. Lo anterior siempre
respetando el derecho fundamental a la intimidad del propietario del
dispositivo.
p. El propietario del dispositivo debe aplicar todas las
medidas de seguridad razonables que estén a su alcance para preservar la
seguridad de la información.
q. Todos los colaboradores y contratistas de RSN son
responsables de reportar a la mayor brevedad posible la pérdida o hurto de los
equipos y dispositivos móviles usados para Teletrabajo y que se encuentren bajo
su responsabilidad.
r. Los responsables de áreas y procesos deben coordinar y
gestionar la instalación de controles de seguridad en los equipos y
dispositivos.
s. RSN se reserva el derecho de monitorear y revisar el
cumplimiento de la política para dispositivos móviles conectados a las redes
inalámbricas de la Entidad, cuando lo estime conveniente.
t. Los colaboradores de RSN, los proveedores o terceros
responsables de la prestación de servicios a RSN, deben cumplir con las
políticas de seguridad de la información definidas por RSN.
7.3.
Política para el Control de
Accesos
La Gerencia de Operaciones, como responsable de las redes de datos y el acceso a los recursos o servicios de red, velará por su protección, contra accesos no autorizados, a través de la implementación de mecanismos de control que garanticen la integridad, la confiabilidad y la disponibilidad de dichos accesos a usuarios autorizados únicamente.
La
Compañía velará porque toda la información que se caracterice por ser sensible,
privilegiada y privada se almacene y se transporte de forma cifrada a fin de
asegurar la confiabilidad y la integridad de la información.
RSN debe determinar
los algoritmos criptográficos y protocolos autorizados para su uso en la
organización y configurar los sistemas para permitir únicamente aquellos
seleccionados, teniendo en cuenta la información de los grupos de interés con
el fin de descartar algoritmos de cifradas débiles tales como DES, RC3, RC4 y
protocolos débiles tales como SSLv2 y SSLv3.
Se debería
considerar en su lugar el uso de algoritmos tales como AES (cifrado simétrico),
RSA (cifrado asimétrico) y los protocolos SSL/TLS 1.2 o 1.3 y tamaños de
cifrado de 128 o 256 bits (cifrado simétrico) y 2048 bits (cifrado asimétrico)
preferiblemente o en su defecto 128 bits (cifrado simétrico) y 1280 o 1536 bits
(cifrado asimétrico).
7.5.
Política de gestión de llaves
La administración de llaves
criptográficas y certificados digitales estará a cargo de cada uno de los
Colaboradores o contratistas a quienes les fueron asignados para el desempeño
de sus labores sean tokens, firmas digitales o información de autenticación o
validación.
Las llaves criptográficas serán
cambiadas periódicamente, de acuerdo a lo definido por
el responsable o cada vez que se sospeche que han perdido su confidencialidad.
La administración de llaves criptográficas y certificados digitales estará a cargo de acuerdo a lo definido por RSN. Sin embargo, la administración de tokens, firmas digitales o información de autenticación o validación estarán a cargo de cada uno de los colaboradores o contratistas a quienes les fueron asignados para el desempeño de sus labores.
7.6.
Política de escritorio
limpio y pantalla limpia
Todos
el personal de
RSN está obligado a cumplir con las siguientes normas de seguridad:
a.
Retirar de escritorios o lugares visibles la información confidencial que haya
sido utilizada, sin importar el medio en que se encuentre (papel, discos,
medios magnéticos) y resguardarse en lugares con acceso controlado.
b.
No dejar documentos con información de Uso Interno o Confidencial sobre
impresoras, copiadoras. Por lo tanto los dispositivos
de impresión y digitalización deben permanecer limpios de documentos.
c.
No utilizar información impresa que sea confidencial o de uso reservado para
reciclaje.
d.
Mantener la pantalla de su computador limpia y libre de documentación para
evitar el espionaje de información confidencial a través de este medio.
e.
Si la persona autorizada no se encuentra en su puesto de trabajo, todos los
documentos impresos, como también los soportes de almacenamiento de datos,
etiquetados como confidenciales, deben ser retirados del escritorio o de otros
lugares para evitar el acceso no autorizado a los mismos. Este tipo de
documentos y soportes deben ser archivados de forma segura.
f.
Si la persona autorizada no se encuentra en su puesto de trabajo, se debe
retirar toda la información Confidencial del escritorio, y se debe denegar el
acceso a todos los sistemas para los cuales la persona tiene autorización.
h.
Todos los usuarios de equipos de cómputo deberán cerrar las sesiones de los
sistemas y activar el protector de pantalla con contraseña cuando el equipo
vaya a ser desatendido. Cada terminal debe de tener como tiempo máximo de
inactividad cinco (5) minutos después de lo cual se bloqueará automáticamente
el escritorio pidiendo nuevamente la contraseña y usuario de acceso.
i.
Los puestos de trabajo deben permanecer limpios y ordenados a fin de reducir el
daño causado en equipos de cómputo por prácticas inadecuadas (consumo de
alimentos y/o bebidas, obstrucción de ventilación, ubicación inadecuada, entre
otros).
j.
El colaborador debe asegurarse que los cables de conexión no sean pisados o
pinchados al colocar otros objetos encima o contra ellos en caso de que no se
cumpla solicitar un reacomodo de cables.
k.
Cuando se requiera realizar cambios múltiples del equipo de cómputo derivado de
reubicación de lugares físicos de trabajo, éstos deberán ser coordinados y
notificados por parte del Gerente de Operaciones.
7.7.
Respaldo de la información
Toda
la información que se genere o gestione por parte de RSN IT Solutions
SAS, se realizará copias de respaldo de manera periódica, de
acuerdo a los procedimientos establecidos y a la clasificación de la
información, además las copias de seguridad son almacenadas en Google Drive de
segrsn@rsn.com.co. De igual forma se debe tener en cuenta los siguientes
puntos:
Requerido para |
Grado de Backup |
Frecuencia |
Bases de datos |
Completo |
2 por día |
Aplicaciones |
Completo |
|
Código fuente |
Completo |
Diario |
7.8.
Política de transferencia de
Información
El
intercambio de información crítica y confidencial con los clientes y proveedores se realiza
con acuerdos de confidencialidad firmados.
El intercambio de información con
clientes potenciales, entes reguladores y usuarios se realiza con previa
autorización de la Gerencia General.
No se intercambia la información
de los clientes con terceros que no estén autorizados a conocer dicha
información.
La transferencia o intercambio de
información con entes de control y autoridades de supervisión, se rige por las
directrices y mecanismos que dispongan dichos entes de control.
Cuando se intercambia información crítica a través de redes, se utilizan
mecanismos de seguridad como Proxy
No está permitido intercambiar
información de forma pública para ningún usuario, sin previa autorización de la
Gerencia General.
7.9.
Política de Gestión de medios
removibles
❖
El uso de medios removibles
(dispositivos USB, discos duros portables, CD, DVD, Blu-ray, etc.) en RSN IT Solutions está restringido, los medios removibles no están
autorizados como opción de respaldo de información
❖
Los medios de almacenamiento
removibles como cintas, discos duros removibles, CDs,
DVDs, medios impresos y dispositivos USB, entre
otros, que contengan información institucional, deben ser controlados y
físicamente protegidos
❖
La Entidad definirá los medios
removibles de almacenamiento que podrán ser utilizados por las personas
autorizadas por la Gerencia de Operaciones y/o Gerencia General y las
Comunicaciones, en la plataforma tecnológica si es requerido para el
cumplimiento de sus funciones
❖
El tránsito o préstamo de medios
removibles deberá ser autorizado por el propietario del activo de información
❖
Para asegurar los principios de
confidencialidad en el manejo de un activo de información tipo información
digital, se deben tener en cuenta los controles descritos a continuación:
• Es responsabilidad de cada funcionario o contratista que
utilice medios removibles, tomar las medidas de resguardo necesarias sobre
estos activos, con el fin de evitar accesos no autorizados, daños, pérdida de
información o del activo mismo.
• Ante la pérdida, extravío o robo de un medio removible,
el funcionario o contratista debe informar oportunamente (Tiempo no superior a
8 horas) al personal de Gerencia de Operacionessituación
que debe informar con el mayor grado de detalle, indicando la información que
se perdió, si fue extraviado o robado, a su vez estos eventos se deberán
manejar como incidentes de seguridad de la información.
Al término del vínculo laboral o contractual, el
funcionario o contratista deberá suministrar a la Oficina de Tecnología los
medios removibles en los cuales gestionó información institucional para que se
realice el proceso de borrado seguro
❖
Los propietarios de los sistemas
de información son responsables de realizar las pruebas para asegurar que
cumplen con los requerimientos de seguridad establecidos antes del paso a
producción de los sistemas, utilizando metodologías establecidas para este fin,
documentando las pruebas realizadas y aprobando los pasos a producción. Estas
pruebas deben realizarse por entrega de funcionalidades nuevas, por ajustes de
funcionalidad o por cambios sobre la plataforma tecnológica en la cual
funcionan los aplicativos.
❖
Los propietarios de los sistemas
de información deben aprobar las migraciones entre los ambientes de desarrollo,
pruebas y producción de sistemas de información nuevos y/o de cambios o nuevas
funcionalidades.
❖
La Gerencia de Operaciones debe
implantar los controles necesarios para asegurar que las migraciones entre los
ambientes de desarrollo, pruebas y producción han sido aprobadas, de acuerdo
con un procedimiento de control de cambios.
❖
RSN debe contar con sistemas de
control de versiones para administrar los cambios de los sistemas de
información de la Compañía.
❖
La Gerencia de Operaciones debe
asegurarse que los sistemas de información adquiridos o desarrollados por terceros, cuenten con un acuerdo de licenciamiento el cual
debe especificar las condiciones de uso del software y los derechos de
propiedad intelectual.
❖
La Gerencia de Operaciones debe
generar metodologías para la realización de pruebas al software desarrollado,
que contengan pautas para la selección de escenarios, niveles, tipos, datos de
pruebas y sugerencias de documentación.
❖
La Gerencia de Operaciones debe
asegurar que la plataforma tecnológica, las herramientas de desarrollo y los
componentes de cada sistema de información estén actualizados con todos los
parches generados para las versiones en uso y que estén ejecutando la versión
más reciente aprobada del sistema.
❖
La Gerencia de Operaciones debe
incluir dentro del procedimiento y los controles de gestión de cambios el
manejo de los cambios en el software aplicativo y los sistemas de información
de la Compañía.
❖
Los desarrolladores de RSN y
proveedores de software deben asegurar que los desarrollos construidos validen
la información suministrada por los usuarios antes de procesarla, teniendo en
cuenta aspectos como: tipos de datos, rangos válidos, longitud, listas de
caracteres aceptados, caracteres
considerados peligrosos y caracteres de alteración de rutas, entre otros.
❖
Se deben remover todas las
funcionalidades y archivos que no sean necesarios para los aplicativos, previo
a la puesta en producción.
❖
Se debe proteger el código fuente
de los aplicativos construidos, de tal forma de que no pueda
ser descargado ni modificado por los usuarios.
7.11.
Relaciones con proveedores
La
relación con los proveedores es equitativa y respetuosa, logrando su compromiso
y acompañamiento con la Compañía. Formulamos acuerdos de servicios y productos
de calidad, cumplimiento y responsabilidad en la Seguridad de la Información a
la que tienen acceso y se deberán seguir los siguientes lineamientos:
a. Los proveedores, contratistas o terceros vinculados a RSN
deben garantizar que el intercambio de información desde y hacia RSN cumpla con
las exigencias institucionales definidas con base en las leyes y regulaciones
vigentes, así como también las disposiciones de la presente política.
b. Los proveedores o contratistas deberán informar
inmediatamente a RSN de cualquier incidente que afecte la confidencialidad,
integridad y disponibilidad de los activos de información que ponga en riesgo
la operación de RSN.
c. Los proveedores y contratistas vinculados a RSN que
tengan acceso a la información de Uso Interno o Confidencial de RSN, deben
firmar un acuerdo de confidencialidad o debe incluirse una cláusula de
confidencialidad al correspondiente contrato con el fin de proteger dicha
información.
d. En el contrato de servicios se debe incluir una
cláusula de confidencialidad y niveles de servicios en seguridad de la
información, que detalle sus compromisos en el cuidado de la
misma y las medidas a las que estaría sujeto el Proveedor o Contratista
en caso de incumplirlos. El cumplimiento de los acuerdos mencionados
anteriormente debe ser verificado periódicamente teniendo en cuenta los
Acuerdos de Nivel de Servicio -ANS pertinentes a seguridad de la información.
e. Los proveedores o terceros que en la prestación de sus
servicios a RSN gestionen, transformen o transmitan información de RSN deben
conocer, aceptar y cumplir las políticas de seguridad de la información
definidas por el Sistema de Gestión de Seguridad de la Información. En caso de
conflicto entre las políticas de seguridad de la Información de RSN y las
políticas de seguridad de los proveedores o terceros se acordarán políticas
comunes de seguridad de la información y estas se formalizarán mediante un
documento formal suscrito por un representante de ambas partes, que permitan
cumplir los requisitos necesarios para garantizar la protección de la
confidencialidad, integridad y disponibilidad de la información.
f. Para el acceso a cualquier tipo de información o
sistema de información, los proveedores y terceros que presten sus servicios a
RSN deberán suscribir acuerdos de confidencialidad y de transferencia de
información con el fin de reducir los riesgos de divulgación de información con
carácter de uso interno y/o confidencial.
g. Los Proveedores y terceros solo deben tener acceso a la
información, sistemas de información o instalaciones que sean indispensables
para el cumplimiento de sus objetos contractuales.
h. Al finalizar sus contratos los proveedores o terceros
que presten sus servicios a RSN deben efectuar la devolución de información o
activos de información propiedad de RSN que estuvieron bajo su responsabilidad
y procurar la destrucción o borrado seguro de información de uso interno y/o
confidencial conocida en razón de su actividad.
i. Los proveedores y terceros deben cumplir con la
reglamentación en materia de derechos de autor y propiedad intelectual, incluido pero no limitado al uso de información y software.
j. Los proveedores y terceros no están autorizados para
utilizar los recursos de información y tecnología de RSN para propósitos
diferentes a los necesarios para el cumplimiento del objeto contractual
suscrito.
k. No está autorizada la utilización de equipos
informáticos dentro de las redes de comunicaciones de RS que no cumplan con los
controles de seguridad especificados por RSN para preservar la seguridad de la
información.
l. No está autorizada la ejecución de cambios sobre la
infraestructura de información, comunicaciones o cualquier otro activo tipo
instalación de procesamiento de información sin contar con la autorización
formal y expresa del responsable del área, proceso y/o administrador del activo
tipo instalación de procesamiento de información.
m. No está autorizada la modificación o desactivación de
los controles de seguridad instalados en los componentes de información y
tecnología de RSN sin contar con autorización del responsable del área, proceso
y/o administrador del activo tipo instalación de procesamiento de información.
n. Las claves de acceso a los sistemas de información de
RSN son personales e intransferibles, cada tercero debe responder por las
actividades que se lleven a cabo con sus datos de identificación.
o. Todo proveedor y/o tercero que tenga acceso a los
activos de información y preste servicios a RSN debe contar con políticas,
normas y/o estándares de Seguridad de la Información al interior de su
organización; las cuales deben desarrollarse y mantenerse actualizadas acorde
con los riesgos a los que se ve enfrentada su organización.
p. Los accesos a los sistemas de información y equipos de
cómputo requeridos por terceros, deben ser solicitados de manera formal
únicamente por el líder del área o proceso quienes se encargaran de su
aprobación.
q. Los mensajes y la información contenida en los buzones
de correo asignados a terceros, son propiedad de RSN y
cada usuario, como responsable de su buzón, debe dar uso en relación al
negocio.
r. Todos los mensajes enviados desde correos electrónicos
asignados a terceros, deben respetar el estándar de
formato e imagen corporativa definido por RSN y deben conservar en todos los
casos el mensaje legal corporativo de confidencialidad.
s. Con respecto a los buzones de correo electrónico
asignados a terceros, no están permitidos las siguientes actividades:
○ Enviar cadenas de correo con contenido que no
obedezca a las actividades contratadas,
○ Utilizar la dirección de correo corporativo como
usuario de cualquier red social.
○ Enviar masivamente mensajes publicitarios
corporativos, si un tercero debe, por alguna circunstancia, realizar envío de
correo masivo, de manera frecuente, este debe ser enviado a través de una
cuenta de correo electrónico a nombre de la empresa y/o servicio habilitado
para tal fin y no a través de cuentas de correo electrónico asignadas a un
usuario particular.
u. Los terceros que requieran tener acceso a los sistemas
de información de RSN deben estar debidamente autorizados y deben acceder a
dichos sistemas haciendo uso como mínimo de un usuario y contraseña asignado
por la organización.
v. Los terceros son responsables del buen uso de las
credenciales de acceso asignadas.
w. Los terceros no deben utilizar ninguna estructura o
característica de contraseña genérica o de fácil deducción, incluyendo entre
otras las palabras de diccionario, derivados de los identificadores de usuario,
secuencias de caracteres comunes, detalles personales, entre otros.
x. Los terceros están en el deber de informar a RSN
cualquier fuga, pérdida o alteración de información de propiedad de RSN, sus
clientes y/o usuarios y la correspondiente medida de mitigación. y. Toda
violación de estas políticas se deberá notificar inmediatamente, de modo que se
pueda resolver en el menor tiempo posible. Con esto se busca asegurar que todos
comprendan y respeten las políticas, con el fin de reducir al mínimo el riesgo,
protegiendo a usuarios, colaboradores, clientes, terceros, así como a la
Compañía.
7.12.
Políticas de Vinculación del
Recurso Humano
Será
aplicada por el Proceso administrativo de RSN IT SOLUTIONS SAS
Los
colaboradores de la compañía cumplirán con todos los requisitos necesarios para
ser parte del equipo de trabajo, comprometiéndose a seguir las pautas, normas,
parámetros y procedimientos propios de la seguridad de la información al
respecto del uso de activos fijos e información a su cargo.
Cualquier
evento que implique incumplimiento de las políticas y directrices descritas acarreará
los correctivos previstos para tal fin, los cuales serán valorados y aplicados
sin excepción, y que pueden abarcar, de acuerdo con la gravedad del evento,
acciones disciplinarias (sanción, suspensión o despido), o penales (ante las
autoridades legales competentes).
7.13.
Políticas de la Gestión de
Activos de Información
La
Compañía es propietario de la información física y de la información de
entrada, proceso, almacenamiento y salida de su plataforma tecnológica, por lo
cual asignará a un responsable de acuerdo con las áreas implicadas, a fin de
que se cumplan los lineamientos de cuidado, buen uso y explotación en beneficio
del negocio de la Compañía.
La
información, archivos físicos, las aplicaciones, los servicios y los equipos
(fijos, móviles, periféricos y dispositivos activos o pasivos de
comunicaciones), de cualquier naturaleza, propiedad de la Compañía son activos
y se proporcionan a los colaboradores y terceros autorizados, para cumplir con
los propósitos del negocio.
Toda
la información sensible de la Compañía, así como los activos donde ésta se
almacena y se procesa será asignada a un responsable, a un inventario y
posteriormente clasificados, de acuerdo con los requerimientos y los criterios
que se establezcan en el SGSI.
Los
soportes extraíbles para almacenamiento de información serán restringidos,
entendiéndose que su manipulación estará controlada de acuerdo con las
necesidades y su uso será autorizado y justificado ante la Gerencia del
proyecto respectivo.
Los
equipos y dispositivos de hardware dispuestos en las instalaciones de la Compañía, estarán siempre asegurados de forma física y bajo
la custodia de una sola persona, quien velará por su uso, salvaguarda y buen
manejo.
7.14.
Política de Seguridad Física
La
Compañía establecerá un procedimiento
que permita controlar el ingreso de personas ajenas a las instalaciones
de la misma, teniendo en cuenta la justificación y las posibles medidas a tener
en cuenta para prevenir cualquier tipo de amenaza, horarios en días hábiles y
no hábiles, incluyendo activos ajenos y registro diario de atención a
visitantes, con el fin de reducir el impacto ante los riesgos identificados
conducentes a vulnerar el Acceso Físico a los espacios en donde se gestionan
los servicios provistos por la Compañía.
La
seguridad física asegura el cumplimiento de controles, normas y procedimientos
establecidos por la Compañía para salvaguardar y proteger sus activos e
involucra:
❖
La definición de los activos
físicos y de información, estableciendo el propietario, la identificación,
clasificados y mantenidos en un inventario.
❖
La programación del mantenimiento
preventivo y correctivo asegurando la disponibilidad de los equipos de cómputo,
servidores, plantas eléctricas, vehículos, impresoras, scanner y demás recursos
que soportan las operaciones.
❖
La protección física para las instalaciones
contra desastres, actos mal intencionados o eventos que puedan afectar la
operación.
❖
Controles de acceso para
salvaguardar la información y controles adicionales para las áreas con acceso
restringido.
❖
Los servicios de suministro con
proveedores calificados y bajo el establecimiento de planes de contingencia.
❖
Personal idóneo y capacitado que
manipula los equipos de acuerdo a los procedimientos
establecidos.
7.15.
Política de Uso del Correo
Electrónico
La
Compañía, consciente de que las herramientas de comunicaciones son primordiales
para su buen desempeño en el mercado, velará porque la utilización del correo
electrónico sea segura y confiable, por lo cual establecerá los controles y las
directrices informáticas adecuadas para que los emisores y receptores del
correo electrónico tengan la certeza de estar comunicándose de forma correcta.
RSN
suministrará a sus colaboradores un correo electrónico institucional en el
dominio rsn.com.co para el ejercicio de sus labores
La cuenta de correo electrónico
institucional es personal e intransferible y, por ende, los Colaboradores son
completamente responsables de todas las actividades realizadas con sus
credenciales de acceso y el buzón asociado al correo de RSN.
El correo electrónico
institucional se debe utilizar estrictamente como herramienta de comunicación
de RSN, es decir, que debe ser usado para transmitir información relacionada
única y exclusivamente con el desarrollo de las funciones misionales y de apoyo
asignadas.
Teniendo en cuenta que el correo
electrónico institucional es una herramienta para el intercambio de información
necesaria para el cumplimiento de las funciones propias de cada cargo y no una
herramienta de difusión masiva de información, no debe ser utilizada como
servicio personal de mensajes o cadenas a familiares o amigos, esquemas
piramidales, terrorismo, pornografía, programas piratas,proselitismo político, religioso o racial,
amenazas, estafas, virus o código malicioso.
Toda información enviada o publicada a través del correo o el sitio web
de RSN, debe llevar un texto que prevenga sobre la posibilidad de ser
información confidencial y al tratamiento permitido cuando es recibida por
alguien que no es su destinatario.
Los correos electrónicos
sospechosos deben tratarse con extremo cuidado, debido a los riesgos de
seguridad de la información inherentes. Por lo tanto, no está permitido abrir
sus archivos adjuntos y se debe reportar el evento de acuerdo con el
Procedimiento de Gestión de Incidentes.
7.16.
Política para la Adquisición,
desarrollo y Mantenimiento de Sistemas de Información
La
Compañía asegurará que el software adquirido y, de ser necesario, desarrollado
tanto al interior de la Compañía, como por terceras partes, cumplirá con los
requisitos de seguridad y calidad establecidos por él. Las áreas propietarias
de sistemas de información incluirán requisitos de seguridad en la definición
de requerimientos y, posteriormente se asegurarán que
estos se encuentren generados a cabalidad durante las pruebas realizadas sobre
los desarrollos del software construido.
7.17.
Política de Inclusión de
Condiciones de Seguridad en la Relación con Terceros
La
Compañía, establecerá mecanismos de control en sus relaciones con terceros, con
el objetivo de asegurar que la información a la que tengan acceso o servicios
que sean provistos por las mismas, cumplan con las políticas, normas y
procedimientos de seguridad de la información.
Los
colaboradores responsables de la realización y/o firma de contratos o convenios
con terceras partes se asegurarán de la divulgación de las políticas, normas y
procedimientos de seguridad de la información a dichas partes.
Todos
los contratos realizados con terceros, estarán
enmarcados por la utilización de la legalidad y la gestión se basará, en su
ejecución, en los ANS (Acuerdos de Niveles de Servicios) que se suscriban de
forma obligatoria asegurando con ello la buena prestación de la atención del
proveedor en posventa.
7.18.
Política de Inclusión de
Seguridad de la Información en la Gestión del PCN
La
Compañía proporcionará los recursos suficientes para proporcionar una respuesta
efectiva de colaboradores y procesos en caso de contingencia o eventos
catastróficos que se presenten en la Compañía y que afecten la continuidad de
su operación. Además, responderá de manera efectiva ante eventos catastróficos
según la magnitud y el grado de afectación de los mismos;
se restablecerán las operaciones con el menor costo y pérdidas posibles,
manteniendo la seguridad de la información durante dichos eventos. La Compañía
mantendrá canales de comunicación adecuados hacia colaboradores, proveedores y
terceras partes interesadas.
7.19.
Políticas para las conexiones
remotas
En caso de conexiones de tipo remoto deben existir
mecanismos robustos de autenticación y transmisión segura de datos. Este
servicio debe ser restringido solo a usuarios autorizados, específicamente a
los recursos que requieran para el cumplimiento de los requerimientos del
negocio, aplicando el principio de “mínimo privilegio”.
Todas las
conexiones remotas que requieren acceso a la red interna de RSN deben pasar
forzosamente por un firewall a nivel de software, el cual proporciona a las
redes internas un nivel de seguridad acorde a la sensibilidad de los sistemas,
aplicaciones e información disponible en ella.
7.20.
Políticas de Cumplimiento
La
Compañía, velará por la identificación, documentación y cumplimiento de la
legislación relacionada con la seguridad de la información, entre ella la
referente a derechos de autor y propiedad intelectual, razón por la cual
propenderá porque el software instalado en los recursos de la plataforma
tecnológica cumpla con los requerimientos legales y de licenciamiento
aplicables.
Los
colaboradores de la Compañía, serán parte fundamental
en el cumplimiento de la Política de Seguridad de la Información. Todos los
colaboradores son responsables del cumplimiento de los estándares, directrices
y procedimientos al respecto de:
❖
Control de acceso, autorizaciones
y procedimientos establecidos para el cumplimiento de la Política de Seguridad
de la Información.
❖
Notificación de eventos que
atenten contra la seguridad de la información, acordes con la política
establecida (interna o externamente a la Compañía). Esta notificación será
hecha formalmente en los formatos establecidos, a su nivel jerárquico
inmediatamente superior.
❖
Notificación cuando por algún
motivo no pueda cumplir con la Política de Seguridad, indicando la debida
justificación por la cual no le es posible dicho cumplimento.
❖
Sugerir y aportar elementos en
aras de la Seguridad de la Información. Estas sugerencias se harán al
responsable del SGSI de la Información, y podrá hacer seguimiento de la misma para conocer la decisión tomada acerca de su
resultado.
❖
Recibir la capacitación necesaria
para contribuir con el cumplimiento de la política de seguridad.
❖
Salvaguardar la información que
corresponda a la Compañía, sin detrimento de ocultar, favorecer o alterar datos
que inciden en el normal y adecuado funcionamiento de la operación de la
Compañía.
❖
Respetar, cumplir y hacer cumplir
los Acuerdos de Confidencialidad establecidos al interior de la Compañía y con
terceros, sean estos proveedores o clientes del negocio financiero.
❖
Respetar, cumplir y hacer cumplir
la ley o leyes, o cualquier tipo de norma establecida acerca de la Protección
de Datos Personales (a partir de la ley 1581 de 2012), emitidos por los entes
de control y las autoridades nacional y/o internacionales que inciden en la
dinámica del negocio de la Compañía.
❖
RSN se reserva el derecho de
monitorear los computadores que sean de su propiedad y estén conectados o no a
la red de RSN. En caso de presentarse incidentes que afecten la seguridad de la
información de RSN, siempre con el seguimiento del debido proceso y el derecho
a la intimidad de sus empleados, contratistas y/o terceros.
❖
Programar revisiones, cada seis
meses, de cumplimiento de las políticas, normas y directrices.
❖
Programar revisión cada 12 meses
de las políticas de Seguridad de la Información por parte de la Gerencia
General.
7.21.
Políticas de Privacidad y
Protección de Datos Personales
En
cumplimiento de la de Ley 1581 de 2012, por la cual se dictan disposiciones
para la protección de datos personales, la Compañía, a través del Responsable del SGSI, propenderá por la protección de los
datos personales de sus clientes, proveedores y demás terceros de los cuales
reciba y administre información. Se establecerán los términos, condiciones y
finalidades para las cuales la Compañía, como responsable de los datos
personales obtenidos a través de sus distintos canales de atención, tratará la
información de todas las personas que, en algún momento, por razones de la
actividad que desarrolla la Compañía, hayan suministrado datos personales. En
caso de delegar a un tercero el tratamiento de datos personales, la Compañía,
exigirá al tercero la implementación de los lineamientos y procedimientos
necesarios para la protección de los datos personales. Así mismo, buscará
proteger la privacidad de la información personal de sus colaboradores,
estableciendo los controles necesarios para preservar aquella información que
la Compañía conozca y almacene de ellos, velando porque dicha información sea
utilizada únicamente para funciones propias de la Compañía y no sea publicada,
revelada o entregada a colaboradores o terceras partes sin autorización.
Con
el fin de garantizar la confidencialidad, integridad y disponibilidad de la
información en un entorno de teletrabajo, se establece que la Compañía debe
proveer a los teletrabajadores los recursos necesarios para realizar su labor
en el sitio en que la desarrollen de acuerdo a lo
establecido a la normatividad aplicable y vigente. A parte de ello se debe
definir el modelo de Teletrabajo a aplicar, identificar los colaboradores que
van a contar con un esquema de teletrabajo, establecer el protocolo de asignación
de recursos para trabajar en el lugar establecido y definir protocolos de
monitoreo de actividades de los teletrabajadores que puedan afectar la
confidencialidad, integridad y disponibilidad de la información.
7.23.
Política para la Seguridad del
Recurso Humano
La
gestión del recurso humano en nuestra Compañía para asegurar la seguridad de la
información, involucra:
❖
La identificación de las
necesidades de cada proceso, establece los roles y
responsabilidades de sus funcionarios y contrata personal calificado que cumple
con las pruebas y competencias requeridas para el cumplimiento de los objetivos
organizacionales.
❖
Asegurar a través de los procesos
inductivos el conocimiento que requiere el nuevo colaborador frente a los
elementos estratégicos, políticas, normas, funciones, responsabilidades,
procedimientos y deberes relacionados con la seguridad de la información.
❖
Evaluar periódicamente el
desempeño del personal para determinar las necesidades organizacionales de
capacitación y formación alineadas a los objetivos estratégicos y así
fortalecer las debilidades identificadas en el personal, asegurando la mejora continúa de los procesos.
❖
El cumplimiento a la legislación
laboral basada en los principios y valores consagrados en la constitución
Nacional y los valores organizacionales.
6. EVALUACIÓN DE RIESGOS, AMENAZAS Y VULNERABILIDADES
La finalidad de este ejercicio es establecer la
concordancia existente entre los riesgos identificados, las amenazas, las
vulnerabilidades y la tecnología. Se generó una matriz en la que se refleja la
implicación de la Seguridad a nivel de resultado ante las vulnerabilidades
conocidas de acuerdo con el sector y específicamente el negocio de la Compañía.