En la actualidad la información de la compañía ha crecido considerablemente, llegando a reconocerse como un activo muy valioso y a medida que los sistemas de información apoyan cada vez más los procesos misionales, se requiere contar con estrategias de que permitan el control y administración efectiva de los datos.
Los sistemas y redes de información por más pequeños que sean siempre están expuestos a amenazas de seguridad que incluyen, entre muchas otras: el fraude por computador, espionaje, sabotaje, fuego o robo. Las posibilidades de daño y pérdida de información por causa de virus o mal uso se hacen cada vez más comunes.
Con el establecimiento de la presente Política de Seguridad de la Información Central Colombiana de Aseo S.A. E.S.P establece su compromiso con el proceso de gestión responsable de la información, que tiene como objetivo garantizar la integridad, confidencialidad y disponibilidad de este importante activo, teniendo como eje el cumplimiento de los objetivos misionales de la compañía.
ACERCA DE LA SEGURIDAD DE LA INFORMACIÓN
La seguridad de la información se entiende como la preservación, aseguramiento y cumplimiento de las siguientes características de la información:
Para ello es necesario considerar aspectos tales como:
La información es un recurso que, como el resto de los activos, tiene valor para la empresa y por consiguiente debe ser debidamente protegida. El establecimiento, seguimiento, mejora continua y aplicación de la Política de Seguridad de la Información garantiza un compromiso obligatorio de protección a la misma, frente a una amplia gama de amenazas. Con esta política se contribuye a minimizar los riesgos asociados de daño y se asegura el eficiente cumplimiento de las funciones sustantivas de la entidad apoyadas en un correcto sistema de información.
Esta política es de aplicación en el conjunto de áreas que componen la organización, a sus recursos, a la totalidad de los procesos internos o externos vinculados está a través de contratos o acuerdos con terceros y a todo el personal cualquiera sea su situación contractual, la dependencia a la cual se encuentre asociado y el nivel de las tareas que desempeñe.
Establecer las medidas organizacionales, técnicas, físicas y legales, necesarias para proteger los activos de información contra acceso no autorizado, divulgación, duplicación, interrupción de sistemas, modificación, destrucción, pérdida, robo, o mal uso, que se pueda producir en forma intencional o accidental.
RESPONSABILIDAD
Es responsabilidad de cada proceso hacer uso de la política de Seguridad de la Información, como parte de sus herramientas de gestión, acoplándolos a sus procedimientos o lineamientos, garantizando su cumplimiento.
CUMPLIMIENTO
El cumplimiento de la política de seguridad de la Información es obligatorio. Si los empleados, consultores o terceras partes violan estas políticas, la organización se reserva el derecho de tomar las medidas correspondientes.
EXCEPCIONES
Las excepciones a cualquier cumplimiento de política de seguridad de la información deben ser aprobadas por la Gerencia general. Todas las excepciones a la política deben ser formalmente documentadas, registradas y revisadas.
ADMINISTRACIÓN DE LAS POLÍTICAS
El área de T.I. mantiene, administra la implementación de esta política dentro de la compañía con el fin de velar por su cumplimiento. Por otro lado las modificaciones o adiciones de la política de seguridad de la información serán propuestas a la gerencia, quien realizará su respectiva verificación y/o aprobación.
Esta política debe ser revisada como mínimo una vez al año o cuando sea necesario.
Todo el personal de la organización, cualquiera sea su situación contractual, la dependencia a la cual se encuentre asignado y el nivel de las tareas que desempeñe debe tener asociado un perfil de uso de los recursos de información, incluyendo el hardware y software asociado. El área de T.I. en coordinación con la Gerencia debe mantener un directorio completo y actualizado de tales perfiles.
RESPONSABILIDADES PARA LA SEGURIDAD DE LA INFORMACIÓN.
Central Colombiana de Aseo S.A. E.S.P es el propietario de la información. Su tenencia y manejo es delegada a los gerentes de la compañía, quienes son responsables de la custodia de la información que se genera y se copia en los servidores y discos externos asociados al backup. Por ello los gerentes deben ser conscientes de los riesgos a la que está expuesta la información a su cargo, de forma que deben estar siempre al frente tratando de disminuir estos riesgos.
RESPONSABILIDADES PARA EL PERSONAL
El T.I. se encargará de crear, actualizar, mantener y ejecutar un plan de capacitación en seguridad de la información que se enfoque en el crecimiento continuo de la conciencia individual y colectiva en temas de seguridad de la información.
Es responsabilidad del personal tener presente estas capacitaciones al igual que asistir a estas. Adicional a esto y para una seguridad efectiva se requiere la cooperación activa del personal, quienes dentro de sus responsabilidades deben realizar de controles de acceso, en particular, aquellos con referencia al uso de contraseñas.
El área de T.I. implementará los procedimientos necesarios que permitan controlar la creación, modificación, desactivación y eliminación de usuarios, administración de contraseñas y permisos de acceso a los recursos tecnológicos y a la información.
El área de apoyo se encargará también de crear y mantener un centro documental de acceso general con información relacionada con temas de seguridad de la información tales como responsabilidad en la administración de archivos, buenas prácticas, amenazas de seguridad, entre otros.
USUARIOS INVITADOS Y SERVICIOS DE ACCESO PÚBLICO
El acceso de usuarios no registrados solo se debe permitir por medio de aplicaciones desarrolladas para clientes o terceros como la página web en lo relacionado con PQR. El acceso y uso a cualquier otro tipo de recurso de información y TI no es permitido a usuarios invitados o no registrados.
El cuarto de servidores y de equipos de TIC, debe de estar en un área protegidas físicamente contra el acceso no autorizado, daño o interferencia.
CONTROLES DE ACCESO FÍSICO
El acceso a áreas TIC restringidas sólo se debe permitir para:
USO DE EQUIPOS PERSONALES
El uso de equipos portátiles personales que no sean de la organización está prohibido por cuanto se pierde el nivel de control y aseguramiento de la información allí contenida.
De la misma forma se debe restringir el ingreso de equipos portátiles, USB, discos duros de uso personal a la compañía.
ESCRITORIO LIMPIO
La implementación de una directriz de escritorio limpio permitirá reducir el riesgo de acceso no autorizado o daño a medios y documentos.
Los computadores deben bloquearse después de diez (10) minutos de inactividad, el usuario tendrá que autenticarse antes de reanudar su actividad. Todos los, consultores o terceras partes, deben bloquear la sesión al alejarse de su computador.
SEGURIDAD EN LOS EQUIPOS
Para prevenir la pérdida de información daño de los activos de información y la interrupción de las actividades de cada proceso, los equipos deben estar conectados a la toma regulada o estabilizador.
Los servidores que contengan información y servicios corporativos deben ser mantenidos en un ambiente seguro y protegido por los menos con:
El área de T.I. debe asegurar mediante un programa de mantenimiento la infraestructura de servicios de TI y el soporte adecuado de software.
Las estaciones de trabajo deben estar correctamente aseguradas por personal de la compañía, el cual debe estar capacitado acerca del contenido de esta política y de las responsabilidades personales en el uso y administración de su información.
Cada proceso tiene la responsabilidad de adoptar y cumplir las normas definidas para la creación y el manejo de copias de seguridad.
REPORTE E INVESTIGACIÓN DE INCIDENTES DE SEGURIDAD.
El personal de la compañía debe reportar inmediatamente presuntas violaciones de seguridad a través de su coordinador de proceso, al área de T.I..
PROTECCIÓN CONTRA SOFTWARE MALICIOSO Y HACKING
Todos los sistemas informáticos deben ser protegidos teniendo en cuenta un enfoque multinivel que involucre controles humanos, físicos técnicos y administrativos. El Área de T.I. elaborará y mantendrá un conjunto de políticas, procedimientos y guías que garanticen la mitigación de riesgos asociados a amenazas de software malicioso y técnicas de hacking.
En todo caso y como control mínimo, los equipos de la compañía deben estar protegidos un por software antivirus con capacidad de actualización automática en cuanto a firmas de virus. Los usuarios de estos equipos no están autorizados a deshabilitar este control.
COPIAS DE SEGURIDAD
Toda información corporativa o que sea de interés para un proceso o de misión crítica debe ser respaldada por copias de seguridad tomadas de acuerdo a los procedimientos documentados por área de T.I. Dicho procedimiento debe incluir las actividades de almacenamiento de las copias en sitios seguros.
El área de apoyo debe realizar pruebas controladas para asegurar que las copias de seguridad pueden ser correctamente leídas y restauradas. Las copias de seguridad de información crítica deben ser mantenidas de acuerdo a cronogramas definidos y publicados por el área de T.I..
La creación de copias de seguridad de archivos usados, custodiados o producidos por usuarios individuales es responsabilidad exclusiva de dichos usuarios.
ADMINISTRACIÓN DE CONFIGURACIONES DE RED
La configuración de enrutadores, switches, firewall, y otros dispositivos de seguridad de red; debe ser documentada, respaldada por copia de seguridad y mantenida por el área de T.I.
INTERNET Y CORREO ELECTRÓNICO.
Las normas de uso de Internet y de los servicios de correo electrónico serán elaboradas, mantenidas y actualizadas por el área de T.I. y en todo caso este comité debe velar por el cumplimiento del código de ética institucional y el manejo responsable de los recursos de tecnologías de la información.
INSTALACIÓN DE SOFTWARE
Todas las instalaciones de software que se realicen sobre equipos de la compañía deben ser aprobadas por área de T.I., de acuerdo a los procedimientos elaborados para tal fin.
No se permite la instalación de software que viole las leyes de propiedad intelectual y derechos de autor y relacionadas. El área de T.I. debe desinstalar cualquier software ilegal.
CATEGORÍAS DE ACCESO
El acceso a los recursos de tecnologías de información debe estar restringido según los perfiles de usuario definidos por el área de T.I.
CONTROL DE CLAVES Y NOMBRES DE USUARIO
El acceso interno a software de información y los datos que contienen es responsabilidad exclusiva del personal encargado de tales sistemas.
El control de las contraseñas de red y uso de equipos es responsabilidad del área de T.I., Dichas contraseñas deben ser codificadas y almacenadas de forma segura.
Las claves de administrador de los sistemas deben ser conservadas por área de T.I. y deben ser cambiadas en intervalos regulares de tiempo y en todo caso cuando el personal responsable las cambie.
El área de T.I. debe elaborar, mantener y actualizar el procedimiento y las guías para la correcta definición, uso y complejidad de claves de usuario.
Como requisito para la terminación de relación contractual o laboral del personal se debe realizar el cambio inmediato de contraseñas de cada recurso utilizado por la persona que deja el cargo.
GENERALIDADES
Para apoyar los procesos operativos y estratégicos la compañía se debe hacer uso intensivo de las tecnologías de la información y las comunicaciones. Los sistemas de software utilizados pueden ser adquiridos a través de terceras partes o desarrollados por personal propio.
En caso de un desarrollo propio dentro de la compañía, el área de T.I. elige, elabora, mantener y difunde un método de desarrollo de sistemas software que incluya lineamientos, procesos, buenas prácticas, plantillas y demás artefactos que sirvan para regular los desarrollos de software internos en un ambiente de mitigación del riesgo y aseguramiento de la calidad.
SEGURIDAD DE LAS APLICACIONES DEL SISTEMA.
Se deben desarrollar estándares que indiquen cómo se deben asegurar los diferentes sistemas, aplicaciones y desarrollos, para minimizar la aparición de errores, pérdidas y modificaciones no autorizadas o usos indebidos en la información de las aplicaciones.
Se deben diseñar controles adecuados en las aplicaciones, para garantizar un correcto procesamiento. Se debe incluir la validación de los datos introducidos, el procesamiento interno y los datos resultantes.
Las aplicaciones que se desarrollen deben cumplir unos requerimientos mínimos de seguridad, conforme a las buenas prácticas en seguridad de la información y a esta política de seguridad.
SEGURIDAD DE LOS SISTEMAS DE ARCHIVOS.
Se debe controlar el acceso al sistema de archivos y al código fuente de los programas. La actualización del las aplicaciones y las librerías, sólo debe ser llevada a cabo por el área de T.I.
SEGURIDAD DE LOS PROCESOS DE DESARROLLO Y SOPORTE
Se requiere de un control estricto en la implementación de cambios. Los procedimientos de control de cambios deben validar que los procesos de seguridad y control no estén comprometidos; dichos cambios deben ser aprobados con un procedimiento adecuado y con la documentación correspondiente.
Todo uso y seguimiento de uso a los recursos de TI de la compañía debe estar de acuerdo a las normas y estatutos internos así como a la legislación nacional en la materia, incluido pero no restringido a:
