Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Objetivos:
Establecer los lineamientos y buenas prácticas para proteger la confidencialidad, disponibilidad, e
integridad de la información de la compañía, para el uso adecuado de los equipos de comunicación,
cómputo y demás dispositivos móviles suministrados a los empleados para el desarrollo de sus funciones
evitando intrusiones y alteraciones.
Alcance
Todos los colaboradores del Grupo, es decir, pertenecientes a las Empresas Comercial Allan S.A.S y
Expertos en Café S.A.S en Colombia, Segivel, Segivel II, Laredo S.A.S, contratados a término fijo y a
término indefinido.
Esta política se aplica en todo el ámbito de la organización, a sus recursos tecnológicos y humanos, a la
totalidad de los procesos internos o externos, a los proveedores, prestadores de servicios y terceros, que
de alguna manera puedan tener interacción a la información con los equipos y dispositivos que la
almacenen, transmitan y/o procesen.
Propósito
1. Definiciones
Confidencialidad de la información: Es la garantía que la información será protegida, para que no
sea divulgada ni utilizada incorrectamente sin consentimiento.
Sincronización: Es un proceso automático que tiene como función consolidar las modificaciones
entre los archivos o información almacenada en el computador contra la Red de la Compañía. Este
proceso asegura que la información contenida en su carpeta “Mis documentos” sea respaldada en
el servidor y pueda ser utilizada como backup en caso de pérdida de información.
A continuación, se plasma las metodologías aplicadas y los estándares de control necesarios para el
acceso a la información de la compañía.
-Aplicativos Corporativos: son aquellos que se acceden a través de la red WAN corporativa y están
alojados en el datacenter local (Siigo, Icg, Ngsoft, Gmail y Softphone)
-Aplicativos de Plataforma computacional: Ofimática (Word, Excel, power point, Project, Visio)
-Acceso a redes e infraestructura: (Vpn, LAN, cámaras de video Vigilancia)
-Aplicativos de Consulta: (SIP, Maino, Star)
1 Seguridad en los Accesos por Terceros. La compañía lleva cabo procesos de gestión tecnológica
con tercerizados para lo cual se hace una evaluación de identificación de riesgos, pactación de
acuerdos, monitoreo de cumplimiento y gestión de cambios asegurando que los servicios prestados
cumplen los requisitos acordados por la compañía y la finalidad del objetivo para los cuales fueron
contratados.
Acceso a Datacenter: El acceso a los servidores a través de estaciones de trabajo está controlado
por la emisión de contraseñas a los empleados de las distintas oficinas, para que realicen
actividades específicas de acuerdo con la naturaleza de las funciones que desempeñan. La
seguridad y la confidencialidad de la información en el sistema computarizado requieren por lo
tanto que se adopten estrictas normas para el proceso de emisión y uso de contraseñas. Ver anexo
No.1 “Instructivo de administración de contraseñas”
Las copias de seguridad que contienen la información crítica deben ser almacenadas en otra
ubicación diferente a las instalaciones donde se encuentra dispuesta. El sitio externo donde se
resguardan dichas copias, debe tener los controles de seguridad adecuados, cumplir con máximas
medidas de protección y seguridad física.
3. Acuerdos de confidencialidad
Todos los funcionarios deben aceptar los acuerdos de confidencialidad definidos por las empresas, los
cuales reflejan los compromisos de protección y buen uso de la información de acuerdo con los criterios
establecidos en ella.
De igual manera se deben adoptar los controles necesarios para mantener los equipos alejados de sitios
que puedan tener riesgo de amenazas potenciales como fuego, explosivos, agua y polvo. En estas áreas
está prohibido el consumo de alimentos y/o fumar.
Adicionalmente, se requiere que la información sensible que se envía a las impresoras sea liberadas a
través del pin de seguridad. Todos los usuarios son responsables de bloquear la sesión de su computador
en el momento en que se retiren del puesto de trabajo, la cual se podrá desbloquear sólo con la contraseña.
Cada equipo de cómputo tiene bloqueo automático con un tiempo de 5 minutos en el protector de pantalla
cuando se presente inactividad por parte del usuario y es requisito ingresar su contraseña de usuario.
Redundancia
7. Protección de los datos
El grupo empresarial establece que todos los recursos informáticos deben estar protegidos mediante
herramientas y software de seguridad como antivirus y antispam (Kaspersky), Así mismo se debe contar
con un sistema de seguridad perimetral que prevenga el ingreso a la red corporativa de atacantes como
Firewall, IDS (Intrusión Detection System) e IPS ( Intrusion Prevention System) SONICWALL.
Se debe Tener en cuenta que existen dispositivos rastreadores de acceso de hardware o software, los cuales
podrían obtener sus contraseñas y otra información del grupo empresarial. Se debe evitar donde sea
posible, la transferencia electrónica de archivos a través de medios temporales de almacenamiento como
diskette o Memoria USB a o desde dichas instalaciones. Si es inevitable, verifique que cualquier
dispositivo de almacenamiento usado para transferir información en los computadores de instalaciones
públicas sea retirado rápidamente.
Se cuenta con método de identificación de intentos fallidos de ingreso de contraseña para los servicios de
Gmail, Firewall, SIIMED e ICG se hace una verificación mensual de dichos intentos para tomar medidas
de protección a los sistemas anteriormente mencionados.
El uso de programas que puedan ser capaces de invalidar los controles del sistema y de la aplicación,
deben estar restringidos y estrictamente controlados.
Se debe controlar el acceso al sistema de archivos y al código fuente de los programas. La actualización
del software aplicativo, las aplicaciones y las librerías, sólo debe ser llevada a cabo por los
administradores.
La creación o modificación de cuentas de usuario tiene como responsable al Director de TI en los sistemas
de red, Gmail, infraestructura y aplicativos, se debe realizar una vez se ha cumplido alguno de los
siguientes eventos:
El área de Gestión Humana envía al área de tecnología el “FORMATO DE SOLICITUD DE
INGRESO” para empleados directos de la compañía
El área de Gestión Humana notifica al área de tecnología las novedades relacionadas con cambio
de cargo, cambio de centro de costo o ubicación haciendo uso de los mismos formatos de solicitud
de ingreso según sea el caso.
El Director de área envía una solicitud por el sistema de tickets de HelpDesk para la creación o
modificación de los usuarios, en los sistemas de información (ICG, SIIGO, Control de acceso,
Gmail, Aplicativos de control interno).
Correo electrónico: Cada usuario de la red del grupo empresarial cuenta con un buzón de correo
electrónico que facilita las comunicaciones internas (Red LAN) y externas (Internet), el formato de estos
buzones es Nombre.Apellido@heladospopsy.com para Comercial Allan S.A.S y Expertos en Café. Este
buzón es una cuenta de GOOGLE SUITE, que no solo le permite manejar su correo, sino la agenda,
tareas, libreta de direcciones y el chat corporativo Hangouts.
No deben existir dos cuentas para un mismo usuario en el mismo sistema de información con diferente
perfil. La única excepción corresponde a los administradores de sistemas o aplicativos que adicional a su
rol de administrador pueden ingresar información como usuarios normales.
Ver Anexo 3 “Flujograma de creación de usuarios”.
Posteriormente, el área de nómina envía al área de tecnología el paz y salvo con el colaborador para firma.
Con este documento se inicia el proceso de cancelación de las credenciales en los diferentes sistemas de
información.
El área de control interno deberá realizar una auditoría a los sistemas de información validando que los
usuarios se encuentren vigentes y que no existan inconsistencias, según listado de usuarios activos
enviado por nómina. Dicha verificación se ejecuta rutinariamente de manera trimestral.
Los requerimientos de seguridad de la información identificados, las obligaciones derivadas de las leyes
de propiedad intelectual y los derechos de autor deben ser establecidos en los acuerdos contractuales que
se realicen entre el grupo empresarial y cualquier proveedor de productos y/o servicios asociados a la
infraestructura de procesamiento de información. Es responsabilidad del director de IT garantizar la
definición y cumplimiento de los requerimientos de seguridad de la información.
• Para el caso de laptops, guarde siempre toda la información sólo en la carpeta “Mis documentos” de su
equipo, por ningún motivo guarde información del negocio en otra ubicación distinta a ésta, ya que esta
carpeta posee configuraciones de seguridad de backup, para asegurar que la información, en caso de
pérdida o robo del dispositivo pueda ser utilizada por personas ajenas a la Compañía.
• No se debe trabajar con información confidencial de la Compañía en ambientes públicos, que no pueden
ser controlados con las políticas de seguridad de la Compañía.
• Si está utilizando su laptop y está trabajando con información de la Compañía, asegúrese que nadie que
se encuentre cerca a usted pueda leer la información desplegada en su pantalla.
• Cuando se desplaza, mantenga sus pertenencias a la vista y nunca deje sus equipos o dispositivos
desatendidos en lugares públicos, mesas, escritorios, cuartos de hotel, salas de conferencias, oficinas de
clientes o en un vehículo durante su ausencia. No salga de una reunión o de una sala de conferencias sin
sus equipos o dispositivos, llévelos con usted.
• Cuando por sus funciones deba portarlos a casa, tenga cuidados especiales con el lugar en que los
guarda: lejos de líquidos, salvaguardados de posibles caídas y en condiciones ambientales adecuadas.
Procure adicionalmente que otras personas no tengan acceso a éstos. Nunca utilice su vehículo para
guardarlos en fines de semana u horas nocturnas.
• Asegure su equipo o dispositivos móviles en su oficina o área de trabajo durante horas no laborales o
almacénelos en un escritorio o archivador con llave.
• Porte su equipo o dispositivo móvil sólo cuando por su trabajo lo requiera. No los lleve consigo cuando
esté disfrutando de su temporada de vacaciones, a menos que sea estrictamente necesario por sus
funciones.
• Tenga cuidados adicionales con su equipo o dispositivo móvil cuando acuda a espacios concurridos
como eventos, plazas y mercados, aeropuertos, restaurantes, bares, etc. Evite en la medida de lo posible
hacer uso de estos o exhibirlos en lugares poco seguros.
• Cuando porte sus dispositivos móviles en bolsillos o bolsos, cerciórese de que no pueda ser fácilmente
sustraídos.
• Guarde equipos como computadores portátiles, proyectores, etc., en el baúl del vehículo durante el
transporte en carro. • La pérdida, robo, daño de equipo o dispositivo móvil deberán ser reportados
inmediatamente a Help Desk
La compañía se abroga el derecho de cambiar, modificar o adicionar la presente política cuando las
circunstancias así lo exijan o cuando haya cambio en las necesidades del negocio.
3 Manejo de Excepciones:
Cuando sea necesaria una excepción a esta política, esta debe presentar por escrito a la Gerencia
General quién evaluará si es procedente o no.
4 Administración de la Política
Todos los colaboradores del Grupo, son responsables directos de la correcta aplicación de esta
Política. Si en su implementación persisten dudas o se genera algún inconveniente, el colaborador
deberá acudir a la Gerencia de Planeación y Control para la validación o aclaración de lo que
suscite alguna duda.
5.1 Vigencia:
6. Incumplimiento
La violación de la presente política puede resultar en llamados de atención con copia a la hoja de
vida para los funcionarios involucrados en la actividad.
Anexos: