SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACIÓN

POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN

Revisó GTI, GSO, GAD, GAC Firma

Aprobó Vicepresidente de Firma

Informática

Fecha Aplicación Marzo 27 de 2006

Versión 1.0

Código SGSI-POL-000
documento
 SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACIÓN

1 OBJETIVO

Establecer los criterios y comportamientos que debemos seguir todos los miembros de la comunidad
empresarial de ETB (empleados, contratistas, pasantes y terceros, entre otros) con el fin de preservar la
confidencialidad, integridad y disponibilidad de la información, entendidas como (NTC-BS 7799-2):

Confidencialidad: Seguridad de que la información es accesible solamente a quienes están

autorizados para ello.

Integridad: Protección de la exactitud y estado completo de la información y métodos de

procesamiento; y

Disponibilidad: Seguridad de que los usuarios autorizado tienen acceso a la información y a los
activos asociados cuando lo requieren.

Para tal efecto, se obrará en concordancia con nuestra guía ética y las disposiciones legales vigentes, y en
consecuencia, se establecen las siguientes políticas agrupadas en tres niveles, así:

PRIMER NIVEL. Corresponde a la política del Sistema de Gestión de Seguridad de la información (SGSI), es
una directriz global que establece qué y por qué se quiere proteger. Su definición y actualización esta alineada
con la planeación estratégica de la organización.

SEGUNDO NIVEL. Corresponde a la política de Seguridad de la información, la cual establece las

responsabilidades generales aplicables a toda la comunidad empresarial ETB en lo que respecta al uso
adecuado de los activos para la gestión de la información.

TERCER NIVEL. Corresponde a políticas específicas enfocadas a grupos, servicios o actividades particulares.
Su definición y actualización debe reflejar cambios de índole organizacional y tecnológico.

Si por alguna razón, estas Políticas no cubren algún caso en concreto, se deberá consultar a la Vicepresidencia
Informática, quien emitirá su concepto o disposición al respecto previa consulta a la Vicepresidencia Jurídica de
ETB y demás áreas de la empresa a que haya lugar, según sea el caso.

2 A LC A N C E

Todas las áreas de la Organización por su condición de negocio, manejan y procesan información (cualquier
dato con significado o cualquier forma de comunicación) soportada en: papel, disco magnético, óptico o
electrónico, fotografía o muestra patrón o una combinación de éstos. Dicha información podría quedar expuesta
a cambios, daños y revelación indebida, que puede comprometer la imagen de ETB o de terceros, de no contar
con mecanismos y disposiciones que garanticen su confidencialidad, integridad y disponibilidad.

Por lo anterior se hace necesaria la definición y cumplimiento de las siguientes directrices:

3 POLÍTICAS

3.1 POLÍTICA SGSI

En ETB entregamos soluciones integrales a nuestros clientes como elemento diferenciador y fidelizador,
manteniendo la confidencialidad, integridad y disponibilidad de los activos de información a través de:

Pág 2 de 2
 SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACIÓN

a. Servicios de redes, contenidos y aplicaciones soportadas en las plataformas

apropiadas protegiendo los mecanismos de tratamiento, almacenamiento y comunicación.

b. Personal competente y comprometido con una cultura de seguridad reflejada en la aceptación y

aplicación de las directrices establecidas.

c. El cumplimiento de las disposiciones legales y regulatorias emitidas por los diferentes organismos.

d. Una metodología de gestión de riesgos como herramienta para actuar proactivamente ante la
presencia de situaciones que puedan afectar la continuidad de los procesos del negocio.

3.2 GENERALES

3.2.1 La información que se maneja en ETB, solamente podrá ser utilizada con fines empresariales.

3.2.2 Las herramientas y servicios informáticos asignados a cada usuario, son para uso limitado a la función
empresarial.

3.2.3 Todos los colaboradores que conforman las diferentes áreas de ETB deberán clasificar la información
que tengan bajo su custodia en alguna de las categorías establecidas en la SGSI-POL006-Política
clasificación de la información.

3.2.4 La información confidencial de terceros que por cualquier circunstancia se conozca por parte de ETB,
debe ser tratada bajo los mismos lineamientos establecidos para el tratamiento de la información
confidencial de ETB.

3.2.5 Toda la información catalogada por las áreas como critica debe contar con copias de respaldo para
garantizar su seguridad.

3.2.6 Los centros de computo y procesamiento de información son áreas de acceso restringido por tal motivo
el ingreso y permanencia debe ser controlado y supervisado.

3.2.7 El acceso a los diferentes equipos informáticos y sistemas de información debe hacerse a través de los
mecanismos de autenticación establecidos de acuerdo con los niveles de seguridad.

3.2.8 El acceso no autorizado a los sistemas de información y uso indebido de los recursos informáticos de la
compañía está prohibido. Se considera que hay uso indebido de la información y de los recursos,
cuando la persona incurre en cualquiera de las siguientes conductas:
a. Suministrar la información a quien no tiene derecho a conocerla.
b. Usar la información con el fin de obtener beneficio propio o de terceros.
c. Ocultar la información maliciosamente causando cualquier perjuicio.
d. Hacer pública la información sin la debida autorización.
e. Hurtar software de ETB (copia o reproducción entre usuarios finales).
f. Realizar copias no autorizadas de software de ETB, dentro y fuera de sus instalaciones.
g. Falsificar y duplicar un producto informático de ETB.
h. Descargar software, a través de Internet sin la debida autorización.

Pág 3 de 3
 SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACIÓN

i. Intentar modificar, reubicar o sustraer equipos de cómputo, software,

información o periféricos sin la debida autorización.
j. Capturar sin autorización la información de los accesos de otros usuarios a los sistemas.
k. Transgredir o burlar los mecanismos de autenticación u otros sistemas de seguridad.
l. Utilizar la infraestructura de ETB (computadores, software, información o redes) para acceder a
recursos externos con propósitos ilegales o no autorizados.
m. Enviar cualquier comunicación electrónica fraudulenta.
n. Adueñarse del trabajo de otros individuos, o de alguna manera apropiarse del trabajo ajeno.
o. Usar cualquier medio para dañar o perjudicar de alguna manera los recursos disponibles
electrónicamente.
p. Lanzar cualquier tipo de virus, gusano o programa de computador cuya intención sea hostil o
destructiva.
q. Descargar o publicar material ilegal, con derechos de propiedad o material nocivo usando un
recurso de ETB.
r. Uso personal de cualquier recurso informático de ETB para acceder, descargar, imprimir,
almacenar, redirigir, transmitir o distribuir material pornográfico.
s. Violar cualquier Ley o Regulación nacional respecto al uso de sistemas de información.

NOTA IMPORTANTE: Para detalle sobre cómo implementar éstas directrices generales, se dispone de
políticas específicas, estándares y guías de consulta. Las cuales pueden ser consultadas en iaia/Servicios al
trabajador/Seguridad Informática/Políticas y Directivas.

3.3 ESPECÍFICAS

Forman parte integral de la Política de Seguridad de la Información, todas aquellas directrices que por su tema
particular, requieren un mayor nivel de detalle y especialización para su definición, las cuales son elaboradas y
mantenidas por las áreas de seguridad, según el dinamismo del negocio, y las cuales a su vez pueden estar
complementadas por estándares y guías.

Estas políticas específicas cubren entre otros, los temas de:

Política para clasificación de la información

Política de uso de estaciones de trabajo

Política de desarrollo y mantenimiento de aplicaciones

Política de uso de contraseñas

Política de uso de correo electrónico

Política de uso red corporativa

Política de uso de Internet e Intranet - Empleados

Política de antivirus

Pág 4 de 4
 SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACIÓN

Política de respaldo de la información

Política de Acceso Remoto

Política de asignación y uso de dispositivos de autenticación fuerte

Política de seguridad física

Política de uso VPNs

Política de control de cambios

Política de Centros de Computo y de procesamiento de información

Política de Red

Política de desarrollo y evolución tecnológica

Políticas específicas para usuarios externos:

Política de uso de Internet - Clientes

Política para estaciones de trabajo de terceros (contratistas, proveedores)

4 SANCIONES

Estas políticas a todo nivel, son mandatorias, por lo tanto deben ser cumplidas por la Comunidad
Empresarial de ETB (Empleados, Contratistas, Entes Reguladores, Socios de Negocios, pasantes y
terceros entre otros) que interactúen con los Sistemas de Información y demás recursos
informáticos de la Compañía.

Incumplimiento significa toda conducta de cualquier miembro de la Comunidad Empresarial de ETB

que no respete las políticas. Entre los ejemplos de incumplimiento se incluyen, sin limitarse a ellos:

a. Los empleados que sean negligentes en la aplicación de medidas de Seguridad y control dentro
de la organización.

b. Una acción o inacción por parte de un empleado que contribuye a la violación de las normas
orientadas al buen uso de la información.

c. Un empleado que no resuelve o remite inmediatamente a una autoridad superior los problemas
de seguridad de la información que sean detectados.

d. Los empleados que no tomen las medidas correspondientes ante una queja o un incidente de
seguridad.

Todos los miembros de la Comunidad Empresarial de ETB serán responsables de implementar las
políticas y procedimientos de Seguridad que se contemplan o son referenciados en este
documento y sus complementarios. Cualquier incumplimiento de las políticas y procedimientos de

Pág 5 de 5
 SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACIÓN

Seguridad es considerado como falta disciplinaria por incumplimiento de las

obligaciones y deberes del empleado, que será sancionada con terminación del contrato de trabajo
con justa causa, suspensión del contrato o amonestación escrita con copia a la hoja de vida,
atendiendo las circunstancias particulares de cada caso de conformidad con lo previsto en la Ley y
en la Convención.

Los empleados temporales y de terceros que estén involucrados en incidentes de incumplimiento

pueden ver terminado su contrato de acuerdo con las condiciones que en él se han establecido.

5 NOTIFICACIÓN DE INCIDENTES

Toda violación de estas políticas se deberá notificar inmediatamente a las áreas de seguridad a
través de las cuentas cat@etb.com.co y/o seguridad_informatica@etb.com.co, y al jefe inmediato
del empleado que notifica tal violación, de modo que se pueda resolver debidamente el asunto. Se
busca asegurar que todos comprendan y respeten las políticas con el fin de reducir al mínimo el
riesgo, protegiendo a todas las personas, así como a la empresa.

Se deberán notificar situaciones tales como: personas ajenas de ETB en centros de computo,
correos con virus, reinicio de los equipos de cómputo o enrutadores, mala utilización de recursos,
uso ilegal del software, mal uso de información corporativa, alteración de información, etc.

Las políticas de seguridad de la información de ETB fueron diseñadas para ajustarse o exceder, sin
contravenir, las medidas de protección establecidas en las leyes y regulaciones, por lo tanto si
algún funcionario y/o tercero de ETB considera que alguna política de seguridad de información
esta en conflicto con las leyes y regulaciones existentes, tiene la responsabilidad de reportar en
forma inmediata dicha situación a través de la cuenta seguridad_informática@etb.com.co donde
será atendida.

Pág 6 de 6