Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Gobierno corporativo
tecnologías de la
información
Versión Elaborado por: Aprobado por: Fecha de Vigencia
2 Analista infraestructura de TI Coordinador infraestructura de TI Enero de 2019
MANUAL GOBIERNO CORPORATIVO TECNOLOGIAS DE LA INFORMACIÓN
Objetivo:
Alcance:
Aplica para todos los colaboradores, proveedores y clientes del Grupo Logístico TCC que
hagan uso de los servicios de TI
1. PRESENTACIÓN
El Manual de Gobierno de Tecnología es la manera como el área de Tecnología del grupo
TCC manifiesta su enfoque hacia las iniciativas y usos de las Tecnologías de Información
para habilitar la eficiencia en los procesos de la Organización generando así valor al
negocio.
2. QUIENES SOMOS
3. DEFINICIONES
Cada que se haga una requisición de personal donde el cargo requiera recursos de TI se
deberá gestionar una solicitud a través del catálogo de servicios de UNICO para reservar
los equipos y/o herramientas necesarias. Esta solicitud deberá hacerla el jefe inmediato
y es responsabilidad del área de selección garantizar el proceso.
unico@tcc.com.co
http://unico.tcc.com.co
4.14. Gestión de Problemas. Con este proceso se busca disminuir y/o evitar la
presencia de incidentes repetitivos o de alto impacto, a través de la identificación y
eliminación de la causa de raíz para mejorar la disponibilidad de los servicios de TI y
aumentar la satisfacción de los usuarios.
La Política Global de Seguridad de la Información del Grupo Logístico TCC deberá ser
soportada por lineamientos y procedimientos específicos que guíen el manejo adecuado
de la información. Adicionalmente, las políticas aquí establecidas se fundamentan en
los propósitos de la norma internacional ISO/IEC 27001:2013.
8. SANCIONES
Definir en conjunto con el área de Gestión Humana cuáles serán las consecuencias
y/o penalidad o procesos disciplinarios que acarrea el incumplimiento de los
lineamientos descritos en esta política para los empleados, contratistas o terceros
usuarios (de acuerdo con los requisitos legales y reglamentarios del país) que hayan
violado las políticas y procedimientos de seguridad de la Compañía, con el objetivo de
aplicar medidas correctivas conforme con los niveles de clasificación de las sanciones
definidas y mitigar posibles afectaciones contra la seguridad de la información.
• La Alta Dirección del grupo TCC debe definir y establecer los roles y
responsabilidades relacionados con la seguridad de la información en niveles
directivo y operativo.
• La Alta Dirección debe definir y establecer el procedimiento de contacto con las
autoridades en caso de ser requerido, así como los responsables para establecer
dicho contacto.
• La Alta Dirección debe revisar y aprobar las Políticas de Seguridad de la
Información contenidas en este documento.
• La Alta Dirección debe promover activamente una cultura de seguridad de la
información en la organización.
• La Alta Dirección debe facilitar la divulgación de las Políticas de Seguridad de la
Información
• Los funcionarios y personal provisto por terceras partes que realicen labores en
o para el grupo TCC, tienen la responsabilidad de cumplir con las políticas,
normas, procedimientos y estándares referentes a la seguridad de la
información.
El grupo TCC proveerá las condiciones para el manejo de los dispositivos móviles
(teléfonos, inteligentes y tabletas, entre otros) institucionales que hagan uso de servicios
de la compañía. Así mismo, velará porque los funcionarios hagan un uso responsable de
los servicios y equipos proporcionados por la entidad.
• Los usuarios deben evitar usar los dispositivos móviles corporativos en lugares que
no les ofrezcan las garantías de seguridad física necesarias para evitar pérdida o
robo de estos.
• Los usuarios no deben modificar las configuraciones de seguridad de los
dispositivos móviles institucionales bajo su responsabilidad, ni desinstalar el
software provisto con ellos al momento de su entrega.
• Los usuarios deben evitar la instalación de programas desde fuentes desconocidas.
• Los usuarios deben evitar conectar los dispositivos móviles institucionales
asignados por puerto USB a cualquier computador público, de hoteles o cafés
internet, entre otros.
• Definir esquemas de seguridad para el uso del dispositivo, como creación de un
número PIN o huella de seguridad.
• Los usuarios deberán eliminar toda la información sensible de Grupo TCC
descargada a sus equipos, una vez ha sido utilizada.
Este servicio es brindado por el Grupo TCC para apoyar la gestión de las tareas
vinculadas a un cargo y se constituye en un recurso valorado, vigilado y cuidado para
que se haga un buen uso de él. Por esta razón, todos los colaboradores que tengan los
privilegios de acceso a internet deben cumplir cabalmente los siguientes requisitos:
público en general, sin que esto implique daños a terceros ni a las actividades o
procesos de la Compañía.
- Confidencial: Es toda aquella información que no debe ser revelada a terceros sin
previa autorización del Presidente, ya que puede representar un alto riesgo para la
Compañía, sus empleados y/o demás partes interesadas, con efectos catastróficos
para las actividades y sus procesos, generando sanciones a quien incumpla dicha
política.
Las cuentas de usuario son la manera como los colaboradores del Grupo TCC acceden
a los aplicativos que les entrega la Empresa, no hacer buen uso de ellas pone en riesgo
los activos corporativos; por esta razón, es obligatorio que las personas con cuentas de
usuarios las protejan y sigan los siguientes requisitos:
Complejidad de la Contraseña
• Las contraseñas deben estar
compuestas por letras
mayúsculas, letras minúsculas,
números y símbolos de
puntuación.
MANUAL GOBIERNO CORPORATIVO TECNOLOGIAS DE LA INFORMACIÓN
• Otras Disposiciones
MANUAL GOBIERNO CORPORATIVO TECNOLOGIAS DE LA INFORMACIÓN
El grupo TCC para evitar la pérdida, robo o exposición al peligro de los recursos de la
plataforma tecnológica del grupo que se encuentren dentro o fuera de sus instalaciones,
proveerá los recursos que garanticen la mitigación de riesgos sobre dicha plataforma
tecnológica.
• Los funcionarios del grupo TCC y el personal provisto por terceras partes no
deben dejar encendidas las estaciones de trabajo u otros recursos tecnológicos
en horas no laborables.
• Los equipos de cómputo, bajo ninguna circunstancia, deben ser dejados
desatendidos en lugares públicos o a la vista, en el caso de que estén siendo
transportados.
• Los equipos portátiles siempre deben ser llevados como equipaje de mano y se
debe tener especial cuidado de no exponerlos a fuertes campos
electromagnéticos.
• En caso de pérdida o robo de un equipo de cómputo del grupo TCC, se debe
informar de forma inmediata al líder del proceso para que se inicie el trámite
interno y se debe poner la denuncia ante la autoridad competente.
Estos lineamientos están dirigidos todos los colaboradores, proveedores y clientes del
Grupo Logístico TCC que laboran dentro y fuera de las instalaciones de TCC y que utilicen
recursos de TI propiedad o responsabilidad de la compañía.
Los dispositivos de cómputo son propiedad o responsabilidad del Grupo TCC y por lo
tanto la Empresa está en pleno derecho de establecer cualquier acción sobre ellos o
sobre la información que reciban, procesen, almacenen o transmitan, incluyendo
acciones de revisión y auditorías. Las directrices son:
• Todos los equipos deben contar con los últimos parches de seguridad y
funcionalidad recomendados por el proveedor y criterio de TI.
• Todos los dispositivos deben estar actualizados y/o reemplazados frente a sus
capacidades vs responsabilidades del cargo del empleado y política de
obsolescencia.
• Todos los activos de TI de Grupo TCC deberán estar registrados a lo largo de su
ciclo de vida según políticas de TI y gestión de activos de la compañía.
• El equipo de TI deberá confirmar que el mantenimiento preventivo de todos los
dispositivos de TI se realiza a intervalos regulares para la disponibilidad continua
de estos sistemas y se llevará a cabo de acuerdo con las instrucciones y
especificaciones del fabricante o políticas de tecnología TCC.
• El equipo de TI y proveedores aliados mantendrá las contingencias de equipos
de cómputo y comunicaciones necesarias para darle continuidad a la compañía
en todos los procesos operativos y administrativos.
• Los usuarios del aplicativo no deben tener acceso al código fuente bajo ninguna
modalidad.
• Los usuarios de las aplicaciones o soluciones no deben tener acceso directo a
las bases de datos mediante las herramientas de los motores de bases de datos
usados.
• Los planes de voz son cerrados, una vez se termine el total de minutos asignados
la línea quedará habilitada para recibir llamadas y realizar llamadas al NIT.
• Solo el Director de Ruta Nacional y el Director de Planeación de Operaciones en
acuerdo con TI, tienen la potestad de cambiar el Plan asignado, por lo que no
están autorizados los cambios por los Colaboradores.
• El empleado que tenga asignado un Celular y/o Dispositivo Móvil Corporativo,
está en conocimiento de que tanto el celular como la tarjeta SIM que recibe es
propiedad exclusiva de TCC; si por alguna razón la relación laboral culmina,
deberá devolver tanto el equipo como la tarjeta SIM a Ruta Nacional o en su
defecto al Coordinador del Centro de Control.
• En ningún momento la SIM Card podrá ser retirada del celular y/o Dispositivo
Móvil asignado para ser utilizada en otro dispositivo sin previa autorización del
centro de control y de TI.
Este servicio es brindado por el Grupo TCC para apoyar la gestión de las tareas
vinculadas a un cargo y se constituye en un recurso valorado, vigilado y cuidado para
que se haga un buen uso de él. Por esta razón, todos los colaboradores que tengan los
privilegios de acceso a internet deben cumplir cabalmente los siguientes requisitos:
segura del servicio de Internet, bajo las restricciones de los perfiles de acceso
establecidos.
• La Dirección de Tecnología debe diseñar e implementar mecanismos que
permitan la continuidad o restablecimiento del servicio de Internet en caso de
contingencia interna.
• La Dirección de Tecnología debe monitorear continuamente el canal o canales
del servicio de Internet.
• La Dirección de Tecnología debe generar registros de la navegación y los accesos
de los usuarios a Internet.
• Los equipos de telecomunicaciones deben tener una lista de acceso que permita
su conexión remota sólo al personal autorizado por TI.
• Todas las redes deben contar con medidas que rechacen las conexiones no
autorizadas, registrarlas y dar aviso de ello.
• Todos los equipos que acceden a la red LAN deben estar totalmente
identificados.
• La Dirección de Tecnología debe restringir las conexiones remotas a los recursos
de la plataforma tecnológica; únicamente se deben permitir estos accesos a
personal autorizado y por periodos de tiempo establecidos, de acuerdo con las
labores desempeñadas.
• La Dirección de TI debe adoptar medidas para asegurar la disponibilidad de los
recursos y servicios de red del Grupo TCC
• La Dirección de TI debe mantener las redes de datos segmentadas por dominios,
grupos de servicios, grupos de usuarios, ubicación geográfica o cualquier otra
tipificación que se considere conveniente para el Grupo.
• La Dirección de TI debe identificar los mecanismos de seguridad y los niveles de
servicio de red requeridos e incluirlos en los acuerdos de servicios de red, cuando
estos se contraten externamente.
• La Dirección de TI debe establecer los estándares técnicos de configuración de
los dispositivos de seguridad y de red de la plataforma tecnológica del Grupo.
• La Dirección de TI, a través de sus funcionarios, debe identificar, justificar y
documentar los servicios, protocolos y puertos permitidos en sus redes de datos
e inhabilitar o eliminar el resto de los servicios, protocolos y puertos.
• La Dirección de TI debe instalar protección entre las redes internas del Grupo
TCC y cualquier red externa, que este fuera de la capacidad de control y
administración del grupo.
• La Dirección de Tecnología debe velar por la confidencialidad de la información
del direccionamiento y el enrutamiento de las redes de datos del Grupo TCC.
El servicio de correo electrónico corporativo ha sido creado para que los colaboradores
del Grupo TCC puedan comunicar sus decisiones y acciones. Por ser un servicio que es
propiedad del Grupo TCC, este puede estar sujeto a auditorías de contenido y utilización.
Por lo tanto, estos son los requisitos para su uso:
(Se requiere validar con el área legal si se tienen en sus políticas internas contemplados
lineamientos de Habeas Data o disposiciones generales en cuanto a la recolección, uso,
almacenamiento y divulgación de información personal)
• Los recursos de TI que no sean propiedad del Grupo TCC y deban ser utilizados
por terceros al interior de la organización, deben garantizar la legalidad del
recurso para su funcionamiento.
• Los usuarios terceros tendrán acceso a los servicios de TI que sean estrictamente
necesarios para el cumplimiento de su función, dichos accesos deben ser
aprobados por el Director del área encargada y serán analizados por el área de
Tecnología.
• La conexión entre sistemas internos de la compañía y otros de terceros debe ser
aprobada y certificada por el área de Tecnología con el fin de no comprometer la
seguridad de la información interna de la Organización.
• Los equipos de usuarios terceros que deban estar conectados a la Red, deben
contar con un antivirus actualizado y con las respectivas licencias del software
instaladoToda la información de propiedad de Grupo TCC debe ser clasificada en
términos de requisitos legales / contractuales / regulatorios / valor / criticidad
para el negocio con respecto a la confidencialidad, integridad y disponibilidad.