Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Introducción
La política de seguridad es una declaración ética, responsables y de estricto cumplimiento en toda la
organización, la cual es des
plegada a través de las diferentes guías y procedimientos, procurando que los riesgos sean tratados
adecuadamente.
Objetivos
Objetivo General
Establecer los lineamientos que permitan proteger, asegurar y salvaguardar la confidencialidad,
integridad y disponibilidad de los activos de información de la OCA GLOBAL COLOMBIA SAS, y de
terceros por relación comercial, técnico o laboral, teniendo en cuenta los procesos, de las operaciones,
los objetivos de negocio y los requisitos legales vigentes.
Objetivos Específicos
Definir la política de seguridad y privacidad de la información de la OCA GLOBAL COLOMBIA
SAS
Definir los lineamientos a ser considerados para diseñar e implementar la Gestión de Seguridad de
la Información alineado con las necesidades, los procesos, los objetivos y la operación de OCA
GLOBAL COLOMBIA SAS.
Dar conformidad y cumplimiento a las leyes, regulaciones y normativas que le aplican a OCA
GLOBAL COLOMBIA SAS en el desarrollo de su misión.
Proteger los activos de información de OCA GLOBAL COLOMBIA SAS
Mantener un sistema de políticas, manuales, procedimientos y estándares actualizados, a efectos
de asegurar su vigencia y un nivel de eficacia, que permitan minimizar el nivel de riesgo de los
activos de información de la OCA GLOBAL COLOMBIA SAS
Fortalecer la cultura de seguridad de la información en funcionarios, terceros y clientes de OCA
GLOBAL COLOMBIA SAS, mediante la definición de una estrategia de uso y apropiación de la
política.
Garantizar la continuidad de negocio frente a la materialización de incidentes de seguridad
basados seguridad informática.
Definir una estrategia de continuidad de los procesos de la OCA GLOBAL COLOMBIA SAS
frente a incidentes de seguridad de la Información.
Alcance
La política de seguridad de la información aplica a cualquier información de la empresa y que esté sobre
las redes de comunicaciones y sistemas de información que apoyan los servicios al segmento de hogares,
que sea propia o de terceros (clientes, proveedores y contratistas) y que esté en custodia (almacenada o en
tránsito).
Esta política va dirigida hacia los empleados y contratistas que tengan contacto o uso de las tecnologías de
información y comunicaciones que hacen parte de la seguridad de la información.
La gestión de los riesgos de los activos de información teniendo en cuenta el nivel de tolerancia al
riesgo de la OCA GLOBAL COLOMBIA SAS.
Una gestión integral de riesgos basada en la implementación de controles físicos y digitales
orientados a la prevención de incidentes.
La implementación de políticas de seguridad de alto nivel, para asegurar la confidencialidad,
integridad y disponibilidad de la información institucional.
El fomento de la cultura y toma de conciencia entre el personal (funcionarios, contratistas,
proveedores y terceros) sobre la importancia de la seguridad de la información.
Las responsabilidades frente a la seguridad de la información serán definidas, compartidas,
publicadas y aceptadas por cada uno de los empleados, proveedores, socios de negocio o
terceros.
Proteger la información generada, procesada o resguardada por los procesos de negocio, su
infraestructura tecnológica y activos del riesgo que se genera de los accesos otorgados a terceros
(ej.: proveedores o clientes), o como resultado de un servicio interno en Outsourcing.
Se mitigarán los incidentes de Seguridad y Privacidad de la Información, Seguridad Digital de
forma efectiva, eficaz y eficiente, y se protegerá la información creada, procesada, transmitida o
resguardada por sus procesos de negocio, con el fin de minimizar impactos financieros,
operativos o legales debido a un uso incorrecto de esta
Se protegerá la información de las amenazas originadas por parte del personal de la OCA
GLOBAL COLOMBIA SAS.
Se generará conciencia para el cambio organizacional requerido para la apropiación de la
Seguridad y Privacidad de la Información
Se protegerá las instalaciones de procesamiento y la infraestructura tecnológica que soporta sus
procesos críticos.
Se controlará la operación de sus procesos de negocio garantizando la seguridad de los recursos
tecnológicos y las redes de datos.
Se implementará control de acceso a la información, sistemas y recursos de red.
Se garantizará que la seguridad sea parte integral del ciclo de vida de los sistemas de
información.
Se garantizará a través de una adecuada gestión de los eventos de seguridad y las debilidades
asociadas con los sistemas de información una mejora efectiva de su modelo de seguridad.
Se garantizará la disponibilidad de sus procesos de negocio y la continuidad de su operación
basada en el impacto que pueden generar los eventos.
Se garantizará el cumplimiento de las obligaciones legales, regulatorias y contractuales
establecidas.
Sanción y Cumplimiento
Tanto la política de seguridad, sus lineamientos, guías y procedimientos son de estricto cumplimiento,
cada empleado y tercero debe reconocer los riesgos a que está expuesta la información, así mismo
conocer, interiorizar y cumplir su rol dentro del modelo de Gestión de Seguridad de la Información
limitado por el alcance.
Cualquier incumplimiento de la política de seguridad y el modelo que la despliega, podrá generar
sanciones administrativas, disciplinarias y/o penales (en términos de la ley Colombiana).
Control de Virus.
Los computadores personales deben mantener activo un software antivirus, Sistema Operativo,
Microsoft Office, licenciados y Actualizados y que su uso haya sido Autorizado por OCA
GLOBAL COLOMBIA SAS.
Los servidores de archivos y correo electrónico deben mantener activo un software antivirus.
Los computadores personales y servidores deben ser analizados contra virus periódica y
automáticamente.
Cualquier información que venga por medio electrónico o magnético como correo electrónico o
información de INTERNET, debe ser revisada por un software antivirus antes de ser descargada y
utilizada.
El responsable de trabajo del programa es responsable por la actualización oportuna del software
antivirus.
Es responsabilidad de los usuarios reportar todos los incidentes de infección de virus a las áreas
encargadas.
Es responsabilidad de los usuarios tomar copias de la información y verificar que el respaldo esté
libre de cualquier infección de virus.
El usuario debe asegurar que toda la información provenga de fuentes conocidas.
Ningún usuario puede escribir, distribuir o introducir software que conozca o sospeche que tiene
virus.
Control de Contraseñas.
Los perfiles de usuario y la contraseña tienen que ser asignados individualmente para soportar el
principio de responsabilidad individual.
Los usuarios no pueden prestar su contraseña, lo que se realice con su perfil queda bajo la
responsabilidad del dueño.
El usuario no debe compartir, escribir o revelar su contraseña.
Las contraseñas individuales no deben ser mostradas en texto claro. Todos los sistemas de
procesamiento deben eliminar la visualización de contraseñas ya sea en pantallas o en impresoras.
Las contraseñas deben cambiarse con regularidad. La duración máxima de la contraseña debe ser
un tiempo razonable (máximo 60 días).
Si un sistema no obliga al cambio de contraseña, es responsabilidad del usuario realizar este
cambio.
No se deben repetir contraseñas utilizadas anteriormente, en los últimos cinco cambios.
Debe verificarse la identidad del usuario antes de que las contraseñas o perfiles de usuario sean
habilitados nuevamente. Solo se puede cambiar una contraseña cuando el perfil de usuario
pertenezca a quien solicita el cambio.
La identificación del usuario y su contraseña no deben ser iguales.
Las contraseñas deben ser cuidadosamente seleccionadas para que no sean adivinadas fácilmente,
por lo tanto, se deben tener en cuenta las siguientes recomendaciones:
▪ No utilizar el primer o segundo nombre, los apellidos, el nombre del esposo, el nombre de sus
hijos, etc., en ninguna forma (reversado, diminutivos, etc.)
▪ No utilizar otra información fácil de obtener acerca de Usted. Esto incluye:
▪ Placa o marca del carro, número del teléfono, marca, nombre del edificio, etc.
▪ No use contraseñas que contengan sólo números o sólo letras.
▪ No utilice palabras contenidas en el diccionario u otras listas de palabras.
▪ Use contraseñas fáciles de recordar para que no tenga que escribirlas.
▪ No use el nombre del perfil de usuario en ninguna forma como por ejemplo: reversado o
duplicado.
Requisitos Técnicos
Norma Técnica Colombiana NTC/ISO 27001:2013 Sistemas de gestión de la seguridad de la
información
Norma Técnica Colombiana NTC/ISO 17799 Código de práctica para la gestión de la seguridad
de la información.
ISO/lEC 27005 Information technology Systems- Security techniques- information security risk
management.
Modelo Estándar de Control Interno MECI 1000 2da versión "Subsistema: Control de Gestión;
Componente: Actividades de Control; Elemento: Monitoreo y Revisión e Información"
Norma Técnica Colombiana NTC - ISO 19011 "Directrices para la Auditoria de los Sistemas de
Gestión de la Calidad y/o Ambiental"
Autorización
El Teletrabajo para cualquiera de los colaboradores de la Entidad debe estar autorizado por el jefe o
supervisor inmediato y el Jefe de la Oficina de las TIC, aprobando un formato que especifique los
siguientes datos:
Nombre del colaborador
Cargo del colaborador
Razón por la que se requiere el Teletrabajo
Fecha desde cuándo se requiere el Teletrabajo
Fecha hasta cuando se hará uso del Teletrabajo
Definir los días de la semana y el horario en el que se hará uso del Teletrabajo
Especificar las aplicaciones que van a ser usadas
El jefe inmediato debe validar que los requerimientos solicitados están acordes a las funciones asignadas
al rol correspondiente.
Equipo remoto
El equipo utilizado para el Teletrabajo puede ser:
Computador asignado por la SSF, provisto con el licenciamiento para todo el software utilizado.
Escritorio Virtual: software que permite el acceso a los datos de un servidor desde un equipo que
únicamente brinda la interfaz requerida.
Cliente de VPN: existen opciones de clientes de VPN que cuentan con la opción de Escritorio
Virtual.
La selección depende de los recursos disponibles y de las funciones que se vayan a ejecutar, lo
cual será discrecional del responsable del área correspondiente.
Conexión
En general se deben aplicar todas las políticas de seguridad de la información de la SSF que sean
pertinentes, y se hace énfasis en los siguientes aspectos:
No es permitido que la sesión establecida con la SSF sea utilizada por una persona diferente al
colaborador autorizado.
No hacerlo desde un sitio de acceso público como un Café Internet, Aeropuerto y Restaurante,
entre otros.
Cumplir con las condiciones establecidas en el formato de autorización.
Se deben considerar los requerimientos de seguridad definidos en Seguridad de la Información
para los activos de información involucrados, es decir aplicar todas las restricciones y
protecciones para la confidencialidad, integridad y disponibilidad definidas.
Reportar cualquier evento anormal aplicando la Política de Gestión de Incidentes.
Se deberán establecer los siguientes controles para la autenticación en los sistemas de información:
Realizar los controles de autenticación en un sistema confiable (por ejemplo, un servidor).
Si la aplicación administra un almacenamiento de credenciales, asegurar que únicamente se
almacena el hash de las contraseñas.
Validar los datos de autenticación, luego de haber completado todos los datos de entrada.
Se deberá realizar una gestión de las sesiones, que tenga en cuenta los siguientes aspectos:
Realizar la creación de identificadores de sesión en un sistema en cual se confíe (por ejemplo: el
servidor).
Garantizar la existencia de opciones de desconexión o cierre de sesión de los aplicativos que
permita terminar completamente con la conexión asociada.
No exponer los identificadores de sesión en URL, mensajes de error ni logs, y no transmitirlos
como parámetros.
Asegurar que los aplicativos proporcionen la mínima información de la sesión establecida,
almacenada en cookies y complementos, entre otros.
Asegurar que la sesión expire después de cierto tiempo.
No permitir la apertura de sesiones simultaneas con el mismo usuario.
Se deberá asegurar el manejo de operaciones sensibles en los aplicativos desarrollados,
permitiendo el uso de dispositivos adicionales como tokens o el ingreso de parámetros adicionales
de verificación.
Todas las funciones de criptografía de las aplicaciones desarrolladas deben ser implementadas en
sistemas confiables (por ejemplo: el servidor).
Para el establecimiento de conexión a las bases de datos se deberán considerar los siguientes aspectos:
No incluir las cadenas de conexión a las bases de datos en el código de los aplicativos.
Cerrar la conexión a las bases de datos desde los aplicativos, tan pronto como estas no sean
requeridas.
Se deberá remover información innecesaria en los encabezados de respuesta que se refieran a los
sistemas operativos y versiones del software utilizado.
Se deberán desarrollar los controles necesarios para la transferencia de archivos, como exigir
autenticación, vigilar los tipos de archivos a transmitir, almacenar los archivos transferidos en
repositorios destinados para este fin o en bases de datos, eliminar privilegios de ejecución a los
archivos transferidos y garantizar que dichos archivos solo tengan privilegios de lectura.
No se deberá incluir en parámetros, nombres de directorios o rutas de archivos. En su lugar, se
deben utilizar índices que internamente se asocien a directorios o rutas pre-definidas.
Se deberá liberar la memoria previa a la salida de una función y de todos los puntos de
finalización de la aplicación.
Se deberá garantizar la protección del código fuente de los aplicativos construidos, de tal forma de
que no pueda ser descargado ni modificado por los usuarios.
No se deberá permitir que los aplicativos desarrollados ejecuten comandos directamente en el
sistema operativo.
Se deberán utilizar funciones de control de integridad (hash) para verificar la integridad del
código interpretado, bibliotecas, ejecutables y archivos de configuración previo a su utilización.
Normas de seguridad para la Implementación
Se deberá velar por la implementación de los controles de seguridad al mismo tiempo que la
implementación de los componentes, funciones o módulos a los cuales controla.
Se deberá efectuar sintonía o ajuste de los controles establecidos en la fase de diseño.
Las aplicaciones deberán contar con un sistema de autenticación de usuario, que mínimo exija
nombre de usuario y contraseña. Además, en los casos que la aplicación esté expuesta a internet,
debe implementarse la validación de captcha.
Las aplicaciones deberán contar con manejo de diferentes roles con permisos de acceso y
operaciones asociados a estos.