MANUAL DE POLÍTICAS Y PROCEDIMIENTOS

SEGURIDAD DE LA INFORMACIÓN

AUSOLTEC

22 noviembre 2020
 “SEGURIDAD DE LA INFORMACIÓN”
DIRECCIÓN GENERAL – RTT IBERICA
MANUAL DE POLITICAS Y PROCEDIMIENTOS

TABLA DE CONTENIDO

TABLA DE CONTENIDO.....................................................................................................................
INTRODUCCIÓN.................................................................................................................................
OBJETIVO...........................................................................................................................................
ALCANCE............................................................................................................................................
POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN............................................................................
SANCIONES POR INCUMPLIMIENTO DE LA POLÍTICA.....................................................................
POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN AUSOLTEC.......................................................
Estructura de la Organización de Seguridad de la Información.................................................................
Responsabilidad de Activos.................................................................................................................
Clasificación Y Manejo De La Información...........................................................................................
Medios De Almacenamiento................................................................................................................
Control De Acceso............................................................................................................................
Cifrado De Información.....................................................................................................................
Protección De Dispositivos Frente a Amenazas....................................................................................
Copias De Respaldo..........................................................................................................................
Monitoreo Y Correlación De Eventos.................................................................................................
Gestión de Vulnerabilidades..............................................................................................................
Uso Adecuado De Recursos Web Y Correo.........................................................................................
Gestión De Incidentes De Seguridad...................................................................................................
Protección De Datos Personales.........................................................................................................
 “SEGURIDAD DE LA INFORMACIÓN”
DIRECCIÓN GENERAL – RTT IBERICA
MANUAL DE POLITICAS Y PROCEDIMIENTOS

INTRODUCCIÓN

RTT IBERICA ha establecido el presente manual de políticas y procedimientos de seguridad de la

información como una estrategia de la organización que permita contar con una herramienta para proteger
la información sensible, acorde con los requerimientos de la entidad y los lineamientos de regulación
nacional e internacional.

El presente documento relaciona la política de seguridad de la información establecida y establece en detalle

cada uno de los lineamientos allí planteados, estableciendo la información relacionada a cada política frente
a los requerimientos técnicos, operativos, y estratégicos de acuerdo con las recomendaciones de la norma
ISO 27001 y 27002.
 “SEGURIDAD DE LA INFORMACIÓN”
DIRECCIÓN GENERAL – RTT IBERICA
MANUAL DE POLITICAS Y PROCEDIMIENTOS

OBJETIVO
El objetivo de la entidad con el presente documento es contar con los procedimientos e ítems necesarios que
permitan proteger la información sensible de la organización y cumplir con la regulación actual, así mismo
mantener el seguimiento necesario para mejorar de manera continua sus procesos y medir su eficiencia.
 “SEGURIDAD DE LA INFORMACIÓN”
DIRECCIÓN GENERAL – RTT IBERICA
MANUAL DE POLITICAS Y PROCEDIMIENTOS

ALCANCE
El presente documento junto con la Política de Seguridad de la Información de AUSOLTEC aplica para
toda la organización, desde su personal directivo, funcionarios o colaboradores y terceros que desempeñen
cualquier actividad dentro de la organización, ya sea por contrato temporal, limitado o indefinido, quienes
deben conocerlo y aplicarlo desde su divulgación y dentro de su fase de implementación.
 “SEGURIDAD DE LA INFORMACIÓN”
DIRECCIÓN GENERAL – RTT IBERICA
MANUAL DE POLITICAS Y PROCEDIMIENTOS

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

La siguiente información corresponde a la política de seguridad de la información establecida en
AUSOLTEC

Introducción:
La dirección general de Ausoltec con el acompañamiento de la dirección de tecnología, siendo consientes en
la necesidad de identificar, seleccionar y proteger los datos sensibles de la organización, en su generación,
manipulación, consulta, modificación, almacenamiento, entre otros, garantizando la protección por usuarios
o mecanismos no autorizados de cualquier dato sensible para la organización, ya sea información del
negocio, procesos, datos personales, clientes, y otros de uso interno.

Así mismo se realizará la actualización y plan de mejoramiento continuo del proceso del Sistema de Gestión
y Seguridad de la Información

Política
1. Toda la información debe encontrarse categorizada, por pública, privada o confidencial
2. La información debe ser utilizada para fines corporativos, cualquier uso adicional debe constar con las
respectivas autorizaciones.
3. Toda la información que ingrese a los sistemas de la organización debe confirmarse su origen y evaluar
su confiabilidad.
4. Todas las áreas deben tener un análisis de riesgos de los activos que tienen a cargo, que permita
identificar los incidentes y el impacto cuantificado.
5. Todos los accesos a los sistemas de información deben encontrarse monitoreados y auditados.
6. Todas las configuraciones de herramientas o sistemas deben contar con revisiones periódicas de uso,
garantizando que no existan parámetros inválidos u obsoletos.
7. La información privada o confidencial debe almacenarse cifrada, para copias externas se debe
garantizar la custodia de los medios.
8. Los empleados deben registrar y reportar cualquier evento o incidente de seguridad que afecte la
información.
9. Cada área debe garantizar la protección de la información que procesa
10. El jefe de seguridad realizará evaluaciones periódicas para garantizar el cumplimiento de la política y
protección de la información
 “SEGURIDAD DE LA INFORMACIÓN”
DIRECCIÓN GENERAL – RTT IBERICA
MANUAL DE POLITICAS Y PROCEDIMIENTOS

SANCIONES POR INCUMPLIMIENTO DE LA POLÍTICA

El no cumplimiento a la política de seguridad de la información deberá contar con un procedimiento de
categorización que permitan entender la falta y su impacto para la organización, de acuerdo con la
información recolectada se establecerán las sanciones merecedoras, las cuales pueden ser sanciones de tipo
administrativo o judicial según corresponda.
 “SEGURIDAD DE LA INFORMACIÓN”
DIRECCIÓN GENERAL – RTT IBERICA
MANUAL DE POLITICAS Y PROCEDIMIENTOS

POLÍTICAS RTT IBERICA SGSI

Estructura Organizacional
Normas:

 La Dirección General de RTT IBERICA debe establecer cada una de las responsabilidades de los
roles o cargos de la organización.
 La Dirección General de RTT IBERICA debe indicar los procedimientos necesarios para el
cumplimiento de las políticas establecidas por la organización.
 La Dirección General de RTT IBERICA divulgará de una forma fácil de entender las políticas
establecidas en la organización.
 La Dirección General de RTT IBERICA debe garantizar los elementos necesarios de personal,
herramientas, infraestructura y cualquier elemento que sea necesario para el cumplimiento de las
políticas.
 Los Directivos de la organización deben garantizar el cumplimiento de la política en cada una de las
áreas y con sus colaboradores a cargo.
 Los Directivos de la organización deben solicitar los recursos necesarios para el cumplimiento de la
política.
 La Oficina de Riesgos organiza y establece las bases y lineamientos necesarios para la administrar
los recursos asignados.
 La oficina de Riesgos supervisa y controla a nivel técnico, físico, directivo y/o administrativo la
implementación de los controles que se tengan establecidos para cumplir con la política.
 Auditoria Interna debe ejecutar sesiones periódicas de revisión a las políticas y procedimientos
establecidos de acuerdo con los controles indicados para cumplir con la política.
 Auditoria Interna debe informar los hallazgos encontrados en las sesiones de revisión periódica, se
informará a la dirección del área.
 Los empleados directos o indirectos, llámense personal outsourcing o terceros deben cumplir con
los controles, procedimientos y políticas establecidas por cada una de las áreas de la organización y
están obligados a comprender y aplicar los controles de la política.

Responsabilidad de Activos
Dentro de su operación, RTT IBERICA recolecta, procesa y maneja activos y bienes que hacen parte del
negocio y son parte de su plataforma tecnológica, así mismo, estos dispositivos son asignados a diferentes
áreas, cuyos directivos y colaboradores obtienen responsabilidad sobre su manejo de forma física asi como
de la información que allí se maneje.

Cada uno de los activos se encuentran inventariados y se ha establecido su criticidad en el negocio, lo cual
permite identificar el nivel de riesgo y tipo de controles que le aplican para su aseguramiento y protección
de su información sensible.

Normas:
 “SEGURIDAD DE LA INFORMACIÓN”
DIRECCIÓN GENERAL – RTT IBERICA
MANUAL DE POLITICAS Y PROCEDIMIENTOS

 Las oficinas directivas de AUSOLTEC, son responsables de la información que manejan, ya sea
física o virtual, por lo tanto, deben garantizar el uso adecuado de su manejo, procesamiento,
almacenamiento, distribución y permisos de acceso.
 Las oficinas directivas de AUSOLTEC deben categorizar y clasificar su información, de manera
periódica deberán ejercer tareas de actualización de su inventario y clasificación.
 El comité de control de cambios es el único organismo interno que autoriza toda instalación o
modificación de la infraestructura tecnológica.
 El comité de control de cambios asigna un responsable de todos los bienes que ingresan a la
organización.
 Los responsables de los activos deben monitorear el acceso de usuarios y cuentas que leen, procesan
o modifican la información.

Clasificación Y Manejo De La Información

Toda la información que recolecte, procese y almacene AUSOLTEC en su manejo operativo del negocio,
deberá encontrarse identificada en cualquier medio físico o electrónico y contar con su debida clasificación
de acuerdo con su tipo de confidencialidad, Publica, Privada o Confidencial.

Normas:

 La oficina de riesgos establece el manual para la correcta clasificación que se ha establecido en la

organización para etiquetar la información en todas las áreas de AUSOLTEC.
 La oficina de riesgos estableces los parámetros para cada umbral de los niveles de clasificación
establecidos en AUSOLTEC.
 La oficina de Riesgos debe auditar la aplicación del manual para etiquetar todos los bienes de
AUSOLTEC.
 La Dirección de Tecnología debe garantizar las herramientas necesarias para el manejo de la
información de acuerdo con su clasificación.
 Todos los colaboradores deben clasificar la información que está a su cargo de acuerdo con las
guías publicadas para la clasificación de bienes.

Medios y Mecanismos de Almacenamiento

Cualquier uso de dispositivos de almacenamiento externo dentro de la organización debe estar autorizado y
documentado por medio de las políticas establecidas por la dirección tecnológica, quienes a su vez
asignaran los dispositivos que deben ser utilizados.

Normas:
 La Dirección de Tecnología asigna los recursos periféricos y establece las normas de uso de estos.
 La Dirección de Tecnología debe mantener el inventario de dispositivos asignados y sus respectivos
usuarios, así mismo garantizar la disposición cuando no estén en uso o sean dados de baja.
 Todos los colaboradores que cuenten con dispositivos asignados deben garantizar el uso de las
 “SEGURIDAD DE LA INFORMACIÓN”
DIRECCIÓN GENERAL – RTT IBERICA
MANUAL DE POLITICAS Y PROCEDIMIENTOS

Control De Acceso
Todos los accesos a los sistemas de información de AUSOLTEC son asignados a través de cuentas
nombradas para los colaboradores que lo requieran, se requiere contar con herramientas que protejan y
auditen los ingresos o autenticación de los sistemas informáticos de todos los usuarios.

Normas:

 La Dirección de tecnología establece el proceso para solicitud, creación y eliminación de cuentas de

usuario.
 La Dirección de tecnología vigilará que todos los sistemas cuenten con mecanismos de
autenticación alineados con los usuarios creados, de acuerdo con cada uno de los privilegios
necesarios para ingreso.
 La oficina de riesgo deberá supervisar el control de las cuentas, su auditoria, creación y eliminación.
 Todos los colaboradores deberán garantizar el buen uso de las cuentas de usuario asignadas.

Cifrado De Información
La información confidencial, privada y sensible, requiere transportarse y almacenar de manera segura,
haciendo uso de mecanismos de cifrados robustos que garanticen la integridad y confidencialidad de los
datos.

Normas:

 La Dirección de tecnología deberá indicar medios y procedimientos del cifrado de información.

 La Dirección de tecnología brindará la infraestructura tecnológica necesaria para el procesamiento
de la información cifrada.
 La oficina de riesgo velará por el cumplimiento de la protección de la información que deba ser
cifrada.

Protección De Dispositivos Frente a Amenazas

AUSOLTEC requiere el uso de mecanismos de protección contra amenazas avanzadas, las cuales pueden
materializarse en los dispositivos desde cualquier vector de infección, por lo tanto, se debe usar una
herramienta de última generación de protección, que se mantenga actualizada desde la red local y para
usuarios móviles.

Normas:

 La Dirección de Tecnología se encarga de proveer para todos los dispositivos la herramienta de

protección idónea para la entidad.
 La Dirección de tecnología debe garantizar el licenciamiento del software adquirido para la entidad.
 “SEGURIDAD DE LA INFORMACIÓN”
DIRECCIÓN GENERAL – RTT IBERICA
MANUAL DE POLITICAS Y PROCEDIMIENTOS

 La Dirección de tecnología garantiza la instalación del software adquirido en todos los dispositivos
de la entidad, adicionando los nuevos equipos y retirando las licencias de los dispositivos retirados.
 Todos los colaboradores deberán permitir los escaneos programados según se establezca y validar la
operatividad de la herramienta.
 Todos los colaboradores analizarán todos los nuevos archivos y documentos que ingresen a sus
dispositivos antes de utilizarlos.

Copias de Seguridad
Se requiere implementar una herramienta que permita la ejecución de copias de seguridad de toda la
información sensible, para los servidores y estaciones de trabajo, la cual garantiza la continuidad de la
información del negocio.

Normas:

 La Dirección de tecnología debe indicar a la organización la herramienta de copias de respaldo y la

configuración establecida para los dispositivos que están dentro del proceso de backup.
 La Dirección de tecnología garantizará las herramientas requeridas para ejecutar las copias de
seguridad.
 Los dueños de cada uno de los dispositivos que tienen copias de respaldo deberán definir las
estrategias y/o procedimientos para la ejecución de las copias y el histórico necesario de
almacenamiento.
 Todos los colaboradores deberán monitorear las copias de respaldo y notificar cualquier novedad.

Monitoreo Y Correlación De Eventos

Una gestión efectiva de incidentes requiere el monitoreo y correlación de todos los eventos de seguridad, así
mismo contar con un equipo para revisión permanente de las notificaciones recibidas y posteriormente dar
solución de los incidentes presentados.

Normas:

 La Dirección de tecnología gestionará la plataforma de correlación de eventos para la entidad.

 La Dirección de tecnología deberá garantizar el envío de eventos a la plataforma de correlación de
eventos.
 La Dirección de tecnología validará la calidad de los eventos recolectados y la correlación efectiva
de las mismas.
 La oficina de riesgos deberá revisar de manera periódica los eventos registrados, incidentes
reportados y el manejo de los incidentes declarados.

Gestión de Vulnerabilidades
 “SEGURIDAD DE LA INFORMACIÓN”
DIRECCIÓN GENERAL – RTT IBERICA
MANUAL DE POLITICAS Y PROCEDIMIENTOS

Las vulnerabilidades en AUSOLTEC requieren revisión periódica por medio de pruebas de hacking ético y
escaneos periódicos para determinar el número de vulnerabilidades presentes en la infraestructura
corporativa.

Normas:

 La Dirección de tecnología deberá proveer las herramientas para análisis de vulnerabilidades

necesario para la infraestructura de AUSOLTEC
 La Dirección de tecnología deberá garantizar la ejecución periódica de los análisis de
vulnerabilidades de acuerdo con los tiempos establecidos.
 La oficina de riesgos establecerá las recomendaciones de acuerdo con los resultados obtenidos para
llegar a la mitigación de las vulnerabilidades encontradas.
 El comité de riesgos deberá realizar seguimiento a las vulnerabilidades para su remediación o para
establecer si AUSOLTEC asume el riesgo y su impacto.

Uso Adecuado De Recursos Web Y Correo

La organización provee para todos los colaboradores los recursos de internet y correo electrónico para
cumplir con éxito sus funciones, así mismo, se controla el acceso a sitios web que no se encuentren
permitidos y control de prevención a fuga de información.

Normas:

 La Dirección de tecnología será la encargada de suministrar los elementos y servicios requeridos

para los recursos de internet y correo corporativo de la organización.
 La Dirección de tecnología vigilará el uso de los servicios de todos los colaboradores, para que se
haga buen uso de estos.
 La Dirección de tecnología establece los controles que aplican a los colaboradores de acuerdo con
sus roles y cargos.
 La oficina de riesgos supervisará y vigilará el uso de los recursos de internet y correo electrónico
dentro de la organización.
 La oficina de riesgos brindará campañas de sensibilización a la organización para enseñar sobre el
uso de los recursos de manera adecuada.
 Todos los colaboradores deberán dar buen uso de los recursos de internet y correo electrónico de la
organización.
 Se prohíbe el uso inadecuado de los servicios de internet y correo suministrados por AUSOLTEC.
 Se restringe el envío de información confidencial, secreta sensible de AUSOLTEC sin la debida
autorización.

Gestión De Incidentes De Seguridad

El tratamiento de incidentes requiere de un procedimiento adecuado para su administración, desde su
generación, tratamiento, cuantificación, solución o paso a comité de riesgos para asumirlo.

Normas:
 “SEGURIDAD DE LA INFORMACIÓN”
DIRECCIÓN GENERAL – RTT IBERICA
MANUAL DE POLITICAS Y PROCEDIMIENTOS

 La oficina de riesgos debe establecerá los procedimientos y procesos requeridos en el manejo de los
incidentes, que garanticen su procesamiento adecuado para su solución.
 La oficina de riesgos debe entregar al grupo de respuesta a incidentes la valoración de cada
incidente en cuanto a impacto y urgencia, lo cual permitirá establecer su criticidad.
 El comité de riesgos revisará de manera periódica los incidentes declarados, los solucionados y los
no remediables para evaluar si es asumido por AUSOLTEC.
 Todos los colaboradores deberán reportar cualquier incidente en el momento que se presente al
grupo de atención de incidentes.
 El grupo de atención de incidentes deberá seguir el proceso idóneo para solucionar los eventos
presentados y documentarlos para futuras referencias.

Protección De Datos Personales

La Ley 1581 establece la ley de protección de los datos personales de todos los colaboradores y clientes de
AUSOLTEC, para brindar el trato que ha sido autorizado por cada individuo y no permitir la fuga de esta
información ni usarlos para otros fines.

Normas:

 La Dirección de tecnología debe implementar controles y el seguimiento idóneo para garantizar la

protección de los datos personales que sean almacenados en las plataformas de AUSOLTEC.
 La oficina de riesgos debe garantizar la aplicabilidad de los controles en todos los sistemas
informáticos que almacenen datos personales.
 Todos los colaboradores deben proteger la información que se les confía en sus actividades, ya sean
de personal interno o externo a la organización.
 Todos los colaboradores deben certificar los privilegios requeridos para el acceso de información
por parte de otros o para enviar información por cualquier medio de comunicación establecido en
AUSOLTEC.
 Todos aquellos que confíen sus datos a AUSOLTEC deberán aceptar la política de tratamiento de
los datos personales y otorgar los permisos para el uso correspondiente de su información.