Documentos de Académico
Documentos de Profesional
Documentos de Cultura
SEGURIDAD DE LA INFORMACIÓN
AUSOLTEC
22 noviembre 2020
“SEGURIDAD DE LA INFORMACIÓN”
DIRECCIÓN GENERAL – RTT IBERICA
MANUAL DE POLITICAS Y PROCEDIMIENTOS
TABLA DE CONTENIDO
TABLA DE CONTENIDO.....................................................................................................................
INTRODUCCIÓN.................................................................................................................................
OBJETIVO...........................................................................................................................................
ALCANCE............................................................................................................................................
POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN............................................................................
SANCIONES POR INCUMPLIMIENTO DE LA POLÍTICA.....................................................................
POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN AUSOLTEC.......................................................
Estructura de la Organización de Seguridad de la Información.................................................................
Responsabilidad de Activos.................................................................................................................
Clasificación Y Manejo De La Información...........................................................................................
Medios De Almacenamiento................................................................................................................
Control De Acceso............................................................................................................................
Cifrado De Información.....................................................................................................................
Protección De Dispositivos Frente a Amenazas....................................................................................
Copias De Respaldo..........................................................................................................................
Monitoreo Y Correlación De Eventos.................................................................................................
Gestión de Vulnerabilidades..............................................................................................................
Uso Adecuado De Recursos Web Y Correo.........................................................................................
Gestión De Incidentes De Seguridad...................................................................................................
Protección De Datos Personales.........................................................................................................
“SEGURIDAD DE LA INFORMACIÓN”
DIRECCIÓN GENERAL – RTT IBERICA
MANUAL DE POLITICAS Y PROCEDIMIENTOS
INTRODUCCIÓN
OBJETIVO
El objetivo de la entidad con el presente documento es contar con los procedimientos e ítems necesarios que
permitan proteger la información sensible de la organización y cumplir con la regulación actual, así mismo
mantener el seguimiento necesario para mejorar de manera continua sus procesos y medir su eficiencia.
“SEGURIDAD DE LA INFORMACIÓN”
DIRECCIÓN GENERAL – RTT IBERICA
MANUAL DE POLITICAS Y PROCEDIMIENTOS
ALCANCE
El presente documento junto con la Política de Seguridad de la Información de AUSOLTEC aplica para
toda la organización, desde su personal directivo, funcionarios o colaboradores y terceros que desempeñen
cualquier actividad dentro de la organización, ya sea por contrato temporal, limitado o indefinido, quienes
deben conocerlo y aplicarlo desde su divulgación y dentro de su fase de implementación.
“SEGURIDAD DE LA INFORMACIÓN”
DIRECCIÓN GENERAL – RTT IBERICA
MANUAL DE POLITICAS Y PROCEDIMIENTOS
Introducción:
La dirección general de Ausoltec con el acompañamiento de la dirección de tecnología, siendo consientes en
la necesidad de identificar, seleccionar y proteger los datos sensibles de la organización, en su generación,
manipulación, consulta, modificación, almacenamiento, entre otros, garantizando la protección por usuarios
o mecanismos no autorizados de cualquier dato sensible para la organización, ya sea información del
negocio, procesos, datos personales, clientes, y otros de uso interno.
Así mismo se realizará la actualización y plan de mejoramiento continuo del proceso del Sistema de Gestión
y Seguridad de la Información
Política
1. Toda la información debe encontrarse categorizada, por pública, privada o confidencial
2. La información debe ser utilizada para fines corporativos, cualquier uso adicional debe constar con las
respectivas autorizaciones.
3. Toda la información que ingrese a los sistemas de la organización debe confirmarse su origen y evaluar
su confiabilidad.
4. Todas las áreas deben tener un análisis de riesgos de los activos que tienen a cargo, que permita
identificar los incidentes y el impacto cuantificado.
5. Todos los accesos a los sistemas de información deben encontrarse monitoreados y auditados.
6. Todas las configuraciones de herramientas o sistemas deben contar con revisiones periódicas de uso,
garantizando que no existan parámetros inválidos u obsoletos.
7. La información privada o confidencial debe almacenarse cifrada, para copias externas se debe
garantizar la custodia de los medios.
8. Los empleados deben registrar y reportar cualquier evento o incidente de seguridad que afecte la
información.
9. Cada área debe garantizar la protección de la información que procesa
10. El jefe de seguridad realizará evaluaciones periódicas para garantizar el cumplimiento de la política y
protección de la información
“SEGURIDAD DE LA INFORMACIÓN”
DIRECCIÓN GENERAL – RTT IBERICA
MANUAL DE POLITICAS Y PROCEDIMIENTOS
Estructura Organizacional
Normas:
La Dirección General de RTT IBERICA debe establecer cada una de las responsabilidades de los
roles o cargos de la organización.
La Dirección General de RTT IBERICA debe indicar los procedimientos necesarios para el
cumplimiento de las políticas establecidas por la organización.
La Dirección General de RTT IBERICA divulgará de una forma fácil de entender las políticas
establecidas en la organización.
La Dirección General de RTT IBERICA debe garantizar los elementos necesarios de personal,
herramientas, infraestructura y cualquier elemento que sea necesario para el cumplimiento de las
políticas.
Los Directivos de la organización deben garantizar el cumplimiento de la política en cada una de las
áreas y con sus colaboradores a cargo.
Los Directivos de la organización deben solicitar los recursos necesarios para el cumplimiento de la
política.
La Oficina de Riesgos organiza y establece las bases y lineamientos necesarios para la administrar
los recursos asignados.
La oficina de Riesgos supervisa y controla a nivel técnico, físico, directivo y/o administrativo la
implementación de los controles que se tengan establecidos para cumplir con la política.
Auditoria Interna debe ejecutar sesiones periódicas de revisión a las políticas y procedimientos
establecidos de acuerdo con los controles indicados para cumplir con la política.
Auditoria Interna debe informar los hallazgos encontrados en las sesiones de revisión periódica, se
informará a la dirección del área.
Los empleados directos o indirectos, llámense personal outsourcing o terceros deben cumplir con
los controles, procedimientos y políticas establecidas por cada una de las áreas de la organización y
están obligados a comprender y aplicar los controles de la política.
Responsabilidad de Activos
Dentro de su operación, RTT IBERICA recolecta, procesa y maneja activos y bienes que hacen parte del
negocio y son parte de su plataforma tecnológica, así mismo, estos dispositivos son asignados a diferentes
áreas, cuyos directivos y colaboradores obtienen responsabilidad sobre su manejo de forma física asi como
de la información que allí se maneje.
Cada uno de los activos se encuentran inventariados y se ha establecido su criticidad en el negocio, lo cual
permite identificar el nivel de riesgo y tipo de controles que le aplican para su aseguramiento y protección
de su información sensible.
Normas:
“SEGURIDAD DE LA INFORMACIÓN”
DIRECCIÓN GENERAL – RTT IBERICA
MANUAL DE POLITICAS Y PROCEDIMIENTOS
Las oficinas directivas de AUSOLTEC, son responsables de la información que manejan, ya sea
física o virtual, por lo tanto, deben garantizar el uso adecuado de su manejo, procesamiento,
almacenamiento, distribución y permisos de acceso.
Las oficinas directivas de AUSOLTEC deben categorizar y clasificar su información, de manera
periódica deberán ejercer tareas de actualización de su inventario y clasificación.
El comité de control de cambios es el único organismo interno que autoriza toda instalación o
modificación de la infraestructura tecnológica.
El comité de control de cambios asigna un responsable de todos los bienes que ingresan a la
organización.
Los responsables de los activos deben monitorear el acceso de usuarios y cuentas que leen, procesan
o modifican la información.
Toda la información que recolecte, procese y almacene AUSOLTEC en su manejo operativo del negocio,
deberá encontrarse identificada en cualquier medio físico o electrónico y contar con su debida clasificación
de acuerdo con su tipo de confidencialidad, Publica, Privada o Confidencial.
Normas:
Normas:
La Dirección de Tecnología asigna los recursos periféricos y establece las normas de uso de estos.
La Dirección de Tecnología debe mantener el inventario de dispositivos asignados y sus respectivos
usuarios, así mismo garantizar la disposición cuando no estén en uso o sean dados de baja.
Todos los colaboradores que cuenten con dispositivos asignados deben garantizar el uso de las
“SEGURIDAD DE LA INFORMACIÓN”
DIRECCIÓN GENERAL – RTT IBERICA
MANUAL DE POLITICAS Y PROCEDIMIENTOS
Control De Acceso
Todos los accesos a los sistemas de información de AUSOLTEC son asignados a través de cuentas
nombradas para los colaboradores que lo requieran, se requiere contar con herramientas que protejan y
auditen los ingresos o autenticación de los sistemas informáticos de todos los usuarios.
Normas:
Cifrado De Información
La información confidencial, privada y sensible, requiere transportarse y almacenar de manera segura,
haciendo uso de mecanismos de cifrados robustos que garanticen la integridad y confidencialidad de los
datos.
Normas:
Normas:
La Dirección de tecnología garantiza la instalación del software adquirido en todos los dispositivos
de la entidad, adicionando los nuevos equipos y retirando las licencias de los dispositivos retirados.
Todos los colaboradores deberán permitir los escaneos programados según se establezca y validar la
operatividad de la herramienta.
Todos los colaboradores analizarán todos los nuevos archivos y documentos que ingresen a sus
dispositivos antes de utilizarlos.
Copias de Seguridad
Se requiere implementar una herramienta que permita la ejecución de copias de seguridad de toda la
información sensible, para los servidores y estaciones de trabajo, la cual garantiza la continuidad de la
información del negocio.
Normas:
Normas:
Gestión de Vulnerabilidades
“SEGURIDAD DE LA INFORMACIÓN”
DIRECCIÓN GENERAL – RTT IBERICA
MANUAL DE POLITICAS Y PROCEDIMIENTOS
Las vulnerabilidades en AUSOLTEC requieren revisión periódica por medio de pruebas de hacking ético y
escaneos periódicos para determinar el número de vulnerabilidades presentes en la infraestructura
corporativa.
Normas:
Normas:
Normas:
“SEGURIDAD DE LA INFORMACIÓN”
DIRECCIÓN GENERAL – RTT IBERICA
MANUAL DE POLITICAS Y PROCEDIMIENTOS
La oficina de riesgos debe establecerá los procedimientos y procesos requeridos en el manejo de los
incidentes, que garanticen su procesamiento adecuado para su solución.
La oficina de riesgos debe entregar al grupo de respuesta a incidentes la valoración de cada
incidente en cuanto a impacto y urgencia, lo cual permitirá establecer su criticidad.
El comité de riesgos revisará de manera periódica los incidentes declarados, los solucionados y los
no remediables para evaluar si es asumido por AUSOLTEC.
Todos los colaboradores deberán reportar cualquier incidente en el momento que se presente al
grupo de atención de incidentes.
El grupo de atención de incidentes deberá seguir el proceso idóneo para solucionar los eventos
presentados y documentarlos para futuras referencias.
Normas: