Politica General Seguridad de La Información Arcos BPO

POLÍTICA SEGURIDAD DE LA INFORMACION Código Documento: ARC-SEG01
Vigencia desde:
TECNOLOGIA Versión 1.3
Tecnología 25/03/2016
Informática
Elaborado por: Revisado y aprobado:

Juan Camilo Cruz Arturo Torres
Cargo: Cargo:
Lider de Tecnologia Gerente General
Fecha: Fecha:
25 de marzo de 2016 26 de marzo de 2016
Registro de Cambios
Fecha Autor Versión Referencia de Cambio

25 de marzo Juan Camilo Cruz 1.0 Elaboración del documento
de 2016 Líder de Tecnología
02 de Abril de Juan Camilo Cruz 1.2 Actualización del documento
2018 Líder de Tecnología
11 de marzo Juan Felipe Castillo 1.3 Actualización del documento
27 de marzo Andrés González 1.4 Actualización del documento
Aprobado por
Nombre Cargo Fecha Firma
Arturo Torres Gerente General 31 de marzo de
2024
Vigencia desde:
Informática
OBJETIVO
La Política de Seguridad de la Información tiene el propósito de proteger la información de Arcos Soluciones Tecnológicas y ser la guía
para la implementación de las medidas de seguridad que contribuyen a mantener la integridad, confidencialidad y disponibilidad de la
informaciónen los sistemas informáticos, tecnológicos, redes y procedimientos manuales.
De la misma manera, las Políticas de Seguridad de la Información se crean para sensibilizar a los colaboradores y terceros de la compañía
acerca de la importancia de la información, así como de los servicios críticos, la solución de fallas y debilidades, de tal forma que permitan
a Arcos Soluciones Tecnológicas cumplir con su misión.
DIRECTRICES
La Gerencia General de Arcos Soluciones Tecnológicas así como la Dirección Financiera y administrativa, Gerencia de Operaciones de
Contact Center reconocen el valor y la importancia de los contenidos administrados en las áreas de Tecnología Informática, como activo
vital para la organización, por lo cual adoptan controles y medidas necesarios para protegerlos, siempre orientados a mantener la
confidencialidad, integridad y disponibilidad de la información y de los servicios de las operaciones de Contact Center.
CUMPLIMIENTO
El cumplimiento de las Políticas de Seguridad de la Información es obligatorio y debe ser considerado como parte integrante en los
contratos que se celebren, ya sea con empleados o terceros (trabajadores en misión1, estudiantes en práctica, proveedores y/o
contratistas2). En consecuencia, todas las personas que presten sus servicios a la compañía deben acatar y velar por el cumplimiento de
las políticas expuestas en el presente documento.
1. PERSONAS
La responsabilidad por la seguridad de la información es de cada colaborador y tercero.

1 cobija al personal suministrado por empresas de servicio temporal.
2 dentro de los contratistas se encuentran los colaboradores que prestan sus servicios en virtud de contratos civiles o comerciales.
Vigencia desde:
Informática
1.1 Códigos de usuario y contraseñas
1. Las contraseñas o los mecanismos de acceso a los recursos informáticos que les sean otorgados a los colaboradores y terceros
son responsabilidad exclusiva de cada uno de ellos y no son divulgados a ninguna persona. De acuerdo con lo anterior, los
usuarios no obtienen contraseñas u otros mecanismos de acceso de otros colaboradores que pueda permitirles un acceso
indebido.
2. Los códigos de usuario y contraseñas son de uso personal e intransferible, por lo tanto, los colaboradores y terceros son
responsables de todas las actividades llevadas a cabo con éstos, tanto en las aplicaciones y servicios de sus respectivos
computadores como en plataformas de nube corporativas.
3. Cuando un usuario olvide, bloquee o extravíe su contraseña, informa al área de soporte técnico, a la Dirección de Tecnología
Informática, según sea el caso, para que se le proporcione una nueva contraseña.
1.2 Control de la Información
1. Sólo los usuarios autorizados pueden instalar o desinstalar software en sus computadores o en servidores siempre y cuando
dicho software se encuentre autorizado por la Dirección de Tecnología Informática.
2. Los usuarios deben abstenerse de intentar sobrepasar los controles de los sistemas, examinar los computadores y redes de la
compañía en busca de archivos de otros colaboradores sin su autorización o introducir intencionalmente software y/o hardware
diseñado para causar daño o impedir el normal funcionamiento de los sistemas3.
3. Los colaboradores suministran información de la compañía a entes externos únicamente a través de los canales de comunicación
definidos en la Compañía para tal fin.
4. Solo los colaboradores que tengan los permisos respectivos, pueden consultar, modificar, destruir, copiar o distribuir los archivos
de la Compañía.
5. Todo colaborador que utilice los recursos tecnológicos, tiene la responsabilidad de preservar la integridad, confidencialidad y
disponibilidad de la información que maneje, especialmente si dicha información ha sido clasificada como Reservada o
Confidencial.
Vigencia desde:
Informática
1.3 Uso de dispositivos móviles
1. Los colaboradores se comprometen a usar adecuadamente los dispositivos móviles provistos por Arcos Soluciones Tecnológicas
para el acceso a los servicios corporativos de movilidad proporcionados por la Compañía, tales como acceso a correo electrónico,
comunicaciones unificadas, entre otros.
2. Los colaboradores se comprometen a usar adecuadamente los servicios corporativos de movilidad proporcionados por la
Compañía, tales como acceso a correo electrónico, comunicaciones unificadas, entre otros, cuando éstos se encuentren
instalados en los dispositivos móviles personales de los colaboradores.
3. El dispositivo móvil está en todo momento en un lugar donde el colaborador tenga control del mismo (el bolsillo, maletín, entre
otros) cuando se encuentre en lugares públicos.
4. El dispositivo móvil está configurado para que éste se bloquee automáticamente por un tiempo de inactividad a través de medios
disponibles de configuración tales como contraseña, patrón huella dactilar, reconocimiento de voz, entre otras.
5. Es recomendable mantener instalado y actualizado el antivirus en el dispositivo móvil.
1.4 Uso de dispositivos extraíbles
1. Los dispositivos extraíbles (USB, discos duros externos, memorias SD, micro SD, entre otras) en lo posible deben estar cifrados.
2. Para los dispositivos extraíbles que van a ser desechados, se elimina previamente la información a través de medios de borrado
seguro.
1.5 Otros
1. La información corporativa almacenada en la nube sólo es compartida con aquellas personas, de Arcos Soluciones Tecnológicas
o externas,que lo requieran para propósitos del negocio.
3 Ley Colombiana 1273 de 2009 referente a la protección de la información y de los datos.

Vigencia desde:
Informática
2. SOFTWARE
Los colaboradores que manejen el software licenciado por la Compañía deben seguir los siguientes lineamientos para proteger este
activo y la información que a través de éste se trabaje:
2.1 Administración del Software
1. La Compañía cuenta con un inventario actualizado del software de su propiedad, el comprado a terceros o desarrollado
internamente, el adquirido bajo licenciamiento, el entregado, el recibido en comodato y el software libre o bajo licencia Freeware4.
Las licencias se almacenan bajo los adecuados niveles de seguridad y están incluidas en un sistema de administración.
Igualmente, todo el software legal y la documentación del mismo que posea la Compañía deben incluir avisos de derechos de
autor y propiedad intelectual. En el caso del software de uso corporativo, éste es administrado por la Dirección de Tecnología
Informática.
2. Todas las aplicaciones se clasifican en una de las siguientes categorías: Críticos del Negocio y No críticos. Para los Críticos del
Negocio permanece una copia actualizada y su documentación técnica respectiva, como mínimo en un sitio alterno y además se
cuenta con planes de contingencia y recuperación.
3. Los ambientes de desarrollo y prueba de aplicaciones permanecen separados de los ambientes de producción, para su adecuada
administración, operación, control y seguridad. Los programas que se encuentren en el ambiente de producción de la Compañía
se modifican únicamente por personal autorizado.
4. Se definen procedimientos que faciliten un adecuado manejo de requerimientos de cada aplicación, manejo de versiones y
auditabilidad (que permita establecer quién, cuándo y qué cambio se realizó al software).
4 tipo
de software que se distribuye sin costo, disponible para su uso y por tiempo ilimitado. Suele incluir una licencia de uso, que permite suredistribución, pero con
algunas restricciones, como no modificar la aplicación en sí ni venderla, y dar cuenta de su autor.
Vigencia desde:
Informática
5. Existen procedimientos para la generación de copias de respaldo de las aplicaciones y los datos, así como para asegurar la
correspondencia entre fuentes y ejecutables, y para almacenar la documentación relacionada con cada una de las diferentes
aplicaciones utilizadas, en la correspondiente carpeta de la aplicación (digital).
6. Se generarán políticas que restrinjan la instalación de software adquirido por los colaboradores en los equipos de la Compañía.
2.2 Adquisición de Software
1. Se cuenta con una metodología formal para el proceso de adquisición de software a través de terceros que incluye un contrato
con cláusulas básicas para la protección de la información y del software, así como para la documentación, con el fin de proteger
los intereses de la Compañía frente a las cláusulas entregadas por el proveedor.
2. El software transaccional cuenta con acceso controlado que permita al responsable del recurso restringir el acceso al mismo; el
software protege los objetos para que los procesos y/o los usuarios no los puedan acceder sin los debidos permisos; a su vez
cada usuario se identifica por medio de un único código de usuario y contraseña antes que se le permita el acceso al sistema; el
software audita los eventos en el sistema relacionados con la seguridad y los registra en un log.
2.3 Desarrollo de Software
1. Se tiene una metodología formal para el desarrollo y mantenimiento del software. Los controles desarrollados internamente son
los exigidos en adquisición de software.
2. Toda solicitud de modificación al software que afecte los recursos informáticos, cuenta con las autorizaciones respectivas del
Usuario Líder de la Aplicación, el jefe inmediato o a quienes éstos formalmente deleguen.
3. Con el propósito de garantizar integridad y confidencialidad de la información del software desarrollado y antes del paso a pruebas
de usuario, la Dirección de Tecnología Informática y el proveedor ejecutan pruebas técnicas.
4. Para todo desarrollo de software se utilizan herramientas, de las cuales se tenga certeza que su comportamiento es seguro y
confiable.
Vigencia desde:
Informática
5. Los Ingenieros y Analistas desarrolladores de software no conocen las contraseñas utilizadas en ambientes de producción.
6. Los desarrollos y/o modificaciones hechas a las aplicaciones sólo se trasladarán al ambiente de producción cuando se tenga
disponible la documentación correspondiente.
7. Cuando un tercero efectúe un desarrollo o ajustes a algún software de la Compañía, éste firma un acuerdo de confidencialidad.
8. Se siguen las prácticas asociadas con el desarrollo seguro de software, con el fin de proteger los datos que son procesados al
interior del mismo, evitando ataques que atenten contra la disponibilidad e integridad de la información.
2.4 Pruebas de Software
1. Los tipos de pruebas mínimas a realizar son previamente establecidos por la metodología de desarrollo. Para garantizar la
integridad de la información en producción, las pruebas son debidamente planeadas, ejecutadas y documentadas. El ambiente
de pruebas es lo más parecido posible en su configuración, al ambiente real de producción.
2. Las pruebas sobre el software desarrollado tanto interna como externamente contemplan aspectos funcionales, de seguridad y
técnicos. Adicionalmente, se incluye una revisión a la documentación mínima requerida. El desarrollo, así como las respectivas
pruebas poseen un cronograma aprobado, con el fin de cumplir con los compromisos acordados.
3. Las pruebas contemplan los ajustes a los problemas presentados en el desarrollo de las mismas. Así mismo, se tiene evidencia
de las pruebas una vez corregido el problema.
2.5 Implantación del Software
1. En el momento de implementar un software se tiene el visto bueno del Usuario Líder y los soportes asociados de aprobación.
2. Antes de implementar el software en producción se verifica que se haya realizado: La divulgación y entrega de la documentación
técnica y de usuario, la capacitación al personal involucrado, su licenciamiento (de ser requerido) y los ajustes de parámetros en
el ambiente de producción. La Compañía dispone de un cronograma de puesta en marcha del software en producción con el fin
de minimizar el impacto del mismo.
Vigencia desde:
Informática
3. Los ejecutables del software nunca se trasladan directamente del ambiente de desarrollo y pruebas al ambiente de producción
sin que previamente sean compilados y aprobados para tal fin.
4. Los programas en el ambiente de producción, son modificados únicamente por el personal autorizado.
5. Los usuarios, colaboradores y terceros, firman previamente un acuerdo el cual declare que ellos no desensamblarán, modificarán,
ni usarán indebidamente los programas entregados para el desarrollo de sus actividades diarias.
2.6 Mantenimiento de Software
1. Los Ingenieros de desarrollo de aplicaciones hacen cambios al software de producción en ambiente de desarrollo con las debidas
autorizaciones por escrito y cumpliendo con los procedimientos establecidos para tal fin. A su vez, se cuenta con un procedimiento
de control de cambios que asegura que sólo se realizan las modificaciones autorizadas y con la debida planeación.
2. En el momento en que se efectúen ajustes al software, se prepara simultáneamente la documentación con todos los cambios
hechos al mismo, incluyendo la concerniente a los planes de contingencia en caso de ser necesario.
3. INFORMACIÓN Y CONTENIDOS
Los colaboradores de la Compañía son responsables de la información y el contenido que manejan y siguen los siguientes lineamientos
para protegerla y evitar pérdidas, accesos no autorizados y utilización indebida de la misma:
3.1 Clasificación de la Información y contenidos
1. Todos los datos de propiedad de Arcos Soluciones Tecnológicas se clasifican dentro de las categorías: Reservado, Confidencial
y Público. Esta clasificación se encuentra en la Matriz de Clasificación de la Información que cada una de las áreas mantiene.
Vigencia desde:
Informática
2. Se cuenta con una metodología que permite clasificar la información y contenidos, así como conocer su valor, protegiendo
adecuadamente cualquiera que sea la forma que ésta tome (digital, papel, video, audio, fotografía, entre otras), los medios por
los que se comparta y en los que se almacene la misma.
3. Cuando se consolida información con varias clasificaciones de sensibilidad, los controles usados protegen la información más
sensible y por lo cual se clasifica con el máximo nivel de restricción que contenga la misma.
4. En caso de ser necesario compartir datos sensibles desde estaciones de trabajo, el responsable de la información utiliza las
opciones de seguridad que ofrecen los sistemas para restringir el acceso bien sea a través de contraseñas y/o de usuarios
específicos.
5. La responsabilidad para definir la clasificación de la información o el contenido es del responsable de la misma y en caso de ser
necesario, contará con el apoyo del área encargada de seguridad informática en la organización correspondiente a cada gerencia;
adicionalmente, se tiene una programación para realizar mantenimiento a la clasificación de sensibilidad de la información.
6. Los responsables de la Información y los contenidos tienen el compromiso de protegerlos de acuerdo con su grado de sensibilidad
y criticidad, así como de documentarlos y mantenerlos actualizados, incluyendo la definición de usuarios y los permisos de acceso
a la información, de acuerdo a sus funciones y competencias.
7. La eliminación de la información sigue procedimientos seguros y debidamente aprobados por la Compañía.
3.2 Acuerdos de Confidencialidad
1. Cuando exista la necesidad de otorgar acceso a terceras partes a la información o a los contenidos, el responsable tiene en
cuenta aspectos como:
• El tipo de acceso requerido (físico/lógico y a qué recurso).
• Los motivos por los cuales se solicita el acceso.
• Los controles empleados por la tercera parte.
• La incidencia de este acceso en la seguridad de la información.
• El tiempo durante el cual tendrá acceso a la información
Vigencia desde:
Informática
2. En ningún caso se otorga a terceros accesos a la información, a los contenidos, a las instalaciones de procesamiento u otras áreas
de servicios críticos, hasta tanto no se hayan implementado los controles apropiados y se haya firmado un contrato o acuerdo de
confidencialidad que defina las condiciones para la conexión o el acceso.
3.3 Almacenamiento de la Información
3.3.1 Almacenamiento Masivo y Respaldo de Información
1. Todos los datos Reservados están cifrados, ya sea que se encuentren al interior de la Compañía o externamente, en cualquier
medio de almacenamiento, transporte o transmisión.
2. Todos los datos sensibles (Reservados o Confidenciales) tiene un proceso periódico de respaldo, un periodo de retención
determinado, la fecha de la última modificación y la fecha en que deja de ser sensible o se degrada; sin embargo, la información
no se guarda indefinidamente por lo cual se determina un periodo máximo de retención para el caso en que no se haya
especificado este tiempo.
3. Los datos clasificados como sensibles además de un respaldo, tienen copias recientes completas en un sitio externo a la
Compañía o en un lugar lejano a donde residan los datos origen.
4. Todos los medios físicos donde los datos de valor sean almacenados por periodos mayores a seis (6) meses, están sujetos a
mecanismos que prevengan su rápida degradación o deterioro.
5. Los respaldos de los datos sensibles tienen un proceso periódico de validación con el fin de garantizar que no hayan sufrido
ningún deterioro y que se podrán utilizar en el momento de una contingencia.
6. Toda la información contable, de impuestos y de tipo legal es conservada, de acuerdo con las normas legales vigentes.
7. Se cuenta con un procedimiento para la restauración de backup, para ejecutarlo en el caso que sea necesario.
8. Se cuenta con personal técnico autorizado para la toma de las copias de respaldo de la información del servidor considerado para
tal fin.
Vigencia desde:
Informática
9. Se cuenta con personal técnico autorizado quien administrará los medios físicos para el envío de la información fuera de la
Compañía.
3.3.2 Manejo de documentos en papel o en forma impresa
1. La remisión de información sensible tanto por correo interno como externo cumple con los procedimientos que establezca la
Compañía, de manera que se realice en forma segura.
2. En el momento de iniciar una impresión de documentos Reservados y/o Confidenciales, personal autorizado se encuentra en el
lugar físico de la impresora con el fin de proteger la confidencialidad de la información antes, durante y después de la impresión.
3. La información Reservada y/o Confidencial es enviada vía fax únicamente cuando no se encuentre disponible ningún otro método
de transmisión más seguro. Así mismo, tanto el responsable de la información como el destinatario autorizan la transmisión con
antelación.
3.4 Administración de la Información
1. Cualquier tipo de información o contenido interno de Arcos Soluciones Tecnológicas solo es vendido, transferido o intercambiado
con tercerospara propósitos del negocio y se cumple con los procedimientos de autorización internos para los casos en que se
requiera.
2. Todos los derechos de propiedad intelectual de los productos desarrollados o modificados por los colaboradores de la Compañía
son de propiedad exclusiva de Arcos Soluciones Tecnológicas.
3. La información, programas de software, grabaciones de llamadas y demás material electrónico, físico y audiovisual de la compañía
son modificados únicamente por personal autorizado. De igual manera, el acceso a las bases de datos, sistemas de producción,
grabaciones de llamadas se restringe únicamente a personal autorizado.
4. Cuando la información sensible no se está utilizando se guarda en los sitios destinados para ésta, los cuales cuentan con las
debidas medidas de seguridad que garanticen su confidencialidad e integridad, evitando dejarla a la vista o sobre el escritorio.
Vigencia desde:
Informática
5. En cualquier momento, el responsable de la información o del contenido puede reclasificar el nivel de sensibilidad inicialmente
aplicado a la información. En caso de requerirlo, el responsable de seguridad informática puede apoyar esta labor.
6. Los responsables de la Información o el contenido están encargados de:

- Evaluar los riesgos a los cuales se expone la información con el objeto de determinar los controles de accesos, autenticación
y utilización a ser implementados en cada caso.
- Aprobar y solicitar la asignación de privilegios a usuarios.
- Llevar a cabo un proceso formal y periódico de revisión de los derechos de acceso a la información, a fin de garantizar que
no se obtengan privilegios no autorizados.
- Así mismo, autorizar el acceso de los usuarios a su cargo a los servicios y recursos de red y a Internet.
7. Toda entrega de información o contenido Reservado o Confidencial a terceras personas está acompañada por un contrato que
describa explícitamente qué información es restringida y cómo puede o no ser usada.
8. Toda la información o contenido de Arcos Soluciones Tecnológicas cumple con los criterios de seguridad (Integridad,
Confidencialidad yDisponibilidad)5 y calidad (Efectividad, Eficiencia, Confiabilidad, Auditabilidad y Cumplimiento)6.
9. Se restringe el acceso a la información o contenido de Arcos Soluciones Tecnológicas, solo a los colaboradores y/o terceros
debidamente autorizados para tal fin.
10. Se restringe el acceso a la documentación de la infraestructura, los sistemas, programas y demás, a los colaboradores y/o terceros
estrictamente necesarios. Dicho acceso es autorizado por el responsable de la Información relativa al sistema.
11. Todo software que comprometa la seguridad del sistema se custodia y administra únicamente por personal autorizado.
Adicionalmente, se dejan rastros de auditoría de su utilización.
12. La información de la Compañía solo es divulgada contando con los permisos correspondientes, además, ningún empleado,
contratista o consultor la toma cuando se retire de la Compañía.
13. Toda la información histórica almacenada cuenta con los medios, procesos y programas capaces de manipularla sin
inconvenientes, esto teniendo en cuenta la reestructuración que sufren las aplicaciones y los datos a través del tiempo.
5 POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN Punto 8.4 Componentes de la Seguridad Informática.

6 POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN Punto 8.5 Componentes de la Calidad.
Vigencia desde:
Informática
3.5 Protección de Datos Personales
1. Arcos Soluciones Tecnológicas cuenta con una Política de Protección de datos Personales
2. Se especifica en dicha política el principio de seguridad: La información sujeta a Tratamiento por el responsable del Tratamientoo
Encargado del Tratamiento a que se refiere la Ley 1581 de 2012, se deberá manejar con las medidas técnicas, humanas y
administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o
acceso no autorizado o fraudulento.
3. Se define en dicha política el principio de confidencialidad: Todas las personas que intervengan en el Tratamiento de datos
personales que no tengan la naturaleza de públicos, están obligadas a garantizar la reserva de la información, inclusive después
de finalizada su relación con alguna de las labores que comprende el Tratamiento, pudiendo sólo realizar suministro o
comunicación de datos personales cuando ello corresponda al desarrollo de las actividades autorizadas en la Ley 1581 de 2012
y en los términos de la misma.
4. La información correspondiente a los datos personales se tratará con el más alto nivel de confidencialidad y aseguramiento, esto
es, categoría Reservada.
5. En caso de presentarse un incidente, fallas o violaciones a los protocolos de seguridad de la información dispuestos Arcos
Soluciones Tecnológicas y en dichas situaciones se presenten riesgos de pérdida, acceso, modificación o eliminación de la
información dedatos personales almacenados por la compañía, el Oficial de Seguridad Informática de la Dirección de TI colaboran
con la investigación de las causas de fallas o violaciones en conjunto con Oficial de Protección.
4. HARDWARE
La administración, mantenimiento, modernización y adquisición de equipos tecnológicos y de telecomunicaciones adoptan los
siguientes criterios para proteger la integridad técnica de la Compañía:
4.1 Cambios al Hardware
1. Se evita la alteración o mejoramiento (cambios de procesador, adición de memoria o tarjetas) de los equipos tecnológicos de la
Compañía sin el consentimiento, evaluación técnica y autorización previa de la dirección de Tecnología Informática.
Vigencia desde:
Informática
2. La reparación técnica de los equipos tecnológicos de la Compañía, que implique la apertura de los mismos, únicamente puede
ser realizada por el personal autorizado por las áreas de Tecnología y soporte técnico.
3. Los usuarios de equipos reportan a Soporte técnico si trabajan sobre la red interna corporativa, sobre daños o pérdida del equipo
de cómputo que tengan bajo su responsabilidad y sea propiedad de la Compañía. La intervención directa para reparar el equipo
está expresamente prohibida.
4. Todos los equipos tecnológicos de Arcos Soluciones Tecnológicas están relacionados en un inventario que incluye la información
de sus características, configuración y ubicación, así como del acta de entrega.
5. La adquisición del hardware se rige por la norma “Compra de Bienes y Contratación de Servicios”.
6. Todos los productos de hardware se registran por proveedor y están amparados bajo la garantía del mismo o bajo un contrato de
mantenimiento preventivo y correctivo.
7. Para todos los equipos y sistemas de comunicación se aplica un procedimiento formal de control de cambios que garantice que
solo se realicen los cambios autorizados y que éstos sean planeados. Este procedimiento de control de cambios incluye la
documentación del proceso con las respectivas propuestas revisadas, un análisis con los riesgos asociados, la aprobación de las
áreas correspondientes y la manera como el cambio fue realizado. Así mismo, se contempla la aprobación de la configuración de
los parámetros de seguridad y la verificación que su instalación no afecta la seguridad establecida en la Compañía.
8. Los usuarios se abstienen de mover o reubicar los equipos tecnológicos (servidores, LAN, etc.), así como de instalar o desinstalar
dispositivos, o retirar los sellos de los mismos sin la aprobación previa del área de tecnología correspondiente.
9. En el evento de dar de baja un equipo obsoleto, el personal autorizado y en caso de ser necesario se realiza un backup de la
información residente para luego eliminarla por completo. Se formatea el disco con herramientas destinadas a dicha actividad en
bajo nivel.
10. En el momento de actualizar el inventario de los recursos tecnológicos de la Compañía, se tienen en cuenta: equipos a dar de
baja, nuevos equipos, manejo de partes, repuestos y fungibles.
Vigencia desde:
Informática
11. Los usuarios dan aviso inmediato a la dirección de Tecnología Informática de la desaparición, robo o extravío del equipo de
cómputo o accesorio bajo su responsabilidad.
12. Los equipos portátiles y cualquier activo de tecnología de información, pueden salir de las instalaciones de la Compañía
únicamente con la autorización del jefe o coordinador del área involucrada.
4.2 Acceso físico y lógico
1. Para conectar una estación de trabajo de la compañía a la red interna corporativa se pide autorización a la dirección deTecnología
Informática.
2. Todos los equipos tecnológicos y de comunicaciones están ubicados en lugares asegurados para prevenir alteraciones y usos no
autorizados.
3. Las bibliotecas de medios magnéticos y dispositivos de almacenamiento se ubican en áreas restringidas, bien sea dentro del
centro de cómputo y/o en sitios alternos con acceso únicamente a personas autorizadas.
4. Todas las conexiones con los sistemas y redes de la Compañía se dirigen a través de dispositivos probados y aprobados por las
áreas de tecnología correspondientes y cuentan con mecanismos de autenticación de usuario.
5. Las direcciones internas, configuraciones e información relacionada con el diseño de los sistemas tecnológicos y de comunicación
de la Compañía están restringidas y son tratados como información Confidencial.
4.3 Respaldo y Continuidad del Negocio
1. Se proveen sistemas de protección necesarios para asegurar la continuidad del servicio en los sistemas tecnológicos críticos,
tales como sistemas de detección y eliminación de fuego, sistemas de potencia eléctrica suplementarios y sistemas de aire
acondicionado, entre otros. Estos cuentan con la garantía o contrato de mantenimiento respectivo y los usuarios que los operan
han sido entrenados en su uso.
2. Los equipos tecnológicos están conectados a unidades suplementarias de energía eléctrica (UPS), filtros eléctricos, supresores
de picos de corriente y en lo posible, eliminadores de corriente estática.
Vigencia desde:
Informática
3. El diseño de la red de comunicaciones están de tal forma que se evite tener un punto crítico de falla, como un centro único de
conmutación que cause la caída de todos los servicios.
4. Los backups de los sistemas tecnológicos y redes son almacenados en una zona físicamente diferente de donde reside la
información.
5. A todo equipo tecnológico y de comunicaciones se le realiza un mantenimiento preventivo y periódico, de tal forma que el riesgo
a fallas se mantenga en una probabilidad de ocurrencia baja.
4.4 Otros
1. Ningún equipo portátil de computación se registra como equipaje de viaje. Estos se llevan como equipaje de mano.
2. Los equipos portátiles de computación que contengan información sensible utilizan software de ciframiento para proteger la
información.
3. Todo equipo tecnológico y de comunicaciones de la Compañía tiene un número de identificación permanente (plaqueta de
inventario) adherido a éste.
4. Todo equipo tecnológico tiene un documento de entrega al usuario (Acta de Entrega) que incluye instrucciones de manejo de
información y acato de normas internas y de seguridad.
5. SEGURIDAD EN REDES DE COMUNICACIÓN
5.1 Ambiente
Los colaboradores responsables de las redes de comunicación siguen las siguientes instrucciones para proteger la información que
por éstas fluye:
Vigencia desde:
Informática
5.1.1 Aspectos Generales
1. Los colaboradores evitan llevar a cabo cualquier tipo de instalación de líneas telefónicas, canales de transmisión de datos,
módems, o cambiar su configuración sin haber sido formalmente aprobados por el área responsable. Éstas son realizadas
solamente por personal calificado y certificado en las tecnologías involucradas.
2. Las centrales de conexión o centros de cableado son catalogadas como zonas de alto riesgo, con limitación y control de
acceso.
5.1.2 Conexiones con redes públicas e Internet.
1. Toda conexión entre las redes de Arcos Soluciones Tecnológicas y redes externas, redes públicas e Internet cuenta como
mínimo con mecanismos de control de acceso lógico, tales como: Firewall, Dns, entre otros; igualmente, todos los usuarios
se autentican ante estos mecanismos de seguridad.
2. La conexión a través de módems para computadores que estén simultáneamente conectados a la red de área local o a otra
red de comunicación interna está restringida y en caso de requerirse, son previamente aprobada por la Dirección de
Tecnología Informática.
5.1.3 Conexiones a redes amplias, redes metropolitanas y locales
1. La red de amplia cobertura geográfica con cobertura nacional e internacional o la red metropolitana están divididas en forma
lógica y cuentan con mecanismos de control perimetral y de control de acceso.
2. Se propende por segmentar las redes de comunicaciones de tal forma que los usuarios mantengan una independencia sobre
las mismas.
Vigencia desde:
Informática
5.2 Servicios
1. La información publicada en las páginas World Wide Web (www) es autorizada por el área competente.
2. El contenido de las páginas Web está de acuerdo con las políticas de la Compañía, con lo cual tiene medidas de seguridad y
se ajusta a los estándares de diseño, navegación (filtrado de material ilegal, inapropiado y/u ofensivo) y redacción
establecidos.
3. En el caso en que se cree un buzón en la Web de la Compañía para recibir comentarios y sugerencias, éste contendrá textos
que indiquen que la recepción de ideas no solicitadas no obliga a Arcos Soluciones Tecnológicas a mantener confidencialidad
sobre éstas,ni a pagar derechos de autor.
4. Tanto el uso del correo electrónico como la navegación por Internet, son aprobados previamente por el jefe del área
correspondiente.
5.2.2 Internet
1. Las leyes para derechos de reproducción, patentes, marcas registradas y todo lo relacionado con derechos de autor, aplican
en Internet.
2. Todo mensaje publicado por los empleados en un grupo de discusión de Internet, en un boletín electrónico, o en cualquier
otro sistema de información público, va acompañado de palabras que indiquen claramente que su contenido no representa la
posición de la Compañía. Únicamente pueden indicar su afiliación aquellas personas autorizadas explícitamente por la alta
dirección.
3. Los usuarios se abstienen de usar el nombre, símbolo, logotipo de la Compañía en algún elemento de Internet (correo
electrónico, página web, etc.) cuya actividad no sea estrictamente laboral.
4. Todos los directorios públicos con permiso de escritura que se encuentren en computadores de la Compañía y estén
conectados a Internet, son revisados y borrados periódicamente según el área al que están asignados, para evitar saturación
de máquinas e intercambio de información ilegal.
Vigencia desde:
Informática
5. Todo el software obtenido a través de Internet por las áreas autorizadas, es revisado por un software antivirus, antes de
transmitirlo internamente hacia usuarios de la organización.
6. El acceso a Internet provisto a los usuarios es exclusivamente para las actividades relacionadas con las funciones que
desempeña en el mismo, el acceso a Internet con fines personales no es permitido.
5.2.3 Intranet
1. La información que se publique en la Intranet de la Compañía cuenta con la aprobación del área encargada.
2. El material que se publique en la Intranet de la Compañía es revisado previamente para confirmar la actualidad, oportunidad
e importancia de la información y evitar que los programas incluyan Malware.
3. Se generan procedimientos para la administración y manejo de la información en la Intranet, en especial el mantenimiento y

depuración de la información publicada.
5.2.4 Correo Electrónico
1. El envío de mensajes masivos a través de correo electrónico es realizado solo con aprobación de la Dirección Administrativa.
2. El correo electrónico puede ser utilizado por terceros (proveedores, contratistas, entre otros) con previa autorización de la
persona responsable de éste en Arcos Soluciones Tecnológicas.
3. Los colaboradores evitan utilizar una cuenta de correo electrónico que pertenezca a otro colaborador. Si hay necesidad de
hacerlo en caso de ausencias o vacaciones, se recurre a mecanismos alternos como redireccionamiento de mensajes.
4. Los colaboradores evitan enviar mensajes de correo electrónico con contenidos hostiles que molesten a los receptores del
mismo, como comentarios sobre sexo, raza o religión.
5. Cuando un colaborador reciba un mensaje de amenaza o que implique un riesgo para la Compañía, lo informa al Coordinador
de Seguridad Informática de la gerencia para las respectivas investigaciones.
Vigencia desde:
Informática
6. Ningún colaborador está autorizado para monitorear los mensajes de correo electrónico, excepto las áreas de control o áreas
responsables. El monitoreo es realizado para cumplir con políticas internas en casos de sospechas de actividad no autorizada,
investigaciones y otras razones de la alta gerencia; en consecuencia, la Compañía no está obligada a solicitar autorización del
colaborador involucrado.
7. El sistema de correo electrónico de la Compañía es usado únicamente para propósitos de trabajo. Todos los mensajes
enviados por este medio pertenecen a la Compañía y ésta se reserva el derecho de acceder y revelar los mensajes enviados
por este medio para cualquier propósito.
8. Siempre que los colaboradores utilicen versiones escaneadas de firmas hechas a mano para dar la impresión de que una
comunicación electrónica ha sido firmada por la persona que la envía, dicha comunicación es enviada en un formato que no
permita su alteración (ej: en PDF).
5.2.5 Outsourcing
1. La conexión entre sistemas internos de la Compañía y otros sistemas (de terceros) debe ser aprobada por el área responsable
y certificada por el tercero a través del acuerdo de confidencialidad, con el fin de no comprometer la seguridad de la información
interna de la Compañía.
2. Los usuarios terceros tienen acceso a los Recursos Informáticos, que sean estrictamente necesarios para el cumplimiento de
su función, servicios que son aprobados por quién será el jefe inmediato o coordinador.
3. Los contratos firmados con terceros deben incluir cláusulas de confidencialidad y buen uso de los Recursos Informáticos.
6. SEGURIDAD EN SISTEMAS DE INFORMACIÓN Y SISTEMAS OPERATIVOS
Todos los Sistemas de Información y Sistemas Operativos de la Compañía contemplan los aspectos mencionados a continuación y
los colaboradores son responsables de su cumplimiento:
Vigencia desde:
Informática
6.1 Controles de Acceso
1. Todos los sistemas de información deben utilizar estándares para los códigos de identificación de usuario, para nombres de
programas y archivos tanto en ambientes de producción como en desarrollo.
2. Toda transacción que afecte información o contenido sensible es procesada únicamente cuando se valide la autenticidad del
origen (usuario o sistema) y se compruebe su autorización mediante un mecanismo de control de acceso o perfiles.
3. Todo programa y archivo que contenga fórmulas, algoritmos u otras especificaciones que se utilicen para la generación de
contraseñas está controlado con las medidas de seguridad suficientes para garantizar su confidencialidad e integridad.
4. Las contraseñas en lo posible están cifradas y se evita incorporarlas dentro de los programas de software. Los sistemas
tecnológicos y de comunicación tienen implementados controles que impidan la recuperación de contraseñas almacenadas.
5. Ningún colaborador construye o utiliza mecanismos para conocer contraseñas o códigos de identificación de usuarios; ni
tampoco mecanismos para autenticar la identidad de los usuarios.
6. Todas las contraseñas inicialmente emitidas son válidas solamente para la primera conexión del usuario, momento en el cual
son cambiadas por el usuario.
7. Los códigos de usuario y contraseñas son personales e intransferibles.
8. Se restringe la utilización de códigos de usuario genéricos. Así mismo, se realiza el control sobre usuarios, administradores,
anónimos, invitados, proveedores y temporales.
6.1.2 Perfiles y privilegios
1. Todo equipo de la Compañía está en red, ya sea en la red Corporativa.
2. Todo sistema tiene definidos los perfiles de usuario de acuerdo con la función y cargo de los colaboradores que acceden al
mismo, de tal forma que la información solo sea modificada por los usuarios autorizados.
Vigencia desde:
Informática
3. Las modificaciones a los privilegios o perfiles de usuario son realizadas por los usuarios administradores a través de pantallas
predefinidas para este fin, previa autorización del responsable de la aplicación o de la información.
4. Como norma para la administración de usuarios y perfiles es necesario dejar evidencia los cambios realizados a los perfiles y
eliminación de las cuentas.
5. Los privilegios especiales del sistema se otorgan únicamente a los administradores del sistema. Los usuarios no tienen acceso
a los niveles de comandos para el funcionamiento del sistema.
6. Los administradores de los sistemas tienen por lo menos dos tipos de usuarios: uno de acceso privilegiado y el otro de usuario
ordinario con el que se lleve a cabo el trabajo diario de un usuario común.
7. El hardware y software de diagnóstico y/o utilitarios sólo son usados por colaboradores autorizados.
8. Cualquier cambio en los roles y responsabilidades de los usuarios son notificados a la dirección de Tecnología Informática
6.1.3 Controles automáticos y de usuario
1. El control de acceso a todos los sistemas tecnológicos de la Compañía se realiza por medio de códigos de identificación y
contraseñas únicas para cada usuario.
2. Si el usuario digita un código de usuario o contraseña incorrectos, el sistema informa que éste es incorrecto y termina la
sesión o espera el ingreso de un nuevo código de usuario o contraseña.
3. La compañía cuenta con un manual de uso y buenas prácticas referente a “Manejo de Contraseñas”
4. El sistema lleva un histórico de contraseñas, de tal forma que los usuarios no repitan las utilizadas anteriormente.
5. Las contraseñas no se presentan en pantalla o impresas.
6. El sistema forza a que todos los usuarios cambien sus contraseñas al menos una vez cada treinta (30) días.
Vigencia desde:
Informática
7. El sistema controla el tiempo de inactividad del usuario y activa el protector de pantalla automáticamente.
6.2 Logs
1. Todos los sistemas que operen y administren información o contenido sensible para la Compañía, como sistemas de aplicación
en ambiente de producción, sistemas operativos, sistemas de bases de datos y telecomunicaciones, generan logsde auditoría.
2. Todos los archivos de logs proporcionan suficiente información para apoyar el monitoreo, control y auditorías. La Compañía
se reserva el derecho de revisión de los mismos.
3. Todo archivo de log, en lo posible, incluye la siguiente información: (1) identificación del código del usuario, (2) identificación
de la terminal, (3), fecha/hora de inicio y finalización de cada sesión del sistema, (4) aplicaciones invocadas, (5) cambios de
información en los archivos de las aplicaciones críticas (6) adiciones y/o cambios a los privilegios de los usuarios, (7) controles
del sistema modificados, (8) Intentos de accesos no autorizados, (9) intentos de uso de privilegios de comandos no
autorizados, (10) uso de comandos privilegiados y de software utilitario del sistema.
4. Todos los archivos de logs de los diferentes sistemas son retenidos por periodos definidos según su criticidad. Además, son
custodiados en forma segura para que no puedan ser modificados y para que puedan ser leídos únicamente por personas
autorizadas; los usuarios que no estén autorizados solicitan al área encargada de su administración y custodia el
correspondiente permiso de consulta.
5. Los logs son evidencia digital suficiente de la utilización de los aplicativos, sistemas operacionales y comunicaciones y pueden
ser utilizados por la Compañía en todos los casos en que se considere necesario (investigaciones internas, investigaciones
externas, consultas de entes externos y de entes de control).
6. Todos los logs habilitados en los sistemas tienen definido un usuario para su administración.
7. Todos los equipos tecnológicos de la Compañía están sincronizados y tienen la fecha y hora exacta para que el registro en el
log sea correcto.
Vigencia desde:
Informática
6.3 Otros Controles
1. Los discos y otros medios de almacenamiento en línea usados en sistemas en ambientes de producción no contienen
compiladores, ensambladores, editores de texto, procesadores de palabra u otras utilidades de propósito general que puedan
utilizarse para comprometer la seguridad del sistema.
2. Las características que son innecesarias en el ambiente tecnológico de la Compañía se desactivan en el momento de la
instalación del software.
3. Los relojes de los diferentes sistemas de la Compañía son sincronizados periódicamente, en especial entre las diferentes
plataformas tecnológicas.
4. Las unidades USB de los equipos son de uso restringido y controlado.
7. INSTALACIONES FÍSICAS
Todos los colaboradores de Arcos Soluciones Tecnológicas acatan los siguientes lineamientos de seguridad física con el fin de
salvaguardar losrecursos tecnológicos y humanos de la Compañía:
7.1 Control de acceso físico
La Compañía cuenta con los mecanismos de control de acceso tales como puertas de seguridad, sistemas de control con tarjetas
inteligentes y sistema de alarmas, en las dependencias que considere críticas.
7.1.1 Personas
1. Los visitantes portan una escarapela claramente visible. Tanto los visitantes como los colaboradores que requieran ingresar
a áreas críticas permanecen escoltados y únicamente tienen acceso a la información y recursos necesarios para el desarrollo
de sus actividades.
Vigencia desde:
Informática
2. En el evento que los colaboradores dejen de tener vínculos con la Compañía, todos sus códigos de acceso son desactivados.
La escarapela, tarjeta de acceso y/o carnet son devueltos y desactivados.
3. Se mantiene un registro de acceso de colaboradores autorizados y de ingresos, a las diferentes áreas, con el objeto de facilitar
procesos de investigación.
4. Como mecanismo de prevención, todos los colaboradores y visitantes se abstienen de comer, fumar o beber en el centro de
cómputo o instalaciones con equipos tecnológicos, pues al hacerlo exponen los equipos a daños eléctricos y a riesgos de
contaminación sobre los dispositivos de almacenamiento.
5. Las reuniones de trabajo donde se discute y maneja información sensible, se realizan en salas cerradas para prevenir que
personas ajenas tengan acceso a ésta.
6. Todos los sistemas de control de acceso son monitoreados permanentemente.
7.1.2 Equipos y Otros Recursos
1. Toda sede y equipo tecnológico, ya sea propio o de terceros, que procese información de la Compañía o posean un vínculo
especial con la misma, cumplen con todas las normas de seguridad física que se emitan, con el fin de evitar el acceso a
personas no autorizadas a las áreas restringidas donde se procese o mantenga información Reservada y Confidencial, y
aseguran la protección de los recursos de la plataforma tecnológica y su información.
2. Los equipos de cómputo son movidos o reubicados con la aprobación previa de la dirección de Tecnología Informática.
3. Todos los equipos propiedad de la Compañía como equipos portátiles, módems y equipos relacionados con sistemas de
información sólo se retiran de las instalaciones físicas por parte de colaboradores autorizados.
4. Todo maletín, caja o bolso es revisado por personal de seguridad tanto al momento de acceder a las instalaciones como al
momento de salir de éstas.
5. Como mecanismo de seguridad, la información sobre la ubicación del centro de cómputo y demás áreas críticas con equipos
tecnológicos, no es divulgada.
Vigencia desde:
Informática
7.2 Protección física de la información
1. Todos los colaboradores de la Compañía son responsables del adecuado uso de la información suministrada para realizar la
actividad para la cual fueron contratados, por lo cual cuida su integridad, confidencialidad y disponibilidad. Toda información
Reservada y Confidencial está provista de la seguridad necesaria por quien la maneja para evitar el uso indebido por parte de
personas no autorizadas.
2. Al terminar la jornada laboral, los escritorios y áreas de trabajo quedan desprovistos de documentos sensibles que puedan
comprometer los intereses de la Compañía. Éstos quedan bajo llave en oficinas con llave, cajones, archivadores, cajas fuertes
o demás medios de almacenamiento físico seguros.
3. Las áreas donde se maneja información sensible deben contar con cámaras que registren las actividades realizadas por los
colaboradores.
7.3 Protección contra desastres
Dado que cualquier tipo de desastre natural o accidental ocasionado por el hombre (cortos circuitos, vandalismo, fuego, fugas
químicas y otras amenazas) puede afectar el nivel de servicio y la imagen de la Compañía, se prevé que los equipos tecnológicos y
de comunicaciones se encuentren localizados en áreas aseguradas y debidamente protegidas contra inundaciones, robos,
interferencias electromagnéticas, fuego, humo y demás amenazas que puedan interferir con el buen uso de los mismos y en la
continuidad del servicio.
7.4 Planes de emergencia, contingencia y recuperación
1. Es responsabilidad de la Compañía preparar, actualizar periódicamente y probar regularmente los planes de Contingencia,
Emergencia y Recuperación previendo la continuidad de los procesos críticos para el negocio en el evento de presentarse
una interrupción o degradación del servicio.
2. Se establece, mantiene y prueba periódicamente un sistema de comunicación que permita a los usuarios de las plataformas
tecnológicas notificar posibles intromisiones a los equipos tecnológicos; éstos incluyen posibles infecciones por malware,
intromisión de hackers, divulgación de información no autorizada y debilidades de seguridad de los sistemas.
Vigencia desde:
Informática
3. El plan de Contingencia y de Recuperación de desastres permanece documentado y actualizado de manera tal que sea de
conocimiento para las personas involucradas y que sea fácilmente aplicable en el evento de un desastre, permitiendo que los
recursos previstos se encuentren disponibles y aseguren la continuidad de los procesos de negocio, en un tiempo razonable
para cada caso y contemplando como mínimo los riesgos más probables de ocurrencia que afecten la continuidad.
8. GLOSARIO
8.1 Información: Se refiere a datos procesados, media grabada en cualquier formato, media almacenada en los servidores, media
procesada (editada y musicalizada) y media archivada en archivo audiovisual.
8.2 Clasificación de Aplicaciones:

• Críticas del negocio: Aplicaciones primordiales para el funcionamiento del negocio.
• No críticas: Aplicaciones utilizadas para la administración, operación y control corporativo.
8.3 Clasificación de la Información

• Reservada: Se considera información privilegiada aquella que está sujeta a reserva, así como la que no ha sido dada a conocer al
público existiendo deber para ello. Es privilegiada aquella información de carácter concreto que no ha sido dada a conocer del público
y que de haberlo sido la habría tenido en cuenta un inversionista medianamente diligente y prudente al negociar los respectivos
valores.
• Confidencial: Es aquella información que se entrega y que de acuerdo con lo dispuesto en los acuerdos de confidencialidad no
puede ser divulgada ni utilizada para efectos distintos a los propios del negocio, si pena de incurrir en incumplimiento del contrato o
en una práctica anticompetitiva. Información que puede ser considerada como confidencial incluyen entre otros: planes de mercadeo,
productos y servicios en desarrollo, código fuente de programas en uso y documentación de proyectos.
• Pública: La información pública es aquella que se declara de conocimiento público de acuerdo a las normas que se manejan al
interior de la compañía o bien por parte de la persona o grupo de personas con autoridad para hacerlo. Esta información puede ser
entregada o publicada sin restricciones a los colaboradores o a terceros, sin que implique daño a las actividades y procesos de
Vigencia desde:
Informática
Arcos Soluciones Tecnológicas. En general son datos que pueden ser de alcance público pero que solo son actualizados por las
personas autorizadas. Dentro de la información que puede ser considerada como pública.
8.4 Componentes de la Seguridad Informática
• Integridad: Relacionada con el aseguramiento de la información o los datos, de manera tal que estén protegidos contra modificación
o destrucción no autorizada, conservándola de forma exacta y completa, así como a su validez de acuerdo con los valores y
expectativas del negocio.
• Confidencialidad: Concierne a la protección de información sensible de divulgación no autorizada, asegurando que los datos o la
información no estén disponibles, ni se revelen a personas, entidades o procesos no autorizados.
• Disponibilidad: Relacionada con el acceso continuo a la información en cualquier momento, por aquellas personas autorizadas a
tratar y disponer de ella, así como también por los procesos del negocio que lo requieran ahora y en el futuro. También concierne a
la salvaguardia de los recursos y sus capacidades asociadas.
8.5 Componentes de la Calidad

• Efectividad: La información debe ser relevante y pertinente para los procesos del negocio y debe ser proporcionada en forma
oportuna, correcta, consistente y utilizable.
• Eficiencia: Se debe proveer información mediante el empleo óptimo de los recursos (la forma más productiva y económica).
• Confiabilidad: proveer la información apropiada para que la administración tome las decisiones adecuadas para manejar la empresa
y cumplir con sus responsabilidades.
• Auditabilidad: Se refiere a permitir la reconstrucción, revisión y análisis de los eventos en los diferentes sistemas de cómputo.
• Cumplimiento: Tiene que ver con el cumplimiento de las reglas y políticas internas de la Compañía, de tal manera que la información
sea manejada adecuadamente y clasificada de acuerdo a su criticidad, de tal forma que sea confiable en el momento de tomar
decisiones en la Compañía.
Vigencia desde:
Informática
8.6 Logs
Evidencia Digital: Es un tipo de evidencia física que puede tomar de muchas formas como son:
• Registros de aplicaciones, sistema operacional, comunicaciones (logs de transacciones, logs de seguridad, logs de intentos
de login fallidos, etc.)
• Imágenes o gráficas
• Documentos en todos los formatos
• Correo electrónico
• Información financiera y de transacciones
• Archivos de cache, cookies
• Archivos eliminados
• Archivos de intercambio
8.7 Términos más usados

Acceso remoto: Utilidad para que un usuario acceda desde su propio PC a otro que esté ubicado remotamente y pueda operar sobre
éste
Adjunto: Archivo vinculado a un correo electrónico. Puede ser un texto, un gráfico, un sonido o un programa
Antivirus: Aplicación informática cuya finalidad es la detección, detención y eliminación de virus y demás códigos maliciosos.
Ataque: Intento de comprometer alguna de las capacidades de un sistema de información. Dependiendo del objetivo del ataque,
pueden afectar la confidencialidad, integridad o disponibilidad del sistema.
Ataque DoS: Los ataques de Denegación de Servicio (DoS) están diseñados para dificultar o paralizar completamente el
funcionamiento normal de un sitio web, red, servidor u otro recurso. Los piratas informáticos y los creadores de virus utilizan distintos
métodos para realizar ataques DoS. Un ataque de Denegación de Servicio Distribuido, o DDoS, difiere del DoS solamente en el
método. Un DoS se realiza desde un computador o servidor, mientras que un DDoS es un DoS organizado para que suceda
simultáneamente desde un gran número de computadores o servidores.
Bit: 'Bit' es una contracción de 'binary digit' (dígito binario). El bit es la unidad de medida más pequeña de datos de un computador,
el cual es un número base-2; dos dígitos que pueden ser 1 o 0. El ancho de banda o la velocidad de transmisión de la información,
Vigencia desde:
Informática
habitualmente se mide en bits por segundo. Se necesitan ocho bits para crear un solo carácter, que se llama byte. Un kilobyte (KB)
está compuesto de 8.192 bits o 1024 bytes, mientras que se necesitan 8388608 bits o 1048576 bytes para hacer un megabyte (MB).
Caballos de Troya: Los caballos de Troya son programas maliciosos que dañan al sistema al instalarse. La principal diferencia entre
los virus, los gusanos y éstos es que los troyanos no se reproducen por sí mismos. Deben su nombre al histórico caballo de Troya
usado por los griegos para conquistar Troya, porque los primeros programas 'caballo de Troya' simulaban ser juegos o aplicaciones
inocentes, que sin embargo dañaban al sistema después de su instalación. Hoy en día los troyanos están programados para instalarse
de forma invisible y realizar actividades destructivas que incluyen el comprometer al sistema, también de forma invisible.
Certificado digital: Documento digital mediante un sistema seguro de claves administrado por una tercera parte de confianza, la
autoridad de certificación, que permite a las partes tener confianza en las transacciones en Internet, garantizando la identidad de su
poseedor en Internet. Permite realizar un conjunto de acciones de forma segura y con validez legal: firmar documentos, entrar en
lugares restringidos, identificarse frente la administración, etc.
Cifrado: Algoritmo que permite codificar los datos mediante claves, para que resulte un código equivalente pero ininteligible de forma
que sólo quienes conozcan la clave podrán acceder al contenido real de los datos.
Copia de seguridad (Backup): Réplicas de datos que permiten al usuario recuperar la información original en caso de ser necesario.
Correo basura (Spam): Correo electrónico no deseado que se envía aleatoriamente en procesos por lotes. La mayoría de usuarios
están expuestos a este correo basura. Como parte de la administración del correo electrónico está el tratamiento de la cantidad de
e-mails generados.
Dirección IP: Es la dirección numérica con la que se identifica una máquina conectada a Internet, consta de varios grupos de dos o
tres números separados por puntos.
Firewall: Herramienta de seguridad que proporciona un límite entre redes de distinta confianza o nivel de seguridad mediante el uso
de políticas de control de acceso de nivel de red.
Gusanos: Son programas que se reproducen independientemente. Hoy en día los gusanos utilizan todos los medios disponibles de
propagación incluyendo redes, Internet, correo electrónico, redes de intercambio de archivos, teléfonos celulares, entre otros. En los
últimos años los gusanos han causado estragos en todo el mundo: sobrecargando los canales de Internet y haciendo caer servidores,
sirviendo como vehículo para ataques DoS, acarreando troyanos y así sucesivamente.
Vigencia desde:
Informática
Ingeniería social: se refiere a una vulnerabilidad no técnica de la seguridad que se basa casi en su totalidad en la interacción humana,
ej.: engañar a usuarios para que infrinjan las medidas de seguridad normales.
El éxito de los creadores de virus y spammers depende casi en su totalidad de su capacidad de disfrazar el malware y el spam como
mensajes y software inocentes. A menudo, hasta pretenden estar combatiendo el mismo tipo de crimen informático que está a punto
de cometerse. El objetivo es hacer que el usuario responda: haga clic en el adjunto de un correo electrónico, haga clic en el vínculo
a un sitio web comprometido; responda a un aviso falso de baja de suscripción, entre otros.
Keylogger: Programa que intercepta todas las pulsaciones realizadas en el teclado (e incluso a veces también el mouse), y las
guarda en un archivo para obtener datos sensibles como contraseñas, etc. Posteriormente puede ser enviado a un tercero sin
conocimiento ni consentimiento del usuario.
Log: Archivo en el que queda recogida toda la actividad que tiene lugar en un determinado programa o computador, permitiendo que
el administrador detecte actividades ilícitas e identifique, al usuario correspondiente.
Monitor de Red (Sniffer): Programa que monitorean la información que circula por la red con el objeto de capturarla. Existen Sniffers
para capturar cualquier tipo de información, como por ejemplo contraseñas, números de tarjetas de crédito o direcciones de correo,
determinar relaciones entre varios usuarios, entre otros.
No repudio: Característica de seguridad que previene que una persona niegue haber realizado una acción, cuando realmente lo ha
hecho.
Nombre de usuario (Login Name): Nombre que es requerido al acceder a un sistema informático y que identifica al usuario. También
sirve para que el usuario se identifique ante su proveedor de acceso Internet o al revisar el correo.
Parche de seguridad: Conjunto de características adicionales al software original de un programa informático, que sirven para
solucionar sus posibles vulnerabilidades o defectos de funcionamiento. También conocidos como actualizaciones.
Phishing: Es una forma de crimen informático y/o fraude basado en técnicas de ingeniería social. El nombre es una deformación
consciente de la palabra 'fishing' y describe el proceso de robo de datos por los criminales. El criminal crea una réplica casi perfecta
del sitio web de una institución financiera o de negocios en línea. Después, el criminal va de 'pesca': envía un mensaje de correo
electrónico que imita compañía copiada. Los atacantes utilizan logotipos legítimos, buen lenguaje de negocios y los nombres reales
de los principales administradores.
Pirata informático con fines delictivos (Cracker): Persona que intenta romper las protecciones de un cierto sistema informático,
normalmente con fines maliciosos.
Vigencia desde:
Informática
Pirata informático con fines éticos (Hacker): Persona que tiene conocimiento acerca del funcionamiento de redes
y que puede advertir los errores y fallas de seguridad del mismo.
Plan de contingencia: Definición de acciones a realizar, recursos a utilizar y personal a emplear caso de producirse un
acontecimiento intencionado o accidental que inutilice o degrade los recursos informáticos o de transmisión de datos de
una organización.
Puerto de comunicaciones: Punto de acceso a un computador a través del cual tienen lugar las transferencias de
información desdey hacia el exterior. Algunas aplicaciones poseen puertos ya asignados, Un ejemplo es el puerto 80
utilizado por el servicio HTTP, quepermite navegar por Internet.
Software malicioso (Malware): Software capaz de realizar un proceso no autorizado sobre un sistema con el deliberado
propósito de ser perjudicial. Virus, gusanos, troyanos son algunos ejemplos de código malintencionado.
Spyware o programa espía: es una clase de software malicioso que recolecta y transmite información acerca de un
sistema sin el consentimiento del propietario. Esta clase de malware incluye troyanos, keyloggers y otros. El spyware
llega a las máquinas de los usuarios como un gusano o virus.
Ventana emergente (Pop-up): Es una ventana que aparece repentinamente, por regla general cuando el usuario
selecciona una opción con su ratón o pulsa una tecla de función especial.
Virus: Programa diseñado para copiarse y propagarse a sí mismo, normalmente adjuntándose en aplicaciones. Cuando
se ejecuta una aplicación infectada, puede infectar otros archivos. Se necesita acción humana para que un virus se
propague entre máquinas y sistemas. Esto puede hacerse descargando archivos, intercambiando CD, DVD o USB,
copiando archivos o enviando adjuntos de correo electrónico infectados. Los efectos que pueden provocar varían
dependiendo de cada tipo de virus: muestra un mensaje, sobreescribe o borrar archivos, envía información confidencial,
entre otros.
Vulnerabilidad: Una vulnerabilidad es un error en un sistema de computación que puede permitir a un atacante ejecutar
instruccionesu órdenes en nombre de otro usuario, permitir a un atacante obtener acceso a datos, permitir a un atacante
realizar un ataque de denegación de servicio (DoS).
Vigencia desde:
Informática
Zombie: Es un computador generalmente infectado con un troyano de acceso remoto, capaz de recibir órdenes externas,
y de actuar,generalmente en actividades maliciosas, sin el conocimiento de sus dueños.
PUBLÍQUESE, COMUNÍQUESE Y CÚMPLASE.

Politica General Seguridad de La Información Arcos BPO

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Politica General Seguridad de La Información Arcos BPO

Cargado por

Copyright:

Formatos disponibles

POLÍTICA SEGURIDAD DE LA INFORMACION Código Documento: ARC-SEG01

Elaborado por: Revisado y aprobado:

Fecha Autor Versión Referencia de Cambio

La responsabilidad por la seguridad de la información es de cada colaborador y tercero.

1.1 Códigos de usuario y contraseñas

1.2 Control de la Información

1.3 Uso de dispositivos móviles

5. Es recomendable mantener instalado y actualizado el antivirus en el dispositivo móvil.

1.4 Uso de dispositivos extraíbles

3 Ley Colombiana 1273 de 2009 referente a la protección de la información y de los datos.

2.1 Administración del Software

2.2 Adquisición de Software

2.3 Desarrollo de Software

2.4 Pruebas de Software

2.5 Implantación del Software

2.6 Mantenimiento de Software

3.1 Clasificación de la Información y contenidos

7. La eliminación de la información sigue procedimientos seguros y debidamente aprobados por la Compañía.

3.2 Acuerdos de Confidencialidad

3.3 Almacenamiento de la Información

3.3.1 Almacenamiento Masivo y Respaldo de Información

3.3.2 Manejo de documentos en papel o en forma impresa

3.4 Administración de la Información

6. Los responsables de la Información o el contenido están encargados de:

5 POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN Punto 8.4 Componentes de la Seguridad Informática.

3.5 Protección de Datos Personales

4.1 Cambios al Hardware

4.2 Acceso físico y lógico

4.3 Respaldo y Continuidad del Negocio

5. SEGURIDAD EN REDES DE COMUNICACIÓN

5.1.1 Aspectos Generales

5.1.2 Conexiones con redes públicas e Internet.

5.1.3 Conexiones a redes amplias, redes metropolitanas y locales

5.2.1 Aspectos Generales

3. Se generan procedimientos para la administración y manejo de la información en la Intranet, en especial el mantenimiento y

5.2.4 Correo Electrónico

6. SEGURIDAD EN SISTEMAS DE INFORMACIÓN Y SISTEMAS OPERATIVOS

6.1 Controles de Acceso

6.1.1 Aspectos Generales

7. Los códigos de usuario y contraseñas son personales e intransferibles.

6.1.2 Perfiles y privilegios

1. Todo equipo de la Compañía está en red, ya sea en la red Corporativa.

6.1.3 Controles automáticos y de usuario

5. Las contraseñas no se presentan en pantalla o impresas.

6.3 Otros Controles

4. Las unidades USB de los equipos son de uso restringido y controlado.

7.1 Control de acceso físico

6. Todos los sistemas de control de acceso son monitoreados permanentemente.

7.1.2 Equipos y Otros Recursos

7.2 Protección física de la información

7.3 Protección contra desastres

7.4 Planes de emergencia, contingencia y recuperación

8.2 Clasificación de Aplicaciones:

8.3 Clasificación de la Información

8.4 Componentes de la Seguridad Informática

8.5 Componentes de la Calidad

8.7 Términos más usados

PUBLÍQUESE, COMUNÍQUESE Y CÚMPLASE.

También podría gustarte