El Plan de implementación del SGSI, exige el desarrollo de una política de seguridad en la que se establezcan las reglas necesarias para garantizar la confidencialidad, integridad y disponibilidad de la información en todos los procesos de Interfaces y Soluciones. Por tanto, esta debe ser definida, asignada y comunicada a todos los miembros de la organización.
4.3.1.1. Objetivo
El objetivo principal de la política de seguridad del SGSI es establecer las reglas básicas para garantizar la confidencialidad, integridad y disponibilidad de la información en las actividades de gestión, procesamiento y almacenamiento en Interfaces y Soluciones S.A.S.
4.3.1.2. Alcance
Está política aplica para todos los empleados y contratistas de Interfaces y Soluciones que tienen acceso a la red y a los servicios informáticos disponibles. Así como personas naturales y jurídicas que desarrollen actividades en Interfaces y Soluciones que tengan acceso a la red y los servicios informáticos disponibles.
4.3.1.3. Responsables
Todos los empleados de Interfaces y Soluciones, contratistas y terceros externos a la organización.
4.3.1.4. Definición
Interfaces y Soluciones es consciente de que la información con la que opera es un recurso vital para el cumplimiento de sus objetivos, por lo tanto, es esencial garantizar la confidencialidad, integridad y disponibilidad de la misma. De forma que se compromete con:
57
● Garantizar los requerimientos legales y de la entidad relativos a la seguridad de la información.
● Gestionar los riesgos identificados.
● Revisar el cumplimiento de las políticas de seguridad de la información. ● Desarrollar un plan de concientización sobre seguridad de la información
para todo el personal.
● Establecer controles de seguridad por medio de implantación de políticas, estándares y procedimientos que permitan proteger los activos de información disponibles.
I&S basada en las directrices de seguridad de la información nacional11 y adaptándolas al caso de la compañía establece que:
● Antes de asignar el equipo de cómputo a un nuevo usuario, el Área de desarrollo y gerencia debe asegurarse que no existe información confidencial en dicho equipo, en caso contrario, debe proceder a respaldar completamente la información y posteriormente deberá borrarla del equipo. ● El área de gerencia y administración debe establecer las medidas y
mecanismos de control, monitoreo y seguridad, para el correo electrónico y los accesos a páginas o sitios de Internet con contenidos u orígenes sospechosos.
● El área de soporte debe realizar pruebas (mínimo una vez al año) de penetración, así como un análisis de vulnerabilidades de la red para la medición de la seguridad perimetral de la red interna ante un ataque desde el exterior.
● El administrador de la seguridad es el autorizado para habilitar páginas bloqueadas siempre y cuando el acceso a estas se encuentre previamente autorizado por el director respectivo existiendo una justificación para ello. ● El Área de desarrollo y soporte debe garantizar que los componentes de
red, cuentan con las configuraciones seguras contemplando la actualización de parches y versiones indicadas por el proveedor.
● El área de gerencia y desarrollo debe llevar registro de todas las personas a las que se les ha otorgado algún privilegio de acceso.
● El área de gerencia y desarrollo debe revisar los derechos de acceso de forma bimestral.
● El área de administración es responsable de elaborar un inventario de los activos de la información disponibles en la organización, éste debe incluir
11
58
clasificación, ubicación y propietario designado. El inventario debe mantenerse actualizado.
● El área de gerencia y administración debe garantizar que los empleados retirados de la entidad devuelvan la información confidencial y reservada que tiene bajo su resguardo.
● El personal de Interfaces y Soluciones debe utilizar el correo electrónico únicamente con fines laborales.
● El uso de internet debe de estar controlado por un dispositivo de seguridad como un proxy, permitiendo solamente a los usuarios autorizados el utilizar el servicio.
● El uso de internet debe de ser sólo para fines laborales y no para realizar actividades personales o con fines de lucro.
● En caso de sospecha de revelación de contraseñas a personas no autorizadas, estas contraseñas deben ser cambiadas inmediatamente. ● Es responsabilidad de los usuarios revisar los archivos adjuntos con el
antivirus antes de descargarlos a cualquier equipo de cómputo.
● Está estrictamente prohibido el uso inapropiado de Internet para desarrollar actividades ilegales, acceder y/o descargar contenido pornográfico, descargar cualquier tipo de software sin autorización del área de gerencia, cargar o descargar software comercial violando las leyes de derecho de autor.
● Está prohibido ingresar a las áreas de trabajo o extraer de las instalaciones de Interfaces y Soluciones medios removibles (CD, DVD, USB, Discos Duros, ZIP, entre otros), sin la debida autorización.
● La clave de usuario debe ser única para cada usuario que solicite acceso. ● La información debe clasificarse en términos de su valor y criticidad como:
Pública, Clasificada o Reservada, y es responsabilidad del propietario que se haya designado.
● La salida de equipos de cómputo fuera de las instalaciones de la organización debe ser autorizada formalmente por el gerente y/o el coordinador del área de desarrollo.
● Las contraseñas deben ser otorgadas a los usuarios de forma segura. Se debe evitar enviar las contraseñas por correo.
● Las contraseñas deben tener una longitud mínima de 8 caracteres, combinar caracteres alfanuméricos y ser cambiadas máximo cada 90 días. ● Las contraseñas referentes a las cuentas “predefinidas” incluidas en los
sistemas o aplicaciones adquiridas deben ser desactivadas. De no ser posible su desactivación, las contraseñas deben ser cambiadas después de la instalación del producto.
59
● Los gerentes y coordinadores deberán garantizar que se comunica a todo el personal claramente las responsabilidades relacionadas a la seguridad de la información antes de darles acceso a la información.
● Los equipos de cómputo deben protegerse de riesgos del medio ambiente, tales como: polvo, incendios, inundaciones, etc.
● Los puntos de acceso inalámbrico deben estar configurados de manera segura, tomando en cuenta los siguientes aspectos:
○ Uso de encriptación de 128 bits mínimo.
○ Administración del filtrado de direcciones MAC de los dispositivos inalámbricos conectados.
○ Establecer el número máximo de dispositivos que pueden conectarse.
● Los usuarios de los equipos de cómputo no deben tener privilegios de administrador con el propósito de evitar cualquier modificación a la configuración estándar establecida por la gerencia de Interfaces y Soluciones.
● Los usuarios deben garantizar que sus contraseñas no son reveladas ni compartidas.
● Los usuarios son responsables de las actividades realizadas a través de su cuenta asignada.
● Queda prohibido hacer uso de la cuenta de correo electrónico para las siguientes actividades:
○ Generar o enviar correos electrónicos a nombre de otra persona sin autorización o suplantándola.
○ Crear o reenviar cartas cadena o cualquier otro esquema de pirámide de mensajes.
○ Enviar correo no deseado (spam).
○ Adjuntar archivos que contengan virus, archivos dañados, programas que descarguen otros archivos, o cualquier otro programa o software que pueda perjudicar el funcionamiento de los equipos de otros. ○ Anunciar, enviar, o emitir contenido del cual no se tiene el derecho
de transmisión por ley o bajo relación contractual tal como información confidencial entregada como parte de las relaciones de empleo o bajo contratos de confidencialidad.
○ Descargar e intercambiar música, video e imágenes de Internet en cualquier medio y desde cualquier medio.
● Se debe llevar a cabo un estricto bloqueo de sitios Web que no son necesarios, ya que consumen recursos de la red a excepción del personal que por sus funciones lo requieran.
60
● Se debe tener instalados y configurados los siguientes dispositivos de seguridad para salvaguardar los datos que se transmiten a través de la red:
○ Firewalls.
○ Sistema de prevención y detección de intrusos.
● Si el usuario está utilizando información sensible clasificada como “reservada o confidencial”, no podrá abandonar su equipo de cómputo, terminal o estación de trabajo sin antes salir o bloquear el sistema o aplicación pertinente.
● Todo el personal al momento de su ingreso debe recibir dentro de su programa de inducción y reinducción una presentación que contenga las políticas y sanciones de seguridad de la información vigentes.
● Todo el personal será capacitado al menos 1 vez al año en temas y problemas de seguridad de la información tales como:
○ Procedimientos para el uso adecuado de cuentas y contraseñas. ○ Uso adecuado de los activos de información.
○ Información referente al proceso disciplinario y sanciones.
● Todos los empleados, proveedores y terceras personas que puedan tener acceso a información reservada o confidencial de Interfaces y Soluciones, deben firmar un acuerdo de confidencialidad.
● Todos los responsables de equipos deben garantizar el resguardo de los mismos y la información contenida en los equipos.
● Todos los usuarios deben acceder a los recursos de servicios de información por medio de la cuenta de usuario asignada.
● Todos los usuarios deberán bloquear su equipo cuando por cualquier razón dejen su lugar de trabajo, y apagar su equipo de cómputo al término de la jornada laboral.
4.3.1.5. Sanciones
Cualquier empleado que se descubra que ha violado esta política puede estar sujeto a medidas disciplinarias, en las que se puede incluir la terminación del contrato. El incumplimiento de esta política conllevará como primera medida una notificación al superior inmediato, con copia a Gestión Humana.
En el caso de terceros, esto conllevará una nota solicitando explicación al representante legal de la firma.
En caso de manipulación indebida de la información puede conllevar a efectos penales, de igual manera se notificará a los implicados.
61