En términos de negocio y sus procesos, ¿tiene su organización cuantificado el impacto de un ataque a los sistemas de información?
SISA salvaguarda la disponibilidad, integridad y confidencialidad de la información de su organización protegiéndola de amenazas digitales que representen un riesgo para la continuidad operativa del negocio, sin invertir en recursos adicionales, tecnología y procesos que no son de su core.
Servicios de Seguridad
SOC
Servicio de seguridad administrado orientado a salvaguardar la seguridad de la información de las organizaciones mediante la protección, detección y neutralización de situaciones anómalas que representen un riesgo de seguridad.
Beneficios
Análisis de vulnerabilidades
El servicio consiste en el escaneo de la infraestructura (activos) interna y externa, con el objetivo de identificar las vulnerabilidades publicadas por los fabricantes, hacer una valoración de los riesgos asociados que pueden ser explotados y elaborar un plan de mitigación.
Beneficios
Ethical Hacking
Ejecución de pruebas de penetración a activos objetivos establecidos (servicios web expuestos) en la modalidad de Caja Blanca, Caja Gris o Caja Negra.
Beneficios
Cumplimiento de las mejores prácticas de la seguridad de la información
Políticas de Seguridad de la Información y Ciberseguridad
GESTIÓN JURÍDICA Y CONTRACTUAL | CÓDIGO: | GJC-PO-003 | |
VERSIÓN: | 3 | ||
POLÍTICA DE PROTECCIÓN Y TRATAMIENTO DE DATOS PERSONALES | FECHA: | 29/08/2022 | |
TIPO: | PÚBLICA |
Da click para descargar Política de Protección de Datos Personales (447 descargas)
OBJETIVO
Esta política pretende proteger los datos personales y el derecho fundamental al Hábeas Data de los Titulares de Datos Personales sujetos a Tratamiento realizado por Sistemas Integrales de Informática S.A. – SISA S.A.- identificada con NIT. 890.329.946-5 con sede principal en la Autopista Norte No. 118-30 Oficina. 501 de la ciudad de Bogotá, con número de contacto 57(1)6577888 y correo electrónico proteccioninformacionpersonal@sisa.com.co quien actuará directamente o a través de terceros como responsable de tratamiento de datos personales.
DEFINICIONES
Las expresiones dispuestas en mayúscula en la presente política se entenderán conforme al significado que aquí se les otorgue y el otorgado en la Ley y la jurisprudencia.
Dato Personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables.
Datos Sensibles: Aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición así como los datos relativos a la salud, a la vida sexual y los datos biométricos.
Encargado de Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el Tratamiento de datos personales por cuenta del responsable del Tratamiento.
Política: La política de protección de datos de Sistemas Integrales de Informática S.A. –SISA S.A.
Responsable de Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el Tratamiento de estos.
SARLAFT: Iniciales que corresponden a Sistema de Administración del Riesgo de Lavado de Activos y de la Financiación del Terrorismo, es un mecanismo desarrollado por el Banco de la República para dar cumplimiento a la Circular Básica Jurídica 029 de 2014 de la Superintendencia Financiera de Colombia.
Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión.
TRATAMIENTO AL CUAL SERÁN SOMETIDOS LOS DATOS PERSONALES Y FINALIDAD DE ESTE
En desarrollo de su objeto y en cumplimiento con la legislación vigente, específicamente la Ley 1581 de 2012 reglamentada por el Decreto 1377 de 2013, SISA S.A. recolecta, almacena y trata datos personales. Aquellos son incluidos en las bases de datos de SISA S.A y son tratados directamente por la Compañía, o, indirectamente por Encargados de tratamiento en los términos que establezca la normativa aplicable, para el cumplimiento del objeto y las finalidades organizacionales de SISA
S.A. La información será recolectada y almacenada para:
- Cumplir integralmente con la normativa nacional e internacional en materia de datos personales, específicamente con la Constitución y la normativa
- Gestionar toda la información necesaria para el cumplimiento de las obligaciones comerciales, tributarias, corporativas, contables y legales.
- Controlar y prevenir cualquier tipo de fraude o lavado de activos, incluyendo, pero sin limitarse a listas restrictivas, y el cumplimiento del
- Desarrollar el objeto social de SISA A. conforme a sus estatutos sociales.
- Mejorar la experiencia de todos nuestros clientes, colaboradores, proveedores, así como de todos los stakeholders de SISA A.
- Mantener los más altos estándares de calidad en la prestación del
- Garantizar la confidencialidad, integridad y disponibilidad de los datos personales por parte del responsable y los encargados.
- Realizar el tratamiento de datos personales acorde con los fines autorizados por los
- Las demás finalidades que permitan alcanzar y materializar las políticas internas y objetivos de SISA A.
PRINCIPIOS DEL TRATAMIENTO
Todo tratamiento de datos personales que se realice por o en nombre de SISA S.A será orientado por los principios de tratamiento de datos que se establecen en la Ley 1581 de 2012, y que serán de imperativo cumplimiento en la recolección, manejo, uso, tratamiento, almacenamiento e intercambio de datos personales:
- Principio de legalidad: En todas las operaciones de recolección, almacenamiento, uso y circulación, y supresión de los datos personales, se dará aplicación a las disposiciones vigentes y aplicables que rigen el tratamiento de datos
- Principio de libertad: En todas las operaciones de recolección, almacenamiento, uso y circulación, y supresión de los datos personales se debe contar con el consentimiento, previo, libre, expreso, e informado del Titular de los datos Los datos personales no podrán ser sujetos de Tratamiento sin una autorización que reúna las condiciones manifestadas, salvo las excepciones legales, o por orden judicial o administrativa que releve el consentimiento.
- Principio de finalidad: Todas las operaciones de recolección, almacenamiento, uso y circulación, y supresión de los datos personales serán subordinadas a una finalidad legitima, la cual debe ser informada y consentida por el titular de los datos
- Principio de integridad: Toda la información sujeta de Tratamiento por parte de SISA S.A. debe ser veraz, completa, exacta, actualizada, comprobable y comprensible. SISA S.A. no tratará, almacenará o usará datos incompletos, fraccionados, parciales o que induzcan a
- Principio de transparencia: SISA A. garantiza a todos los Titulares, en cualquier momento y sin restricciones, el derecho a obtener información acerca de sus datos personales que reposen en sus bases de datos, o en las de los Encargados que realicen el tratamiento por aquella.
- Principio de acceso y circulación restringida: El tratamiento únicamente será realizado por SISA A. y aquellos designados por aquella para cumplir con el objeto y las finalidades del tratamiento. SISA S.A. no circulará los datos personales a personas que no estén autorizadas por el titular o la ley.
- Principio de seguridad: Toda la información sujeta a tratamiento en beneficio de SISA A., será manejada conforme a las medidas técnicas, humanas y administrativas necesarias para otorgar seguridad, y evitar su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
- Principio de confidencialidad: Todas las personas que intervengan en el Tratamiento de datos personales que no tengan la naturaleza de públicos están obligadas a garantizar la reserva de la información, inclusive después de finalizada su relación con alguna de las labores que comprende el Tratamiento, pudiendo sólo realizar suministro o comunicación de datos personales cuando ello corresponda al desarrollo de las actividades autorizadas en la presente ley y en los términos de
- Principio de minimización de la información: SISA A., recolectará y someterá a tratamiento únicamente los datos necesarios para cumplir con las finalidades de la organización.
TIPOS DE TRATAMIENTO DE LA INFORMACIÓN PERSONAL REALIZADO POR SISA S.A.
- Tratamiento de datos personales de colaboradores y excolaboradores: Se realiza para cumplir con las obligaciones laborales a cargo de SISA S.A., tales como pagos de nómina, pagos y reportes al sistema general de seguridad social en salud, atención de consultas, peticiones, solicitudes, acciones y reclamos, hechas por el Titular de la información o por sus legitimarios, o por entidades del sistema general de seguridad social en salud a los que el Titular esté o hubiere estado
- Tratamiento de datos personales de proveedores y empleados de proveedores, que prestan servicio en instalaciones de SISA S.A. o en las instalaciones de los clientes de ésta para permitir a SISA S.A. cumplir con las obligaciones contractuales a su cargo y/o objeto
- Tratamiento de datos personales de Clientes: El Tratamiento de datos personales de Clientes, tiene el propósito de que SISA A. pueda cumplir con las obligaciones contractuales pactadas entre las partes.
- Tratamiento de Datos Personales de niñas, niños y adolescentes: El tratamiento de datos personales de niños, niñas y adolescentes está prohibido, excepto cuando se trate de datos de naturaleza pública, y cuando dicho tratamiento cumpla con los siguientes parámetros y/o requisitos:
- Que respondan y respeten el interés superior de los niños, niñas y
- Que se asegure el respeto de sus derechos
Cumplidos los anteriores requisitos, el representante legal de los niños, niñas o adolescentes otorgará la autorización, previo ejercicio del menor de su derecho a ser escuchado, opinión
que será valorada teniendo en cuenta la madurez, autonomía y capacidad para entender el asunto.
Los datos personales de los menores de 18 años, salvo aquellos que por su naturaleza son públicos en los términos de la Ley 1581 de 2012, pueden ser objeto de tratamiento siempre y cuando el fin que se persiga con dicho tratamiento responda al interés superior de los niños, las niñas y adolescentes y se asegure sin excepción alguna el respeto de sus derechos prevalentes en el marco de la Ley 1098 de 2006 o cualquiera que la adicione, modifique, derogue o subrogue.
- Tratamiento de Datos Personales Visitantes: SISA S.A., recibe en sus instalaciones visitantes, donde la información que suministran estos pueden ser antes o al momento del ingreso a las instalaciones de la entidad a través de una plantilla, de igual manera sus datos personales se pueden obtener por medio de las imágenes o videos de las cámaras de seguridad, los cuales se recolectan para crear un control de acceso, el cual es registrado por parte de la Gerencia de Operaciones y la Coordinación Administrativa y Financiera, buscando obtener control frente a posibles eventos o incidentes de seguridad física e identificación de las personas que son autorizadas para su ingreso a las instalaciones de la
- Tratamiento de Datos Sensibles (CCTV / Dispositivo Biométrico): en SISA S.A. Se prohíbe el tratamiento de datos sensibles, excepto cuando:
- El titular haya dado su autorización explícita a dicho tratamiento.
- El tratamiento sea necesario para salvaguardar el interés vital del titular y este se encuentre física o jurídicamente incapacitado. En estos eventos, los representantes legales deberán otorgar su autorización.
- El tratamiento se refiera a datos que sean necesarios para el reconocimiento, ejercicio o defensa de un derecho en un proceso
- El tratamiento tenga una finalidad histórica, estadística o científica. En este evento deberán adoptarse las medidas conducentes a la supresión de identidad de los
DEBERES DE SISA S.A COMO RESPONSABLE DEL TRATAMIENTO DE DATOS PERSONALES
En atención a la normativa vigente, en especial al artículo 18 de la Ley 1581 de 2012 SISA S.A. actúa como Responsable de Tratamiento de Datos Personales y, por lo tanto, cumplirá con los siguientes deberes:
- Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio de su derecho de hábeas
- Solicitar y conservar copia de la respectiva autorización otorgada por el
- Informar debidamente al Titular sobre la finalidad de la recolección y los derechos que le asisten por virtud de la autorización
- Documentar los procedimientos para el Tratamiento, conservación y supresión de los datos personales de conformidad con las disposiciones aplicables a la materia de que se trate, así como las instrucciones que al respecto imparta la Superintendencia de Industria y
- Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
- Garantizar que la información que se suministre al Encargado del Tratamiento sea veraz, completa, exacta, actualizada, comprobable y
- Actualizar la información, comunicando de forma oportuna al Encargado del Tratamiento, todas las novedades respecto de los datos que previamente le haya suministrado y adoptar las demás medidas necesarias para que la información suministrada a este se mantenga
- Rectificar la información cuando sea incorrecta y comunicar lo pertinente al Encargado del
- Suministrar al Encargado del Tratamiento, según el caso, únicamente datos cuyo Tratamiento esté previamente autorizado de conformidad con lo previsto la Ley 1581 de
- Exigir al Encargado del Tratamiento en todo momento, el respeto a las condiciones de seguridad y privacidad de la información del
- Tramitar las consultas y reclamos formulados por los
- Adoptar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la Ley 1581 de
- Informar al Encargado del Tratamiento cuando determinada información se encuentra en discusión por parte del Titular, una vez se haya presentado la reclamación y no haya finalizado el trámite
- Informar a solicitud del Titular sobre el uso dado a sus
- Informar a la autoridad de protección de datos cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los
- Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y
DERECHOS DE LOS TITULARES DE LA INFORMACIÓN
Los titulares de la información sometida a tratamiento por SISA S.A. o quien esta designe como Encargado tienen los siguientes derechos:
- Conocer, actualizar y rectificar sus datos personales frente a SISA S.A en su calidad de responsable de tratamiento. Este derecho se podrá ejercer, entre otros frente a datos parciales, inexactos, incompletos, fraccionados, que induzcan a error, o aquellos cuyo Tratamiento esté expresamente prohibido o no haya sido
- Solicitar prueba de la autorización otorgada a SISA A., en su condición de responsable de Tratamiento salvo en las excepciones previstas por el artículo 10 de la Ley 1581 de 2012.
- Ser informado por SISA S.A. o el Encargado del Tratamiento, previa solicitud, respecto del uso que les ha dado a sus datos personales.
- Presentar ante la Superintendencia de Industria y Comercio y demás autoridades competentes quejas por infracciones a lo dispuesto en normativa vigente y las normas aplicables, previo trámite de consulta o requerimiento ante SISA S.A.
- Revocar la autorización y/o solicitar la supresión del dato cuando en el Tratamiento no se respeten los principios, derechos y garantías constitucionales y legales. La revocatoria y/o supresión procederá cuando la Superintendencia de Industria y Comercio haya determinado que en el tratamiento el responsable o encargado han incurrido en conductas contrarias a la Constitución o la
- Acceder en forma gratuita a los datos personales que hayan sido objeto de
PROCEDIMIENTOS
Con el objetivo de brindar atención oportuna y salvaguardar los derechos de los titulares, estos pueden solicitar el acceso, la corrección, actualización o supresión de sus datos personales. Para esto, SISA S.A. ha dispuesto de los siguientes canales para recibir las consultas o reclamos de los titulares:
- Oficina de correspondencia: la solicitud en físico podrá ser dirigida al Oficial de Protección de Datos Personales de SISA S.A. en la Autopista Norte #118- 30 501 de Bogotá.
- Correo electrónico: La solicitud podrá enviarse por medios electrónicos al correo proteccioninformacionpersonal@sisa.com.co
- Teléfono: Excepcionalmente, se recibirán solicitudes al número (+57-1)
Contenido de la solicitud: Como mínimo, en la solicitud, el Titular deberá proveer la siguiente información:
- Nombre completo y apellidos del Titular de los datos
- Número de identificación.
- Datos de contacto del Titular de los datos personales:
- Dirección física y/o correo electrónico.
- Teléfono de
- Breve descripción de los hechos y los motivos que dieron lugar al reclamo, petición o
- Descripción detallada del derecho que desea ejercer: conocer, actualizar, rectificar, solicitar copia de la autorización otorgada, revocarla, suprimir o acceder a la información, y los demás que
- Firma (si es posible).
Tipos de solicitudes: Los titulares podrán ejercer sus derechos a través de los siguientes procedimientos:
- Consultas: Los titulares o sus causahabientes podrán consultar la información personal del Titular que repose en las bases de datos del Responsable del Tratamiento. SISA S.A. atenderá las consultas en un término máximo de diez (10) días hábiles contados a partir de la fecha que se recibió la misma. Cuando no fuere posible cumplir con este tiempo, se deberá informar al interesado expresando los motivos del retardo y la fecha en que se atenderá la consulta en un término no mayor a cinco (5) días hábiles.
- Reclamos: El Titular o causahabiente que considere que la información contenida en una base de datos debe ser objeto de corrección, actualización, rectificación o supresión o cuando advierta el presunto incumplimiento de cualquiera de los deberes contenidos en la ley o en la presente política, o se haya superado el tiempo necesario para el cumplimiento de los fines para los que fueron recolectados podrá presentar un reclamo a SISA A. el cual será tramitado bajo las siguientes reglas:
- El reclamo se formulará mediante solicitud dirigida al Responsable del Tratamiento
o al Encargado del Tratamiento, al correo electrónico proteccioninformacionpersonal@sisa.com.co con la identificación del Titular, la descripción de los hechos que dan lugar al reclamo, la dirección, y acompañando los documentos que se quiera hacer valer. Si el reclamo resulta incompleto, SISA
S.A. requerirá al interesado dentro de los cinco (5) días siguientes a la recepción del mismo para que subsane las fallas. Transcurridos dos (2) meses desde la fecha del requerimiento, sin que el solicitante presente la información requerida, se entenderá que ha desistido del reclamo.
- Una vez recibido el reclamo completo, se incluirá en la base de datos una leyenda que diga “reclamo en trámite” y el motivo del mismo, en un término no mayor a dos
(2) días hábiles. Dicha leyenda deberá mantenerse hasta que el reclamo sea decidido.
- El término máximo para atender el reclamo será de quince (15) días hábiles contados a partir del día siguiente a la fecha de su recibo. Cuando no fuere posible atender el reclamo dentro de dicho término, se informará al interesado los motivos de la demora y la fecha en que se atenderá su reclamo, la cual en ningún caso podrá superar los ocho (8) días hábiles siguientes al vencimiento del primer término.
- Queja: Titular o causahabiente podrá elevar queja ante la Superintendencia de Industria y Comercio, una vez haya agotado el trámite de consulta o reclamo ante el Responsable del Tratamiento o Encargado del
Revocatoria de la autorización y/o supresión del dato
Los Titulares podrán, en todo momento, solicitar de forma libre y voluntaria a SISA S.A. la supresión de sus datos personales y/o revocar la autorización otorgada para el Tratamiento de estos. Dicha solicitud se tramitará mediante la presentación de un reclamo, cuando:
- No existiere una obligación legal o contractual que imponga al Titular el deber de permanecer en la base de datos; o ii) la Superintendencia de Industria y Comercio determine que no se respetaron los principios, derechos y garantías constitucionales y La revocatoria del consentimiento por parte del Titular podrá ser total o parcial:
- Revocatoria total: la revocatoria del Titular puede darse sobre la totalidad de los datos personales y las finalidades del tratamiento que previamente había consentido. Cuando proceda, SISA S.A. dejará de tratar por completo los datos del Titular y procederá a su eliminación de las bases de datos propias y solicitará la eliminación de los datos que reposen en las bases de los Encargados del
- Revocatoria parcial: la revocatoria del Titular puede darse sobre algunos de los datos y finalidades del tratamiento. En este caso, cuando proceda, SISA S.A. dejará de tratar los datos sobre los cuales se ha revocado el consentimiento. De igual forma, sobre los datos exclusivamente necesarios para el cumplimiento de las finalidades sobre las que se ha revocado el
Limitaciones temporales al Tratamiento de los Datos Personales
SISA S.A. realizará el Tratamiento de datos personales durante el tiempo que sea razonable y necesario para el cumplimiento de las finalidades que justificaron el Tratamiento; atendiendo a las disposiciones aplicables a la materia de que se trate y a los aspectos administrativos, contables, fiscales, jurídicos e históricos de la información.
Una vez cumplida la(s) finalidad(es) del Tratamiento o vencido el plazo máximo legal en el cual SISA
S.A. tiene la obligación de conservar los datos personales, ésta o el Encargado del Tratamiento los eliminaran de forma segura. Es decir, empleando las técnicas humanas y administrativas para la efectiva supresión de los datos personales.
APLICACIÓN
SISA S.A. manifiesta su compromiso con la protección de datos personales y el derecho de Hábeas Data. Por lo anterior, esta Política será de obligatorio cumplimiento para todos los colaboradores e interesados en SISA S.A y entrará en vigencia desde el momento de su publicación.
Esta política será publicada y difundida a todo el personal para obtener así su cooperación y participación.
DIEGO ARANGO VELÁSQUEZ
Representante Legal
SISTEMAS INTEGRALES DE INFORMÁTICA S.A.
CONTROL DE CAMBIOS | |||||
No. | Fecha | Cambio /Modificación | Elaboró | Revisó | Aprobó |
1 |
27/05/2021 |
Creación del documento |
Abogada Angela Henker |
Analista de Calidad
Mónica Daza |
Representante Legal
Diego Arango |
2 |
17/05/2022 |
Información en el formato estándar vigente y bajo codificación en línea con el mapa de procesos vigente |
Gerente de Contratación y Jurídica Angela Henker |
Oficial de Seguridad de la Información y Ciberseguridad Ronald Cely
Coordinador Calidad y Procesos Xiomara Castillo |
Representante Legal Diego Arango |
3 |
29/08/2022 |
Actualización en el tratamiento de datos de los menores de edad, visitantes y ajustes en el año la Ley 1581 de 2012, revisión de los tipos de tratamiento, corrección gramática |
Margareth Valderrama Profesional de Riesgos y Privacidad de la Información |
Gerente de Contratación y Juridica Angela Henker
Oficial de Seguridad de la Información y Ciberseguridad Ronald Cely |
Representante Legal Diego Arango |
|
Descarga el documento dando click Política de Seguridad de la Información (281 descargas)
1. OBJETIVO
Las políticas se establecen al interior de las organizaciones con el fin de dar las directrices necesarias y trazar la ruta que deben seguir las personas para cumplir los objetivos planteados desde la dirección general. Estas políticas se encuentran alineadas con los objetivos de negocio y por lo tanto contribuyen a su cumplimiento.
Para Sistemas Integrales de Informática – SISA S.A., en adelante SISA las políticas de seguridad constituyen un factor muy importante tanto para mantener los procesos internos organizados, como para el establecimiento de un plan de mejora continua.
1.1. OBJETIVOS ESPECÍFICOS
- Definir y establecer los lineamientos de seguridad de la información a seguir por el personal de
- Integrar los requerimientos de seguridad de la información a las actividades, necesidades y objetivos de la organización.
- Brindar los criterios de actuación de las personas que manejan información de SISA, frente al cumplimiento de los requisitos de
2. ALCANCE
Las políticas descritas en este documento son de cumplimiento por los procesos estratégicos, misionales y de apoyo de la compañía y partes interesadas que interactúan con los recursos, elementos y activos de información de SISA S.A. y se construyeron tomando en cuenta la Norma Técnica Colombiana NTC–ISO-IEC 27001:2013 Sistemas de Gestión de la Seguridad de la Información.
3. VOCABULARIO
- Activo de información: En relación con la privacidad de la información, se refiere al activo que contiene información pública que el sujeto obligado genere, obtenga, adquiera, transforme o controle en su calidad de
- Amenaza: Causa potencial de un incidente no deseado, que puede provocar daños a un sistema o a la organización.
- Auditoría: Inspección formal para verificar si se está siguiendo/cumpliendo un estándar o un conjunto de guías, que sus registros son precisos o que las metas de eficiencia y efectividad se están cumpliendo.
- Confidencialidad: Propiedad que determina que la información no se haga disponible ni sea revelada a individuos.
- Continuidad del negocio: Procedimientos y/o procesos para asegurar la continuidad de las operaciones del negocio.
- Control: Medios de gestión del riesgo, incluidas las políticas, procedimientos, directrices, prácticas y estructuras organizativas, que pueden ser de carácter
administrativo, técnico, de gestión o jurídico.
- Copia de seguridad: Copiar los datos para proteger los originales de pérdidas de integridad o disponibilidad.
- Disponibilidad: Propiedad de ser accesible y utilizable sobre demanda por los usuarios autorizados.
- Evento de seguridad de la información: La ocurrencia de un estado del sistema, servicio o red que indica un posible incumplimiento de la política de seguridad de la información o un fallo de las salvaguardias, o una situación previamente desconocida que puede ser relevante para la seguridad.
- Gestión de accesos: Proceso responsable de permitir a los usuarios hacer uso de los servicios de TI, datos u otros activos.
- Gestión de activos: Es una actividad genérica o proceso responsable del seguimiento y la notificación del valor y la propiedad de los activos a lo largo de su ciclo de vida.
- Gestión de la capacidad: Proceso responsable de asegurar que la capacidad de los servicios de TI y de la infraestructura de TI puedan cumplir con los requerimientos acordados, relacionados con la capacidad y el rendimiento de una manera rentable y a
- Gestión de cambios: Proceso responsable del control del ciclo de vida de los cambios, permitiendo la ejecución de los cambios beneficiosos minimizando el impacto en los servicios de TI.
- Incidente de seguridad: Evento único o serie de eventos de seguridad de la información inesperada o no deseado que posean una probabilidad significativa de comprometer las operaciones del negocio y amenazar la seguridad de la información.
- Infraestructura de TI: Todo el hardware, software, redes, instalaciones etc. requeridas para desarrollar, probar, proveer, monitorizar, controlar o soportar aplicaciones y servicios de TI.
- Información: En relación con la seguridad de la información, se refiere a cualquier información o elemento relacionado con el tratamiento de esta (sistemas, soportes, edificios, personas…) que tenga valor para la organización.
- Integridad: Propiedad de exactitud y completitud de la información.
- Internet: El sistema único, interconectado, mundial de redes informáticas comerciales, gubernamentales, educativas y de otro tipo que comparten (a) el conjunto de protocolos especificado por Internet Architecture Board (IAB) y (b) los espacios de nombres y direcciones administrados por Internet Corporation para Nombres y Números Asignados
– ICANN (CSRC, NIST).
- Inventario de activos: Lista de todos aquellos recursos (físicos, de información, software, documentos, servicios, personas, intangibles, ) dentro del alcance del
SGSI, que tengan valor para la organización y necesiten por tanto ser protegidos de potenciales riesgos.
- Monitoreo: Verificación, supervisión, observación crítica o determinación continúa del estado, con el fin de identificar cambios respecto al nivel de desempeño exigido o esperado.
- Parte interesada: Persona u organización que puede afectar, verse afectada o percibirse afectada por una decisión o actividad.
- Política: Intención y dirección generales expresadas formalmente por la Dirección.
- Procedimiento: Manera especificada de llevar a cabo una actividad o un proceso.
- Prueba: Una actividad que verifica que un elemento de configuración, servicio de TI, proceso, cumple con sus especificaciones o requerimientos acordados.
- Redes corporativas: Son todas aquellas redes de conectividad requeridas para soportar la operación de la empresa.
- Revisión: Actividad emprendida para determinar la idoneidad, adecuación y efectividad de la materia para alcanzar los objetivos establecidos.
- Riesgo: Efecto de la incertidumbre sobre los objetivos.
- Servidor: Ordenador que está conectado a la red y que provee funciones de software que son usadas por otros ordenadores.
- Segregación de tareas: Reparto de tareas sensibles entre distintos empleados para reducir el riesgo de un mal uso de los sistemas e informaciones deliberado o por negligencia.
- Seguridad de la información: Preservación de confidencialidad, integridad y disponibilidad de la información.
- SSL – Secure Sockets Layer: En español capa de sockets seguros, mecanismo criptográfico para la seguridad en la capa de transporte.
- Vulnerabilidad: Debilidad de un activo o control que puede ser explotado por una o más amenazas.
4. DESARROLLO
4.1. POLÍTICAS PARA LA SEGURIDAD DE LA INFORMACIÓN
Las políticas específicas de seguridad de la información descritas en el presente documento se encuentran vigentes desde la fecha de su aprobación y no se considera obsoleta. Su aprobación es dada por el Comité de Seguridad de la Información y debe ser publicada y divulgada a toda la organización, tanto a los empleados como a contratistas y partes externas relevantes.
Esta política aplica a todo el contexto de la compañía, todos los colaboradores deben poner en práctica las directrices aquí mencionadas y deben hacer que las personas externas que manejan información de SISA S.A. o de sus clientes, cumplan los lineamientos aquí definidos.
Este documento está compuesto por varios lineamientos o políticas específicas aplicables de acuerdo con la organización de la seguridad; y es construido por temas y dominios propios de la gestión de la seguridad.
Este documento está bajo la responsabilidad del Oficial de Seguridad de la Información
– CISO y/o OSI, se determina que debe ser revisada una vez al año por el Comité de Seguridad de la Información. El CISO es el encargado de gestionar y velar porque esta revisión se lleve a cabo en la periodicidad establecida. Durante la revisión deben tenerse en cuenta aspectos como las oportunidades de mejora, necesidades de cambio, cambios organizacionales, tecnológicos, políticos, de negocio y de estrategia.
Todo incumplimiento por parte de los colaboradores y contratistas de cualquiera de las políticas establecidas en este documento acarreará las sanciones a las que haya lugar, según el Reglamento Interno de Trabajo, y las respectivas acciones penales de la Ley 599 de 2000 por la cual se expide el Código Penal y la Ley 906 de 2004 por la cual se expide el Código de Procedimiento Penal.
Toda excepción a las políticas de este documento debe tramitarse por el director de operaciones y el CISO – Oficial de Seguridad de la Información, estas deben quedar documentadas.
4.2. ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
Los roles y responsabilidades del Sistema de Gestión de Seguridad de la Información – SGSI, SISA S.A. Están definidos en el Manual de Funciones con base a la política de roles y responsabilidades para la seguridad de la información y ciberseguridad, el cual es revisada y aprobada por la Alta dirección en SISA.
- La organización debe establecer un Comité de Seguridad de la información asignando roles y responsabilidades para el cumplimiento de las funciones dentro del marco de
- Cada jefe de área deberá documentar, actualizar y divulgar los roles y las responsabilidades que existen al interior de su área haciendo cumplir las políticas de seguridad
- Los roles existentes en la compañía deben hacer cumplir la segregación de
4.2.1. Política de Roles y Responsabilidades para la Seguridad de la Información y Ciberseguridad
- Propósito
Definir la estructura organizacional relacionada con el SGSI (Sistema de Gestión de Seguridad de la Información) en SISA, donde se describan roles y responsabilidades para la operación, gestión y administración de seguridad de
la información y ciberseguridad. En esta política se definen los roles y responsabilidades de la Seguridad de la Información y Ciberseguridad, específicamente con respecto a la protección y aseguramiento de los activos de información. Esta política se aplica a todos los directivos, funcionarios, colaboradores, contratistas, proveedores y terceros de la entidad sin excepción, en donde cada uno de los cuales cumple un rol en la administración de la seguridad de la información y ciberseguridad. Las personas y/o cargos descritos en el alcance son responsables de mantener un ambiente seguro, en tanto que la Gerencia de Operaciones, la Gerencia del SOC-NOC y el (CISO) Oficial de Seguridad de la Información deben monitorear las políticas de seguridad y ciberseguridad definidas para su aplicabilidad y estricto cumplimiento.
B. Alcance
Esta política aplica a todos los empleados, contratistas, aprendices, practicantes, proveedores y demás grupos de interés que ingresen y operen en las instalaciones de SISA.
C. Directrices
Es importante definir claramente todas las responsabilidades en cuanto a seguridad de la información y ciberseguridad, en especial las relacionadas con el Comité de Seguridad de la Información y Ciberseguridad (o quien haga sus veces) y del (CISO) Oficial de Seguridad de la Información, lo anterior con el fin de establecer las actividades de cada uno de los roles que intervienen en el SGSI (Sistema de Gestión de Seguridad de la Información) y la Ciberseguridad, de igual forma es necesario que las responsabilidades asignadas en el desarrollo del SGSI para cada perfil, sean incorporadas a los manuales de funciones de acuerdo al cargo que desempeñan, para ello se definen los siguientes lineamientos:
D. Apoyo de la Alta Dirección
La Alta Dirección de SISA, debe apoyar activamente la seguridad de la información y ciberseguridad dentro de la entidad, definir un rumbo claro, un compromiso demostrado, una asignación explicita y el conocimiento de las responsabilidades de la seguridad de la información y ciberseguridad a través del Comité de Seguridad de la Información. Este compromiso se verá reflejado a través de:
- Creación al interior de la entidad de un Comité de Seguridad de la Información o uno quien haga sus veces, que sea interdisciplinario de nivel directivo y formalizado por una resolución o acta a nivel interno.
- Asegurar y mantener dentro del grupo de la Alta Dirección un colaborador o funcionario con el perfil de (CISO) Chief Information Security Officer – Oficial de Seguridad de la información y Ciberseguridad, quien será el encargado de la dirección y gestión de todo lo relacionado con la seguridad de la
información cuyas funciones entre otras, estarán caracterizadas y definidas en la presente política y en el respectivo manual de funciones.
- Garantizar que se conforme un equipo de trabajo interdisciplinario para el área o proceso de seguridad de la información y ciberseguridad para su gestión y operación transversal a todos los procesos de la entidad, el cual debe estar direccionada y encabeza del (CISO), de igual manera definir un equipo de trabajo que represente a las diferentes áreas, para el seguimiento, mejoramiento continuo y auditorías al Sistema de Gestión de Seguridad de la Información de SISA.
- Garantizar mediante estrategias institucionalmente definidas el cumplimiento de las políticas de seguridad de la información y de ciberseguridad, para que los directivos, funcionarios, contratistas y terceros de SISA, las conozcan, apliquen y
- Definición, asignación y seguimiento a las responsabilidades asociadas a temas de la seguridad de la información y ciberseguridad, para los diferentes roles que hagan parte del Sistema de Gestión de Seguridad de la Información y la Ciberseguridad.
- La alta dirección de SISA, o el Comité de Seguridad de la Información y Ciberseguridad (o quien haga sus veces), debe apoyar, facilitar y mantener cuando se requiera relaciones con empresas, entidades u organismos que presten asesoría especializada en seguridad de la información y
De igual manera se deben establecer tres niveles diferentes para la dirección estratégica y gestión de seguridad de la información y ciberseguridad, en la participación de la definición y aplicación del SGSI (Sistema de Gestión de Seguridad de la Información) y la Ciberseguridad:
- Estratégico: Dirigir y proveer: Definir los grandes lineamientos directivos o gerenciales para la seguridad de la información y ciberseguridad con base al SGSI (Sistema de Gestión de Seguridad de la Información) y la Ciberseguridad, para coordinar y aprobar los En este nivel se encuentra la Dirección Ejecutiva, el Comité de Seguridad de la Información y Ciberseguridad (o quien haga sus veces) y el (CISO) Oficial de Seguridad de la información y Ciberseguridad.
- Táctico: Implementar y optimizar: Diseñar e Implementar el SGSI (Sistema de Gestión de Seguridad de la Información) y la Ciberseguridad, establecer objetivos concretos / específicos, gestionar los recursos. En este nivel se encuentra el (CISO) Oficial de Seguridad de la Información.
- Operacional: Ejecutar y reportar: Alcanzar los objetivos específicos mediante procesos técnicos. En la administración y gestión de la seguridad de la información y ciberseguridad participan el grupo de
trabajo interdisciplinario del proceso de seguridad de la información, la gerencia del SOC-NOC, gerencia de operaciones y todos los colaboradores de SISA, siguiendo uno o más de los siguientes roles:
- (CISO) Oficial de Seguridad de la información y
- Empleados, funcionarios, colaboradores, contratistas, aprendices, practicantes,
- Gestores o monitores de los diferentes procesos y subprocesos, que apoyen el seguimiento, mejoramiento continuo y auditorías del Sistema de Gestión de Seguridad de la Información.
- Responsables de la información.
- Administradores de
- Profesionales de Seguridad de la Información y/o de
- Gerentes y/o proveedores que participan en el ciclo de vida de los sistemas de información, plataformas y aplicaciones móviles.
E. Roles y Responsabilidades
Comité de Seguridad de la Información y Ciberseguridad (o quien haga sus veces).
El Comité de Seguridad de la Información y Ciberseguridad (o quien haga sus veces), debe estar conformado por miembros de alto nivel de las áreas de SISA, integrado por los siguientes miembros, quienes participarán como miembros permanentes; con voz y voto:
- Dirección Ejecutiva, presidente o su
- Dirección de
- Dirección Administrativa y Financiera.
- Gerente de Operaciones
- Gerente del NOC-SOC.
- (CISO) Oficial de Seguridad de la Información.
El Comité de Seguridad de la Información de SISA, (o quien haga sus veces), ejercerá en materia de seguridad y privacidad de la información y ciberseguridad, entre otras funciones que hayan sido establecidas en SISA, las siguientes:
- Evaluar y aprobar las estrategias de Seguridad y Privacidad de la Información y Ciberseguridad, así como los procesos, procedimientos y metodologías específicas de seguridad y privacidad de la información y continuidad de la operación que requiera SISA, de acuerdo con la dinámica y condiciones de la operación de la entidad y para el adecuado uso y administración de la información y los recursos tecnológicos.
- Fijar directrices institucionales para la aplicación de los mecanismos de protección de la privacidad de la información y los datos personales, como de la seguridad de la información y ciberseguridad.
- Evaluar y aprobar las políticas de alto nivel, complementarias y específicas de seguridad de la información y ciberseguridad; garantizando su difusión y aplicación en la entidad.
- Aprobar el diagnóstico y las actualizaciones que deban realizarse al SGSI (Sistema de Gestión de Seguridad de la Información) y la Ciberseguridad, planes de continuidad del negocio y recuperación de desastres en virtud de los cambios organizacionales, tecnológicos o del entorno de la operación de la
- Asignar responsabilidades asociadas al tema de la seguridad y privacidad de la información y ciberseguridad cuando se
- Velar por el cumplimiento de las políticas de seguridad de la información y ciberseguridad por parte de los empleados, funcionarios, colaboradores, contratistas, aprendices, practicantes y proveedores para que las conozcan, apliquen y
- Emitir recomendaciones a todo nivel sobre la
- Generar y apoyar los planes de socialización, capacitación y apropiación de los temas relacionados con el SGSI (Sistema de Gestión de Seguridad de la Información) y la Ciberseguridad.
(CISO) Oficial de Seguridad de la Información y Ciberseguridad
El Oficial de Seguridad de la información y Ciberseguridad debe desarrollar todas las actividades de dirección para la gestión y operación de seguridad y privacidad de la información y ciberseguridad. SISA, debe contar con un colaborador o funcionario que cumpla con la función de (CISO), que, entre otras responsabilidades, asuma como mínimo las siguientes que conlleva desde el orden estratégico y directivo este rol:
- Formular, definir y actualizar políticas, normas, procedimientos y estándares definidos en el SGSI (Sistema de Gestión de Seguridad de la Información) y la Ciberseguridad.
- Mantener actualizado el análisis y evaluación del riesgo sobre los activos de información de SISA
- Evaluar, apoyar y emitir conceptos técnicos, sobre nuevas soluciones o plataformas tecnológicas a adquirir o implementar en SISA, independiente del área, cuando estas afecten el SGSI (Sistema de Gestión de Seguridad de la Información) y la
- Asesorar en la aplicación de la metodología para el mantenimiento de los planes de contingencia y continuidad del negocio.
- Evaluar y recomendar herramientas que faciliten la labor de seguridad y privacidad de la información y la gestión de la ciberseguridad.
- Promover en SISA la formación, educación y el entrenamiento en seguridad de la información y
- Mantenerse actualizado en los temas de seguridad de la información y ciberseguridad, tales como nuevas amenazas, vulnerabilidades existentes, normatividad, buenas prácticas, entre otras.
- Proyectar, proponer, presentar y someter a consideración del Comité, las políticas, normas, acciones o buenas prácticas necesarias para incorporar y/o aplicar la Dirección y Gestión de Seguridad de la Información y Ciberseguridad en la
- Identificar la brecha entre el Sistema de Gestión de Seguridad de la Información y la situación de la
- Apoyar en la definición y actualización de los acuerdos y cláusulas de confidencialidad, protección de datos personales y la propiedad de la información, con los empleados, funcionarios, colaboradores, contratistas, aprendices, practicantes y proveedores de la
El (CISO) Oficial de Seguridad de la información y Ciberseguridad podrá convocar en todos los niveles diferentes funcionarios para formar grupos interdisciplinarios que apoyen la definición e implementación de los diferentes temas de seguridad de la información y ciberseguridad, independiente del área.
El (CISO) Oficial de Seguridad de la información y Ciberseguridad de SISA, será el encargado de consolidar la información documentada y las evidencias del SGSI (Sistema de Gestión de Seguridad de la Información) y la Ciberseguridad, a fin de brindar ayuda en la toma de decisiones en materia de seguridad y privacidad de la Información.
Esta persona podrá obtener asesoramiento de otros organismos o entidades, con el objeto de optimizar su gestión, se habilitará al (CISO) Oficial de Seguridad de la información y Ciberseguridad el contacto y la comunicación pertinente desde todos los niveles (grupo de la alta dirección, directores, gerentes y jefes) de las áreas, dependencias o unidades organizativas de SISA.
Todas las Áreas, Oficinas asesoras o concejeros, Direcciones, Gerencias, Subdirecciones y demás Oficinas de SISA
Todas las dependencias de la entidad deben tener en cuenta y cumplir los siguientes lineamientos:
- Toda adquisición e implementación de una solución o plataforma tecnológica (hardware o software), debe contar con el visto bueno, concepto técnico y acompañamiento de la Gerencia de Operaciones y del (CISO) Oficial de Seguridad de la Información, en donde se evalúen los aspectos de viabilidad técnica, compatibilidad, capacidad, integridad y disponibilidad, tanto desde la óptica de infraestructura de TI, como de los requisitos de seguridad de la información y
- Con relación a los componentes de sistemas de información, servicios tecnológicos, seguridad informática, hardware, infraestructura tecnológica de redes, almacenamiento y centros de datos; todo requerimiento, incidente, problema o debe ser reportado y tramitado por el área de Soporte N1 de la Gerencia de Operaciones, único medio valido y autorizado para estos
- Los servicios o requerimientos que implique cambios en la infraestructura tecnológica y sistemas de información en pro de garantizar la seguridad de
la información se deben tramitar a través del comité de control de cambios de SISA.
- Con relación a la protección de datos personales, privacidad de la información, seguridad de la información y ciberseguridad; todo requerimiento, evento, incidente, problema o cambio debe ser reportado por los procesos y tramitado por el proceso o área de seguridad de la información y ciberseguridad, único medio valido y autorizado para estos fines a través de la herramienta de gestión de incidentes de seguridad definida o el correo seguridad_informacion@sisa.com.co
- Deben incluir y tener en cuenta los lineamientos y políticas de seguridad y privacidad de la información en la gestión de la contratación con terceros, proveedores y contratistas, así como en la gestión de proyectos, independientemente del tipo de proyecto.
- Apoyar y dar cumplimiento de todas las políticas, normas, manuales y procedimientos de seguridad y privacidad de la información y
- Participar activamente en las estrategias de divulgación y apropiación en temas de seguridad y privacidad de la información y
- Garantizar que la información de propiedad de la entidad y que está a su cargo cumpla con los criterios de disponibilidad, integridad y
- Dar cumplimiento a las políticas y procedimientos establecidos en el Sistema de Gestión de Seguridad de la Información y para la Ciberseguridad en SISA.
Dirección Administrativa y Financiera, Gerencia de Talento Humano y Responsable Legal o Jurídico de SISA
Esta área debe cumplir las funciones de:
- Asegurar que los empleados, funcionarios, colaboradores, proveedores, aliados y contratistas durante el proceso de selección y contratación, comprendan sus responsabilidades, los términos y las condiciones de contratación y que son idóneos en los roles para los que se contratan, por cuanto desde el momento de su vinculación harán parte integral del SGSI (Sistema de Gestión de Seguridad de la Información) y la Ciberseguridad de la
- Asegurar que los empleados y contratistas tomen conciencia y de cumplimiento de sus responsabilidades ante el Sistema de Gestión de Seguridad de la Información de la
- Establecer y divulgar lineamientos sobre las consecuencias del incumplimiento de las políticas de seguridad contenidas en el SGSI (Sistema de Gestión de Seguridad de la Información) y la
- Proteger los intereses de SISA, incorporando un procedimiento como parte del proceso de cambio o terminación de las responsabilidades del empleo o
- Apoyar la capacitación y formación continua en materia de seguridad y privacidad de la información y ciberseguridad de acuerdo con las necesidades y coordinadas previamente con el (CISO) Oficial de Seguridad de la Información.
- Gestionar oportunamente la notificación a todo el personal que se vincule a la entidad, de sus obligaciones respecto del cumplimiento de las Políticas de Seguridad y Privacidad de la Información y de todas las normas, procedimientos y prácticas que de ella se
- Notificar, divulgar y socializar la presente Política a todo el personal, los cambios que en ella se produzcan, la implementación de la suscripción de los compromisos de confidencialidad (entre otros).
- Incorporar dentro de sus procedimientos el cumplimiento de los requisitos de seguridad de la información y ciberseguridad para la contratación con proveedores, colaboradores, funcionarios y aliados, de igual forma la firma de un acuerdo de confidencialidad con los empleados, funcionarios, colaboradores, contratistas, documentos definidos por el (CISO) Oficial de Seguridad de la Información a través del
- Garantizar en el presupuesto para la Seguridad de la Información de la entidad que se incluyan actividades relacionadas con visitas de auditoría y verificación de requisitos establecidos en los contratos con los aliados, proveedores y
- Debe incluir y tener en cuenta los lineamientos y políticas de Seguridad de la información y Ciberseguridad en la gestión de la contratación con terceros, proveedores y
- Exigir para todo contrato con empleados, proveedores, colaboradores, terceros, contratistas, , la firma del acuerdo de confidencialidad y apoyar la supervisión del cumplimiento de las políticas de Seguridad de la Información y ciberseguridad.
Responsable Legal o Jurídico de SISA
Esta área debe cumplir las funciones de:
- Asesorar en materia legal a SISA, en lo que se refiere a la seguridad y privacidad de la información y ciberseguridad.
- Velar por el cumplimiento de la normatividad y requisitos del (SGSI) Sistema de Gestión de Seguridad de la Información, la Ciberseguridad y demás regulaciones que disponga SISA o el Gobierno Nacional de
Gerencia de Operaciones
La Gerencia de Operaciones, debe cumplir la función de apoyar y gestionar los requerimientos e incidentes relacionados a la Seguridad Informática y la parte de implementaciones técnicas de ciberseguridad y ciberdefensa con el propósito de mitigar y contener los riesgos cibernéticos y ataques informáticos, definidos para la operación, administración y comunicación de los sistemas y recursos de tecnología de SISA
Todo lo anterior dentro de los marcos de operación, desarrollo, gobierno, cumplimiento y de buenas prácticas que sean establecidas en la entidad, ejemplo: (Arquitectura Empresarial, ITIL, COBIT, SOA, etc.).
- La Gerencia de Operaciones con apoyo del (CISO) Oficial de Seguridad de la Información debe dar visto bueno, concepto técnico y acompañamiento
a las adquisiciones, consultorías, desarrollos, soluciones o plataformas tecnológicas (Hardware o software), según aplique, considerando su propósito y uso, a fin de garantizar que se cumplan todas las políticas y requerimientos de seguridad de la información y ciberseguridad, en donde se evalúen los aspectos de viabilidad técnica (estudios, diseño, arquitectura), compatibilidad, capacidad, integridad, disponibilidad y confidencialidad.
- Cuando se requiera la integración de plataformas tecnológicas de la entidad con otras entidades, velar por el cumplimiento de las políticas y procedimientos del Sistema de Gestión de Seguridad de la Información y ciberseguridad de la entidad.
- Liderar el desarrollo de políticas específicas relacionadas con el gobierno y la gestión de los servicios de IT que se proveen, con el fin de establecer los lineamientos de uso de los elementos tecnológicos de la entidad, dichas políticas deben ser aprobadas por el Comité de Seguridad de la Información, para su posterior divulgación y comunicación.
- Garantizar que, dentro de la Gerencia de Operaciones, se cuente con un equipo de trabajo técnico con conocimientos en temas de seguridad informática que apoye la implementación, divulgación y el mejoramiento continuo del Sistema de Gestión de Seguridad de la Información y la Políticas asociadas a la
Responsable del Sistema de Gestión de la Calidad
El responsable del Sistema de Gestión de la Calidad de SISA, o en su defecto quien sea propuesto por el Comité de Seguridad de la Información debe coordinar el desarrollo de las auditorías internas periódicas sobre toda la plataforma tecnológica instalada y en operación (software y hardware), incluyendo actividades vinculadas con la seguridad de la información, ciberseguridad y ciberdefensa.
El resultado de estas auditorías debe ser reportado al Comité de Seguridad de la Información con el objetivo de tomar las decisiones encaminadas en el cumplimiento de esta Política, procedimientos y prácticas asociadas al Sistema de Gestión de Seguridad de la Información de SISA.
Empleados, funcionarios, colaboradores, contratistas de SISA
Los usuarios (empleados, funcionarios, colaboradores, contratistas, aprendices y practicantes) de la información y de los sistemas utilizados para su procesamiento son responsables de conocer, dar a conocer y cumplir las Políticas del (SGSI – Sistema de Gestión de Seguridad de la Información) y sus políticas específicas.
Las cuales deben:
- Conocer, comprender y aplicar la Política General del (SGSI) y sus políticas específicas de Seguridad y Privacidad de la Información y de ciberseguridad de SISA, en los procedimientos que apliquen a su
- Llevar a cabo su trabajo, asegurando que sus acciones no producen ningún incumplimiento al Sistema de Gestión de Seguridad de la Información y de la Ciberseguridad de la entidad.
- Comunicar al (CISO) Oficial de Seguridad de la Información las incidencias de seguridad de la información o ciberseguridad que se detecte a través del correo <seguridad_informacion@sisa.com.co> o través de la plataforma tecnológica
- Hacer uso de las mejores prácticas definidas en la entidad para todos los temas relacionados con la seguridad y privacidad de la información y de la
- Cumplir con el acuerdo de confidencialidad firmado con la
Responsables de la Información
El propietario de un activo de información, entendiéndose como tal, aquel que es el responsable de dicho activo, tendrá las siguientes responsabilidades:
- Definir si el activo de información está afectado por la Ley de Protección de Datos y aplicarle en su caso, teniendo en cuenta los lineamientos y directrices definidas por el (CISO) Oficial de Seguridad de la Información, los procedimientos y controles implementados dentro de sus procesos y
- Definir quiénes pueden tener acceso a la información, cómo y cuándo, de acuerdo con la clasificación y valoración interna de la información y la función a desempeñar.
- Informar al (CISO) Oficial de Seguridad de la Información de SISA, cuando detecte cualquier incidente de seguridad de la información y ciberseguridad, para tratarlo y corregirlo mediante la aplicación de
- Implementar las medidas de seguridad de la información necesarias en su área para evitar fraudes, acceso no autorizado a la información, robos o interrupción en los servicios y
- En los casos que aplique, asegurarse que el personal; empleados, contratistas, aprendices, practicantes y proveedores tienen cláusulas de confidencialidad de la información en sus contratos y son conscientes de sus
Responsables del tratamiento de los datos personales
Es la persona que tiene decisión sobre las bases de datos que contengan este tipo de datos de carácter personal y es quien direcciona las actividades de los encargados de los datos personales (quien realiza el tratamiento directamente), teniendo en cuenta la Ley 1581 de 2012 “Protección de Datos Personales”, los deberes y responsabilidades de los responsables y/o encargados del tratamiento de los datos personales son:
- Informar y garantizar el ejercicio de los derechos de los titulares de los datos
- Tramitar las consultas, solicitudes y
- Utilizar únicamente los datos personales que hayan sido obtenidos mediante autorización, a menos que los mismos no la
- Respetar las condiciones de seguridad y privacidad de información del
- Cumplir instrucciones y requerimientos impartidos por la autoridad administrativa o legal
- En SISA los responsables de los procesos y áreas deben reportar las Bases de datos que contengan datos personales al área de Seguridad de la Información para cumplir con el registro ante la plataforma de la SIC (Superintendencia de Industria y Comercio) y demás procesos en cumplimiento de la Ley 1581 de 2012.
Administradores de los Sistemas, Infraestructura y Plataformas de TI
Los administradores de los diferentes sistemas o de las diferentes infraestructuras tecnológicas y plataformas de TI, deben en forma activa implementar las políticas, normas, estándares, formatos y procedimientos, para brindar un nivel apropiado de seguridad y privacidad de la información y ciberseguridad. Deberán:
- Conocer y cumplir la Política del (SGSI) y sus políticas específicas de seguridad y privacidad de la información y de la
- Dentro de sus funciones de administración de los sistemas de información, componentes de infraestructura y plataformas tecnológicas, aplicar los lineamientos, directrices o políticas de seguridad y privacidad de la información y ciberseguridad que le sean comunicadas y correspondan a su línea de administración.
- Informar y tramitar reporte con base a los formatos y procedimientos establecidos al (CISO) Oficial de Seguridad de la Información de SISA, cuando detecte cualquier incidente de seguridad de la información y ciberseguridad, como de sugerir controles o contramedidas para su
- Documentar los aspectos de seguridad informática y de seguridad la información aplicados dentro de su línea de gestión y su respectivo control de cambios.
- Sugerir la implementación de políticas específicas o procedimientos que se requieran como apoyo a la mejora continua de los procesos de la entidad.
Nota: El incumplimiento a la presente política y demás Políticas específicas de Seguridad y Privacidad de la Información traerá consigo las consecuencias legales que apliquen a la normativa, reglamento de SISA y las demás disposiciones legales de Ley en cuanto a Seguridad y Privacidad de la Información se refiere.
4.2.2. Política Integral del Riesgo en SISA S.A.
SISA S.A. implementa Sistemas de Administración de Riesgos, diseñados conforme a su estructura, tamaño, objeto y dimensión y los ha adecuado a la normatividad que le ha resultado aplicable. Para cada uno de los Sistemas de Administración se han establecido las políticas, metodologías y herramientas para identificar, medir, controlar y monitorear
los riesgos a los que se ve expuesta SISA S.A. debido a su actividad.
En SISA S.A estamos comprometidos con el logro de objetivos y metas estratégicas, a través del establecimiento, implementación, operación y cumplimiento de los Sistemas de Administración, Gestión y Tratamiento del Riesgo, de igual forma el tratamiento de los riesgos para la Seguridad de la Información, la Ciberseguridad y la Continuidad del Negocio, cumpliendo con la normatividad ISO 27001 y la legislación vigente.
En cuanto a la administración y gestión de riesgos, incluyendo los riesgos de seguridad de la información y ciberseguridad; SISA S.A declara que los lineamientos y actividades están documentados y son actualizados por los responsables de las áreas o procesos para una adecuada gestión, monitoreo y control de los riesgos; así mismo se debe cumplir con las siguientes directrices:
- Todos los procesos documentados a través del Sistema Integrado de Gestión (mapa de procesos), deben contemplar las actividades de control y seguimiento que permitan mitigar los riesgos identificados y contemplados en la matriz de riesgos del proceso, y su revisión se debe realizar con base en la metodología establecida para tal
- Las modificaciones realizadas a la presente política deben ser expuestas por el proceso de seguridad de la información y ciberseguridad, a través de las reuniones que se convoquen hacia la Alta Dirección o el Comité de Seguridad de la Información y Ciberseguridad y/o Junta Directiva, según corresponda, para validación y posterior presentación y aprobación.
- Para determinar la criticidad de los activos de información, los responsables y/o dueños de los procesos o áreas en conjunto con el personal designado por el responsable del área y proceso de Seguridad de la Información y Ciberseguridad de SISA A., deben identificar, clasificar, etiquetar y evaluar la criticidad de los activos de información con base a los pilares de seguridad de la información y ciberseguridad (Confidencialidad, Integridad y Disponibilidad) que le permitan determinar el grado de importancia de cada uno, así mismo para los niveles de criticidad resultante como “Alto” se deben realizar los análisis y gestión de riesgos para garantizar los más altos niveles y estándares de protección y aseguramiento de la información para la organización, terceros y clientes.
- Los eventos, incidentes y materialización de riesgos de la información deben ser reportados al proceso de Seguridad de la Información y Ciberseguridad en el momento de su identificación, a través del formato, canales o herramientas tecnológicas establecidas para tal
- En caso de presentarse un evento de riesgo o incidente de seguridad de la información cuya materialización afecte de manera crítica el desarrollo normal del proceso o que su impacto tenga repercusiones financieras para la organización, éste debe ser reportado e informado al responsable del proceso de Seguridad de la Información y Ciberseguridad, a través de los mecanismos definidos por la organización para este fin y de acuerdo con el manual de administración y gestión de riesgos de seguridad de la información y ciberseguridad
- El proceso de revisión, identificación y actualización de los riesgos que afectan el cumplimiento de los objetivos de los procesos, se desarrolla con una periodicidad
semestral o como mínimo una vez al año, o en su defecto si se llegare a materializar algún riesgo en cualquier momento se debe realizar la respectiva revisión y actualización.
- En caso de identificarse nuevos riesgos como resultado de la implementación de nuevos productos, procesos o modificación de los existentes, se actualiza la matriz de activos de información y de riesgos correspondiente, con el fin de diseñar e implementar los controles que permitan disminuir la probabilidad de ocurrencia de estos o su impacto en caso de
- En el proceso de identificación y actualización de riesgos, debe considerarse la identificación de riesgos emergentes, entendiéndose estos como aquellos que surgen de cambios en el entorno tecnológico, económico, legal o social que pueda afectar el cumplimiento de los objetivos de SISA A., o sus procesos.
- Los riesgos identificados por los órganos y áreas de control en el desarrollo de sus actividades y los riesgos materializados reportados en las herramientas establecidas por la organización para tal fin deben ser valorados entre el responsable y/o dueño del proceso y el área encargada de la administración del riesgo, para ser considerados en la actualización de la matriz de
- La identificación de los riesgos debe ser realizada por los responsables y/o dueños de los procesos de acuerdo con la metodología establecida en el presente manual, considerando las diferentes tipologías de riesgos para la seguridad de la información y ciberseguridad, financiero, social, y ambiental si aplica, u otra tipología de riesgo definida por el área de administración del riesgo.
- Para la medición de los riesgos se deben emplear mediciones cualitativas o cuantitativas, con base en la información estadísticas obtenida y acorde con la metodología establecida en el presente
- Los responsables y/o dueños de los procesos deben diseñar y documentar los controles para mitigar los riesgos identificados en los procesos y valorar su efectividad, de acuerdo con la metodología establecida en el presente
- El control de los riesgos se debe efectuar mediante la verificación del cumplimiento de los límites aprobados por la Alta dirección y/o Junta Directiva, los cuales mantienen los niveles de exposición dentro de intervalos tolerables según lo definido por SISA A.
- El proceso de Seguridad de la información y Ciberseguridad, es el responsable de verificar el cumplimiento de los límites que han sido formulados para el control de los riesgos de la información y de reportar oportunamente cualquier
- Los planes de acción o mejoramiento para mitigar los riesgos identificados en un nivel de exposición no tolerado deben ser definidos y liderados por los responsables de los procesos, siendo este objeto de seguimiento mensual por las áreas de control y el área de Seguridad de la información y
- El monitoreo de los riesgos, los planes de acción o mejoramiento y los indicadores de SISA A., deben ser realizados por: Los responsables de los procesos, Seguridad de la información y Ciberseguridad y el proceso de Control Interno.
- El responsable del proceso de Seguridad de la información y Ciberseguridad, debe realizar un análisis de los eventos de riesgo registrados en las herramientas o formatos establecidos por la organización para tal fin. Estos análisis podrán ser empleados como insumos para la toma de decisiones en la mejora de los procesos.
- Durante las sesiones de trabajo con los responsables de los procesos o sus delegados, se debe realizar seguimiento a la evolución del perfil para la mitigación del riesgo del proceso y los riesgos asociados.
- El responsable del proceso de Seguridad de la información y Ciberseguridad, debe elaborar y presentar reportes bimensuales sobre el monitoreo de los riesgos de los procesos y subprocesos, así como del estado actual de los planes de tratamiento de los riesgos de la información.
- El responsable del proceso de Control Interno, como parte de sus funciones de revisión y cumplimiento de las áreas y procesos, debe realizar un monitoreo independiente, relacionadas con el diseño, implementación y efectividad de los controles identificados para la mitigación de los riesgos de los diferentes sistemas de gestión de
- El responsable del proceso de Seguridad de la información y Ciberseguridad, debe establecer la metodología para evaluar la efectividad de los controles para mitigar los riesgos de la información.
- SISA debe contar con los mecanismos necesarios tales como: Herramientas informáticas, formatos, políticas y procedimientos para el monitoreo de los cambios en los controles y perfiles de riesgo, y mantener actualizados los mapas de riesgo y su nivel de exposición.
- El Apetito del Riesgo, incluyendo los riesgos de Seguridad de la información y ciberseguridad en SISA, tiene como objetivo mantener como máxima exposición un perfil de riesgo en nivel “Moderado”.
- Sobre los riesgos que, una vez aplicados los controles, permanecen en perfiles o niveles de severidad “Extremo” y “Alto”, los responsables de los procesos deben implementar planes de acción y/o planes de tratamiento de riesgos para fortalecer sus controles y mitigar los
- Los riesgos ubicados en perfiles o niveles “Moderado” y “Bajo”, deben ser objeto de monitoreo y seguimiento mensual dentro de la gestión normal del área, proceso y/o subproceso, con el fin de determinar si es requerido implementar planes de acción y/o plan de tratamiento de riesgos para fortalecer sus
4.3. POLÍTICA PARA USO DE DISPOSITIVOS MÓVILES Y TELETRABAJO
Con el fin de tratar los riesgos de seguridad de la información que implica el uso de dispositivos móviles, SISA S.A. restringe el acceso de dispositivos móviles tales como: Teléfonos inteligentes, equipos de cómputo portátiles, tabletas, entre otros de carácter personal, a las redes alámbricas corporativas, a excepción de los dispositivos móviles
que sean de su propiedad. Para tal efecto, se dispone de redes inalámbricas para visitantes o invitados.
SISA S.A. se reserva el derecho de monitorear y revisar el cumplimiento de la política para dispositivos móviles conectados a las redes inalámbricas o alámbricas, cuando lo estime conveniente.
El uso de dispositivos móviles personales para el cumplimiento de las funciones y actividades por parte de los colaboradores se encuentra totalmente prohibido a menos que se cuente con la autorización por escrito, correo electrónico o ticket a través de su jefe inmediato y del Oficial de Seguridad de la Información, por lo tanto, la organización asigna a cada persona los recursos necesarios para su cargo.
- El uso de equipos portátiles y demás dispositivos móviles propiedad de SISA bajo previa autorización, están permitidos el uso por fuera de las instalaciones de SISA cumpliendo con las siguientes directrices:
- Usarse exclusivamente para actividades propias de sus responsabilidades como trabajador de
- Contar con antivirus instalado y actualizado a la
- Cifrado de medios de almacenamiento (Portátiles).
- Conexión a redes seguras VPN.
- Acceso con contraseña.
· El uso de dispositivos móviles personales (smartphones, portátiles, tablets) deberán cumplir las siguientes directrices:
- No se podrán conectar a las redes corporativas de SISA, a menos que cuente con la autorización del jefe inmediato y del Oficial de Seguridad de la Informacion a través de un ticket a nivel de (requerimientos) o vía correo electrónico.
- En el marco de los compromisos y/o acuerdos de confidencialidad de la información pactados con SISA, se permitirá la transferencia o manejo de la información de SISA por medio de aplicaciones de mensajería instantánea como la aplicación WhatsApp u otros disponibles en el
· La conexión remota a los servicios en red de SISA deberá seguir los siguientes lineamientos:
- Siempre se debe realizar a través de una conexión segura o VPN.
- La conexión segura o VPN será otorgada por El área de Operaciones para todos empleados de SISA con el perfil requerido teniendo en cuenta el nivel y tipo de acceso a la información.
- La conexión seguirá un proceso de autenticación que deberá cumplir con lo especificado en la política asociada al manejo de usuarios y contraseñas seguras.
- Se deberá contar con controles tecnológicos para que el usuario conectado a través de una VPN solo tenga acceso a los recursos internos autorizados por el jefe de área (mínimo privilegio).
- Cuando se requiera conexión remota para terceros deberá estar acompañada por el técnico o especialista designado por el jefe inmediato del área de SISA y se deberá restringir el acceso exclusivamente al recurso que se debe acceder, dar un tiempo limitado de uso y se utilizara a través de la herramienta Microsoft
Teams.
4.4. SEGURIDAD EN EL TALENTO HUMANO
4.4.1. Contratación de personal
- Toda persona contratada (indefinido o temporalmente) deberá firmar un acuerdo de confidencialidad antes de tener acceso a información de SISA clasificada como de uso interno o superior. La copia de este acuerdo de confidencialidad deberá reposar en la hoja de vida del
- Los acuerdos de confidencialidad deben declarar su extensión mínima por un año después de terminada su relación laboral.
- El área de Talento Humano asegurará en el proceso de contratación de personal, la verificación y análisis de antecedentes y referencias judiciales y laborales, con el fin de identificar posibles amenazas a la seguridad de la información.
- Toda persona contratada (indefinido o temporalmente) deberá firmar un acuerdo de cumplimiento de las políticas de seguridad antes de tener acceso a información de uso interno de La copia de este acuerdo de cumplimiento deberá reposar en la hoja de vida del funcionario.
- Toda persona en el momento de ingresar a la compañía deberá recibir la información pertinente sobre las políticas de seguridad y las implicaciones legales que tendrá su
- Una vez el nuevo colaborador haya firmado el contrato, los acuerdos de confidencialidad y seguridad, el área de Talento Humano enviará solicitud al área de Operaciones para la creación de los usuarios y accesos conforme lo haya definido el líder o jefe inmediato y de acuerdo con las políticas y procedimiento de accesos e identidades definidas en la compañía.
4.4.2. Concientizar a los colaboradores en seguridad de la información
- Todos los colaboradores de SISA y los terceros que por sus actividades manejen información clasificada como de uso interno o un nivel de mayor de criticidad, deberán recibir capacitación y concientizar en los temas de seguridad de la información y las políticas de seguridad de la información
- El área de Talento Humano debe incluir la capacitación y formación en temas de seguridad para el personal que maneja la seguridad de la información en Esto debe incluirse en el plan general de formación de la compañía.
- El área de Talento Humano deberá incluir dentro del plan de formación de la compañía las charlas de capacitación en seguridad para todo el personal de acuerdo con validación realizada con el Oficial de Seguridad de la Información. De estas charlas deberá quedar
- El Oficial de Seguridad de la Información deberá promover constantemente los temas de seguridad de la información entre todos los colaboradores de
4.4.3. Desvinculación y/o cambio de rol del funcionario
- En el momento de desvinculación o cambio de rol de un funcionario, el jefe
inmediato debe velar porque el funcionario entregue correcta y ordenadamente su cargo, la información que maneja y los recursos que le hayan sido asignados, así como también el compromiso de entrega del cargo.
- Cuando un funcionario ha finalizado su relación laboral con SISA, su ingreso a las instalaciones de la compañía solo se podrá hacer como visitante; en caso de que requiera tener acceso a la información clasificada como de uso interno o superior deberá tener las autorizaciones pertinentes del dueño o propietario de la información (jefe de área).
- Cuando un funcionario se va a desvincular, el área de Talento Humano o el jefe inmediato del proceso deberá informar inmediatamente al área de operaciones para que sean retirados todos los permisos y accesos que hayan sido asignados a los servicios de tecnología como de los sistemas de información.
- Cuando un funcionario cambia de rol o área, el jefe inmediato deberá informar inmediatamente al área de operaciones para que sean retirados todos los permisos y accesos que hayan sido asignados a los sistemas de información, de igual forma deberá solicitar los nuevos permisos y accesos correspondiente a su nuevo o cambio de cargo o
- Cuando se retira personal o finaliza el contrato laboral por servicios tercerizados, el jefe inmediato o responsable del proceso deberá informar al área de operaciones sobre los retiros para que se eliminen los permisos y accesos que se hayan otorgado a la información o servicios de tecnología.
4.5. GESTIÓN DE ACTIVOS
4.5.1. Inventario de activos de información
- El responsable de área y/o líder de proceso es el propietario y responsable de elaborar el inventario de los activos de información de su área y mantenerlo
- Todos los activos de información deben estar en un inventario o repositorio Este inventario debe tener como mínimo los siguientes campos: tipo de activo, nombre de activo, descripción del activo, ubicación del activo, propietario del activo, custodio del activo, valoración de la criticidad.
- Es deber de cada jefe de área y/o líder de proceso entregar al CISO el inventario de activos de información que están bajo su responsabilidad. El dueño de proceso debe revisar y actualizar esta información por lo menos una vez al año.
- Todos los activos de información pertenecen a la compañía SISA A. y están distribuidos en las diferentes áreas donde se debe asignar un propietario que es el jefe del área y un responsable que es quien realiza cambios al activo.
- Los activos que tengan características similares en cuanto a la responsabilidad, criticidad y clasificación de la información podrán ser agrupados en un solo ítem en el
- Todo jefe de área o líder de proceso es propietario y responsable de la información de su área y como tal tiene la autoridad y la responsabilidad de otorgar y revocar permisos de acceso a esa información siempre que estos cambios no generen un impacto negativo para SISA S.A.
- Todos los colaboradores deberán entregar los activos de información que estén bajo su responsabilidad cuando su relación contractual con SISA haya
finalizado.
4.5.2. Clasificación y etiquetado de la información
- Toda la información debe ser clasificada de acuerdo con su criticidad, sensibilidad, requisitos legales y del negocio con el fin de darle el tratamiento de seguridad adecuado.
- La clasificación de la información se realiza teniendo en cuenta la Metodología de Inventario de Activos, la cual debe ser divulgada y socializada a todos colaboradores con el fin que cada uno realice la clasificación de su información.
- Es deber de cada líder de proceso (propietario del activo) realizar la clasificación de los activos de información que se encuentren bajo su responsabilidad en el inventario de
- Únicamente el propietario del activo podrá cambiar el nivel de clasificación de la información informando al Oficial de Seguridad de la Información sobre el cambio
- El líder de proceso (propietario del activo) deberá informar a los custodios de los activos la clasificación que se ha selección para cada activo de información con el fin de que conozcan la criticidad y apliquen las normas de seguridad y protección de acuerdo con la importancia del activo.
- Según la información que se maneja en SISA se determina los siguientes niveles de clasificación de la información para su aplicabilidad y etiquetado:
- Confidencial: Información disponible sólo para un proceso de la entidad y que en caso de ser conocida por terceros sin autorización puede conllevar un impacto negativo de índole legal, operativa, de pérdida de imagen o económica.
- Privada: Información disponible para todos los procesos de la entidad y que en caso de ser conocida por terceros sin autorización puede conllevar un impacto negativo para los procesos. Esta información es propia de la entidad o de terceros y puede ser utilizada por todos los funcionarios de la entidad para realizar labores propias de los procesos, pero no puede ser conocida por terceros sin autorización del
- Pública: Información que puede ser entregada o publicada sin restricciones a cualquier persona dentro y fuera de la entidad, sin que esto implique daños a terceros ni a las actividades y procesos de la
- Los esquemas y procedimientos adoptados por SISA para el etiquetado de la información, deberá realizarse en función de los niveles de clasificación
4.5.3. Uso Aceptable de los activos de información Control de Navegación Corporativa:
- Todos los usuarios deben tener acceso a internet para el cumplimiento de sus funciones y compromisos de la compañía.
- Los privilegios para la navegación y el uso del servicio de internet estarán limitados exclusivamente para el desarrollo de sus
- Las solicitudes de privilegios diferentes a los dados a nivel corporativo
deberán realizarse por solicitud a través de las herramientas de gestión de requerimientos y debe estar aprobado por el jefe del área y del Oficial de Seguridad de la Información.
- Está prohibido prestar las contraseñas de conexión inalámbrica a internet o habilitar el acceso para compartir el servicio desde el dispositivo corporativo
- El área de seguridad de la información, la gerencia Noc/Soc y los administradores de herramientas de seguridad, podrá monitorear el uso que los usuarios dan al servicio de internet y la navegación que
- El área de Operaciones deberá garantizar la denegación de acceso a sitios restringidos o prohibidos mediante herramientas de control
· El área de Operaciones deberá implantar controles que minimicen el impacto de los riesgos de la información, como:
- Descarga de software de forma no autorizada a través del monitoreo de la herramienta assets u otras herramientas de seguridad
- Descarga de virus a través de
- Transferencia de información a través de protocolos
- El área de Operaciones deberá mantener un listado de las categorías y perfiles de navegación restringidas el cual debe estar aprobado por el CISO y actualizado cada vez que se presente algún cambio.
· Control de Navegación Web en casa o modo Teletrabajo:
- Los usuarios y/o empleados que utilicen equipos de la organización y personales no deben manipular las configuraciones establecidas en las diferentes herramientas tecnológicas y sistemas de información instaladas para el desarrollo de sus
- Los usuarios y/o empleados que utilicen equipos de la organización y personales deben evitar a toda costa el ingreso a paginas webs maliciosas o pornográficas que puedan afectar el desempeño de las herramientas y sistemas
- Los usuarios y/o empleados que utilicen equipos de la organización y personales deben poseer un antivirus instalado y el acceso a la información corporativa requerida para el desarrollo de sus funciones debe ser a través de los canales y aplicaciones tecnológicas suministradas por
- Cumplir con las directrices y políticas definidas en el RUC (Registro Uniforme de Evaluación del Sistema de Gestión en Seguridad, Salud Ocupacional y Ambiente o RUC®).
a) Uso de correo electrónico y mensajería instantánea:
- El uso del correo electrónico personal y herramientas de mensajería está restringido, a excepción únicamente que se utilice para propósitos laborales bajo previa autorización por escrito vía correo electrónico y/o ticket del Jefe
Inmediato y del Oficial de Seguridad de la Información.
- Está prohibido utilizar el sistema de correo corporativo para el desarrollo de actividades políticas, comerciales personales o para la transmisión de mensajes obscenos o
- El envío de archivos con información clasificada como secreta o confidencial deberá ir
- Está totalmente prohibido interceptar o enviar mensajes de terceras
- Los correos masivos serán enviados desde una única área autorizada (Gestión Humana y/o Talento Humano o el área de calidad y procesos).
- El espacio de almacenamiento por usuario o Buzón de Correo (Mail box) será definido por el área de Operaciones asignado según las necesidades de los usuarios, toda solicitud por encima de esa cuota debe ser autorizada por el jefe del área
- El área de Operaciones deberá realizar un monitoreo y análisis de capacidad de la infraestructura donde se aloja el correo con el fin de hacer una evaluación y si es necesario una asignación de cuotas acorde a las capacidades existentes.
b) Uso de equipos de cómputo de escritorio y portátiles:
- Las áreas de Talento Humano, el área de operaciones en conjunto con el área administrativa y financiera, son las únicas áreas autorizadas para tramitar la adquisición, asignación e instalación de equipos de cómputo, requeridos para soportar la operación de los colaboradores y/o
- La instalación, cambios y administración de todo componente de software y hardware es de responsabilidad del área de Operaciones y, por tanto, se debe realizar una solicitud a través de la herramienta de gestión, para los requerimientos de instalación o actualización de software se debe contar con la autorización del jefe inmediato del área y del Oficial de Seguridad de la Información vía correo electrónico o a través de la herramienta de gestión de
- Cualquier traslado de hardware dentro o fuera de las instalaciones de la compañía, debe ser solicitado y autorizado al gerente del área de operaciones y al Oficial de Seguridad de la Informacion vía correo electrónico o a través de la herramienta de gestión de tickets, y sólo la gerencia de operaciones coordinará el traslado de equipos de cómputo.
- El área de Operaciones junto con el área Administrativa y Financiera son los encargados para dar de baja cualquier elemento de hardware de propiedad de SISA, de acuerdo con los criterios y protocolos de seguridad de la información previamente definidos y procedimientos de borrado seguro de la información, con el fin de garantizar que se han eliminado los riesgos de confidencialidad de la información.
- Los equipos de cómputo asignados a los colaboradores podrán movilizarse de acuerdo con los lineamientos del “Procedimiento de Gestión de Activos Fijos” y la Política para uso de dispositivos móviles y
- Se debe cumplir y no modificar la configuración de hardware y software establecido por el área de Operaciones. Si se presenta algún requerimiento de cambio de configuración se debe registrar el requerimiento en la herramienta de gestión, con previa autorización del jefe Inmediato.
- Se prohíbe el uso de medios de almacenamiento extraíbles de carácter personal (USB, celulares, discos externos, CD, DVD, entre otros) para el almacenamiento de información corporativa de SISA, con excepción de aquellos usuarios que, por sus funciones, sean autorizados de forma (correo electrónico, ticket de solicitud o por escrito) por parte del Oficial de Seguridad de la Información y de sus Jefes Inmediatos, notificando al Director de Operaciones y Gerente de Operaciones.
- Toda actividad informática (escaneos de seguridad, ataques de autenticación o de denegación de servicio, entre otros tipos de ataques informáticos) no autorizada que afecte tanto las redes corporativas como los sistemas de información de SISA, está prohibida y dará lugar a los procesos disciplinarios o legales según corresponda.
- Es responsabilidad de todos los usuarios apagar o hibernar los equipos que no estén prestando servicio al finalizar la jornada
- Los equipos de cómputo de escritorio, servidores y equipos de comunicaciones deben conectarse a los puntos de corriente eléctrica identificados como
- SISA no se responsabiliza por daños que puedan sufrir dispositivos móviles
- La seguridad física e integridad de los equipos de cómputo que ingresen a las instalaciones de SISA y que no son de su propiedad, son responsabilidad única y exclusiva de sus propietarios. La empresa no es responsable por estos equipos en ningún
- SISA A. asigna los equipos de cómputo como recurso para el cumplimiento de las funciones y actividades de los colaboradores, por lo tanto, es responsabilidad de ellos dar uso adecuado a estos.
- No está permitido almacenar información en rutas de red o carpetas locales diferentes a los configurados e informados conforme a la “política de backups y respaldo de la información”, por ejemplo: Mis documentos, One Drive, Microsoft Teams, Microsoft SharePoint, en los equipos de cómputo
- No está permitido instalar programas no autorizados por el área de operaciones y seguridad de la información y/o juegos en los celulares y equipos corporativos.
- Los colaboradores del área de operaciones deben verificar la conexión y la disponibilidad de la comunicación ya que no está permitido apagar los celulares en el tiempo de disponibilidad de los servicios, el celular debe ser contestado siempre y si no se encuentra disponible, debe informar a su jefe
- Los cargos administrativos deben contestar el celular corporativo siempre y validar la importancia del requerimiento para definir si puede esperar hasta el inicio de la jornada laboral siguiente o si amerita atención inmediata debido la gravedad del asunto a
4.6. POLÍTICAS DE CONTROL DE ACCESO
4.6.1. Control de acceso a la información
- Toda la información existente en repositorios digitales debe contar con controles de acceso de acuerdo con la clasificación que tiene el activo de información. La información clasificada como: Confidencial y Privada deberá tener controles de acceso por autenticación donde sólo se permita el acceso a aquellos usuarios autorizados.
- El responsable de cada sistema de información debe proporcionar los accesos y permisos a la información a los colaboradores y contratistas para el cumplimiento de las funciones para lo cual fue contratado; según las autorizaciones dadas por el jefe de área
- El responsable del sistema de información entregará el usuario y contraseña para el acceso al sistema de información o a los recursos informáticos que se
- El propietario de cada activo de información debe garantizar que su activo cuenta con controles de acceso para evitar el ingreso de personas que no tienen la autorización pertinente, esto teniendo en cuenta el análisis de riesgos realizado al activo de información.
- El acceso remoto a la información clasificada como: Privada o Confidencial, siempre debe realizar mediante una conexión segura o
- La conexión es controlada mediante perfiles de navegación que el área de Operaciones Sin embargo, se deben bloquear las siguientes categorías para todos los usuarios: Apuestas en línea, blogs, mensajería instantánea, redes sociales, almacenamiento personal y en red, accesos remotos, recursos compartidos, desnudez, pornografía, materiales sexuales, vulnerabilidades de los navegadores, descargas maliciosas, intercambio de archivos/P2P, suplantación de identidad, posibles actividades delictivas, posible software ilegal, código malicioso; ante cualquier excepción se debe solicitar autorización al Oficial de Seguridad de la Información y al Jefe inmediato a través de un ticket o correo electrónico.
- El uso de programas utilitarios se restringe y se controla por el área de Operaciones a fin de asegurar la continuidad en la ejecución de los controles de seguridad de los sistemas y
- El acceso a los códigos fuente de programas deberá estar restringido y controlado con el fin de evitar la introducción de funcionalidades no autorizadas, cambios involuntarios o mantener la confidencialidad de la propiedad intelectual en los sistemas y
- La herramienta para brindar acceso de soporte remoto a equipos corporativos y personales es definida por el área de operaciones y pueden usarse utilidades tecnológicas (free, open source o shareware) como por ejemplo:
- Para todos los colaboradores y terceros se encuentra controlado los accesos a la información, sistemas de información como entre otros activos de la información, en esta línea si posee alguna restricción de acceso a puertos USB, página web no permitidas, entre otro tipo de restricciones en cumplimiento por las políticas de seguridad, ante cualquier activación se debe colocar el requerimiento por herramienta de gestión de tickets, el
administrador que controla los accesos y restricciones deben solicitar la autorización al jefe inmediato y oficial de seguridad de la información por correo electrónico o a través del mismo ticket para su viabilidad y aval. El jefe o responsable del proceso que aprueba debe llevar el control de accesos autorizados en el formato GST-F-003 Perfiles y Gestión de Accesos a Sistemas de Información e Infraestructura Tecnológica.
- Los administradores Funcionales de los Sistemas y de la Información son los propietarios que poseen control total del mismo a nivel funcional y estos deben ser manejados por los jefes de área y/o responsables de los procesos, mediante el cual deben considerar en sus funciones las siguientes directrices:
- Crear usuarios funcionales para el manejo y acceso del sistema y de la información dentro del proceso.
- Contactar al proveedor del sistema si es tercerizado para efectos de mantenimiento y solución de incidentes.
- Brindar perfiles de acceso a la información y al sistema de información de sus subordinados y/o colaboradores para el desarrollo de sus
- Monitoreo mensual de los usuarios activos en los sistemas de información y de la información para verificar que no exista usuarios creados no autorizados o del personal que ya no se encuentre dentro del área o de la compañía
- Reportar al CISO – Oficial de Seguridad de la Información y Ciberseguridad, por cada dos meses, durante los primeros cinco días del tercer mes en el formato establecido y a través del correo electrónico los usuarios y perfiles de acceso por cada sistema de información que sea administrado dentro del proceso y/o la operación.
- Los administradores Técnicos de los Sistemas de información, plataformas e infraestructura tecnológica son los custodios de los activos tecnológicos y brindan soporte técnico de las aplicaciones y son responsables del control y mantenimiento técnico a nivel lógico y físico de la infraestructura tecnológica, esta responsabilidad debe ser manejada por los roles especialistas técnicos designados por la gerencia de operaciones, el cual dentro de sus funciones deben tener en cuenta:
- Para los sistemas de información y gestión de plataformas que implica alguna implementación, administración y configuración técnica; la gerencia de operaciones controla el acceso a las configuraciones de los sistemas a través de los roles, permisos y privilegios que se asignan en el directorio activo de los diferentes usuarios y servicios sobre controladores de dominios y/o módulos de administración super-
- Para aquellos sistemas de información y plataformas que no se administre desde el directorio activo el control de acceso a configuraciones técnicas, se le asigna de manera manual usuarios con privilegios de administrador al personal técnico asignado que custodia y gestiona los servicios de tecnología conforme a su manual de funciones para garantizar y asegurar en términos de confidencialidad el
acceso a la información técnica y el correcto funcionamiento de los activos de tecnología.
- El Gerente de Operaciones genera reporte bimensual hacia al CISO – Oficial de Seguridad de la Información y Ciberseguridad, durante los primeros cinco días del tercer mes en el formato establecido y a través del correo electrónico, la relación de los super-usuarios con perfiles de administrador por cada sistema de información, plataforma y hardware que haga parte de la infraestructura tecnológica (física y virtual) como por ejemplo: (sistemas de información, plataformas y portales web, firewall, switches, servidores, plantas telefónicas y dispositivos de red inalámbricos).
4.6.2. Administración cuentas de usuario y contraseñas
Las siguientes directrices se deben cumplir y hacer cumplir por los responsables de los procesos, empleados, áreas, propietarios y custodios de los activos de información SISA.
- La autenticación en los sistemas informáticos es realizada a través del directorio activo, este usuario y su contraseña no puede ser compartido con ninguna persona interna o externa a la organización, por lo tanto, es personal e
- Cada usuario es responsable por las acciones que se hayan ejecutado con sus credenciales de acceso, por lo cual es deber de cada persona de SISA no prestar ni divulgar sus credenciales y tener mecanismos para evitar que otras personas las
- Todas las contraseñas deben tener una estructura y complejidad para su protección adecuada y para evitar que pueda ser conseguida por otras personas, es responsabilidad de la gerencia de operaciones garantizar que se obliga a tener la complejidad indicada, por lo anterior, las contraseñas deben cumplir con los siguientes criterios:
- Mínimo 8 caracteres
- Al menos uno numérico
- Al menos una Mayúscula
- Al menos un carácter especial
- No se puede reutilizar claves usadas en el último año
- Caducidad de la contraseña cada 45 días.
- Las cuentas que no se hayan utilizado durante los últimos 30 días, deberá ser deshabilitada y reiniciada la contraseña durante 120 días adicionales, en caso tal que no se requiera la información asociada a la cuenta después de este tiempo, podrá ser retirada bajo la autorización del jefe del área a la que pertenecía el usuario de la cuenta.
- Cuando una cuenta tenga cinco intentos de acceso errados, está debe ser inactivada inmediatamente, con un tiempo de bloqueo de 30
- Es responsabilidad de cada usuario cambiar la contraseña al primer inicio de sesión, así como verificar que la contraseña utilizada tiene el nivel de estructura y complejidad
- El uso de usuarios genéricos o usuarios por defecto del fabricante está
prohibido. El primer caso solo es permitido cuando las características técnicas de la herramienta informática así lo requieren, en caso tal deberá existir una aprobación por escrito físico o correo electrónico del jefe de área y un único responsable.
- En ninguna circunstancia se podrá escribir contraseñas en papel o almacenarlas en medios digitales o enviarlas por correo electrónico; en caso tal que se requiera enviar una contraseña esta deberá dar cumplimiento a la Política sobre el uso de controles criptográficos.
- Cuando un usuario tenga sospecha de que su contraseña es conocida por otra persona o fue comprometida, deberá reportarlo al área de seguridad de la información <seguridad_informacion@sisa.com.co> e informar y solicitar el cambio inmediatamente de la misma a través de Servicios Sisa Cloud <serviccloud@sisa.com.co> o el área de Operaciones.
- La creación de cuentas de usuario para acceso a los sistemas de cómputo para colaboradores ya existentes, solo podrán ser solicitadas con la autorización del jefe de área y bajo los procedimientos diseñados para tal
- Los usuarios o cuentas de usuario que traen por defecto las aplicaciones, bases de datos, sistemas operativos o cualquier sistema informático deben ser desactivados, renombrados y en caso tal que se requiera tener el usuario activo debe tener limitaciones en sus
- Las cuentas de usuarios genéricos que deban estar activos deben tener un único responsable.
- Es responsabilidad del jefe de área informar los usuarios y permisos que cada usuario debe tener para el cumplimiento de sus
- Se debe tener un procedimiento que asegure la correcta creación, eliminación y modificación de permisos de usuario de manera ágil y oportuna. Este procedimiento debe divulgarse a todos los interesados de acuerdo con la información que se esté
- Las contraseñas que se utilicen para la administración de servicios de tecnología soportadas en infraestructura tecnológica deben estar salvaguardadas a través de herramientas seguras que apliquen mecanismos de cifrado para minimizar el impacto de los riesgos asociados a la perdida de confidencialidad de la información.
Nota: El incumplimiento de la presente política traerá consigo las consecuencias legales que apliquen a la normativa, reglamento de SISA y las demás disposiciones legales de Ley en cuanto a Seguridad y Privacidad de la Información se refiere.
4.6.3. Revisión de los permisos de acceso
- Los dueños (responsables) de los sistemas de información deben hacer revisiones y monitoreos periódicos (mensualmente) de los usuarios existentes y activos en cada sistema informático, para garantizar que solamente se encuentren vigentes aquellos que realmente lo
- Los administradores de software de áreas diferentes de la gerencia de operaciones deben hacer revisiones periódicas (cada dos meses) de los permisos y accesos que cada usuario tiene al sistema informático para garantizar que cuente solo con los permisos y accesos mínimos a la información que necesita para la ejecución de sus
4.6.4. Control de acceso a Datacenter
- Todo colaborador de SISA que tenga acceso al Datacenter debe velar por el buen funcionamiento y la seguridad dentro de
- El Datacenter debe contar con mecanismos de control de acceso, estos pueden incluir: tarjetas de proximidad, biométricos, puertas seguras, bitácora de ingreso, entre
- El Datacenter debe contar con mecanismos de monitoreo de actividad física estos deben incluir: cámaras, sistemas de alarmas y/o sistemas de
- Las puertas del Datacenter, racks, gabinetes deben permanecer cerradas y
- Las personas que ingresen al Datacenter deben tener una autorización previa, está será solicitada por el jefe inmediato y será autorizada por el responsable del Datacenter (gerencia de operaciones).
- Todo ingreso al Datacenter debe quedar
- Los ingresos al Datacenter deben tener una vigencia conforme al contrato laboral de los empleados autorizados y retirarse el acceso inmediatamente haya terminado el
- En las instalaciones del Datacenter está estrictamente prohibido fumar, tomar o comer y la toma de registros fotográficos o grabar dentro solo se podrá hacer bajo autorización escrita del responsable de
4.6.5. Control de acceso a oficinas
- Todo colaborador de la oficina principal debe contar con tarjeta de proximidad y/o acceso biométrico o en su defecto con la autorización tramitada a través de un responsable o jefe de área o procesos, para el ingreso a las oficinas de SISA de Bogotá. Los colaboradores de SISA de otras sedes y personal externo ingresarán como
- El acceso a diferentes áreas de la compañía debe estar controlado para que solamente puedan ingresar las personas
- Ningún usuario debe intentar ingresar a áreas a las cuales no tiene
- Todo visitante debe registrarse en la recepción presentando un documento que lo identifique y debe estar acompañado en todo momento por el colaborador de SISA a quien visita.
4.7. POLÍTICA DE CIFRADO DE LA INFORMACIÓN Y GESTIÓN DE LLAVES CRIPTOGRÁFICAS
Las siguientes directrices se deben cumplir y hacer cumplir por los responsables de los procesos, áreas y propietarios y custodios de los activos de información SISA.
- SISA S.A. determina los algoritmos y protocolos de cifrado permitidos para uso, y configura los sistemas para permitir únicamente aquellos autorizados, teniendo en cuenta la información de los grupos de interés, a fin de descartar algoritmos de cifrado débiles. Se debe considerar el uso de algoritmos de cifrado simétrico, asimétrico y/o los protocolos SSL/TLS en su versión más reciente y nuevos controles criptográficos que en el futuro estén
- La implementación de controles criptográficos se da en aplicativos, transferencia de información, enlaces de comunicaciones, protección de medios, acceso remoto, firmas digitales, no se permite el uso de herramientas o mecanismos de cifrado de información diferentes a las autorizados por el área de Operaciones
- SISA implementa actividades controladas para la gestión de llaves criptográficas durante todo su ciclo de vida, incluida la generación, almacenamiento, recuperación, distribución, retiro y destrucción de las llaves.
- El periodo de vigencia o cambio de las llaves criptográficas será definido por la organización o cada vez que se sospeche que han perdido su confidencialidad. En el caso de los certificados TSL y SSL la periodicidad puede ser según lo adquirido con el
- El periodo de vigencia de las llaves criptográficas gestionadas por terceros y utilizadas por SISA SA, lo define el tercero que las
- Los controles criptográficos o de cifrado deberán ser seleccionados dentro del marco de gestión de riesgo como mecanismo para reducir el riesgo y exposición de la información en su ciclo de vida.
- Se debe establecer un marco de gestión del control criptográfico en SISA A., y éste deberá estar soportado en los requerimientos de clasificación y tratamiento de la información a través de los procedimientos establecidos.
- Para asegurar la autenticidad, integridad y confidencialidad en las comunicaciones y proteger la privacidad de los mensajes transmitidos en SISA S.A., se debe aplicar tecnologías de PGP o GPG (protocolos de privacidad) para las comunicaciones vía correo electrónico.
- Se deben establecer los criterios y soluciones de cifrado pertinentes que indique respuesta a los siguientes interrogantes con el propósito de gestionar y asegurar las claves de cifrado en términos de integridad, confidencialidad, autenticidad y disponibilidad:
- ¿Quién debe tener llaves (personal, equipos)?
- ¿Cómo se crearán, administrarán y archivarán las claves? o ¿Quién creará las claves?
- ¿Qué tipo de clave se debe crear?
- ¿Qué tamaño de clave se debe crear?
- ¿Cuándo caducarán las llaves?
- ¿Si se requiere una clave de revocación?
- ¿Dónde se almacenarán las claves y revocaciones?
- ¿Cómo se revocarán las llaves?
- ¿Quién necesita firmar una clave?
- Cualquier política de contraseña, incluida la custodia de contraseña
- ¿Quién gestiona las claves?
- ¿Las políticas y procedimientos correspondientes para la gestión de claves?
- En el marco de la gestión y ciclo de vida de la información: Creación, procesamiento, transporte, comunicación, almacenamiento y disposición final; se deben establecer los controles de cifrado necesarios para mantener los niveles de tratamiento de la información en cada etapa del ciclo de
- Para el desarrollo de actividades de control criptográfico, orientadas al acceso a diferentes recursos de la organización, se deberán establecer procesos de autorización, considerando los siguientes aspectos:
- Registro
- Autorización
- Activación
- Implementación del control en usuario (Si aplica)
- Entrega de dispositivos: Tokens, certificados, entre (Se debe formalizar con acta de entrega)
- Solicitud y autorización para el usuario
- Acciones a realizar en caso de pérdida, robo, daño, olvido, entre
- La información asociada a los controles criptográficos deberá ser almacenada y transportada en dispositivos que tengan características de Tamper-proof (A prueba de modificaciones o manipulaciones), especialmente información asociada a:
- Certificados digitales / Llaves
- Semillas criptográficas para generación de números
- En lo referente a los certificados de digital raíz o tokens de autenticación de usuario y semillas de randomización, deberán estar almacenadas en la caja
- Se debe establecer que la responsabilidad de uso del sistema y controles criptográficos recae única y exclusivamente sobre cada persona. Por esta razón en los procesos de entrega de estos dispositivos se deberá firmar un acuerdo de responsabilidad de uso, donde se indique el uso adecuado y las responsabilidades asociadas al uso del control (Certificado digital, token de autenticación, otros), especialmente aquellas asociadas a temas legales y de responsabilidad de su cargo; lo anterior atado a las conductas aplicables del reglamento de trabajo y normativa existente en SISA S.A.
- Los usuarios (empleados) no están autorizados a utilizar controles criptográficos tales como: Cifrado, firmas y certificados digitales; para cualquier actividad comercial
o para manejo de la información de negocio asociada a SISA S.A., sin la debida autorización por escrito de su jefe Inmediato.
- Los usuarios deben mantener copias confiables de los programas del computador que se utilicen, para generar, verificar firmas digitales o para descifrar archivos. El incumplimiento, posibilita que un usuario no pueda probar que firmó un archivo, afectando su posición en casos judiciales, procedimientos de arbitramento o procesos de mediación. También, posibilita la no recuperación de un archivo previamente
- Bajo la aplicabilidad de soluciones de cifrado, se debe evitar generar inconvenientes
a SISA S.A., derivados de la creación de algoritmos propios inseguros, o de la compra de algoritmos propietarios no robustos a un tercero.
- Bajo la aplicabilidad de soluciones de cifrado para firmas digitales, se debe prevenir, que terceros puedan establecer sistemas en Internet que busquen suplantar a los colaboradores o usuarios de SISA A., mediante certificados digitales.
- No repudiación, se requiere que los sistemas de cifrado utilizados para las actividades regulares de SISA A., incluyan funciones de recuperación de llaves.
- No revelar las llaves de cifrado, las llaves de cifrado deben estar protegidas con las medidas de seguridad más Esto requiere que las llaves de cifrado sean a su vez cifradas y almacenadas en archivos u otras locaciones de tal forma que no puedan ser accedidas por personas no autorizadas. Debe utilizarse como repositorio un dispositivo separado o “módulo de seguridad”.
- Para la administración de llaves de cifrado, se debe evitar que un solo colaborador o usuario tenga acceso completo a una llave de cifrado. Si un solo Colaborador conserva la totalidad de una llave de cifrado, podría entonces descifrar otras llaves y tener acceso a información sensitiva; lo cual podría implicar la realización de fraudes, invasión de la privacidad y otros tipos de problemas de carácter
- Se debe dividir las llaves de cifrado en varios componentes, se debe involucrar la creación de dos o más strings de bits, que cuando se combinan forman la llave original, este proceso se puede automatizar a través de hardware, las técnicas descritas en este ítem pueden ser aplicadas también a contraseñas, generadores de semillas de números aleatorios y otros utilizados en procesos relacionados con seguridad criptográfica.
- La administración de llaves criptográficas y certificados digitales gestionados por SISA, deben estar a cargo del área de la Gerencia de Operaciones, mediante el cual se llevarán registro de las actividades relacionadas con su gestión.
- Los colaboradores a quienes les sean asignados llaves criptográficas o certificados digitales reportarán al área de seguridad de la información <seguridad_informacion@sisa.com.co> o mediante la plataforma de gestión de incidentes de seguridad definida, los casos o incidentes que durante su uso o tratamiento fue comprometida, a fin de revocarlas, retirarlas o desactivarlas, así mismo deben almacenarlas de manera segura cuando no las estén utilizando o cuando se ausenten de sus puestos de
- En el caso de utilizar sistemas de gestión de llaves estos deberán estar basados en métodos seguros para generar, distribuir, activar, almacenar, cambiar y obtener acceso a
Nota: El incumplimiento de la presente política traerá consigo las consecuencias legales que apliquen a la normativa, reglamento de SISA y las demás disposiciones legales de Ley en cuanto a Seguridad y Privacidad de la Información se refiere.
4.8. POLÍTICA DE ESCRITORIO Y PANTALLA LIMPIOS
Los colaboradores de SISA deberán conservar su escritorio libre de información de la
empresa, que pueda ser alcanzada, copiada o utilizada por terceros o personal que no tenga autorización para su uso o conocimiento, cada vez que se vayan a retirar de sus puestos de trabajo.
- Al imprimir documentos de carácter confidencial o secreto, éstos deben ser retirados de la impresora
- Los computadores cargarán por defecto el fondo de pantalla de SISA este no podrá ser modificado y deberá permanecer
- Los colaboradores deben bloquear la pantalla de su equipo de cómputo cuando por cualquier motivo se ausenten del puesto de
- SISA configura el bloqueo de sesión automático, después de la inactividad del usuario de cinco (5)
- Los usuarios son responsables y asumen las consecuencias por la pérdida de información que esté bajo su
- Se prohíbe el almacenamiento de información personal en los equipos de cómputo de SISA.
- Los propietarios de los activos deberán implementar controles para reducir el riesgo de daño causado en equipos de cómputo por acciones inadecuadas (consumo de alimentos y/o bebidas, obstrucción de ventilación, ubicación inadecuada, entre otros). En caso de presentarse algún daño, será responsabilidad del
- El escritorio lógico de los equipos de cómputo deberá estar libres de información secreta o
4.9. SEGURIDAD EN LAS OPERACIONES
4.9.1. Responsabilidad en la operación
- Se debe tener claramente definidas y documentadas las responsabilidades y funciones de todo operador o cargo de TI tanto de SISA como de los proyectos administrados por SISA acotado al perfil del cargo que esté
- Se debe tener claramente definidos y documentados los procedimientos de operación, estos deben ser divulgados a todos los colaboradores que los van a utilizar para la ejecución de sus
- Las actividades de cambios efectuadas en la operación de TI tanto interna como de los proyectos administrados por SISA deben controlarse mediante un procedimiento definido y
- El responsable de la operación debe garantizar que todos los cambios que se lleven a cabo sobre la plataforma TI deben estar debidamente documentados y aprobados antes de su ejecución.
- El responsable de la operación debe realizar y evaluar los riesgos y los posibles impactos operativos que conlleva la realización de un cambio sobre la plataforma
- El responsable de la operación debe verificar, monitorear y hacer seguimiento sobre los recursos de las plataformas TI, para hacer los ajustes correspondientes que conlleven a mantener la capacidad necesaria para la operación.
- El área de operaciones deberá mantener ambientes de TI totalmente separados de los de producción a los de pruebas y en caso tal que se llegaré a hacer desarrollo se deberá establecer un ambiente totalmente separado a los otros
4.9.2. Política Gestión de Capacidades de Infraestructura TI y Almacenamiento
Las siguientes directrices se deben cumplir y hacer cumplir por el responsable del proceso de la Gerencia de Operaciones y los demás responsables de los procesos, áreas, propietarios y custodios de los activos de información de SISA:
- El proceso y/o área responsable de garantizar la disponibilidad de capacidad de los servicios de TI, la infraestructura de TI y el aseguramiento tecnológico es la Gerencia de Operaciones, con el fin de gestionar y entregar los recursos de capacidad tecnológica de acuerdo con los requerimientos y necesidades del negocio y con el rendimiento adecuado de una manera rentable y a
- La gerencia de operaciones deberá realizar análisis de capacidad de la infraestructura donde se aloja el correo, la información de los usuarios y de los sistemas de información con el fin de hacer una asignación de cuotas acorde a las capacidades
- Los sistemas de información deberá enviar un mensaje de advertencia cada vez que esté próximo a desbordar la capacidad establecida, si el administrador del sistema o de la infraestructura TI, o el usuario que reciba
el mensaje de advertencia hace caso omiso, el sistema debe notificar al área de seguridad de la información a través del correo seguridad_informacion@sisa.com.co con el fin de identificar si se trata de un incidente de seguridad de la información o de un falso positivo.
- La gerencia de operaciones en conjunto con la gerencia del soc-noc, debe verificar, monitorear y hacer seguimiento sobre los recursos de las plataformas TI, para hacer los ajustes correspondientes que conlleven a mantener la capacidad necesaria para la operación.
- El software antivirus / antimalware debe tener la capacidad de realizar actualización automática.
- Todos los sistemas de información críticos de la compañía deben tener monitoreo en su capacidad de procesamiento y almacenamiento, velando por garantizar el buen funcionamiento y que el procesamiento y el almacenamiento controlado no sobrepase los umbrales
- La Gerencia de Operaciones deberá implementar y operar un modelo de servicios de TI basado en las mejores prácticas nacionales e internacionales como ITIL, ISO 27001 e ISO 20000-1, con el fin de gestionar las capacidades de infraestructura tecnológica, sistemas de información y el almacenamiento de la información de manera controlada y monitoreada (7x24x365) con el fin de garantizar la disponibilidad, confidencialidad e integridad de la información y los servicios de TI, este modelo debe cumplir con el siguiente lineamiento:
- El modelo de servicios de TI para SISA, debe comprender el suministro y operación ininterrumpida (7x24x365) de la infraestructura tecnológica, almacenamiento, copias de seguridad (backup), datacenter, Web hosting dedicado, conectividad, seguridad física y lógica, monitoreo de infraestructura, mesa de ayuda (service desk) y servicios de operación y mantenimiento entre los cuales se tienen: La administración de aplicaciones, administración de infraestructura de servidores, conectividad y seguridad tecnológica, el siguiente modelo ilustra los elementos, servicios y procesos marco que deben considerarse para definir la gestión de la capacidad funcional y tecnológica en SISA.
4.9.3. Protección frente a software malicioso
- Es responsabilidad de todos los usuarios el correcto uso de los activos de información y elementos informáticos con el fin de evitar el contagio y propagación de software
- Todos los usuarios deben acogerse a las recomendaciones y buenas prácticas realizadas por la gerencia de Operaciones con el fin de proteger su información frente a software
- Todas las estaciones de trabajo y sistemas de cómputo deben estar protegidos con software antimalware con el fin de proteger frente a amenazas de software
- El software antivirus utilizado debe ser el aprobado por la compañía, en ningún caso podrá instalarse software antivirus diferente al aprobado por el área de Operaciones en los equipos de cómputo de
- El software antivirus / antimalware debe tener la capacidad de realizar actualización automática.
- El área de Operaciones de SISA es el único encargado de la gestión del software antimalware, de la consola y de los agentes instalados en los diferentes equipos de usuario final; ningún usuario diferente al administrador del antimalware podrá desactivar el antivirus o funcionalidades de
- El administrador del software antivirus / antimalware deberá realizar revisiones periódicas a los logs o registros de la herramienta para identificar posibles amenazas que se estén presentando en los equipos de cómputo.
- El administrador del software antivirus / antimalware deberá realizar revisiones periódicas de los equipos reportados a la consola y actualizados correctamente a la fecha, en caso de encontrarse equipos no reportados deberá garantizar su actualización en la siguiente conexión a la red.
- Cualquier usuario que tenga sospecha de que su equipo de cómputo puede estar infectado por malware, virus o códigos maliciosos deberá mantenerlo desconectado, e informar inmediatamente al área de operaciones y seguridad de la información para su revisión.
- Ningún usuario deberá descargar archivos no conocidos o que provengan de fuentes no conocidas, en caso tal que considere que es un archivo confiable deberá hacer escaneo de antivirus con la herramienta instalada para tal
- Los dispositivos externos (discos externos, memorias USB, SD, CD, DVD, etc) autorizados deberán ser analizados por el software antivirus al ingresarse al equipo de cómputo.
- Es responsabilidad del área de Operaciones mantener actualizado todos los componentes de la solución de virus /antimalware.
4.9.4. Política de Backups y Respaldo de la información
Las siguientes directrices se deben cumplir y hacer cumplir por los responsables de los procesos, áreas y propietarios y custodios de los activos de información SISA.
- Toda la información que haya sido clasificada como privada, confidencial o secreta, deberá tener copia de respaldo; el área de operaciones deberá
garantizar los espacios y características técnicas necesarias para que este respaldo se lleve a cabo y se proteja en términos de confidencialidad, integridad y disponibilidad.
- Toda la infraestructura para los sistemas de información, servidores de aplicaciones y bases de datos de producción deben estar asociados a una tarea de backups en las plataformas definidas para cada uno de los
- Se debe mantener registro de la realización y completitud de todas los backups y copias de respaldo realizadas, cumpliendo las frecuencias y tiempos planeados por la gerencia de operaciones (diarios, semanal o mensual), con base a los siguientes lineamientos:
- El registro y la completitud de los backups se deben realizar a través de la plataforma de backups
- Los registros de las copias de respaldo se deben garantizar cada vez que se ejecute un backup y deben estar almacenados en la plataforma de
.
- Se debe realizar seguimiento mensual a la ejecución de las copias de respaldo, registrando las fallas presentadas, con el fin de asegurar el correcto funcionamiento de estas en caso de restauración.
- El área de operaciones deberá realizar y documentar una planeación y programación de las copias de Dentro de la planeación y programación se debe incluir la realización de pruebas de restauración de backups para verificar la integridad de los datos sobre el backup realizado, estas pruebas deberán realizarse por lo menos una vez al año.
- El grupo de auditores a los sistemas de gestión de calidad y de seguridad de la información deberán verificar la realización de estas pruebas de restauración y velar porque se ejecuten correcta y completamente.
- Todas las copias de respaldo deben quedar almacenadas físicamente en un lugar diferente al lugar donde se encuentra la información original, el cual cumpla con las recomendaciones físico-ambientales indicadas por la organización.
- Es responsabilidad de cada usuario realizar depuración de la información que maneja en los sistemas de información, con el fin de evitar ocupación de espacio en disco para información que no sea
- En caso de requerimientos de recuperación de la información el propietario (responsable) del activo de información o el jefe inmediato son los únicos que podrán solicitar la restauración de un backup o la copia de
- Los colaboradores son los responsables de almacenar la información que requiera copias de respaldo en el destino o recurso asignado, o solicitar formalmente la realización de copias de seguridad a información almacenada por fuera de
- Los medios de almacenamiento de copias de respaldo que vayan a ser reutilizados para otras labores técnicas deberán pasar por un proceso de borrado seguro de la información.
- Los medios de almacenamiento de copias de respaldo que vayan a ser eliminados deberán pasar por un proceso de borrado seguro y posteriormente
- El período de retención de la información contenida en las copias de
respaldo se debe realizar de acuerdo con los requisitos del negocio y disposiciones legales.
Con respecto al manejo de información de los equipos de cómputo del personal de SISA se debe tener en cuenta los siguientes lineamientos:
- La herramienta de Ofimática (Word, Excel, PowerPoint), comunicaciones unificadas (Outlook, Teams) y Almacenamiento de Información (OneDrive) es
- Cuando se entrega un computador Nuevo a personal contratado por SISA, previamente se debe configurar que toda la información que se guarde o almacene debe estar en la Carpeta Documentos y que esta se sincronice en OneDrive asignado y configurado por el grupo de soporte
- Se debe automatizar y configurar en el directorio activo un control periódico como mínimo semanal para que el equipo de cómputo del personal de SISA tenga activa la sincronización con
- El personal de SISA, en la carpeta Documentos deberá almacenar sin exclusión toda la información que son relativos a la compañía y en el ejercicio de sus labores, de igual manera podrá generar subcarpetas para su organización y clasificación.
- Las políticas de restauración de la información estarán sujetas a las características de Office365, donde permite a los usuarios restaurar archivos tal y como estaban en cualquier momento de los últimos 30 días.
- Para los empleados de SISA que ya no trabajen en la compañía, la política de retención de la información es por 2 años.
Nota: El incumplimiento de la presente política traerá consigo las consecuencias legales que apliquen a la normativa, reglamento de SISA y las demás disposiciones legales de Ley en cuanto a Seguridad y Privacidad de la Información se refiere.
4.9.5. Registro, seguimiento y auditoría
- El área de operaciones debe realizar monitoreo de los recursos informáticos críticos para el negocio, con el fin de verificar su buen funcionamiento, tener registro y notificaciones de excepciones, fallas o eventos sobre la
- Para todos los sistemas críticos se debe guardar registro de las actividades realizadas por los administradores y El gerente de operaciones deberá garantizar que estos registros se encuentren almacenados con una duración de mínimo (4) meses.
- Todos los activos informáticos (Almacenamientos, aplicaciones, bases de datos, sistemas operativos, equipos de comunicaciones, equipos de seguridad) que almacenan o gestionan información deben estar integrados en los sistemas de monitoreo SIEM, como entre otras herramientas definidas por SISA con el fin de desarrollar la función de monitoreo y auditoría continua y velar por el aseguramiento de la información en términos de confidencialidad, integridad y disponibilidad, como del seguimiento y almacenamiento de los registros y
- Se debe realizar revisiones periódicas (mensuales) de los registros de
actividades realizadas para identificar anomalías sobre la ejecución de tareas en los sistemas de información, esto es responsabilidad de los jefes de áreas.
- Todos los registros y logs generados por los activos críticos deben ser guardados en algún lugar apropiado y seguro frente a cambios y
- Los relojes de todos los sistemas de cómputo deben estar sincronizados a un único punto de sincronismo, este punto a su vez debe estar sincronizado con la hora legal
4.9.6. Instalación de software
- Las instalaciones de software sobre los equipos de cómputo de la compañía deberán estar solicitadas por el jefe del área o responsable del proceso y aprobadas por el área de seguridad de la información.
- El área de la gerencia de operaciones debe llevar el registro del software que se está usando en la compañía, este registro debe incluir las licencias que se están utilizando, quién lo maneja y quién aprobó la instalación.
- En caso de encontrarse algún software no autorizado por la compañía, el área de la gerencia de operaciones deberá desinstalarlo
- Todo software licenciado debe contar con un soporte técnico para garantizar su funcionamiento de manera eficiente con una solución disponible y en un tiempo aceptable, de tal manera que no afecte la operación de SISA.
- Se debe proporcionar capacitación adecuada a los usuarios y al personal técnico en los aspectos de operación y funcionalidad de los nuevos sistemas de información o mejoras a sistemas existentes, antes de su puesta en
- Para todas las actividades técnicas relacionados al manejo de los sistemas actuales y mejorados deben estar completamente soportados por una documentación suficientemente amplia y
4.9.7. Política de Gestión y Remediación de Vulnerabilidades Técnicas
- Para realizar el desarrollo de un ethical hacking o análisis y gestión de vulnerabilidades técnicas o funcionales sobre los activos de información se debe contar con las autorizaciones vía correo electrónico por parte del CISO – Oficial de seguridad de la Información y Ciberseguridad o del Director de Operaciones.
- Los especialistas de ciberseguridad de la Gerencia Noc/Soc, deberá realizar pruebas de vulnerabilidades a la plataforma tecnológica que tenga información clasificada como privada, publica, confidencial o secreta o cualquier infraestructura critica, estas pruebas deben realizarse por lo menos dos (2) veces en el año.
- Los especialistas de ciberseguridad de la Gerencia Noc/Soc, deberá diligenciar a través el formato establecido “Matriz Reporte de Vulnerabilidades” y en la plataforma tecnológica de gestión de tickets, el detalle de los resultados obtenidos en las pruebas de vulnerabilidades, como del correcto registro y creación de los casos en la herramienta de gestión para su respectiva remediación por el área técnica asignada.
- El CISO – Oficial de seguridad de la Información con su equipo de trabajo deberá llevar el registro de seguimiento de la ejecución y cierre de las vulnerabilidades sobre el formato o plataforma tecnológica establecida en el marco del SGSI.
- Las vulnerabilidades identificadas como criticas o altas deberán ser subsanadas en un tiempo no mayor a (60) días calendario a partir de la identificación de
- Durante el periodo de dos meses (60 días calendario) a la fecha del hallazgo reportado de la vulnerabilidad, esta debe ser subsanada, dándole prioridad a las vulnerabilidades críticas o altas, para aquellas vulnerabilidades con una criticidad baja o media deben ser remediadas sobre un tiempo de (3 a 6 meses calendario).
- Durante el tiempo de remediación antes de la ejecución del re-test se deben ejecutar planes de acción sobre las vulnerabilidades identificadas con severidad críticas, bajas, medias o
- Los responsables de cada una de las vulnerabilidades deberán documentar los planes de acción en cada una de las solicitudes creadas para tener evidencias y justificar los planes de remediación.
- Se debe coordinar internamente con los propietarios de los activos de información una ventana de tiempo para la ejecución de pruebas, corrección de las vulnerabilidades técnicas y re-test, esta ventana puede ser solicitada y coordinada a través de los comités de control de cambios de TI y con el V.B. (Visto Bueno) del CISO o del Director de
- El propietario de los activos de información en conjunto con el CISO – Oficial de seguridad de la Información, actualizarán la matriz de riesgos de sus áreas o procesos, incluyendo las vulnerabilidades y amenazas identificadas, sus riesgos asociados y definirán el plan de tratamiento de riesgos correspondiente para su mitigación.
- El CISO – Oficial de seguridad de la Información, debe realizar análisis de los riesgos con los responsables y custodios de los activos de información sobre cualquier adquisición de software o las mejoras a las actuales en operación y que pueden afectar la disponibilidad, integridad y/o confidencialidad. Este análisis deberá realizarse antes de la entrada a producción del software.
- Es responsabilidad de los especialistas de ciberseguridad de la Gerencia Noc/Soc, mantener actualizadas las plataformas de análisis de seguridad para la ejecución de los análisis de vulnerabilidades con el objetivo de tener las ultimas vulnerabilidades registradas y publicadas.
- Los especialistas de ciberseguridad de la Gerencia Noc/Soc, son los responsables de verificar de manera periódica por lo menos de forma semestral la información publicada por parte de los fabricantes y foros de seguridad en relación con nuevas vulnerabilidades identificadas que puedan afectar los sistemas de información de la compañía, dichas vulnerabilidades podrían ser remediadas antes de realizar pruebas y a través de los propietarios de los activos de información, el requerimiento de remediación debe solicitarse a través del área del seguridad de la información vía correo electrónico o en el formato establecido para su coordinación y gestión.
- La Gerencia de Operaciones, debe participar en la definición e implementación de actividades y el diseño de controles tecnológicos según los resultados del análisis de
- El CISO – Oficial de Seguridad de la Información, debe revisar la aplicación y desarrollo de los planes de acción formulados y aprobados para cada una de las vulnerabilidades dentro de los tiempos definidos a partir de su severidad o criticidad.
- El CISO – Oficial de seguridad de la Información, debe brindar B. (Visto Bueno) del diseño e implementación de los controles de seguridad propuestos a través de los planes de acción con el fin de mitigar las vulnerabilidades técnicas y los riesgos de la información identificados.
- Las solicitudes en la plataforma de mesa de servicio que son creadas para remediar
las vulnerabilidades identificadas, se deben documentar con evidencias que permitan identificar que las vulnerabilidades fueron subsanadas por parte del equipo técnico de la gerencia de operaciones o por parte de área técnica correspondiente.
4.10. POLÍTICAS Y PROCEDIMIENTOS DE TRANSFERENCIA DE INFORMACIÓN
- GESTIÓN DE COMUNICACIONES
a) Uso de redes y comunicaciones:
- Todos los puntos de conexión a la red que no se encuentren en uso deberán ser desactivados, igualmente cualquier equipo o elemento activo o pasivo de la red que no se utilice debe ser desactivado y controlado. No está autorizada la instalación de ningún equipo de red, diferente a los equipos que pertenecen a
- El área de operaciones debe proveer seguridad y control de los canales de comunicaciones y redes
- El área de operaciones deberá realizar segmentación de las diferentes redes garantizando al menos los siguientes segmentos: usuarios, servidores, pruebas, DMZ, invitados, internet y terceros; para este último se debe garantizar que cada tercero pertenece a un segmento totalmente independiente de los demás.
- El área de Operaciones deberá controlar el acceso a las redes inalámbricas garantizando que solo se puedan conectar las personas autorizadas.
- El dueño (responsable) de las herramientas de comunicaciones deberá garantizar que los puertos físicos y lógicos de cada herramienta se encuentren siempre restringidos y monitoreados para evitar el acceso no
- No está permitido realizar seguimiento o monitoreo de puertos o tráfico de red, por parte de personas diferentes a las autorizadas por SISA A.
4.10.2. Transferencia de información
- Los colaboradores que requieren transferir interna o externamente información confidencial o secreta deben gestionar la firma del “Acuerdo de confidencialidad”. Adicionalmente, se debe contar con la autorización previa de su jefe inmediato y se deben utilizar los medios aprobados por SISA para tal
- Toda la información que se comparte o se intercambia tanto con áreas internas como con entidades externas debe realizarse velando por la protección de la confidencialidad, integridad y disponibilidad de
- Se deben establecer acuerdos de intercambio de información con las terceras partes. El área jurídica deberá diseñar y divulgar los criterios legales que se deben tener en cuenta para establecer estos acuerdos.
- Los colaboradores de SISA deben cumplir a cabalidad los compromisos y acuerdos de intercambio de información que se hayan establecido con terceras
- Los usuarios internos deben seguir las indicaciones del procedimiento de Transferencia de Información, el cual contiene las directrices para tener en cuenta al momento de intercambiar información catalogada como confidencial o secreta.
- La transferencia o intercambio de información con entes de control y autoridades de supervisión, se rige por las directrices y mecanismos que
dispongan dichos entes de control, siempre y cuando estos den cumplimiento a las políticas de seguridad de SISA.
4.11. ADQUISICIÓN Y MANTENIMIENTO DE LOS SISTEMAS DE INFORMACIÓN
- Requerimientos de seguridad de los sistemas de información
- El área de Operaciones y el área de operaciones deberá documentar y establecer unos requerimientos de seguridad para la adquisición de software o mejoras a los actuales, los cuales deberán aplicarse para todo software que se vaya a utilizar en la compañía, estos requerimientos deben incluir como mínimo: controles de autenticación, asignación de perfiles, asociación con controladores de dominio, control de acceso a los datos, control de sesiones, registros de auditoria, gestión de vulnerabilidades, cifrado de información secreta o confidencial según el caso, implementación de metodologías de desarrollo seguro y manuales de apoyo.
- Todos los colaboradores deben conocer los requisitos de seguridad, con el fin de implementarlos cuando realicen diseños o solicitudes de soluciones de
- Se debe realizar análisis de los riesgos sobre el software que se esté adquiriendo o las mejoras a los ya adquiridos y que pueden afectar la disponibilidad, integridad o Este análisis deberá realizarse antes de la entrada a producción del software.
- Todos los colaboradores son responsables de la revisión y de garantizar que el software o actualizaciones que se está adquiriendo, cumpla con las políticas de seguridad establecidas en la compañía.
- Las dependencias o áreas que requieran contar con software desarrollado a la medida o soluciones de mercado deben solicitarlo al área de TI y Operaciones, quienes definirán los requisitos de seguridad de la información.
4.11.2. Control al procesamiento de los sistemas de información
- Los usuarios de cada sistema de información son responsables de la información que están ingresando, velando por que se cumplan los criterios de confidencialidad, integridad y
- Todos los sistemas de información críticos de la compañía deben tener monitoreo en su capacidad de procesamiento, velando por garantizar el buen funcionamiento y que el procesamiento no sobrepase los umbrales
- Los sistemas de información adquiridos por la compañía deben contemplar un mecanismo de bloqueo temporal o permanente por intentos fallidos de ingreso de acuerdo con la política de control de acceso.
- Los sistemas de información adquiridos por la compañía deben tener módulos separados, aparte los de administración y configuración y aparte los de funcionalidad u operación.
- Todo sistema de información adquirido por la compañía debe desplegar información cuando ocurran errores dentro de la aplicación con el fin de poder enviarlo al soporte del fabricante.
4.12. POLÍTICA DE SEGURIDAD PARA LA RELACIÓN CON PROVEEDORES
- Se debe establecer unos requisitos de seguridad de la información para permitir a los proveedores acceder a activos de información de SISA, estos requisitos deberán ser acordados y aceptados por el proveedor antes del acceso a la información de SISA, e incluirlos en los contratos o acuerdos contractuales celebrados entre las
- El proceso de compras y logística, con el apoyo del CISO – Oficial de Seguridad de la Información, deben asegurar la divulgación, aceptación y cumplimiento de las políticas y procedimientos de seguridad de la información de SISA por parte de los proveedores o contratistas a su
- Cuando un proveedor tenga acceso a la información de SISA, este siempre debe ser supervisado por parte del área de compras y el responsable del proceso involucrado, verificando la prestación de los servicios y las acciones que realiza sobre la información.
- Sin excepción, todos los proveedores o contratistas que presten servicios con relación a consultorías, soluciones tecnológicas, informática, telecomunicaciones, redes, sistemas de información y sobre infraestructura tecnológica, que manejen información en desarrollo de sus obligaciones contractuales deben firmar un “Acuerdo o Compromiso de Confidencialidad de la Información”, con el cual se comprometen a no divulgar, usar o explotar la información confidencial o secreta a la que tengan acceso.
- Sin excepción todos los proveedores o contratistas que presten servicios con relación a consultorías, soluciones tecnológicas, informática, telecomunicaciones, redes, sistemas de información y sobre infraestructura tecnológica de SISA, que manejen datos personales de los clientes o información personal de SISA, deben realizar su tratamiento como encargado del tratamiento conforme a la Política de Protección y Tratamiento de Datos Personales de SISA, la cual debe ser revisada por el proveedor o contratista para su entendimiento y aceptación.
- Los cambios en el suministro de servicios con relación a consultorías, soluciones tecnológicas, informática, telecomunicaciones, redes, sistemas de información y sobre infraestructura tecnológica por parte de los proveedores o contratistas serán gestionados a través del procedimiento de Gestión de Cambios establecido por SISA, mediante el cual la área Gerencia de Operaciones debe garantizar que todo cambio realizado por un proveedor sea coordinado, informado, aprobado y supervisado conforme al procedimiento de gestión de cambios
- Los proveedores o contratistas, que por razón de sus obligaciones contractuales deben tener acceso a la infraestructura tecnológica, se le otorgará acceso a la red de datos siguiendo los procedimientos establecidos y definidos por las áreas de Gerencia de Operaciones y Seguridad de la Información.
- Todo mecanismo o sistema externo utilizado por los proveedores o contratistas para acceder a la plataforma tecnológica de SISA, debe ser autorizado por las áreas de la Gerencia de Operaciones y Seguridad de la Información.
- Todos los proveedores o contratistas que presten servicios con relación a consultorías, soluciones tecnológicas, informática, telecomunicaciones, redes, sistemas de información y sobre infraestructura tecnológica deben dar cumplimiento a las políticas de seguridad de la información y y ciberseguridad, el proceso de gobierno de seguridad de la información puede validar su cumplimiento cuando lo estime
- El proceso de compras y logística debe gestionar los riesgos de seguridad de la información y el plan de tratamiento de riesgos asociados con la cadena de suministro con relación a consultorías, soluciones tecnológicas, informática, telecomunicaciones, redes, sistemas de información y sobre infraestructura tecnológica.
- El software utilizado por los proveedores o contratistas debe ser legal y contar con la respectiva licencia que acredita su
- La relación con los proveedores debe ser equitativa y respetuosa, logrando su compromiso y acompañamiento con la organización, formulando demandas de servicios y productos precisas y confiamos en su creatividad, cumplimiento, calidad y responsabilidad con las mejores prácticas de seguridad de la Información y la ciberseguridad.
- Valoramos el trabajo de nuestros proveedores, aliados y terceros, y en especial los que prestan servicios con relación a consultorías, soluciones tecnológicas, informática, telecomunicaciones, redes, sistemas de información e infraestructura tecnológica, de tal forma que con base a la naturaleza del servicio a contratar y conforme al análisis y criterios definidos para proveedores críticos de la Organización, se acordará con el proveedor, aliados o terceros la selección de algunos como entre otros requisitos de seguridad de la información que se encuentran descritos en el anexo que se titula “ANEXO 1: REQUISITOS DE SEGURIDAD DE LA INFORMACIÓN Y CIBERSEGURIDAD PARA LA CONTRATACIÓN CON PROVEEDORES, ALIADOS Y TERCEROS EN SISA S.A.”, de los cuales hace parte de la presente política de seguridad de la información para su estricto y cabal
- El proceso de Compras, logística e Inventarios en conjunto con el CISO – Oficial de Seguridad de la Información y Ciberseguridad, realizará una evaluación al año a través de reuniones acordadas con los proveedores críticos para determinar el cumplimiento de los requisitos de seguridad de la información acordados en el momento de su contratación.
4.13. GESTIÓN DE EVENTOS E INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN
- Todas las fallas o anomalías que afecten la disponibilidad, integridad y disponibilidad de los activos de información (hardware, software, servicios, recursos humanos, información física y digital) deben ser reportadas oportunamente, como un evento de seguridad de la información y deben ser atendidos de acuerdo con el procedimiento establecido
- Debe existir un listado de los casos considerados como incidentes de seguridad de la información, el responsable del proceso de seguridad deberá generar y mantener actualizado este listado.
- El responsable del área de Operaciones deberá reportar al Oficial de Seguridad de la Información cuando un evento, debilidad o incidente ha sido reportado en los canales de comunicación establecidos.
- Los incidentes de seguridad que estén relacionados con marcos legales o regulatorios deberán reportarse al responsable del proceso de Gestión Jurídica y Contractual para su atención.
- Para todo incidente de seguridad reportado, el profesional de incidentes de seguridad deberá coordinar el equipo apropiado para la correcta resolución del incidente, teniendo en cuenta tareas como identificar el equipo apropiado para la atención, mantener documentado el incidente, realizar correctamente la recolección de evidencias, presentar los informes
- Todo incidente de seguridad que se haya presentado deberá tener una respuesta y un seguimiento hasta su cierre, por lo tanto, debe quedar registro de su gestión y seguimiento, así como la generación y documentación de lecciones
- Debe existir un plan general para la atención de incidentes de manera que todos los involucrados tengan claro previamente cuáles son sus actividades y responsabilidades para la atención del incidente.
- La investigación de incidentes debe ser realizada por personal calificado
para la ejecución de las tareas concernientes.
- En los casos que el análisis del incidente requiera el hallazgo, recaudo, identificación, embalaje, rotulado, transporte y custodia de evidencia tipo digital, se deben emplear procedimientos para esta actividad, preservando las características de integridad, confidencialidad, disponibilidad, no repudio, originalidad y autenticidad, logrando así mantener su valor probatorio para ser presentada en procesos disciplinarios, judiciales y/o administrativos si fuera necesario; SISA será autónomo para contratar este servicio con un proveedor especializado cuando se requiera y se seguirán los procedimientos definidos por él.
4.14. SEGURIDAD DE LA INFORMACIÓN EN LA GESTIÓN DE CONTINUIDAD DEL NEGOCIO
- Se debe identificar y documentar los procesos críticos del negocio e implementar los controles necesarios tanto técnicos como procedimentales para garantizar la continuidad de
- Se debe realizar análisis de riesgos de los activos de información identificando que elementos o activos requieren planes de continuidad.
- Se deben diseñar, documentar y ejecutar planes de continuidad para garantizar que las operaciones, procesos y actividades críticas de la organización continúen siendo disponibles aun en casos de eventos catastróficos.
- Se debe definir, documentar y divulgar al personal involucrado las estrategias y guías para la recuperación ante
- El área de operaciones deberá contar con un plan general de recuperación de desastres en el cual se identifiquen las responsabilidades y las acciones que deben seguir para la recuperación.
- Se debe realizar pruebas periódicas del plan de recuperación, garantizando el éxito de las pruebas y documentando las evidencias y
- Los responsables de procesos críticos del negocio deben revisar periódicamente (cada seis meses) los planes de contingencia que afectan el proceso crítico que tienen a cargo.
- Los planes de contingencia deben ser actualizados de acuerdo con los cambios que hayan sufrido los procesos asociados, estos cambios saldrán de la revisión que se haya
- El Comité de Seguridad de la Información deberá asignar un único responsable de la continuidad del
- La seguridad de la información debe ser considerada como un proceso crítico por lo cual debe tener su planificación de
4.14.1. Directrices y Políticas de Continuidad del Negocio
SISA S.A., en adelante SISA, realiza los procedimientos necesarios para que en un tiempo optimo, ante incidente y/o eventos adversos que afecten sus operaciones, los clientes y partes interesadas continúen recibiendo los servicios que SISA determina como críticos. SISA establece como premisa ante un incidente o catástrofe la preservación de la vida e integridad de sus funcionarios, clientes, proveedores y demás partes interesadas, y el restablecimiento de los servicios y/o productos de manera priorizada de acuerdo con la criticidad para el negocio y los niveles de servicio comprometidos con los clientes tanto internos como externos, se han definido los siguientes lineamientos y/o políticas en las que se enmarca el Plan de Continuidad del Negocio de SISA S.A.:
- SISA S.A. dará cumplimento a las normas ISO 22301 y 27001 conforme a sus versiones vigentes.
- El plan de continuidad de negocio está orientado a la protección de los funcionarios, clientes y proveedores, así como al restablecimiento oportuno de los procesos y/o subprocesos, servicios críticos e infraestructura, frente a incidentes y/o eventos de interrupción o
- Todo el personal de SISA debe conocer el Plan de Continuidad del Negocio y estar entrenado, capacitado en los procedimientos definidos y conocer claramente los roles y responsabilidades que le competen en el marco de la continuidad del negocio, mediante labores periódicas de formación, divulgación y prueba de los Planes de Continuidad del Negocio.
- Apoyar el trabajo colaborativo entre los funcionarios de los procesos y/o subprocesos críticos de la Entidad, en la implementación del Plan de Continuidad del Negocio en apoyo de la Área de Seguridad de la Información.
- En caso de presentarse un incidente significativo se deben aplicar los mecanismos de comunicación apropiados, tanto internos como externos de acuerdo con el presente
- Las etapas de la administración del Plan de Continuidad del Negocio deben ser ejecutadas por cada uno de los procesos y/o subprocesos críticos de la Entidad, con la guía y coordinación de la Área de Seguridad de la Información.
- Los dueños de cada proceso y/o subproceso critico deben designar un Monitor de Continuidad del Negocio y otro Alterno, quienes serán los responsables de apoyar las actividades del programa del Plan de Continuidad del Negocio para el proceso que
- Los dueños de cada proceso y/o subproceso crítico, deben socializar los procedimientos de continuidad del negocio establecidos con todos sus funcionarios a
- Los responsables de las actividades de cada proceso y/o subproceso deben contar con el compromiso de apoyar la continuidad del proceso y con la disponibilidad para el desarrollo de las etapas
- Los servicios de SISA que sean desarrollados por terceros contratados deben disponer de planes de continuidad, para lo cual el área jurídica o funcionario interventor/supervisor del contrato debe solicitar este documento y remitirlo a la Área de Seguridad de la Información, donde se analizará la cobertura de Adicionalmente, se debe verificar que los planes, en lo que corresponden alos servicios convenidos funcionen en las condiciones esperadas.
- La Área de Seguridad de la Información a través del Profesional de Continuidad del Negocio realizara la revisión y/o auditorias de segunda parte necesarias a los terceros contratados, para verificar el cumplimento de la continuidad de los servicios prestados a SISA
S.A.
- Los planes de continuidad deben mantenerse actualizados para lo cual se deben, desarrollar, probar y de ser necesario mejorar de forma periódica o ante cambios significativos en políticas, funcionarios, procedimientos, tecnología entre otros; siendo necesario que en dicha revisión participen los procesos y/o subprocesos involucrados.
4.15. CUMPLIMIENTO
- Todos los colaboradores deben conocer y cumplir los requisitos legales y contractuales que están relacionados con las funciones que cumple dentro de la compañía.
- El proceso de Gestión Jurídica y Contractual deberá definir, documentar y llevar un control de los requisitos legales que la compañía debe cumplir y verificar que se estén llevando a cabo.
- SISA S.A. protege los registros contra la pérdida, destrucción o falsificación, de acuerdo con lo establecido en los requisitos legales vigentes y aplicables a la compañía.
- Todos los colaboradores y terceras partes dentro de la ejecución de actividades de SISA deberán cumplir las leyes de propiedad intelectual y derechos de autor por lo cual solo podrán utilizar material propio de SISA o aquel desarrollado por terceras partes, pero aprobado por
- Se debe incluir en los contratos de trabajo cláusulas correspondientes al cumplimiento de leyes de propiedad intelectual y derechos de
- El responsable del área de Operaciones deberá analizar los términos y las condiciones del uso de licenciamiento del software que se usa en
- Está prohibida la reproducción o uso personal del software que haya adquirido la compañía.
- El proceso de Gestión Jurídica y Contractual en conjunto con el Oficial de Seguridad de la Información deberá revisar, documentar, divulgar e implementar los requerimientos exigidos para la norma de protección de datos
- Todos los colaboradores de SISA deberán conocer las restricciones y requerimientos que exige la norma de protección de datos personales y aplicarlos en sus
- En el contrato de trabajo se debe incluir cláusulas del correcto tratamiento de la información y de los datos personales utilizados en SISA cumpliendo con los requisitos de la
4.15.1. Revisiones de Seguridad de la Información
- El área de Coordinación y Calidad de Procesos realiza o gestiona las auditorías internas al menos una vez al año.
- Los jefes de cada área o responsables de los procesos deben revisar con regularidad el cumplimiento de las políticas y procedimientos del Sistema de Gestión de Seguridad de la Información – SGSI dentro de su área de
4.15.2. Revisión del cumplimiento técnico
- El área de Seguridad de la Información y el área de operaciones debe coordinar la revisión técnica periódica de los sistemas de información y la infraestructura tecnológica utilizados en SISA para determinar el cumplimiento con las políticas y procedimientos del Sistema de Gestión de Seguridad de la Información –
5. ANEXOS
Anexo 1: Requisitos de Seguridad de la Información y Ciberseguridad para La Contratación Con
Proveedores, Aliados Y Terceros En Sisa S.A
6. CONTROL DE CAMBIOS
CONTROL DE CAMBIOS | |||||
No. | Fecha | Cambio /Modificación | Elaboró | Revisó | Aprobó |
1. |
25/09/2017 |
Modificar redacción de algunas políticas e inclusión políticas de proveedores |
Analista de Calidad Mónica Daza |
Director de Operaciones |
Director de Operaciones |
2 |
09/06/2021 |
Inclusión de política de escritorio limpio y pantalla, se agregan lineamientos para uso de equipos de cómputo de escritorio y portátiles, ajuste de redacción en diferentes
políticas, se incorpora nuevo vocabulario. |
Gerente SOC NOC Yull Virgües |
Analista de Calidad Mónica Daza |
Director de Operaciones |
Se actualizó el título del manual de
políticas Se incorporaron las siguientes políticas: · Política de Roles y Responsabilidades · Política de Backup y Respaldo de la información. · Política Administración Cuentas de Usuarios y Contraseñas · Política de Cifrado y Gestión de Llaves Criptográficas · Política de Gestión de Capacidades de Infraestructura TI y Almacenamiento |
CISO |
||||
3 |
03/02/2022 |
Oficial de Seguridad de la Información. |
Coordinador de Calidad y Procesos |
Director de Operaciones |
|
Ronald Cely | Xiomara Castillo | Oscar Gómez | |||
Se actualiza el presente manual, incluyendo las siguientes políticas específicas:
ü Política de gestión y remediación de vulnerabilidades ü Directrices y Políticas de Continuidad del Negocio ü Política Integral de Riesgos de SISA |
CISO |
||||
4 |
16/03/2022 |
Oficial de Seguridad de la
Información. |
Coordinador de Calidad y Procesos | Director de Operaciones | |
Ronald Cely | Xiomara Castillo | Oscar Gómez | |||
5 | 30/08/2022 | Revisión y actualización general Políticas de | Coordinador de | CISO |
GOBIERNO DE SEGURIDAD DE LA
INFORMACIÓN |
CODIGO: SI-PO-001 |
|||||||
MANUAL POLÍTICAS ESPECÍFICAS DE SEGURIDAD DE LA INFORMACIÓN Y CIBERSEGURIDAD | VERSIÓN: 5 | |||||||
FECHA: 30/08/2022 | ||||||||
TIPO: PRIVADO | ||||||||
Seguridad de la Información.
Actualización de la política de seguridad para la relación con proveedores |
CISO
Oficial de Seguridad de la Información. Ronald Cely |
Calidad y Procesos
Viviana Cruz Avila |
Oficial de Seguridad de la Información.
Ronald Cely |
|||||
1. OBJETIVO
Las políticas se establecen al interior de las organizaciones con el fin de dar las directrices necesarias y trazar la ruta que deben seguir las personas para cumplir los objetivos planteados desde la dirección general. Estas políticas se encuentran alineadas con los objetivos de negocio y por lo tanto contribuyen a su cumplimiento.
Para Sistemas Integrales de Informática – SISA S.A., en adelante SISA las políticas de seguridad constituyen un factor muy importante tanto para mantener los procesos internos organizados, como para el establecimiento de un plan de mejora continua.
1.1. OBJETIVOS ESPECÍFICOS
- Definir y establecer los lineamientos de seguridad de la información a seguir por el personal de
- Integrar los requerimientos de seguridad de la información a las actividades, necesidades y objetivos de la organización.
- Brindar los criterios de actuación de las personas que manejan información de SISA, frente al cumplimiento de los requisitos de
2. ALCANCE
Las políticas descritas en este documento son de cumplimiento por los procesos estratégicos, misionales y de apoyo de la compañía y partes interesadas que interactúan con los recursos, elementos y activos de información de SISA S.A. y se construyeron tomando en cuenta la Norma Técnica Colombiana NTC–ISO-IEC 27001:2013 Sistemas de Gestión de la Seguridad de la Información.
3. VOCABULARIO
- Activo de información: En relación con la privacidad de la información, se refiere al activo que contiene información pública que el sujeto obligado genere, obtenga, adquiera, transforme o controle en su calidad de
- Amenaza: Causa potencial de un incidente no deseado, que puede provocar daños a un sistema o a la organización.
- Auditoría: Inspección formal para verificar si se está siguiendo/cumpliendo un estándar o un conjunto de guías, que sus registros son precisos o que las metas de eficiencia y efectividad se están cumpliendo.
- Confidencialidad: Propiedad que determina que la información no se haga disponible ni sea revelada a individuos.
- Continuidad del negocio: Procedimientos y/o procesos para asegurar la continuidad de las operaciones del negocio.
- Control: Medios de gestión del riesgo, incluidas las políticas, procedimientos, directrices, prácticas y estructuras organizativas, que pueden ser de carácter
administrativo, técnico, de gestión o jurídico.
- Copia de seguridad: Copiar los datos para proteger los originales de pérdidas de integridad o disponibilidad.
- Disponibilidad: Propiedad de ser accesible y utilizable sobre demanda por los usuarios autorizados.
- Evento de seguridad de la información: La ocurrencia de un estado del sistema, servicio o red que indica un posible incumplimiento de la política de seguridad de la información o un fallo de las salvaguardias, o una situación previamente desconocida que puede ser relevante para la seguridad.
- Gestión de accesos: Proceso responsable de permitir a los usuarios hacer uso de los servicios de TI, datos u otros activos.
- Gestión de activos: Es una actividad genérica o proceso responsable del seguimiento y la notificación del valor y la propiedad de los activos a lo largo de su ciclo de vida.
- Gestión de la capacidad: Proceso responsable de asegurar que la capacidad de los servicios de TI y de la infraestructura de TI puedan cumplir con los requerimientos acordados, relacionados con la capacidad y el rendimiento de una manera rentable y a
- Gestión de cambios: Proceso responsable del control del ciclo de vida de los cambios, permitiendo la ejecución de los cambios beneficiosos minimizando el impacto en los servicios de TI.
- Incidente de seguridad: Evento único o serie de eventos de seguridad de la información inesperada o no deseado que posean una probabilidad significativa de comprometer las operaciones del negocio y amenazar la seguridad de la información.
- Infraestructura de TI: Todo el hardware, software, redes, instalaciones etc. requeridas para desarrollar, probar, proveer, monitorizar, controlar o soportar aplicaciones y servicios de TI.
- Información: En relación con la seguridad de la información, se refiere a cualquier información o elemento relacionado con el tratamiento de esta (sistemas, soportes, edificios, personas…) que tenga valor para la organización.
- Integridad: Propiedad de exactitud y completitud de la información.
- Internet: El sistema único, interconectado, mundial de redes informáticas comerciales, gubernamentales, educativas y de otro tipo que comparten (a) el conjunto de protocolos especificado por Internet Architecture Board (IAB) y (b) los espacios de nombres y direcciones administrados por Internet Corporation para Nombres y Números Asignados
– ICANN (CSRC, NIST).
- Inventario de activos: Lista de todos aquellos recursos (físicos, de información, software, documentos, servicios, personas, intangibles, ) dentro del alcance del
SGSI, que tengan valor para la organización y necesiten por tanto ser protegidos de potenciales riesgos.
- Monitoreo: Verificación, supervisión, observación crítica o determinación continúa del estado, con el fin de identificar cambios respecto al nivel de desempeño exigido o esperado.
- Parte interesada: Persona u organización que puede afectar, verse afectada o percibirse afectada por una decisión o actividad.
- Política: Intención y dirección generales expresadas formalmente por la Dirección.
- Procedimiento: Manera especificada de llevar a cabo una actividad o un proceso.
- Prueba: Una actividad que verifica que un elemento de configuración, servicio de TI, proceso, cumple con sus especificaciones o requerimientos acordados.
- Redes corporativas: Son todas aquellas redes de conectividad requeridas para soportar la operación de la empresa.
- Revisión: Actividad emprendida para determinar la idoneidad, adecuación y efectividad de la materia para alcanzar los objetivos establecidos.
- Riesgo: Efecto de la incertidumbre sobre los objetivos.
- Servidor: Ordenador que está conectado a la red y que provee funciones de software que son usadas por otros ordenadores.
- Segregación de tareas: Reparto de tareas sensibles entre distintos empleados para reducir el riesgo de un mal uso de los sistemas e informaciones deliberado o por negligencia.
- Seguridad de la información: Preservación de confidencialidad, integridad y disponibilidad de la información.
- SSL – Secure Sockets Layer: En español capa de sockets seguros, mecanismo criptográfico para la seguridad en la capa de transporte.
- Vulnerabilidad: Debilidad de un activo o control que puede ser explotado por una o más amenazas.
4. DESARROLLO
4.1. POLÍTICAS PARA LA SEGURIDAD DE LA INFORMACIÓN
Las políticas específicas de seguridad de la información descritas en el presente documento se encuentran vigentes desde la fecha de su aprobación y no se considera obsoleta. Su aprobación es dada por el Comité de Seguridad de la Información y debe ser publicada y divulgada a toda la organización, tanto a los empleados como a contratistas y partes externas relevantes.
Esta política aplica a todo el contexto de la compañía, todos los colaboradores deben poner en práctica las directrices aquí mencionadas y deben hacer que las personas externas que manejan información de SISA S.A. o de sus clientes, cumplan los lineamientos aquí definidos.
Este documento está compuesto por varios lineamientos o políticas específicas aplicables de acuerdo con la organización de la seguridad; y es construido por temas y dominios propios de la gestión de la seguridad.
Este documento está bajo la responsabilidad del Oficial de Seguridad de la Información
– CISO y/o OSI, se determina que debe ser revisada una vez al año por el Comité de Seguridad de la Información. El CISO es el encargado de gestionar y velar porque esta revisión se lleve a cabo en la periodicidad establecida. Durante la revisión deben tenerse en cuenta aspectos como las oportunidades de mejora, necesidades de cambio, cambios organizacionales, tecnológicos, políticos, de negocio y de estrategia.
Todo incumplimiento por parte de los colaboradores y contratistas de cualquiera de las políticas establecidas en este documento acarreará las sanciones a las que haya lugar, según el Reglamento Interno de Trabajo, y las respectivas acciones penales de la Ley 599 de 2000 por la cual se expide el Código Penal y la Ley 906 de 2004 por la cual se expide el Código de Procedimiento Penal.
Toda excepción a las políticas de este documento debe tramitarse por el director de operaciones y el CISO – Oficial de Seguridad de la Información, estas deben quedar documentadas.
4.2. ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
Los roles y responsabilidades del Sistema de Gestión de Seguridad de la Información – SGSI, SISA S.A. Están definidos en el Manual de Funciones con base a la política de roles y responsabilidades para la seguridad de la información y ciberseguridad, el cual es revisada y aprobada por la Alta dirección en SISA.
- La organización debe establecer un Comité de Seguridad de la información asignando roles y responsabilidades para el cumplimiento de las funciones dentro del marco de
- Cada jefe de área deberá documentar, actualizar y divulgar los roles y las responsabilidades que existen al interior de su área haciendo cumplir las políticas de seguridad
- Los roles existentes en la compañía deben hacer cumplir la segregación de
4.2.1. Política de Roles y Responsabilidades para la Seguridad de la Información y Ciberseguridad
- Propósito
Definir la estructura organizacional relacionada con el SGSI (Sistema de Gestión de Seguridad de la Información) en SISA, donde se describan roles y responsabilidades para la operación, gestión y administración de seguridad de
la información y ciberseguridad. En esta política se definen los roles y responsabilidades de la Seguridad de la Información y Ciberseguridad, específicamente con respecto a la protección y aseguramiento de los activos de información. Esta política se aplica a todos los directivos, funcionarios, colaboradores, contratistas, proveedores y terceros de la entidad sin excepción, en donde cada uno de los cuales cumple un rol en la administración de la seguridad de la información y ciberseguridad. Las personas y/o cargos descritos en el alcance son responsables de mantener un ambiente seguro, en tanto que la Gerencia de Operaciones, la Gerencia del SOC-NOC y el (CISO) Oficial de Seguridad de la Información deben monitorear las políticas de seguridad y ciberseguridad definidas para su aplicabilidad y estricto cumplimiento.
B. Alcance
Esta política aplica a todos los empleados, contratistas, aprendices, practicantes, proveedores y demás grupos de interés que ingresen y operen en las instalaciones de SISA.
C. Directrices
Es importante definir claramente todas las responsabilidades en cuanto a seguridad de la información y ciberseguridad, en especial las relacionadas con el Comité de Seguridad de la Información y Ciberseguridad (o quien haga sus veces) y del (CISO) Oficial de Seguridad de la Información, lo anterior con el fin de establecer las actividades de cada uno de los roles que intervienen en el SGSI (Sistema de Gestión de Seguridad de la Información) y la Ciberseguridad, de igual forma es necesario que las responsabilidades asignadas en el desarrollo del SGSI para cada perfil, sean incorporadas a los manuales de funciones de acuerdo al cargo que desempeñan, para ello se definen los siguientes lineamientos:
D. Apoyo de la Alta Dirección
La Alta Dirección de SISA, debe apoyar activamente la seguridad de la información y ciberseguridad dentro de la entidad, definir un rumbo claro, un compromiso demostrado, una asignación explicita y el conocimiento de las responsabilidades de la seguridad de la información y ciberseguridad a través del Comité de Seguridad de la Información. Este compromiso se verá reflejado a través de:
- Creación al interior de la entidad de un Comité de Seguridad de la Información o uno quien haga sus veces, que sea interdisciplinario de nivel directivo y formalizado por una resolución o acta a nivel interno.
- Asegurar y mantener dentro del grupo de la Alta Dirección un colaborador o funcionario con el perfil de (CISO) Chief Information Security Officer – Oficial de Seguridad de la información y Ciberseguridad, quien será el encargado de la dirección y gestión de todo lo relacionado con la seguridad de la
información cuyas funciones entre otras, estarán caracterizadas y definidas en la presente política y en el respectivo manual de funciones.
- Garantizar que se conforme un equipo de trabajo interdisciplinario para el área o proceso de seguridad de la información y ciberseguridad para su gestión y operación transversal a todos los procesos de la entidad, el cual debe estar direccionada y encabeza del (CISO), de igual manera definir un equipo de trabajo que represente a las diferentes áreas, para el seguimiento, mejoramiento continuo y auditorías al Sistema de Gestión de Seguridad de la Información de SISA.
- Garantizar mediante estrategias institucionalmente definidas el cumplimiento de las políticas de seguridad de la información y de ciberseguridad, para que los directivos, funcionarios, contratistas y terceros de SISA, las conozcan, apliquen y
- Definición, asignación y seguimiento a las responsabilidades asociadas a temas de la seguridad de la información y ciberseguridad, para los diferentes roles que hagan parte del Sistema de Gestión de Seguridad de la Información y la Ciberseguridad.
- La alta dirección de SISA, o el Comité de Seguridad de la Información y Ciberseguridad (o quien haga sus veces), debe apoyar, facilitar y mantener cuando se requiera relaciones con empresas, entidades u organismos que presten asesoría especializada en seguridad de la información y
De igual manera se deben establecer tres niveles diferentes para la dirección estratégica y gestión de seguridad de la información y ciberseguridad, en la participación de la definición y aplicación del SGSI (Sistema de Gestión de Seguridad de la Información) y la Ciberseguridad:
- Estratégico: Dirigir y proveer: Definir los grandes lineamientos directivos o gerenciales para la seguridad de la información y ciberseguridad con base al SGSI (Sistema de Gestión de Seguridad de la Información) y la Ciberseguridad, para coordinar y aprobar los En este nivel se encuentra la Dirección Ejecutiva, el Comité de Seguridad de la Información y Ciberseguridad (o quien haga sus veces) y el (CISO) Oficial de Seguridad de la información y Ciberseguridad.
- Táctico: Implementar y optimizar: Diseñar e Implementar el SGSI (Sistema de Gestión de Seguridad de la Información) y la Ciberseguridad, establecer objetivos concretos / específicos, gestionar los recursos. En este nivel se encuentra el (CISO) Oficial de Seguridad de la Información.
- Operacional: Ejecutar y reportar: Alcanzar los objetivos específicos mediante procesos técnicos. En la administración y gestión de la seguridad de la información y ciberseguridad participan el grupo de
trabajo interdisciplinario del proceso de seguridad de la información, la gerencia del SOC-NOC, gerencia de operaciones y todos los colaboradores de SISA, siguiendo uno o más de los siguientes roles:
- (CISO) Oficial de Seguridad de la información y
- Empleados, funcionarios, colaboradores, contratistas, aprendices, practicantes,
- Gestores o monitores de los diferentes procesos y subprocesos, que apoyen el seguimiento, mejoramiento continuo y auditorías del Sistema de Gestión de Seguridad de la Información.
- Responsables de la información.
- Administradores de
- Profesionales de Seguridad de la Información y/o de
- Gerentes y/o proveedores que participan en el ciclo de vida de los sistemas de información, plataformas y aplicaciones móviles.
E. Roles y Responsabilidades
Comité de Seguridad de la Información y Ciberseguridad (o quien haga sus veces).
El Comité de Seguridad de la Información y Ciberseguridad (o quien haga sus veces), debe estar conformado por miembros de alto nivel de las áreas de SISA, integrado por los siguientes miembros, quienes participarán como miembros permanentes; con voz y voto:
- Dirección Ejecutiva, presidente o su
- Dirección de
- Dirección Administrativa y Financiera.
- Gerente de Operaciones
- Gerente del NOC-SOC.
- (CISO) Oficial de Seguridad de la Información.
El Comité de Seguridad de la Información de SISA, (o quien haga sus veces), ejercerá en materia de seguridad y privacidad de la información y ciberseguridad, entre otras funciones que hayan sido establecidas en SISA, las siguientes:
- Evaluar y aprobar las estrategias de Seguridad y Privacidad de la Información y Ciberseguridad, así como los procesos, procedimientos y metodologías específicas de seguridad y privacidad de la información y continuidad de la operación que requiera SISA, de acuerdo con la dinámica y condiciones de la operación de la entidad y para el adecuado uso y administración de la información y los recursos tecnológicos.
- Fijar directrices institucionales para la aplicación de los mecanismos de protección de la privacidad de la información y los datos personales, como de la seguridad de la información y ciberseguridad.
- Evaluar y aprobar las políticas de alto nivel, complementarias y específicas de seguridad de la información y ciberseguridad; garantizando su difusión y aplicación en la entidad.
- Aprobar el diagnóstico y las actualizaciones que deban realizarse al SGSI (Sistema de Gestión de Seguridad de la Información) y la Ciberseguridad, planes de continuidad del negocio y recuperación de desastres en virtud de los cambios organizacionales, tecnológicos o del entorno de la operación de la
- Asignar responsabilidades asociadas al tema de la seguridad y privacidad de la información y ciberseguridad cuando se
- Velar por el cumplimiento de las políticas de seguridad de la información y ciberseguridad por parte de los empleados, funcionarios, colaboradores, contratistas, aprendices, practicantes y proveedores para que las conozcan, apliquen y
- Emitir recomendaciones a todo nivel sobre la
- Generar y apoyar los planes de socialización, capacitación y apropiación de los temas relacionados con el SGSI (Sistema de Gestión de Seguridad de la Información) y la Ciberseguridad.
(CISO) Oficial de Seguridad de la Información y Ciberseguridad
El Oficial de Seguridad de la información y Ciberseguridad debe desarrollar todas las actividades de dirección para la gestión y operación de seguridad y privacidad de la información y ciberseguridad. SISA, debe contar con un colaborador o funcionario que cumpla con la función de (CISO), que, entre otras responsabilidades, asuma como mínimo las siguientes que conlleva desde el orden estratégico y directivo este rol:
- Formular, definir y actualizar políticas, normas, procedimientos y estándares definidos en el SGSI (Sistema de Gestión de Seguridad de la Información) y la Ciberseguridad.
- Mantener actualizado el análisis y evaluación del riesgo sobre los activos de información de SISA
- Evaluar, apoyar y emitir conceptos técnicos, sobre nuevas soluciones o plataformas tecnológicas a adquirir o implementar en SISA, independiente del área, cuando estas afecten el SGSI (Sistema de Gestión de Seguridad de la Información) y la
- Asesorar en la aplicación de la metodología para el mantenimiento de los planes de contingencia y continuidad del negocio.
- Evaluar y recomendar herramientas que faciliten la labor de seguridad y privacidad de la información y la gestión de la ciberseguridad.
- Promover en SISA la formación, educación y el entrenamiento en seguridad de la información y
- Mantenerse actualizado en los temas de seguridad de la información y ciberseguridad, tales como nuevas amenazas, vulnerabilidades existentes, normatividad, buenas prácticas, entre otras.
- Proyectar, proponer, presentar y someter a consideración del Comité, las políticas, normas, acciones o buenas prácticas necesarias para incorporar y/o aplicar la Dirección y Gestión de Seguridad de la Información y Ciberseguridad en la
- Identificar la brecha entre el Sistema de Gestión de Seguridad de la Información y la situación de la
- Apoyar en la definición y actualización de los acuerdos y cláusulas de confidencialidad, protección de datos personales y la propiedad de la información, con los empleados, funcionarios, colaboradores, contratistas, aprendices, practicantes y proveedores de la
El (CISO) Oficial de Seguridad de la información y Ciberseguridad podrá convocar en todos los niveles diferentes funcionarios para formar grupos interdisciplinarios que apoyen la definición e implementación de los diferentes temas de seguridad de la información y ciberseguridad, independiente del área.
El (CISO) Oficial de Seguridad de la información y Ciberseguridad de SISA, será el encargado de consolidar la información documentada y las evidencias del SGSI (Sistema de Gestión de Seguridad de la Información) y la Ciberseguridad, a fin de brindar ayuda en la toma de decisiones en materia de seguridad y privacidad de la Información.
Esta persona podrá obtener asesoramiento de otros organismos o entidades, con el objeto de optimizar su gestión, se habilitará al (CISO) Oficial de Seguridad de la información y Ciberseguridad el contacto y la comunicación pertinente desde todos los niveles (grupo de la alta dirección, directores, gerentes y jefes) de las áreas, dependencias o unidades organizativas de SISA.
Todas las Áreas, Oficinas asesoras o concejeros, Direcciones, Gerencias, Subdirecciones y demás Oficinas de SISA
Todas las dependencias de la entidad deben tener en cuenta y cumplir los siguientes lineamientos:
- Toda adquisición e implementación de una solución o plataforma tecnológica (hardware o software), debe contar con el visto bueno, concepto técnico y acompañamiento de la Gerencia de Operaciones y del (CISO) Oficial de Seguridad de la Información, en donde se evalúen los aspectos de viabilidad técnica, compatibilidad, capacidad, integridad y disponibilidad, tanto desde la óptica de infraestructura de TI, como de los requisitos de seguridad de la información y
- Con relación a los componentes de sistemas de información, servicios tecnológicos, seguridad informática, hardware, infraestructura tecnológica de redes, almacenamiento y centros de datos; todo requerimiento, incidente, problema o debe ser reportado y tramitado por el área de Soporte N1 de la Gerencia de Operaciones, único medio valido y autorizado para estos
- Los servicios o requerimientos que implique cambios en la infraestructura tecnológica y sistemas de información en pro de garantizar la seguridad de
la información se deben tramitar a través del comité de control de cambios de SISA.
- Con relación a la protección de datos personales, privacidad de la información, seguridad de la información y ciberseguridad; todo requerimiento, evento, incidente, problema o cambio debe ser reportado por los procesos y tramitado por el proceso o área de seguridad de la información y ciberseguridad, único medio valido y autorizado para estos fines a través de la herramienta de gestión de incidentes de seguridad definida o el correo seguridad_informacion@sisa.com.co
- Deben incluir y tener en cuenta los lineamientos y políticas de seguridad y privacidad de la información en la gestión de la contratación con terceros, proveedores y contratistas, así como en la gestión de proyectos, independientemente del tipo de proyecto.
- Apoyar y dar cumplimiento de todas las políticas, normas, manuales y procedimientos de seguridad y privacidad de la información y
- Participar activamente en las estrategias de divulgación y apropiación en temas de seguridad y privacidad de la información y
- Garantizar que la información de propiedad de la entidad y que está a su cargo cumpla con los criterios de disponibilidad, integridad y
- Dar cumplimiento a las políticas y procedimientos establecidos en el Sistema de Gestión de Seguridad de la Información y para la Ciberseguridad en SISA.
Dirección Administrativa y Financiera, Gerencia de Talento Humano y Responsable Legal o Jurídico de SISA
Esta área debe cumplir las funciones de:
- Asegurar que los empleados, funcionarios, colaboradores, proveedores, aliados y contratistas durante el proceso de selección y contratación, comprendan sus responsabilidades, los términos y las condiciones de contratación y que son idóneos en los roles para los que se contratan, por cuanto desde el momento de su vinculación harán parte integral del SGSI (Sistema de Gestión de Seguridad de la Información) y la Ciberseguridad de la
- Asegurar que los empleados y contratistas tomen conciencia y de cumplimiento de sus responsabilidades ante el Sistema de Gestión de Seguridad de la Información de la
- Establecer y divulgar lineamientos sobre las consecuencias del incumplimiento de las políticas de seguridad contenidas en el SGSI (Sistema de Gestión de Seguridad de la Información) y la
- Proteger los intereses de SISA, incorporando un procedimiento como parte del proceso de cambio o terminación de las responsabilidades del empleo o
- Apoyar la capacitación y formación continua en materia de seguridad y privacidad de la información y ciberseguridad de acuerdo con las necesidades y coordinadas previamente con el (CISO) Oficial de Seguridad de la Información.
- Gestionar oportunamente la notificación a todo el personal que se vincule a la entidad, de sus obligaciones respecto del cumplimiento de las Políticas de Seguridad y Privacidad de la Información y de todas las normas, procedimientos y prácticas que de ella se
- Notificar, divulgar y socializar la presente Política a todo el personal, los cambios que en ella se produzcan, la implementación de la suscripción de los compromisos de confidencialidad (entre otros).
- Incorporar dentro de sus procedimientos el cumplimiento de los requisitos de seguridad de la información y ciberseguridad para la contratación con proveedores, colaboradores, funcionarios y aliados, de igual forma la firma de un acuerdo de confidencialidad con los empleados, funcionarios, colaboradores, contratistas, documentos definidos por el (CISO) Oficial de Seguridad de la Información a través del
- Garantizar en el presupuesto para la Seguridad de la Información de la entidad que se incluyan actividades relacionadas con visitas de auditoría y verificación de requisitos establecidos en los contratos con los aliados, proveedores y
- Debe incluir y tener en cuenta los lineamientos y políticas de Seguridad de la información y Ciberseguridad en la gestión de la contratación con terceros, proveedores y
- Exigir para todo contrato con empleados, proveedores, colaboradores, terceros, contratistas, , la firma del acuerdo de confidencialidad y apoyar la supervisión del cumplimiento de las políticas de Seguridad de la Información y ciberseguridad.
Responsable Legal o Jurídico de SISA
Esta área debe cumplir las funciones de:
- Asesorar en materia legal a SISA, en lo que se refiere a la seguridad y privacidad de la información y ciberseguridad.
- Velar por el cumplimiento de la normatividad y requisitos del (SGSI) Sistema de Gestión de Seguridad de la Información, la Ciberseguridad y demás regulaciones que disponga SISA o el Gobierno Nacional de
Gerencia de Operaciones
La Gerencia de Operaciones, debe cumplir la función de apoyar y gestionar los requerimientos e incidentes relacionados a la Seguridad Informática y la parte de implementaciones técnicas de ciberseguridad y ciberdefensa con el propósito de mitigar y contener los riesgos cibernéticos y ataques informáticos, definidos para la operación, administración y comunicación de los sistemas y recursos de tecnología de SISA
Todo lo anterior dentro de los marcos de operación, desarrollo, gobierno, cumplimiento y de buenas prácticas que sean establecidas en la entidad, ejemplo: (Arquitectura Empresarial, ITIL, COBIT, SOA, etc.).
- La Gerencia de Operaciones con apoyo del (CISO) Oficial de Seguridad de la Información debe dar visto bueno, concepto técnico y acompañamiento
a las adquisiciones, consultorías, desarrollos, soluciones o plataformas tecnológicas (Hardware o software), según aplique, considerando su propósito y uso, a fin de garantizar que se cumplan todas las políticas y requerimientos de seguridad de la información y ciberseguridad, en donde se evalúen los aspectos de viabilidad técnica (estudios, diseño, arquitectura), compatibilidad, capacidad, integridad, disponibilidad y confidencialidad.
- Cuando se requiera la integración de plataformas tecnológicas de la entidad con otras entidades, velar por el cumplimiento de las políticas y procedimientos del Sistema de Gestión de Seguridad de la Información y ciberseguridad de la entidad.
- Liderar el desarrollo de políticas específicas relacionadas con el gobierno y la gestión de los servicios de IT que se proveen, con el fin de establecer los lineamientos de uso de los elementos tecnológicos de la entidad, dichas políticas deben ser aprobadas por el Comité de Seguridad de la Información, para su posterior divulgación y comunicación.
- Garantizar que, dentro de la Gerencia de Operaciones, se cuente con un equipo de trabajo técnico con conocimientos en temas de seguridad informática que apoye la implementación, divulgación y el mejoramiento continuo del Sistema de Gestión de Seguridad de la Información y la Políticas asociadas a la
Responsable del Sistema de Gestión de la Calidad
El responsable del Sistema de Gestión de la Calidad de SISA, o en su defecto quien sea propuesto por el Comité de Seguridad de la Información debe coordinar el desarrollo de las auditorías internas periódicas sobre toda la plataforma tecnológica instalada y en operación (software y hardware), incluyendo actividades vinculadas con la seguridad de la información, ciberseguridad y ciberdefensa.
El resultado de estas auditorías debe ser reportado al Comité de Seguridad de la Información con el objetivo de tomar las decisiones encaminadas en el cumplimiento de esta Política, procedimientos y prácticas asociadas al Sistema de Gestión de Seguridad de la Información de SISA.
Empleados, funcionarios, colaboradores, contratistas de SISA
Los usuarios (empleados, funcionarios, colaboradores, contratistas, aprendices y practicantes) de la información y de los sistemas utilizados para su procesamiento son responsables de conocer, dar a conocer y cumplir las Políticas del (SGSI – Sistema de Gestión de Seguridad de la Información) y sus políticas específicas.
Las cuales deben:
- Conocer, comprender y aplicar la Política General del (SGSI) y sus políticas específicas de Seguridad y Privacidad de la Información y de ciberseguridad de SISA, en los procedimientos que apliquen a su
- Llevar a cabo su trabajo, asegurando que sus acciones no producen ningún incumplimiento al Sistema de Gestión de Seguridad de la Información y de la Ciberseguridad de la entidad.
- Comunicar al (CISO) Oficial de Seguridad de la Información las incidencias de seguridad de la información o ciberseguridad que se detecte a través del correo <seguridad_informacion@sisa.com.co> o través de la plataforma tecnológica
- Hacer uso de las mejores prácticas definidas en la entidad para todos los temas relacionados con la seguridad y privacidad de la información y de la
- Cumplir con el acuerdo de confidencialidad firmado con la
Responsables de la Información
El propietario de un activo de información, entendiéndose como tal, aquel que es el responsable de dicho activo, tendrá las siguientes responsabilidades:
- Definir si el activo de información está afectado por la Ley de Protección de Datos y aplicarle en su caso, teniendo en cuenta los lineamientos y directrices definidas por el (CISO) Oficial de Seguridad de la Información, los procedimientos y controles implementados dentro de sus procesos y
- Definir quiénes pueden tener acceso a la información, cómo y cuándo, de acuerdo con la clasificación y valoración interna de la información y la función a desempeñar.
- Informar al (CISO) Oficial de Seguridad de la Información de SISA, cuando detecte cualquier incidente de seguridad de la información y ciberseguridad, para tratarlo y corregirlo mediante la aplicación de
- Implementar las medidas de seguridad de la información necesarias en su área para evitar fraudes, acceso no autorizado a la información, robos o interrupción en los servicios y
- En los casos que aplique, asegurarse que el personal; empleados, contratistas, aprendices, practicantes y proveedores tienen cláusulas de confidencialidad de la información en sus contratos y son conscientes de sus
Responsables del tratamiento de los datos personales
Es la persona que tiene decisión sobre las bases de datos que contengan este tipo de datos de carácter personal y es quien direcciona las actividades de los encargados de los datos personales (quien realiza el tratamiento directamente), teniendo en cuenta la Ley 1581 de 2012 “Protección de Datos Personales”, los deberes y responsabilidades de los responsables y/o encargados del tratamiento de los datos personales son:
- Informar y garantizar el ejercicio de los derechos de los titulares de los datos
- Tramitar las consultas, solicitudes y
- Utilizar únicamente los datos personales que hayan sido obtenidos mediante autorización, a menos que los mismos no la
- Respetar las condiciones de seguridad y privacidad de información del
- Cumplir instrucciones y requerimientos impartidos por la autoridad administrativa o legal
- En SISA los responsables de los procesos y áreas deben reportar las Bases de datos que contengan datos personales al área de Seguridad de la Información para cumplir con el registro ante la plataforma de la SIC (Superintendencia de Industria y Comercio) y demás procesos en cumplimiento de la Ley 1581 de 2012.
Administradores de los Sistemas, Infraestructura y Plataformas de TI
Los administradores de los diferentes sistemas o de las diferentes infraestructuras tecnológicas y plataformas de TI, deben en forma activa implementar las políticas, normas, estándares, formatos y procedimientos, para brindar un nivel apropiado de seguridad y privacidad de la información y ciberseguridad. Deberán:
- Conocer y cumplir la Política del (SGSI) y sus políticas específicas de seguridad y privacidad de la información y de la
- Dentro de sus funciones de administración de los sistemas de información, componentes de infraestructura y plataformas tecnológicas, aplicar los lineamientos, directrices o políticas de seguridad y privacidad de la información y ciberseguridad que le sean comunicadas y correspondan a su línea de administración.
- Informar y tramitar reporte con base a los formatos y procedimientos establecidos al (CISO) Oficial de Seguridad de la Información de SISA, cuando detecte cualquier incidente de seguridad de la información y ciberseguridad, como de sugerir controles o contramedidas para su
- Documentar los aspectos de seguridad informática y de seguridad la información aplicados dentro de su línea de gestión y su respectivo control de cambios.
- Sugerir la implementación de políticas específicas o procedimientos que se requieran como apoyo a la mejora continua de los procesos de la entidad.
Nota: El incumplimiento a la presente política y demás Políticas específicas de Seguridad y Privacidad de la Información traerá consigo las consecuencias legales que apliquen a la normativa, reglamento de SISA y las demás disposiciones legales de Ley en cuanto a Seguridad y Privacidad de la Información se refiere.
4.2.2. Política Integral del Riesgo en SISA S.A.
SISA S.A. implementa Sistemas de Administración de Riesgos, diseñados conforme a su estructura, tamaño, objeto y dimensión y los ha adecuado a la normatividad que le ha resultado aplicable. Para cada uno de los Sistemas de Administración se han establecido las políticas, metodologías y herramientas para identificar, medir, controlar y monitorear
los riesgos a los que se ve expuesta SISA S.A. debido a su actividad.
En SISA S.A estamos comprometidos con el logro de objetivos y metas estratégicas, a través del establecimiento, implementación, operación y cumplimiento de los Sistemas de Administración, Gestión y Tratamiento del Riesgo, de igual forma el tratamiento de los riesgos para la Seguridad de la Información, la Ciberseguridad y la Continuidad del Negocio, cumpliendo con la normatividad ISO 27001 y la legislación vigente.
En cuanto a la administración y gestión de riesgos, incluyendo los riesgos de seguridad de la información y ciberseguridad; SISA S.A declara que los lineamientos y actividades están documentados y son actualizados por los responsables de las áreas o procesos para una adecuada gestión, monitoreo y control de los riesgos; así mismo se debe cumplir con las siguientes directrices:
- Todos los procesos documentados a través del Sistema Integrado de Gestión (mapa de procesos), deben contemplar las actividades de control y seguimiento que permitan mitigar los riesgos identificados y contemplados en la matriz de riesgos del proceso, y su revisión se debe realizar con base en la metodología establecida para tal
- Las modificaciones realizadas a la presente política deben ser expuestas por el proceso de seguridad de la información y ciberseguridad, a través de las reuniones que se convoquen hacia la Alta Dirección o el Comité de Seguridad de la Información y Ciberseguridad y/o Junta Directiva, según corresponda, para validación y posterior presentación y aprobación.
- Para determinar la criticidad de los activos de información, los responsables y/o dueños de los procesos o áreas en conjunto con el personal designado por el responsable del área y proceso de Seguridad de la Información y Ciberseguridad de SISA A., deben identificar, clasificar, etiquetar y evaluar la criticidad de los activos de información con base a los pilares de seguridad de la información y ciberseguridad (Confidencialidad, Integridad y Disponibilidad) que le permitan determinar el grado de importancia de cada uno, así mismo para los niveles de criticidad resultante como “Alto” se deben realizar los análisis y gestión de riesgos para garantizar los más altos niveles y estándares de protección y aseguramiento de la información para la organización, terceros y clientes.
- Los eventos, incidentes y materialización de riesgos de la información deben ser reportados al proceso de Seguridad de la Información y Ciberseguridad en el momento de su identificación, a través del formato, canales o herramientas tecnológicas establecidas para tal
- En caso de presentarse un evento de riesgo o incidente de seguridad de la información cuya materialización afecte de manera crítica el desarrollo normal del proceso o que su impacto tenga repercusiones financieras para la organización, éste debe ser reportado e informado al responsable del proceso de Seguridad de la Información y Ciberseguridad, a través de los mecanismos definidos por la organización para este fin y de acuerdo con el manual de administración y gestión de riesgos de seguridad de la información y ciberseguridad
- El proceso de revisión, identificación y actualización de los riesgos que afectan el cumplimiento de los objetivos de los procesos, se desarrolla con una periodicidad
semestral o como mínimo una vez al año, o en su defecto si se llegare a materializar algún riesgo en cualquier momento se debe realizar la respectiva revisión y actualización.
- En caso de identificarse nuevos riesgos como resultado de la implementación de nuevos productos, procesos o modificación de los existentes, se actualiza la matriz de activos de información y de riesgos correspondiente, con el fin de diseñar e implementar los controles que permitan disminuir la probabilidad de ocurrencia de estos o su impacto en caso de
- En el proceso de identificación y actualización de riesgos, debe considerarse la identificación de riesgos emergentes, entendiéndose estos como aquellos que surgen de cambios en el entorno tecnológico, económico, legal o social que pueda afectar el cumplimiento de los objetivos de SISA A., o sus procesos.
- Los riesgos identificados por los órganos y áreas de control en el desarrollo de sus actividades y los riesgos materializados reportados en las herramientas establecidas por la organización para tal fin deben ser valorados entre el responsable y/o dueño del proceso y el área encargada de la administración del riesgo, para ser considerados en la actualización de la matriz de
- La identificación de los riesgos debe ser realizada por los responsables y/o dueños de los procesos de acuerdo con la metodología establecida en el presente manual, considerando las diferentes tipologías de riesgos para la seguridad de la información y ciberseguridad, financiero, social, y ambiental si aplica, u otra tipología de riesgo definida por el área de administración del riesgo.
- Para la medición de los riesgos se deben emplear mediciones cualitativas o cuantitativas, con base en la información estadísticas obtenida y acorde con la metodología establecida en el presente
- Los responsables y/o dueños de los procesos deben diseñar y documentar los controles para mitigar los riesgos identificados en los procesos y valorar su efectividad, de acuerdo con la metodología establecida en el presente
- El control de los riesgos se debe efectuar mediante la verificación del cumplimiento de los límites aprobados por la Alta dirección y/o Junta Directiva, los cuales mantienen los niveles de exposición dentro de intervalos tolerables según lo definido por SISA A.
- El proceso de Seguridad de la información y Ciberseguridad, es el responsable de verificar el cumplimiento de los límites que han sido formulados para el control de los riesgos de la información y de reportar oportunamente cualquier
- Los planes de acción o mejoramiento para mitigar los riesgos identificados en un nivel de exposición no tolerado deben ser definidos y liderados por los responsables de los procesos, siendo este objeto de seguimiento mensual por las áreas de control y el área de Seguridad de la información y
- El monitoreo de los riesgos, los planes de acción o mejoramiento y los indicadores de SISA A., deben ser realizados por: Los responsables de los procesos, Seguridad de la información y Ciberseguridad y el proceso de Control Interno.
- El responsable del proceso de Seguridad de la información y Ciberseguridad, debe realizar un análisis de los eventos de riesgo registrados en las herramientas o formatos establecidos por la organización para tal fin. Estos análisis podrán ser empleados como insumos para la toma de decisiones en la mejora de los procesos.
- Durante las sesiones de trabajo con los responsables de los procesos o sus delegados, se debe realizar seguimiento a la evolución del perfil para la mitigación del riesgo del proceso y los riesgos asociados.
- El responsable del proceso de Seguridad de la información y Ciberseguridad, debe elaborar y presentar reportes bimensuales sobre el monitoreo de los riesgos de los procesos y subprocesos, así como del estado actual de los planes de tratamiento de los riesgos de la información.
- El responsable del proceso de Control Interno, como parte de sus funciones de revisión y cumplimiento de las áreas y procesos, debe realizar un monitoreo independiente, relacionadas con el diseño, implementación y efectividad de los controles identificados para la mitigación de los riesgos de los diferentes sistemas de gestión de
- El responsable del proceso de Seguridad de la información y Ciberseguridad, debe establecer la metodología para evaluar la efectividad de los controles para mitigar los riesgos de la información.
- SISA debe contar con los mecanismos necesarios tales como: Herramientas informáticas, formatos, políticas y procedimientos para el monitoreo de los cambios en los controles y perfiles de riesgo, y mantener actualizados los mapas de riesgo y su nivel de exposición.
- El Apetito del Riesgo, incluyendo los riesgos de Seguridad de la información y ciberseguridad en SISA, tiene como objetivo mantener como máxima exposición un perfil de riesgo en nivel “Moderado”.
- Sobre los riesgos que, una vez aplicados los controles, permanecen en perfiles o niveles de severidad “Extremo” y “Alto”, los responsables de los procesos deben implementar planes de acción y/o planes de tratamiento de riesgos para fortalecer sus controles y mitigar los
- Los riesgos ubicados en perfiles o niveles “Moderado” y “Bajo”, deben ser objeto de monitoreo y seguimiento mensual dentro de la gestión normal del área, proceso y/o subproceso, con el fin de determinar si es requerido implementar planes de acción y/o plan de tratamiento de riesgos para fortalecer sus
4.3. POLÍTICA PARA USO DE DISPOSITIVOS MÓVILES Y TELETRABAJO
Con el fin de tratar los riesgos de seguridad de la información que implica el uso de dispositivos móviles, SISA S.A. restringe el acceso de dispositivos móviles tales como: Teléfonos inteligentes, equipos de cómputo portátiles, tabletas, entre otros de carácter personal, a las redes alámbricas corporativas, a excepción de los dispositivos móviles
que sean de su propiedad. Para tal efecto, se dispone de redes inalámbricas para visitantes o invitados.
SISA S.A. se reserva el derecho de monitorear y revisar el cumplimiento de la política para dispositivos móviles conectados a las redes inalámbricas o alámbricas, cuando lo estime conveniente.
El uso de dispositivos móviles personales para el cumplimiento de las funciones y actividades por parte de los colaboradores se encuentra totalmente prohibido a menos que se cuente con la autorización por escrito, correo electrónico o ticket a través de su jefe inmediato y del Oficial de Seguridad de la Información, por lo tanto, la organización asigna a cada persona los recursos necesarios para su cargo.
- El uso de equipos portátiles y demás dispositivos móviles propiedad de SISA bajo previa autorización, están permitidos el uso por fuera de las instalaciones de SISA cumpliendo con las siguientes directrices:
- Usarse exclusivamente para actividades propias de sus responsabilidades como trabajador de
- Contar con antivirus instalado y actualizado a la
- Cifrado de medios de almacenamiento (Portátiles).
- Conexión a redes seguras VPN.
- Acceso con contraseña.
· El uso de dispositivos móviles personales (smartphones, portátiles, tablets) deberán cumplir las siguientes directrices:
- No se podrán conectar a las redes corporativas de SISA, a menos que cuente con la autorización del jefe inmediato y del Oficial de Seguridad de la Informacion a través de un ticket a nivel de (requerimientos) o vía correo electrónico.
- En el marco de los compromisos y/o acuerdos de confidencialidad de la información pactados con SISA, se permitirá la transferencia o manejo de la información de SISA por medio de aplicaciones de mensajería instantánea como la aplicación WhatsApp u otros disponibles en el
· La conexión remota a los servicios en red de SISA deberá seguir los siguientes lineamientos:
- Siempre se debe realizar a través de una conexión segura o VPN.
- La conexión segura o VPN será otorgada por El área de Operaciones para todos empleados de SISA con el perfil requerido teniendo en cuenta el nivel y tipo de acceso a la información.
- La conexión seguirá un proceso de autenticación que deberá cumplir con lo especificado en la política asociada al manejo de usuarios y contraseñas seguras.
- Se deberá contar con controles tecnológicos para que el usuario conectado a través de una VPN solo tenga acceso a los recursos internos autorizados por el jefe de área (mínimo privilegio).
- Cuando se requiera conexión remota para terceros deberá estar acompañada por el técnico o especialista designado por el jefe inmediato del área de SISA y se deberá restringir el acceso exclusivamente al recurso que se debe acceder, dar un tiempo limitado de uso y se utilizara a través de la herramienta Microsoft
Teams.
4.4. SEGURIDAD EN EL TALENTO HUMANO
4.4.1. Contratación de personal
- Toda persona contratada (indefinido o temporalmente) deberá firmar un acuerdo de confidencialidad antes de tener acceso a información de SISA clasificada como de uso interno o superior. La copia de este acuerdo de confidencialidad deberá reposar en la hoja de vida del
- Los acuerdos de confidencialidad deben declarar su extensión mínima por un año después de terminada su relación laboral.
- El área de Talento Humano asegurará en el proceso de contratación de personal, la verificación y análisis de antecedentes y referencias judiciales y laborales, con el fin de identificar posibles amenazas a la seguridad de la información.
- Toda persona contratada (indefinido o temporalmente) deberá firmar un acuerdo de cumplimiento de las políticas de seguridad antes de tener acceso a información de uso interno de La copia de este acuerdo de cumplimiento deberá reposar en la hoja de vida del funcionario.
- Toda persona en el momento de ingresar a la compañía deberá recibir la información pertinente sobre las políticas de seguridad y las implicaciones legales que tendrá su
- Una vez el nuevo colaborador haya firmado el contrato, los acuerdos de confidencialidad y seguridad, el área de Talento Humano enviará solicitud al área de Operaciones para la creación de los usuarios y accesos conforme lo haya definido el líder o jefe inmediato y de acuerdo con las políticas y procedimiento de accesos e identidades definidas en la compañía.
4.4.2. Concientizar a los colaboradores en seguridad de la información
- Todos los colaboradores de SISA y los terceros que por sus actividades manejen información clasificada como de uso interno o un nivel de mayor de criticidad, deberán recibir capacitación y concientizar en los temas de seguridad de la información y las políticas de seguridad de la información
- El área de Talento Humano debe incluir la capacitación y formación en temas de seguridad para el personal que maneja la seguridad de la información en Esto debe incluirse en el plan general de formación de la compañía.
- El área de Talento Humano deberá incluir dentro del plan de formación de la compañía las charlas de capacitación en seguridad para todo el personal de acuerdo con validación realizada con el Oficial de Seguridad de la Información. De estas charlas deberá quedar
- El Oficial de Seguridad de la Información deberá promover constantemente los temas de seguridad de la información entre todos los colaboradores de
4.4.3. Desvinculación y/o cambio de rol del funcionario
- En el momento de desvinculación o cambio de rol de un funcionario, el jefe
inmediato debe velar porque el funcionario entregue correcta y ordenadamente su cargo, la información que maneja y los recursos que le hayan sido asignados, así como también el compromiso de entrega del cargo.
- Cuando un funcionario ha finalizado su relación laboral con SISA, su ingreso a las instalaciones de la compañía solo se podrá hacer como visitante; en caso de que requiera tener acceso a la información clasificada como de uso interno o superior deberá tener las autorizaciones pertinentes del dueño o propietario de la información (jefe de área).
- Cuando un funcionario se va a desvincular, el área de Talento Humano o el jefe inmediato del proceso deberá informar inmediatamente al área de operaciones para que sean retirados todos los permisos y accesos que hayan sido asignados a los servicios de tecnología como de los sistemas de información.
- Cuando un funcionario cambia de rol o área, el jefe inmediato deberá informar inmediatamente al área de operaciones para que sean retirados todos los permisos y accesos que hayan sido asignados a los sistemas de información, de igual forma deberá solicitar los nuevos permisos y accesos correspondiente a su nuevo o cambio de cargo o
- Cuando se retira personal o finaliza el contrato laboral por servicios tercerizados, el jefe inmediato o responsable del proceso deberá informar al área de operaciones sobre los retiros para que se eliminen los permisos y accesos que se hayan otorgado a la información o servicios de tecnología.
4.5. GESTIÓN DE ACTIVOS
4.5.1. Inventario de activos de información
- El responsable de área y/o líder de proceso es el propietario y responsable de elaborar el inventario de los activos de información de su área y mantenerlo
- Todos los activos de información deben estar en un inventario o repositorio Este inventario debe tener como mínimo los siguientes campos: tipo de activo, nombre de activo, descripción del activo, ubicación del activo, propietario del activo, custodio del activo, valoración de la criticidad.
- Es deber de cada jefe de área y/o líder de proceso entregar al CISO el inventario de activos de información que están bajo su responsabilidad. El dueño de proceso debe revisar y actualizar esta información por lo menos una vez al año.
- Todos los activos de información pertenecen a la compañía SISA A. y están distribuidos en las diferentes áreas donde se debe asignar un propietario que es el jefe del área y un responsable que es quien realiza cambios al activo.
- Los activos que tengan características similares en cuanto a la responsabilidad, criticidad y clasificación de la información podrán ser agrupados en un solo ítem en el
- Todo jefe de área o líder de proceso es propietario y responsable de la información de su área y como tal tiene la autoridad y la responsabilidad de otorgar y revocar permisos de acceso a esa información siempre que estos cambios no generen un impacto negativo para SISA S.A.
- Todos los colaboradores deberán entregar los activos de información que estén bajo su responsabilidad cuando su relación contractual con SISA haya
finalizado.
4.5.2. Clasificación y etiquetado de la información
- Toda la información debe ser clasificada de acuerdo con su criticidad, sensibilidad, requisitos legales y del negocio con el fin de darle el tratamiento de seguridad adecuado.
- La clasificación de la información se realiza teniendo en cuenta la Metodología de Inventario de Activos, la cual debe ser divulgada y socializada a todos colaboradores con el fin que cada uno realice la clasificación de su información.
- Es deber de cada líder de proceso (propietario del activo) realizar la clasificación de los activos de información que se encuentren bajo su responsabilidad en el inventario de
- Únicamente el propietario del activo podrá cambiar el nivel de clasificación de la información informando al Oficial de Seguridad de la Información sobre el cambio
- El líder de proceso (propietario del activo) deberá informar a los custodios de los activos la clasificación que se ha selección para cada activo de información con el fin de que conozcan la criticidad y apliquen las normas de seguridad y protección de acuerdo con la importancia del activo.
- Según la información que se maneja en SISA se determina los siguientes niveles de clasificación de la información para su aplicabilidad y etiquetado:
- Confidencial: Información disponible sólo para un proceso de la entidad y que en caso de ser conocida por terceros sin autorización puede conllevar un impacto negativo de índole legal, operativa, de pérdida de imagen o económica.
- Privada: Información disponible para todos los procesos de la entidad y que en caso de ser conocida por terceros sin autorización puede conllevar un impacto negativo para los procesos. Esta información es propia de la entidad o de terceros y puede ser utilizada por todos los funcionarios de la entidad para realizar labores propias de los procesos, pero no puede ser conocida por terceros sin autorización del
- Pública: Información que puede ser entregada o publicada sin restricciones a cualquier persona dentro y fuera de la entidad, sin que esto implique daños a terceros ni a las actividades y procesos de la
- Los esquemas y procedimientos adoptados por SISA para el etiquetado de la información, deberá realizarse en función de los niveles de clasificación
4.5.3. Uso Aceptable de los activos de información Control de Navegación Corporativa:
- Todos los usuarios deben tener acceso a internet para el cumplimiento de sus funciones y compromisos de la compañía.
- Los privilegios para la navegación y el uso del servicio de internet estarán limitados exclusivamente para el desarrollo de sus
- Las solicitudes de privilegios diferentes a los dados a nivel corporativo
deberán realizarse por solicitud a través de las herramientas de gestión de requerimientos y debe estar aprobado por el jefe del área y del Oficial de Seguridad de la Información.
- Está prohibido prestar las contraseñas de conexión inalámbrica a internet o habilitar el acceso para compartir el servicio desde el dispositivo corporativo
- El área de seguridad de la información, la gerencia Noc/Soc y los administradores de herramientas de seguridad, podrá monitorear el uso que los usuarios dan al servicio de internet y la navegación que
- El área de Operaciones deberá garantizar la denegación de acceso a sitios restringidos o prohibidos mediante herramientas de control
· El área de Operaciones deberá implantar controles que minimicen el impacto de los riesgos de la información, como:
- Descarga de software de forma no autorizada a través del monitoreo de la herramienta assets u otras herramientas de seguridad
- Descarga de virus a través de
- Transferencia de información a través de protocolos
- El área de Operaciones deberá mantener un listado de las categorías y perfiles de navegación restringidas el cual debe estar aprobado por el CISO y actualizado cada vez que se presente algún cambio.
· Control de Navegación Web en casa o modo Teletrabajo:
- Los usuarios y/o empleados que utilicen equipos de la organización y personales no deben manipular las configuraciones establecidas en las diferentes herramientas tecnológicas y sistemas de información instaladas para el desarrollo de sus
- Los usuarios y/o empleados que utilicen equipos de la organización y personales deben evitar a toda costa el ingreso a paginas webs maliciosas o pornográficas que puedan afectar el desempeño de las herramientas y sistemas
- Los usuarios y/o empleados que utilicen equipos de la organización y personales deben poseer un antivirus instalado y el acceso a la información corporativa requerida para el desarrollo de sus funciones debe ser a través de los canales y aplicaciones tecnológicas suministradas por
- Cumplir con las directrices y políticas definidas en el RUC (Registro Uniforme de Evaluación del Sistema de Gestión en Seguridad, Salud Ocupacional y Ambiente o RUC®).
a) Uso de correo electrónico y mensajería instantánea:
- El uso del correo electrónico personal y herramientas de mensajería está restringido, a excepción únicamente que se utilice para propósitos laborales bajo previa autorización por escrito vía correo electrónico y/o ticket del Jefe
Inmediato y del Oficial de Seguridad de la Información.
- Está prohibido utilizar el sistema de correo corporativo para el desarrollo de actividades políticas, comerciales personales o para la transmisión de mensajes obscenos o
- El envío de archivos con información clasificada como secreta o confidencial deberá ir
- Está totalmente prohibido interceptar o enviar mensajes de terceras
- Los correos masivos serán enviados desde una única área autorizada (Gestión Humana y/o Talento Humano o el área de calidad y procesos).
- El espacio de almacenamiento por usuario o Buzón de Correo (Mail box) será definido por el área de Operaciones asignado según las necesidades de los usuarios, toda solicitud por encima de esa cuota debe ser autorizada por el jefe del área
- El área de Operaciones deberá realizar un monitoreo y análisis de capacidad de la infraestructura donde se aloja el correo con el fin de hacer una evaluación y si es necesario una asignación de cuotas acorde a las capacidades existentes.
b) Uso de equipos de cómputo de escritorio y portátiles:
- Las áreas de Talento Humano, el área de operaciones en conjunto con el área administrativa y financiera, son las únicas áreas autorizadas para tramitar la adquisición, asignación e instalación de equipos de cómputo, requeridos para soportar la operación de los colaboradores y/o
- La instalación, cambios y administración de todo componente de software y hardware es de responsabilidad del área de Operaciones y, por tanto, se debe realizar una solicitud a través de la herramienta de gestión, para los requerimientos de instalación o actualización de software se debe contar con la autorización del jefe inmediato del área y del Oficial de Seguridad de la Información vía correo electrónico o a través de la herramienta de gestión de
- Cualquier traslado de hardware dentro o fuera de las instalaciones de la compañía, debe ser solicitado y autorizado al gerente del área de operaciones y al Oficial de Seguridad de la Informacion vía correo electrónico o a través de la herramienta de gestión de tickets, y sólo la gerencia de operaciones coordinará el traslado de equipos de cómputo.
- El área de Operaciones junto con el área Administrativa y Financiera son los encargados para dar de baja cualquier elemento de hardware de propiedad de SISA, de acuerdo con los criterios y protocolos de seguridad de la información previamente definidos y procedimientos de borrado seguro de la información, con el fin de garantizar que se han eliminado los riesgos de confidencialidad de la información.
- Los equipos de cómputo asignados a los colaboradores podrán movilizarse de acuerdo con los lineamientos del “Procedimiento de Gestión de Activos Fijos” y la Política para uso de dispositivos móviles y
- Se debe cumplir y no modificar la configuración de hardware y software establecido por el área de Operaciones. Si se presenta algún requerimiento de cambio de configuración se debe registrar el requerimiento en la herramienta de gestión, con previa autorización del jefe Inmediato.
- Se prohíbe el uso de medios de almacenamiento extraíbles de carácter personal (USB, celulares, discos externos, CD, DVD, entre otros) para el almacenamiento de información corporativa de SISA, con excepción de aquellos usuarios que, por sus funciones, sean autorizados de forma (correo electrónico, ticket de solicitud o por escrito) por parte del Oficial de Seguridad de la Información y de sus Jefes Inmediatos, notificando al Director de Operaciones y Gerente de Operaciones.
- Toda actividad informática (escaneos de seguridad, ataques de autenticación o de denegación de servicio, entre otros tipos de ataques informáticos) no autorizada que afecte tanto las redes corporativas como los sistemas de información de SISA, está prohibida y dará lugar a los procesos disciplinarios o legales según corresponda.
- Es responsabilidad de todos los usuarios apagar o hibernar los equipos que no estén prestando servicio al finalizar la jornada
- Los equipos de cómputo de escritorio, servidores y equipos de comunicaciones deben conectarse a los puntos de corriente eléctrica identificados como
- SISA no se responsabiliza por daños que puedan sufrir dispositivos móviles
- La seguridad física e integridad de los equipos de cómputo que ingresen a las instalaciones de SISA y que no son de su propiedad, son responsabilidad única y exclusiva de sus propietarios. La empresa no es responsable por estos equipos en ningún
- SISA A. asigna los equipos de cómputo como recurso para el cumplimiento de las funciones y actividades de los colaboradores, por lo tanto, es responsabilidad de ellos dar uso adecuado a estos.
- No está permitido almacenar información en rutas de red o carpetas locales diferentes a los configurados e informados conforme a la “política de backups y respaldo de la información”, por ejemplo: Mis documentos, One Drive, Microsoft Teams, Microsoft SharePoint, en los equipos de cómputo
- No está permitido instalar programas no autorizados por el área de operaciones y seguridad de la información y/o juegos en los celulares y equipos corporativos.
- Los colaboradores del área de operaciones deben verificar la conexión y la disponibilidad de la comunicación ya que no está permitido apagar los celulares en el tiempo de disponibilidad de los servicios, el celular debe ser contestado siempre y si no se encuentra disponible, debe informar a su jefe
- Los cargos administrativos deben contestar el celular corporativo siempre y validar la importancia del requerimiento para definir si puede esperar hasta el inicio de la jornada laboral siguiente o si amerita atención inmediata debido la gravedad del asunto a
4.6. POLÍTICAS DE CONTROL DE ACCESO
4.6.1. Control de acceso a la información
- Toda la información existente en repositorios digitales debe contar con controles de acceso de acuerdo con la clasificación que tiene el activo de información. La información clasificada como: Confidencial y Privada deberá tener controles de acceso por autenticación donde sólo se permita el acceso a aquellos usuarios autorizados.
- El responsable de cada sistema de información debe proporcionar los accesos y permisos a la información a los colaboradores y contratistas para el cumplimiento de las funciones para lo cual fue contratado; según las autorizaciones dadas por el jefe de área
- El responsable del sistema de información entregará el usuario y contraseña para el acceso al sistema de información o a los recursos informáticos que se
- El propietario de cada activo de información debe garantizar que su activo cuenta con controles de acceso para evitar el ingreso de personas que no tienen la autorización pertinente, esto teniendo en cuenta el análisis de riesgos realizado al activo de información.
- El acceso remoto a la información clasificada como: Privada o Confidencial, siempre debe realizar mediante una conexión segura o
- La conexión es controlada mediante perfiles de navegación que el área de Operaciones Sin embargo, se deben bloquear las siguientes categorías para todos los usuarios: Apuestas en línea, blogs, mensajería instantánea, redes sociales, almacenamiento personal y en red, accesos remotos, recursos compartidos, desnudez, pornografía, materiales sexuales, vulnerabilidades de los navegadores, descargas maliciosas, intercambio de archivos/P2P, suplantación de identidad, posibles actividades delictivas, posible software ilegal, código malicioso; ante cualquier excepción se debe solicitar autorización al Oficial de Seguridad de la Información y al Jefe inmediato a través de un ticket o correo electrónico.
- El uso de programas utilitarios se restringe y se controla por el área de Operaciones a fin de asegurar la continuidad en la ejecución de los controles de seguridad de los sistemas y
- El acceso a los códigos fuente de programas deberá estar restringido y controlado con el fin de evitar la introducción de funcionalidades no autorizadas, cambios involuntarios o mantener la confidencialidad de la propiedad intelectual en los sistemas y
- La herramienta para brindar acceso de soporte remoto a equipos corporativos y personales es definida por el área de operaciones y pueden usarse utilidades tecnológicas (free, open source o shareware) como por ejemplo:
- Para todos los colaboradores y terceros se encuentra controlado los accesos a la información, sistemas de información como entre otros activos de la información, en esta línea si posee alguna restricción de acceso a puertos USB, página web no permitidas, entre otro tipo de restricciones en cumplimiento por las políticas de seguridad, ante cualquier activación se debe colocar el requerimiento por herramienta de gestión de tickets, el
administrador que controla los accesos y restricciones deben solicitar la autorización al jefe inmediato y oficial de seguridad de la información por correo electrónico o a través del mismo ticket para su viabilidad y aval. El jefe o responsable del proceso que aprueba debe llevar el control de accesos autorizados en el formato GST-F-003 Perfiles y Gestión de Accesos a Sistemas de Información e Infraestructura Tecnológica.
- Los administradores Funcionales de los Sistemas y de la Información son los propietarios que poseen control total del mismo a nivel funcional y estos deben ser manejados por los jefes de área y/o responsables de los procesos, mediante el cual deben considerar en sus funciones las siguientes directrices:
- Crear usuarios funcionales para el manejo y acceso del sistema y de la información dentro del proceso.
- Contactar al proveedor del sistema si es tercerizado para efectos de mantenimiento y solución de incidentes.
- Brindar perfiles de acceso a la información y al sistema de información de sus subordinados y/o colaboradores para el desarrollo de sus
- Monitoreo mensual de los usuarios activos en los sistemas de información y de la información para verificar que no exista usuarios creados no autorizados o del personal que ya no se encuentre dentro del área o de la compañía
- Reportar al CISO – Oficial de Seguridad de la Información y Ciberseguridad, por cada dos meses, durante los primeros cinco días del tercer mes en el formato establecido y a través del correo electrónico los usuarios y perfiles de acceso por cada sistema de información que sea administrado dentro del proceso y/o la operación.
- Los administradores Técnicos de los Sistemas de información, plataformas e infraestructura tecnológica son los custodios de los activos tecnológicos y brindan soporte técnico de las aplicaciones y son responsables del control y mantenimiento técnico a nivel lógico y físico de la infraestructura tecnológica, esta responsabilidad debe ser manejada por los roles especialistas técnicos designados por la gerencia de operaciones, el cual dentro de sus funciones deben tener en cuenta:
- Para los sistemas de información y gestión de plataformas que implica alguna implementación, administración y configuración técnica; la gerencia de operaciones controla el acceso a las configuraciones de los sistemas a través de los roles, permisos y privilegios que se asignan en el directorio activo de los diferentes usuarios y servicios sobre controladores de dominios y/o módulos de administración super-
- Para aquellos sistemas de información y plataformas que no se administre desde el directorio activo el control de acceso a configuraciones técnicas, se le asigna de manera manual usuarios con privilegios de administrador al personal técnico asignado que custodia y gestiona los servicios de tecnología conforme a su manual de funciones para garantizar y asegurar en términos de confidencialidad el
acceso a la información técnica y el correcto funcionamiento de los activos de tecnología.
- El Gerente de Operaciones genera reporte bimensual hacia al CISO – Oficial de Seguridad de la Información y Ciberseguridad, durante los primeros cinco días del tercer mes en el formato establecido y a través del correo electrónico, la relación de los super-usuarios con perfiles de administrador por cada sistema de información, plataforma y hardware que haga parte de la infraestructura tecnológica (física y virtual) como por ejemplo: (sistemas de información, plataformas y portales web, firewall, switches, servidores, plantas telefónicas y dispositivos de red inalámbricos).
4.6.2. Administración cuentas de usuario y contraseñas
Las siguientes directrices se deben cumplir y hacer cumplir por los responsables de los procesos, empleados, áreas, propietarios y custodios de los activos de información SISA.
- La autenticación en los sistemas informáticos es realizada a través del directorio activo, este usuario y su contraseña no puede ser compartido con ninguna persona interna o externa a la organización, por lo tanto, es personal e
- Cada usuario es responsable por las acciones que se hayan ejecutado con sus credenciales de acceso, por lo cual es deber de cada persona de SISA no prestar ni divulgar sus credenciales y tener mecanismos para evitar que otras personas las
- Todas las contraseñas deben tener una estructura y complejidad para su protección adecuada y para evitar que pueda ser conseguida por otras personas, es responsabilidad de la gerencia de operaciones garantizar que se obliga a tener la complejidad indicada, por lo anterior, las contraseñas deben cumplir con los siguientes criterios:
- Mínimo 8 caracteres
- Al menos uno numérico
- Al menos una Mayúscula
- Al menos un carácter especial
- No se puede reutilizar claves usadas en el último año
- Caducidad de la contraseña cada 45 días.
- Las cuentas que no se hayan utilizado durante los últimos 30 días, deberá ser deshabilitada y reiniciada la contraseña durante 120 días adicionales, en caso tal que no se requiera la información asociada a la cuenta después de este tiempo, podrá ser retirada bajo la autorización del jefe del área a la que pertenecía el usuario de la cuenta.
- Cuando una cuenta tenga cinco intentos de acceso errados, está debe ser inactivada inmediatamente, con un tiempo de bloqueo de 30
- Es responsabilidad de cada usuario cambiar la contraseña al primer inicio de sesión, así como verificar que la contraseña utilizada tiene el nivel de estructura y complejidad
- El uso de usuarios genéricos o usuarios por defecto del fabricante está
prohibido. El primer caso solo es permitido cuando las características técnicas de la herramienta informática así lo requieren, en caso tal deberá existir una aprobación por escrito físico o correo electrónico del jefe de área y un único responsable.
- En ninguna circunstancia se podrá escribir contraseñas en papel o almacenarlas en medios digitales o enviarlas por correo electrónico; en caso tal que se requiera enviar una contraseña esta deberá dar cumplimiento a la Política sobre el uso de controles criptográficos.
- Cuando un usuario tenga sospecha de que su contraseña es conocida por otra persona o fue comprometida, deberá reportarlo al área de seguridad de la información <seguridad_informacion@sisa.com.co> e informar y solicitar el cambio inmediatamente de la misma a través de Servicios Sisa Cloud <serviccloud@sisa.com.co> o el área de Operaciones.
- La creación de cuentas de usuario para acceso a los sistemas de cómputo para colaboradores ya existentes, solo podrán ser solicitadas con la autorización del jefe de área y bajo los procedimientos diseñados para tal
- Los usuarios o cuentas de usuario que traen por defecto las aplicaciones, bases de datos, sistemas operativos o cualquier sistema informático deben ser desactivados, renombrados y en caso tal que se requiera tener el usuario activo debe tener limitaciones en sus
- Las cuentas de usuarios genéricos que deban estar activos deben tener un único responsable.
- Es responsabilidad del jefe de área informar los usuarios y permisos que cada usuario debe tener para el cumplimiento de sus
- Se debe tener un procedimiento que asegure la correcta creación, eliminación y modificación de permisos de usuario de manera ágil y oportuna. Este procedimiento debe divulgarse a todos los interesados de acuerdo con la información que se esté
- Las contraseñas que se utilicen para la administración de servicios de tecnología soportadas en infraestructura tecnológica deben estar salvaguardadas a través de herramientas seguras que apliquen mecanismos de cifrado para minimizar el impacto de los riesgos asociados a la perdida de confidencialidad de la información.
Nota: El incumplimiento de la presente política traerá consigo las consecuencias legales que apliquen a la normativa, reglamento de SISA y las demás disposiciones legales de Ley en cuanto a Seguridad y Privacidad de la Información se refiere.
4.6.3. Revisión de los permisos de acceso
- Los dueños (responsables) de los sistemas de información deben hacer revisiones y monitoreos periódicos (mensualmente) de los usuarios existentes y activos en cada sistema informático, para garantizar que solamente se encuentren vigentes aquellos que realmente lo
- Los administradores de software de áreas diferentes de la gerencia de operaciones deben hacer revisiones periódicas (cada dos meses) de los permisos y accesos que cada usuario tiene al sistema informático para garantizar que cuente solo con los permisos y accesos mínimos a la información que necesita para la ejecución de sus
4.6.4. Control de acceso a Datacenter
- Todo colaborador de SISA que tenga acceso al Datacenter debe velar por el buen funcionamiento y la seguridad dentro de
- El Datacenter debe contar con mecanismos de control de acceso, estos pueden incluir: tarjetas de proximidad, biométricos, puertas seguras, bitácora de ingreso, entre
- El Datacenter debe contar con mecanismos de monitoreo de actividad física estos deben incluir: cámaras, sistemas de alarmas y/o sistemas de
- Las puertas del Datacenter, racks, gabinetes deben permanecer cerradas y
- Las personas que ingresen al Datacenter deben tener una autorización previa, está será solicitada por el jefe inmediato y será autorizada por el responsable del Datacenter (gerencia de operaciones).
- Todo ingreso al Datacenter debe quedar
- Los ingresos al Datacenter deben tener una vigencia conforme al contrato laboral de los empleados autorizados y retirarse el acceso inmediatamente haya terminado el
- En las instalaciones del Datacenter está estrictamente prohibido fumar, tomar o comer y la toma de registros fotográficos o grabar dentro solo se podrá hacer bajo autorización escrita del responsable de
4.6.5. Control de acceso a oficinas
- Todo colaborador de la oficina principal debe contar con tarjeta de proximidad y/o acceso biométrico o en su defecto con la autorización tramitada a través de un responsable o jefe de área o procesos, para el ingreso a las oficinas de SISA de Bogotá. Los colaboradores de SISA de otras sedes y personal externo ingresarán como
- El acceso a diferentes áreas de la compañía debe estar controlado para que solamente puedan ingresar las personas
- Ningún usuario debe intentar ingresar a áreas a las cuales no tiene
- Todo visitante debe registrarse en la recepción presentando un documento que lo identifique y debe estar acompañado en todo momento por el colaborador de SISA a quien visita.
4.7. POLÍTICA DE CIFRADO DE LA INFORMACIÓN Y GESTIÓN DE LLAVES CRIPTOGRÁFICAS
Las siguientes directrices se deben cumplir y hacer cumplir por los responsables de los procesos, áreas y propietarios y custodios de los activos de información SISA.
- SISA S.A. determina los algoritmos y protocolos de cifrado permitidos para uso, y configura los sistemas para permitir únicamente aquellos autorizados, teniendo en cuenta la información de los grupos de interés, a fin de descartar algoritmos de cifrado débiles. Se debe considerar el uso de algoritmos de cifrado simétrico, asimétrico y/o los protocolos SSL/TLS en su versión más reciente y nuevos controles criptográficos que en el futuro estén
- La implementación de controles criptográficos se da en aplicativos, transferencia de información, enlaces de comunicaciones, protección de medios, acceso remoto, firmas digitales, no se permite el uso de herramientas o mecanismos de cifrado de información diferentes a las autorizados por el área de Operaciones
- SISA implementa actividades controladas para la gestión de llaves criptográficas durante todo su ciclo de vida, incluida la generación, almacenamiento, recuperación, distribución, retiro y destrucción de las llaves.
- El periodo de vigencia o cambio de las llaves criptográficas será definido por la organización o cada vez que se sospeche que han perdido su confidencialidad. En el caso de los certificados TSL y SSL la periodicidad puede ser según lo adquirido con el
- El periodo de vigencia de las llaves criptográficas gestionadas por terceros y utilizadas por SISA SA, lo define el tercero que las
- Los controles criptográficos o de cifrado deberán ser seleccionados dentro del marco de gestión de riesgo como mecanismo para reducir el riesgo y exposición de la información en su ciclo de vida.
- Se debe establecer un marco de gestión del control criptográfico en SISA A., y éste deberá estar soportado en los requerimientos de clasificación y tratamiento de la información a través de los procedimientos establecidos.
- Para asegurar la autenticidad, integridad y confidencialidad en las comunicaciones y proteger la privacidad de los mensajes transmitidos en SISA S.A., se debe aplicar tecnologías de PGP o GPG (protocolos de privacidad) para las comunicaciones vía correo electrónico.
- Se deben establecer los criterios y soluciones de cifrado pertinentes que indique respuesta a los siguientes interrogantes con el propósito de gestionar y asegurar las claves de cifrado en términos de integridad, confidencialidad, autenticidad y disponibilidad:
- ¿Quién debe tener llaves (personal, equipos)?
- ¿Cómo se crearán, administrarán y archivarán las claves? o ¿Quién creará las claves?
- ¿Qué tipo de clave se debe crear?
- ¿Qué tamaño de clave se debe crear?
- ¿Cuándo caducarán las llaves?
- ¿Si se requiere una clave de revocación?
- ¿Dónde se almacenarán las claves y revocaciones?
- ¿Cómo se revocarán las llaves?
- ¿Quién necesita firmar una clave?
- Cualquier política de contraseña, incluida la custodia de contraseña
- ¿Quién gestiona las claves?
- ¿Las políticas y procedimientos correspondientes para la gestión de claves?
- En el marco de la gestión y ciclo de vida de la información: Creación, procesamiento, transporte, comunicación, almacenamiento y disposición final; se deben establecer los controles de cifrado necesarios para mantener los niveles de tratamiento de la información en cada etapa del ciclo de
- Para el desarrollo de actividades de control criptográfico, orientadas al acceso a diferentes recursos de la organización, se deberán establecer procesos de autorización, considerando los siguientes aspectos:
- Registro
- Autorización
- Activación
- Implementación del control en usuario (Si aplica)
- Entrega de dispositivos: Tokens, certificados, entre (Se debe formalizar con acta de entrega)
- Solicitud y autorización para el usuario
- Acciones a realizar en caso de pérdida, robo, daño, olvido, entre
- La información asociada a los controles criptográficos deberá ser almacenada y transportada en dispositivos que tengan características de Tamper-proof (A prueba de modificaciones o manipulaciones), especialmente información asociada a:
- Certificados digitales / Llaves
- Semillas criptográficas para generación de números
- En lo referente a los certificados de digital raíz o tokens de autenticación de usuario y semillas de randomización, deberán estar almacenadas en la caja
- Se debe establecer que la responsabilidad de uso del sistema y controles criptográficos recae única y exclusivamente sobre cada persona. Por esta razón en los procesos de entrega de estos dispositivos se deberá firmar un acuerdo de responsabilidad de uso, donde se indique el uso adecuado y las responsabilidades asociadas al uso del control (Certificado digital, token de autenticación, otros), especialmente aquellas asociadas a temas legales y de responsabilidad de su cargo; lo anterior atado a las conductas aplicables del reglamento de trabajo y normativa existente en SISA S.A.
- Los usuarios (empleados) no están autorizados a utilizar controles criptográficos tales como: Cifrado, firmas y certificados digitales; para cualquier actividad comercial
o para manejo de la información de negocio asociada a SISA S.A., sin la debida autorización por escrito de su jefe Inmediato.
- Los usuarios deben mantener copias confiables de los programas del computador que se utilicen, para generar, verificar firmas digitales o para descifrar archivos. El incumplimiento, posibilita que un usuario no pueda probar que firmó un archivo, afectando su posición en casos judiciales, procedimientos de arbitramento o procesos de mediación. También, posibilita la no recuperación de un archivo previamente
- Bajo la aplicabilidad de soluciones de cifrado, se debe evitar generar inconvenientes
a SISA S.A., derivados de la creación de algoritmos propios inseguros, o de la compra de algoritmos propietarios no robustos a un tercero.
- Bajo la aplicabilidad de soluciones de cifrado para firmas digitales, se debe prevenir, que terceros puedan establecer sistemas en Internet que busquen suplantar a los colaboradores o usuarios de SISA A., mediante certificados digitales.
- No repudiación, se requiere que los sistemas de cifrado utilizados para las actividades regulares de SISA A., incluyan funciones de recuperación de llaves.
- No revelar las llaves de cifrado, las llaves de cifrado deben estar protegidas con las medidas de seguridad más Esto requiere que las llaves de cifrado sean a su vez cifradas y almacenadas en archivos u otras locaciones de tal forma que no puedan ser accedidas por personas no autorizadas. Debe utilizarse como repositorio un dispositivo separado o “módulo de seguridad”.
- Para la administración de llaves de cifrado, se debe evitar que un solo colaborador o usuario tenga acceso completo a una llave de cifrado. Si un solo Colaborador conserva la totalidad de una llave de cifrado, podría entonces descifrar otras llaves y tener acceso a información sensitiva; lo cual podría implicar la realización de fraudes, invasión de la privacidad y otros tipos de problemas de carácter
- Se debe dividir las llaves de cifrado en varios componentes, se debe involucrar la creación de dos o más strings de bits, que cuando se combinan forman la llave original, este proceso se puede automatizar a través de hardware, las técnicas descritas en este ítem pueden ser aplicadas también a contraseñas, generadores de semillas de números aleatorios y otros utilizados en procesos relacionados con seguridad criptográfica.
- La administración de llaves criptográficas y certificados digitales gestionados por SISA, deben estar a cargo del área de la Gerencia de Operaciones, mediante el cual se llevarán registro de las actividades relacionadas con su gestión.
- Los colaboradores a quienes les sean asignados llaves criptográficas o certificados digitales reportarán al área de seguridad de la información <seguridad_informacion@sisa.com.co> o mediante la plataforma de gestión de incidentes de seguridad definida, los casos o incidentes que durante su uso o tratamiento fue comprometida, a fin de revocarlas, retirarlas o desactivarlas, así mismo deben almacenarlas de manera segura cuando no las estén utilizando o cuando se ausenten de sus puestos de
- En el caso de utilizar sistemas de gestión de llaves estos deberán estar basados en métodos seguros para generar, distribuir, activar, almacenar, cambiar y obtener acceso a
Nota: El incumplimiento de la presente política traerá consigo las consecuencias legales que apliquen a la normativa, reglamento de SISA y las demás disposiciones legales de Ley en cuanto a Seguridad y Privacidad de la Información se refiere.
4.8. POLÍTICA DE ESCRITORIO Y PANTALLA LIMPIOS
Los colaboradores de SISA deberán conservar su escritorio libre de información de la
empresa, que pueda ser alcanzada, copiada o utilizada por terceros o personal que no tenga autorización para su uso o conocimiento, cada vez que se vayan a retirar de sus puestos de trabajo.
- Al imprimir documentos de carácter confidencial o secreto, éstos deben ser retirados de la impresora
- Los computadores cargarán por defecto el fondo de pantalla de SISA este no podrá ser modificado y deberá permanecer
- Los colaboradores deben bloquear la pantalla de su equipo de cómputo cuando por cualquier motivo se ausenten del puesto de
- SISA configura el bloqueo de sesión automático, después de la inactividad del usuario de cinco (5)
- Los usuarios son responsables y asumen las consecuencias por la pérdida de información que esté bajo su
- Se prohíbe el almacenamiento de información personal en los equipos de cómputo de SISA.
- Los propietarios de los activos deberán implementar controles para reducir el riesgo de daño causado en equipos de cómputo por acciones inadecuadas (consumo de alimentos y/o bebidas, obstrucción de ventilación, ubicación inadecuada, entre otros). En caso de presentarse algún daño, será responsabilidad del
- El escritorio lógico de los equipos de cómputo deberá estar libres de información secreta o
4.9. SEGURIDAD EN LAS OPERACIONES
4.9.1. Responsabilidad en la operación
- Se debe tener claramente definidas y documentadas las responsabilidades y funciones de todo operador o cargo de TI tanto de SISA como de los proyectos administrados por SISA acotado al perfil del cargo que esté
- Se debe tener claramente definidos y documentados los procedimientos de operación, estos deben ser divulgados a todos los colaboradores que los van a utilizar para la ejecución de sus
- Las actividades de cambios efectuadas en la operación de TI tanto interna como de los proyectos administrados por SISA deben controlarse mediante un procedimiento definido y
- El responsable de la operación debe garantizar que todos los cambios que se lleven a cabo sobre la plataforma TI deben estar debidamente documentados y aprobados antes de su ejecución.
- El responsable de la operación debe realizar y evaluar los riesgos y los posibles impactos operativos que conlleva la realización de un cambio sobre la plataforma
- El responsable de la operación debe verificar, monitorear y hacer seguimiento sobre los recursos de las plataformas TI, para hacer los ajustes correspondientes que conlleven a mantener la capacidad necesaria para la operación.
- El área de operaciones deberá mantener ambientes de TI totalmente separados de los de producción a los de pruebas y en caso tal que se llegaré a hacer desarrollo se deberá establecer un ambiente totalmente separado a los otros
4.9.2. Política Gestión de Capacidades de Infraestructura TI y Almacenamiento
Las siguientes directrices se deben cumplir y hacer cumplir por el responsable del proceso de la Gerencia de Operaciones y los demás responsables de los procesos, áreas, propietarios y custodios de los activos de información de SISA:
- El proceso y/o área responsable de garantizar la disponibilidad de capacidad de los servicios de TI, la infraestructura de TI y el aseguramiento tecnológico es la Gerencia de Operaciones, con el fin de gestionar y entregar los recursos de capacidad tecnológica de acuerdo con los requerimientos y necesidades del negocio y con el rendimiento adecuado de una manera rentable y a
- La gerencia de operaciones deberá realizar análisis de capacidad de la infraestructura donde se aloja el correo, la información de los usuarios y de los sistemas de información con el fin de hacer una asignación de cuotas acorde a las capacidades
- Los sistemas de información deberá enviar un mensaje de advertencia cada vez que esté próximo a desbordar la capacidad establecida, si el administrador del sistema o de la infraestructura TI, o el usuario que reciba
el mensaje de advertencia hace caso omiso, el sistema debe notificar al área de seguridad de la información a través del correo seguridad_informacion@sisa.com.co con el fin de identificar si se trata de un incidente de seguridad de la información o de un falso positivo.
- La gerencia de operaciones en conjunto con la gerencia del soc-noc, debe verificar, monitorear y hacer seguimiento sobre los recursos de las plataformas TI, para hacer los ajustes correspondientes que conlleven a mantener la capacidad necesaria para la operación.
- El software antivirus / antimalware debe tener la capacidad de realizar actualización automática.
- Todos los sistemas de información críticos de la compañía deben tener monitoreo en su capacidad de procesamiento y almacenamiento, velando por garantizar el buen funcionamiento y que el procesamiento y el almacenamiento controlado no sobrepase los umbrales
- La Gerencia de Operaciones deberá implementar y operar un modelo de servicios de TI basado en las mejores prácticas nacionales e internacionales como ITIL, ISO 27001 e ISO 20000-1, con el fin de gestionar las capacidades de infraestructura tecnológica, sistemas de información y el almacenamiento de la información de manera controlada y monitoreada (7x24x365) con el fin de garantizar la disponibilidad, confidencialidad e integridad de la información y los servicios de TI, este modelo debe cumplir con el siguiente lineamiento:
- El modelo de servicios de TI para SISA, debe comprender el suministro y operación ininterrumpida (7x24x365) de la infraestructura tecnológica, almacenamiento, copias de seguridad (backup), datacenter, Web hosting dedicado, conectividad, seguridad física y lógica, monitoreo de infraestructura, mesa de ayuda (service desk) y servicios de operación y mantenimiento entre los cuales se tienen: La administración de aplicaciones, administración de infraestructura de servidores, conectividad y seguridad tecnológica, el siguiente modelo ilustra los elementos, servicios y procesos marco que deben considerarse para definir la gestión de la capacidad funcional y tecnológica en SISA.
4.9.3. Protección frente a software malicioso
- Es responsabilidad de todos los usuarios el correcto uso de los activos de información y elementos informáticos con el fin de evitar el contagio y propagación de software
- Todos los usuarios deben acogerse a las recomendaciones y buenas prácticas realizadas por la gerencia de Operaciones con el fin de proteger su información frente a software
- Todas las estaciones de trabajo y sistemas de cómputo deben estar protegidos con software antimalware con el fin de proteger frente a amenazas de software
- El software antivirus utilizado debe ser el aprobado por la compañía, en ningún caso podrá instalarse software antivirus diferente al aprobado por el área de Operaciones en los equipos de cómputo de
- El software antivirus / antimalware debe tener la capacidad de realizar actualización automática.
- El área de Operaciones de SISA es el único encargado de la gestión del software antimalware, de la consola y de los agentes instalados en los diferentes equipos de usuario final; ningún usuario diferente al administrador del antimalware podrá desactivar el antivirus o funcionalidades de
- El administrador del software antivirus / antimalware deberá realizar revisiones periódicas a los logs o registros de la herramienta para identificar posibles amenazas que se estén presentando en los equipos de cómputo.
- El administrador del software antivirus / antimalware deberá realizar revisiones periódicas de los equipos reportados a la consola y actualizados correctamente a la fecha, en caso de encontrarse equipos no reportados deberá garantizar su actualización en la siguiente conexión a la red.
- Cualquier usuario que tenga sospecha de que su equipo de cómputo puede estar infectado por malware, virus o códigos maliciosos deberá mantenerlo desconectado, e informar inmediatamente al área de operaciones y seguridad de la información para su revisión.
- Ningún usuario deberá descargar archivos no conocidos o que provengan de fuentes no conocidas, en caso tal que considere que es un archivo confiable deberá hacer escaneo de antivirus con la herramienta instalada para tal
- Los dispositivos externos (discos externos, memorias USB, SD, CD, DVD, etc) autorizados deberán ser analizados por el software antivirus al ingresarse al equipo de cómputo.
- Es responsabilidad del área de Operaciones mantener actualizado todos los componentes de la solución de virus /antimalware.
4.9.4. Política de Backups y Respaldo de la información
Las siguientes directrices se deben cumplir y hacer cumplir por los responsables de los procesos, áreas y propietarios y custodios de los activos de información SISA.
- Toda la información que haya sido clasificada como privada, confidencial o secreta, deberá tener copia de respaldo; el área de operaciones deberá
garantizar los espacios y características técnicas necesarias para que este respaldo se lleve a cabo y se proteja en términos de confidencialidad, integridad y disponibilidad.
- Toda la infraestructura para los sistemas de información, servidores de aplicaciones y bases de datos de producción deben estar asociados a una tarea de backups en las plataformas definidas para cada uno de los
- Se debe mantener registro de la realización y completitud de todas los backups y copias de respaldo realizadas, cumpliendo las frecuencias y tiempos planeados por la gerencia de operaciones (diarios, semanal o mensual), con base a los siguientes lineamientos:
- El registro y la completitud de los backups se deben realizar a través de la plataforma de backups
- Los registros de las copias de respaldo se deben garantizar cada vez que se ejecute un backup y deben estar almacenados en la plataforma de
.
- Se debe realizar seguimiento mensual a la ejecución de las copias de respaldo, registrando las fallas presentadas, con el fin de asegurar el correcto funcionamiento de estas en caso de restauración.
- El área de operaciones deberá realizar y documentar una planeación y programación de las copias de Dentro de la planeación y programación se debe incluir la realización de pruebas de restauración de backups para verificar la integridad de los datos sobre el backup realizado, estas pruebas deberán realizarse por lo menos una vez al año.
- El grupo de auditores a los sistemas de gestión de calidad y de seguridad de la información deberán verificar la realización de estas pruebas de restauración y velar porque se ejecuten correcta y completamente.
- Todas las copias de respaldo deben quedar almacenadas físicamente en un lugar diferente al lugar donde se encuentra la información original, el cual cumpla con las recomendaciones físico-ambientales indicadas por la organización.
- Es responsabilidad de cada usuario realizar depuración de la información que maneja en los sistemas de información, con el fin de evitar ocupación de espacio en disco para información que no sea
- En caso de requerimientos de recuperación de la información el propietario (responsable) del activo de información o el jefe inmediato son los únicos que podrán solicitar la restauración de un backup o la copia de
- Los colaboradores son los responsables de almacenar la información que requiera copias de respaldo en el destino o recurso asignado, o solicitar formalmente la realización de copias de seguridad a información almacenada por fuera de
- Los medios de almacenamiento de copias de respaldo que vayan a ser reutilizados para otras labores técnicas deberán pasar por un proceso de borrado seguro de la información.
- Los medios de almacenamiento de copias de respaldo que vayan a ser eliminados deberán pasar por un proceso de borrado seguro y posteriormente
- El período de retención de la información contenida en las copias de
respaldo se debe realizar de acuerdo con los requisitos del negocio y disposiciones legales.
Con respecto al manejo de información de los equipos de cómputo del personal de SISA se debe tener en cuenta los siguientes lineamientos:
- La herramienta de Ofimática (Word, Excel, PowerPoint), comunicaciones unificadas (Outlook, Teams) y Almacenamiento de Información (OneDrive) es
- Cuando se entrega un computador Nuevo a personal contratado por SISA, previamente se debe configurar que toda la información que se guarde o almacene debe estar en la Carpeta Documentos y que esta se sincronice en OneDrive asignado y configurado por el grupo de soporte
- Se debe automatizar y configurar en el directorio activo un control periódico como mínimo semanal para que el equipo de cómputo del personal de SISA tenga activa la sincronización con
- El personal de SISA, en la carpeta Documentos deberá almacenar sin exclusión toda la información que son relativos a la compañía y en el ejercicio de sus labores, de igual manera podrá generar subcarpetas para su organización y clasificación.
- Las políticas de restauración de la información estarán sujetas a las características de Office365, donde permite a los usuarios restaurar archivos tal y como estaban en cualquier momento de los últimos 30 días.
- Para los empleados de SISA que ya no trabajen en la compañía, la política de retención de la información es por 2 años.
Nota: El incumplimiento de la presente política traerá consigo las consecuencias legales que apliquen a la normativa, reglamento de SISA y las demás disposiciones legales de Ley en cuanto a Seguridad y Privacidad de la Información se refiere.
4.9.5. Registro, seguimiento y auditoría
- El área de operaciones debe realizar monitoreo de los recursos informáticos críticos para el negocio, con el fin de verificar su buen funcionamiento, tener registro y notificaciones de excepciones, fallas o eventos sobre la
- Para todos los sistemas críticos se debe guardar registro de las actividades realizadas por los administradores y El gerente de operaciones deberá garantizar que estos registros se encuentren almacenados con una duración de mínimo (4) meses.
- Todos los activos informáticos (Almacenamientos, aplicaciones, bases de datos, sistemas operativos, equipos de comunicaciones, equipos de seguridad) que almacenan o gestionan información deben estar integrados en los sistemas de monitoreo SIEM, como entre otras herramientas definidas por SISA con el fin de desarrollar la función de monitoreo y auditoría continua y velar por el aseguramiento de la información en términos de confidencialidad, integridad y disponibilidad, como del seguimiento y almacenamiento de los registros y
- Se debe realizar revisiones periódicas (mensuales) de los registros de
actividades realizadas para identificar anomalías sobre la ejecución de tareas en los sistemas de información, esto es responsabilidad de los jefes de áreas.
- Todos los registros y logs generados por los activos críticos deben ser guardados en algún lugar apropiado y seguro frente a cambios y
- Los relojes de todos los sistemas de cómputo deben estar sincronizados a un único punto de sincronismo, este punto a su vez debe estar sincronizado con la hora legal
4.9.6. Instalación de software
- Las instalaciones de software sobre los equipos de cómputo de la compañía deberán estar solicitadas por el jefe del área o responsable del proceso y aprobadas por el área de seguridad de la información.
- El área de la gerencia de operaciones debe llevar el registro del software que se está usando en la compañía, este registro debe incluir las licencias que se están utilizando, quién lo maneja y quién aprobó la instalación.
- En caso de encontrarse algún software no autorizado por la compañía, el área de la gerencia de operaciones deberá desinstalarlo
- Todo software licenciado debe contar con un soporte técnico para garantizar su funcionamiento de manera eficiente con una solución disponible y en un tiempo aceptable, de tal manera que no afecte la operación de SISA.
- Se debe proporcionar capacitación adecuada a los usuarios y al personal técnico en los aspectos de operación y funcionalidad de los nuevos sistemas de información o mejoras a sistemas existentes, antes de su puesta en
- Para todas las actividades técnicas relacionados al manejo de los sistemas actuales y mejorados deben estar completamente soportados por una documentación suficientemente amplia y
4.9.7. Política de Gestión y Remediación de Vulnerabilidades Técnicas
- Para realizar el desarrollo de un ethical hacking o análisis y gestión de vulnerabilidades técnicas o funcionales sobre los activos de información se debe contar con las autorizaciones vía correo electrónico por parte del CISO – Oficial de seguridad de la Información y Ciberseguridad o del Director de Operaciones.
- Los especialistas de ciberseguridad de la Gerencia Noc/Soc, deberá realizar pruebas de vulnerabilidades a la plataforma tecnológica que tenga información clasificada como privada, publica, confidencial o secreta o cualquier infraestructura critica, estas pruebas deben realizarse por lo menos dos (2) veces en el año.
- Los especialistas de ciberseguridad de la Gerencia Noc/Soc, deberá diligenciar a través el formato establecido “Matriz Reporte de Vulnerabilidades” y en la plataforma tecnológica de gestión de tickets, el detalle de los resultados obtenidos en las pruebas de vulnerabilidades, como del correcto registro y creación de los casos en la herramienta de gestión para su respectiva remediación por el área técnica asignada.
- El CISO – Oficial de seguridad de la Información con su equipo de trabajo deberá llevar el registro de seguimiento de la ejecución y cierre de las vulnerabilidades sobre el formato o plataforma tecnológica establecida en el marco del SGSI.
- Las vulnerabilidades identificadas como criticas o altas deberán ser subsanadas en un tiempo no mayor a (60) días calendario a partir de la identificación de
- Durante el periodo de dos meses (60 días calendario) a la fecha del hallazgo reportado de la vulnerabilidad, esta debe ser subsanada, dándole prioridad a las vulnerabilidades críticas o altas, para aquellas vulnerabilidades con una criticidad baja o media deben ser remediadas sobre un tiempo de (3 a 6 meses calendario).
- Durante el tiempo de remediación antes de la ejecución del re-test se deben ejecutar planes de acción sobre las vulnerabilidades identificadas con severidad críticas, bajas, medias o
- Los responsables de cada una de las vulnerabilidades deberán documentar los planes de acción en cada una de las solicitudes creadas para tener evidencias y justificar los planes de remediación.
- Se debe coordinar internamente con los propietarios de los activos de información una ventana de tiempo para la ejecución de pruebas, corrección de las vulnerabilidades técnicas y re-test, esta ventana puede ser solicitada y coordinada a través de los comités de control de cambios de TI y con el V.B. (Visto Bueno) del CISO o del Director de
- El propietario de los activos de información en conjunto con el CISO – Oficial de seguridad de la Información, actualizarán la matriz de riesgos de sus áreas o procesos, incluyendo las vulnerabilidades y amenazas identificadas, sus riesgos asociados y definirán el plan de tratamiento de riesgos correspondiente para su mitigación.
- El CISO – Oficial de seguridad de la Información, debe realizar análisis de los riesgos con los responsables y custodios de los activos de información sobre cualquier adquisición de software o las mejoras a las actuales en operación y que pueden afectar la disponibilidad, integridad y/o confidencialidad. Este análisis deberá realizarse antes de la entrada a producción del software.
- Es responsabilidad de los especialistas de ciberseguridad de la Gerencia Noc/Soc, mantener actualizadas las plataformas de análisis de seguridad para la ejecución de los análisis de vulnerabilidades con el objetivo de tener las ultimas vulnerabilidades registradas y publicadas.
- Los especialistas de ciberseguridad de la Gerencia Noc/Soc, son los responsables de verificar de manera periódica por lo menos de forma semestral la información publicada por parte de los fabricantes y foros de seguridad en relación con nuevas vulnerabilidades identificadas que puedan afectar los sistemas de información de la compañía, dichas vulnerabilidades podrían ser remediadas antes de realizar pruebas y a través de los propietarios de los activos de información, el requerimiento de remediación debe solicitarse a través del área del seguridad de la información vía correo electrónico o en el formato establecido para su coordinación y gestión.
- La Gerencia de Operaciones, debe participar en la definición e implementación de actividades y el diseño de controles tecnológicos según los resultados del análisis de
- El CISO – Oficial de Seguridad de la Información, debe revisar la aplicación y desarrollo de los planes de acción formulados y aprobados para cada una de las vulnerabilidades dentro de los tiempos definidos a partir de su severidad o criticidad.
- El CISO – Oficial de seguridad de la Información, debe brindar B. (Visto Bueno) del diseño e implementación de los controles de seguridad propuestos a través de los planes de acción con el fin de mitigar las vulnerabilidades técnicas y los riesgos de la información identificados.
- Las solicitudes en la plataforma de mesa de servicio que son creadas para remediar
las vulnerabilidades identificadas, se deben documentar con evidencias que permitan identificar que las vulnerabilidades fueron subsanadas por parte del equipo técnico de la gerencia de operaciones o por parte de área técnica correspondiente.
4.10. POLÍTICAS Y PROCEDIMIENTOS DE TRANSFERENCIA DE INFORMACIÓN
- GESTIÓN DE COMUNICACIONES
a) Uso de redes y comunicaciones:
- Todos los puntos de conexión a la red que no se encuentren en uso deberán ser desactivados, igualmente cualquier equipo o elemento activo o pasivo de la red que no se utilice debe ser desactivado y controlado. No está autorizada la instalación de ningún equipo de red, diferente a los equipos que pertenecen a
- El área de operaciones debe proveer seguridad y control de los canales de comunicaciones y redes
- El área de operaciones deberá realizar segmentación de las diferentes redes garantizando al menos los siguientes segmentos: usuarios, servidores, pruebas, DMZ, invitados, internet y terceros; para este último se debe garantizar que cada tercero pertenece a un segmento totalmente independiente de los demás.
- El área de Operaciones deberá controlar el acceso a las redes inalámbricas garantizando que solo se puedan conectar las personas autorizadas.
- El dueño (responsable) de las herramientas de comunicaciones deberá garantizar que los puertos físicos y lógicos de cada herramienta se encuentren siempre restringidos y monitoreados para evitar el acceso no
- No está permitido realizar seguimiento o monitoreo de puertos o tráfico de red, por parte de personas diferentes a las autorizadas por SISA A.
4.10.2. Transferencia de información
- Los colaboradores que requieren transferir interna o externamente información confidencial o secreta deben gestionar la firma del “Acuerdo de confidencialidad”. Adicionalmente, se debe contar con la autorización previa de su jefe inmediato y se deben utilizar los medios aprobados por SISA para tal
- Toda la información que se comparte o se intercambia tanto con áreas internas como con entidades externas debe realizarse velando por la protección de la confidencialidad, integridad y disponibilidad de
- Se deben establecer acuerdos de intercambio de información con las terceras partes. El área jurídica deberá diseñar y divulgar los criterios legales que se deben tener en cuenta para establecer estos acuerdos.
- Los colaboradores de SISA deben cumplir a cabalidad los compromisos y acuerdos de intercambio de información que se hayan establecido con terceras
- Los usuarios internos deben seguir las indicaciones del procedimiento de Transferencia de Información, el cual contiene las directrices para tener en cuenta al momento de intercambiar información catalogada como confidencial o secreta.
- La transferencia o intercambio de información con entes de control y autoridades de supervisión, se rige por las directrices y mecanismos que
dispongan dichos entes de control, siempre y cuando estos den cumplimiento a las políticas de seguridad de SISA.
4.11. ADQUISICIÓN Y MANTENIMIENTO DE LOS SISTEMAS DE INFORMACIÓN
- Requerimientos de seguridad de los sistemas de información
- El área de Operaciones y el área de operaciones deberá documentar y establecer unos requerimientos de seguridad para la adquisición de software o mejoras a los actuales, los cuales deberán aplicarse para todo software que se vaya a utilizar en la compañía, estos requerimientos deben incluir como mínimo: controles de autenticación, asignación de perfiles, asociación con controladores de dominio, control de acceso a los datos, control de sesiones, registros de auditoria, gestión de vulnerabilidades, cifrado de información secreta o confidencial según el caso, implementación de metodologías de desarrollo seguro y manuales de apoyo.
- Todos los colaboradores deben conocer los requisitos de seguridad, con el fin de implementarlos cuando realicen diseños o solicitudes de soluciones de
- Se debe realizar análisis de los riesgos sobre el software que se esté adquiriendo o las mejoras a los ya adquiridos y que pueden afectar la disponibilidad, integridad o Este análisis deberá realizarse antes de la entrada a producción del software.
- Todos los colaboradores son responsables de la revisión y de garantizar que el software o actualizaciones que se está adquiriendo, cumpla con las políticas de seguridad establecidas en la compañía.
- Las dependencias o áreas que requieran contar con software desarrollado a la medida o soluciones de mercado deben solicitarlo al área de TI y Operaciones, quienes definirán los requisitos de seguridad de la información.
4.11.2. Control al procesamiento de los sistemas de información
- Los usuarios de cada sistema de información son responsables de la información que están ingresando, velando por que se cumplan los criterios de confidencialidad, integridad y
- Todos los sistemas de información críticos de la compañía deben tener monitoreo en su capacidad de procesamiento, velando por garantizar el buen funcionamiento y que el procesamiento no sobrepase los umbrales
- Los sistemas de información adquiridos por la compañía deben contemplar un mecanismo de bloqueo temporal o permanente por intentos fallidos de ingreso de acuerdo con la política de control de acceso.
- Los sistemas de información adquiridos por la compañía deben tener módulos separados, aparte los de administración y configuración y aparte los de funcionalidad u operación.
- Todo sistema de información adquirido por la compañía debe desplegar información cuando ocurran errores dentro de la aplicación con el fin de poder enviarlo al soporte del fabricante.
4.12. POLÍTICA DE SEGURIDAD PARA LA RELACIÓN CON PROVEEDORES
- Se debe establecer unos requisitos de seguridad de la información para permitir a los proveedores acceder a activos de información de SISA, estos requisitos deberán ser acordados y aceptados por el proveedor antes del acceso a la información de SISA, e incluirlos en los contratos o acuerdos contractuales celebrados entre las
- El proceso de compras y logística, con el apoyo del CISO – Oficial de Seguridad de la Información, deben asegurar la divulgación, aceptación y cumplimiento de las políticas y procedimientos de seguridad de la información de SISA por parte de los proveedores o contratistas a su
- Cuando un proveedor tenga acceso a la información de SISA, este siempre debe ser supervisado por parte del área de compras y el responsable del proceso involucrado, verificando la prestación de los servicios y las acciones que realiza sobre la información.
- Sin excepción, todos los proveedores o contratistas que presten servicios con relación a consultorías, soluciones tecnológicas, informática, telecomunicaciones, redes, sistemas de información y sobre infraestructura tecnológica, que manejen información en desarrollo de sus obligaciones contractuales deben firmar un “Acuerdo o Compromiso de Confidencialidad de la Información”, con el cual se comprometen a no divulgar, usar o explotar la información confidencial o secreta a la que tengan acceso.
- Sin excepción todos los proveedores o contratistas que presten servicios con relación a consultorías, soluciones tecnológicas, informática, telecomunicaciones, redes, sistemas de información y sobre infraestructura tecnológica de SISA, que manejen datos personales de los clientes o información personal de SISA, deben realizar su tratamiento como encargado del tratamiento conforme a la Política de Protección y Tratamiento de Datos Personales de SISA, la cual debe ser revisada por el proveedor o contratista para su entendimiento y aceptación.
- Los cambios en el suministro de servicios con relación a consultorías, soluciones tecnológicas, informática, telecomunicaciones, redes, sistemas de información y sobre infraestructura tecnológica por parte de los proveedores o contratistas serán gestionados a través del procedimiento de Gestión de Cambios establecido por SISA, mediante el cual la área Gerencia de Operaciones debe garantizar que todo cambio realizado por un proveedor sea coordinado, informado, aprobado y supervisado conforme al procedimiento de gestión de cambios
- Los proveedores o contratistas, que por razón de sus obligaciones contractuales deben tener acceso a la infraestructura tecnológica, se le otorgará acceso a la red de datos siguiendo los procedimientos establecidos y definidos por las áreas de Gerencia de Operaciones y Seguridad de la Información.
- Todo mecanismo o sistema externo utilizado por los proveedores o contratistas para acceder a la plataforma tecnológica de SISA, debe ser autorizado por las áreas de la Gerencia de Operaciones y Seguridad de la Información.
- Todos los proveedores o contratistas que presten servicios con relación a consultorías, soluciones tecnológicas, informática, telecomunicaciones, redes, sistemas de información y sobre infraestructura tecnológica deben dar cumplimiento a las políticas de seguridad de la información y y ciberseguridad, el proceso de gobierno de seguridad de la información puede validar su cumplimiento cuando lo estime
- El proceso de compras y logística debe gestionar los riesgos de seguridad de la información y el plan de tratamiento de riesgos asociados con la cadena de suministro con relación a consultorías, soluciones tecnológicas, informática, telecomunicaciones, redes, sistemas de información y sobre infraestructura tecnológica.
- El software utilizado por los proveedores o contratistas debe ser legal y contar con la respectiva licencia que acredita su
- La relación con los proveedores debe ser equitativa y respetuosa, logrando su compromiso y acompañamiento con la organización, formulando demandas de servicios y productos precisas y confiamos en su creatividad, cumplimiento, calidad y responsabilidad con las mejores prácticas de seguridad de la Información y la ciberseguridad.
- Valoramos el trabajo de nuestros proveedores, aliados y terceros, y en especial los que prestan servicios con relación a consultorías, soluciones tecnológicas, informática, telecomunicaciones, redes, sistemas de información e infraestructura tecnológica, de tal forma que con base a la naturaleza del servicio a contratar y conforme al análisis y criterios definidos para proveedores críticos de la Organización, se acordará con el proveedor, aliados o terceros la selección de algunos como entre otros requisitos de seguridad de la información que se encuentran descritos en el anexo que se titula “ANEXO 1: REQUISITOS DE SEGURIDAD DE LA INFORMACIÓN Y CIBERSEGURIDAD PARA LA CONTRATACIÓN CON PROVEEDORES, ALIADOS Y TERCEROS EN SISA S.A.”, de los cuales hace parte de la presente política de seguridad de la información para su estricto y cabal
- El proceso de Compras, logística e Inventarios en conjunto con el CISO – Oficial de Seguridad de la Información y Ciberseguridad, realizará una evaluación al año a través de reuniones acordadas con los proveedores críticos para determinar el cumplimiento de los requisitos de seguridad de la información acordados en el momento de su contratación.
4.13. GESTIÓN DE EVENTOS E INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN
- Todas las fallas o anomalías que afecten la disponibilidad, integridad y disponibilidad de los activos de información (hardware, software, servicios, recursos humanos, información física y digital) deben ser reportadas oportunamente, como un evento de seguridad de la información y deben ser atendidos de acuerdo con el procedimiento establecido
- Debe existir un listado de los casos considerados como incidentes de seguridad de la información, el responsable del proceso de seguridad deberá generar y mantener actualizado este listado.
- El responsable del área de Operaciones deberá reportar al Oficial de Seguridad de la Información cuando un evento, debilidad o incidente ha sido reportado en los canales de comunicación establecidos.
- Los incidentes de seguridad que estén relacionados con marcos legales o regulatorios deberán reportarse al responsable del proceso de Gestión Jurídica y Contractual para su atención.
- Para todo incidente de seguridad reportado, el profesional de incidentes de seguridad deberá coordinar el equipo apropiado para la correcta resolución del incidente, teniendo en cuenta tareas como identificar el equipo apropiado para la atención, mantener documentado el incidente, realizar correctamente la recolección de evidencias, presentar los informes
- Todo incidente de seguridad que se haya presentado deberá tener una respuesta y un seguimiento hasta su cierre, por lo tanto, debe quedar registro de su gestión y seguimiento, así como la generación y documentación de lecciones
- Debe existir un plan general para la atención de incidentes de manera que todos los involucrados tengan claro previamente cuáles son sus actividades y responsabilidades para la atención del incidente.
- La investigación de incidentes debe ser realizada por personal calificado
para la ejecución de las tareas concernientes.
- En los casos que el análisis del incidente requiera el hallazgo, recaudo, identificación, embalaje, rotulado, transporte y custodia de evidencia tipo digital, se deben emplear procedimientos para esta actividad, preservando las características de integridad, confidencialidad, disponibilidad, no repudio, originalidad y autenticidad, logrando así mantener su valor probatorio para ser presentada en procesos disciplinarios, judiciales y/o administrativos si fuera necesario; SISA será autónomo para contratar este servicio con un proveedor especializado cuando se requiera y se seguirán los procedimientos definidos por él.
4.14. SEGURIDAD DE LA INFORMACIÓN EN LA GESTIÓN DE CONTINUIDAD DEL NEGOCIO
- Se debe identificar y documentar los procesos críticos del negocio e implementar los controles necesarios tanto técnicos como procedimentales para garantizar la continuidad de
- Se debe realizar análisis de riesgos de los activos de información identificando que elementos o activos requieren planes de continuidad.
- Se deben diseñar, documentar y ejecutar planes de continuidad para garantizar que las operaciones, procesos y actividades críticas de la organización continúen siendo disponibles aun en casos de eventos catastróficos.
- Se debe definir, documentar y divulgar al personal involucrado las estrategias y guías para la recuperación ante
- El área de operaciones deberá contar con un plan general de recuperación de desastres en el cual se identifiquen las responsabilidades y las acciones que deben seguir para la recuperación.
- Se debe realizar pruebas periódicas del plan de recuperación, garantizando el éxito de las pruebas y documentando las evidencias y
- Los responsables de procesos críticos del negocio deben revisar periódicamente (cada seis meses) los planes de contingencia que afectan el proceso crítico que tienen a cargo.
- Los planes de contingencia deben ser actualizados de acuerdo con los cambios que hayan sufrido los procesos asociados, estos cambios saldrán de la revisión que se haya
- El Comité de Seguridad de la Información deberá asignar un único responsable de la continuidad del
- La seguridad de la información debe ser considerada como un proceso crítico por lo cual debe tener su planificación de
4.14.1. Directrices y Políticas de Continuidad del Negocio
SISA S.A., en adelante SISA, realiza los procedimientos necesarios para que en un tiempo optimo, ante incidente y/o eventos adversos que afecten sus operaciones, los clientes y partes interesadas continúen recibiendo los servicios que SISA determina como críticos. SISA establece como premisa ante un incidente o catástrofe la preservación de la vida e integridad de sus funcionarios, clientes, proveedores y demás partes interesadas, y el restablecimiento de los servicios y/o productos de manera priorizada de acuerdo con la criticidad para el negocio y los niveles de servicio comprometidos con los clientes tanto internos como externos, se han definido los siguientes lineamientos y/o políticas en las que se enmarca el Plan de Continuidad del Negocio de SISA S.A.:
- SISA S.A. dará cumplimento a las normas ISO 22301 y 27001 conforme a sus versiones vigentes.
- El plan de continuidad de negocio está orientado a la protección de los funcionarios, clientes y proveedores, así como al restablecimiento oportuno de los procesos y/o subprocesos, servicios críticos e infraestructura, frente a incidentes y/o eventos de interrupción o
- Todo el personal de SISA debe conocer el Plan de Continuidad del Negocio y estar entrenado, capacitado en los procedimientos definidos y conocer claramente los roles y responsabilidades que le competen en el marco de la continuidad del negocio, mediante labores periódicas de formación, divulgación y prueba de los Planes de Continuidad del Negocio.
- Apoyar el trabajo colaborativo entre los funcionarios de los procesos y/o subprocesos críticos de la Entidad, en la implementación del Plan de Continuidad del Negocio en apoyo de la Área de Seguridad de la Información.
- En caso de presentarse un incidente significativo se deben aplicar los mecanismos de comunicación apropiados, tanto internos como externos de acuerdo con el presente
- Las etapas de la administración del Plan de Continuidad del Negocio deben ser ejecutadas por cada uno de los procesos y/o subprocesos críticos de la Entidad, con la guía y coordinación de la Área de Seguridad de la Información.
- Los dueños de cada proceso y/o subproceso critico deben designar un Monitor de Continuidad del Negocio y otro Alterno, quienes serán los responsables de apoyar las actividades del programa del Plan de Continuidad del Negocio para el proceso que
- Los dueños de cada proceso y/o subproceso crítico, deben socializar los procedimientos de continuidad del negocio establecidos con todos sus funcionarios a
- Los responsables de las actividades de cada proceso y/o subproceso deben contar con el compromiso de apoyar la continuidad del proceso y con la disponibilidad para el desarrollo de las etapas
- Los servicios de SISA que sean desarrollados por terceros contratados deben disponer de planes de continuidad, para lo cual el área jurídica o funcionario interventor/supervisor del contrato debe solicitar este documento y remitirlo a la Área de Seguridad de la Información, donde se analizará la cobertura de Adicionalmente, se debe verificar que los planes, en lo que corresponden alos servicios convenidos funcionen en las condiciones esperadas.
- La Área de Seguridad de la Información a través del Profesional de Continuidad del Negocio realizara la revisión y/o auditorias de segunda parte necesarias a los terceros contratados, para verificar el cumplimento de la continuidad de los servicios prestados a SISA
S.A.
- Los planes de continuidad deben mantenerse actualizados para lo cual se deben, desarrollar, probar y de ser necesario mejorar de forma periódica o ante cambios significativos en políticas, funcionarios, procedimientos, tecnología entre otros; siendo necesario que en dicha revisión participen los procesos y/o subprocesos involucrados.
4.15. CUMPLIMIENTO
- Todos los colaboradores deben conocer y cumplir los requisitos legales y contractuales que están relacionados con las funciones que cumple dentro de la compañía.
- El proceso de Gestión Jurídica y Contractual deberá definir, documentar y llevar un control de los requisitos legales que la compañía debe cumplir y verificar que se estén llevando a cabo.
- SISA S.A. protege los registros contra la pérdida, destrucción o falsificación, de acuerdo con lo establecido en los requisitos legales vigentes y aplicables a la compañía.
- Todos los colaboradores y terceras partes dentro de la ejecución de actividades de SISA deberán cumplir las leyes de propiedad intelectual y derechos de autor por lo cual solo podrán utilizar material propio de SISA o aquel desarrollado por terceras partes, pero aprobado por
- Se debe incluir en los contratos de trabajo cláusulas correspondientes al cumplimiento de leyes de propiedad intelectual y derechos de
- El responsable del área de Operaciones deberá analizar los términos y las condiciones del uso de licenciamiento del software que se usa en
- Está prohibida la reproducción o uso personal del software que haya adquirido la compañía.
- El proceso de Gestión Jurídica y Contractual en conjunto con el Oficial de Seguridad de la Información deberá revisar, documentar, divulgar e implementar los requerimientos exigidos para la norma de protección de datos
- Todos los colaboradores de SISA deberán conocer las restricciones y requerimientos que exige la norma de protección de datos personales y aplicarlos en sus
- En el contrato de trabajo se debe incluir cláusulas del correcto tratamiento de la información y de los datos personales utilizados en SISA cumpliendo con los requisitos de la
4.15.1. Revisiones de Seguridad de la Información
- El área de Coordinación y Calidad de Procesos realiza o gestiona las auditorías internas al menos una vez al año.
- Los jefes de cada área o responsables de los procesos deben revisar con regularidad el cumplimiento de las políticas y procedimientos del Sistema de Gestión de Seguridad de la Información – SGSI dentro de su área de
4.15.2. Revisión del cumplimiento técnico
- El área de Seguridad de la Información y el área de operaciones debe coordinar la revisión técnica periódica de los sistemas de información y la infraestructura tecnológica utilizados en SISA para determinar el cumplimiento con las políticas y procedimientos del Sistema de Gestión de Seguridad de la Información –
5. ANEXOS
Anexo 1: Requisitos de Seguridad de la Información y Ciberseguridad para La Contratación Con
Proveedores, Aliados Y Terceros En Sisa S.A
6. CONTROL DE CAMBIOS
CONTROL DE CAMBIOS | |||||
No. | Fecha | Cambio /Modificación | Elaboró | Revisó | Aprobó |
1. |
25/09/2017 |
Modificar redacción de algunas políticas e inclusión políticas de proveedores |
Analista de Calidad Mónica Daza |
Director de Operaciones |
Director de Operaciones |
2 |
09/06/2021 |
Inclusión de política de escritorio limpio y pantalla, se agregan lineamientos para uso de equipos de cómputo de escritorio y portátiles, ajuste de redacción en diferentes
políticas, se incorpora nuevo vocabulario. |
Gerente SOC NOC Yull Virgües |
Analista de Calidad Mónica Daza |
Director de Operaciones |
Se actualizó el título del manual de
políticas Se incorporaron las siguientes políticas: · Política de Roles y Responsabilidades · Política de Backup y Respaldo de la información. · Política Administración Cuentas de Usuarios y Contraseñas · Política de Cifrado y Gestión de Llaves Criptográficas · Política de Gestión de Capacidades de Infraestructura TI y Almacenamiento |
CISO |
||||
3 |
03/02/2022 |
Oficial de Seguridad de la Información. |
Coordinador de Calidad y Procesos |
Director de Operaciones |
|
Ronald Cely | Xiomara Castillo | Oscar Gómez | |||
Se actualiza el presente manual, incluyendo las siguientes políticas específicas:
ü Política de gestión y remediación de vulnerabilidades ü Directrices y Políticas de Continuidad del Negocio ü Política Integral de Riesgos de SISA |
CISO |
||||
4 |
16/03/2022 |
Oficial de Seguridad de la
Información. |
Coordinador de Calidad y Procesos | Director de Operaciones | |
Ronald Cely | Xiomara Castillo | Oscar Gómez | |||
5 | 30/08/2022 | Revisión y actualización general Políticas de | Coordinador de | CISO |
GOBIERNO DE SEGURIDAD DE LA
INFORMACIÓN |
CODIGO: SI-PO-001 |
|||||||
MANUAL POLÍTICAS ESPECÍFICAS DE SEGURIDAD DE LA INFORMACIÓN Y CIBERSEGURIDAD | VERSIÓN: 5 | |||||||
FECHA: 30/08/2022 | ||||||||
TIPO: PRIVADO | ||||||||
Seguridad de la Información.
Actualización de la política de seguridad para la relación con proveedores |
CISO
Oficial de Seguridad de la Información. Ronald Cely |
Calidad y Procesos
Viviana Cruz Avila |
Oficial de Seguridad de la Información.
Ronald Cely |
|||||
Click para descargar Requisito Seguridad de la Información (257 descargas)
EL ALIADO Y/O PROVEEDOR Y/O CONTRATISTA Y/O TERCERO como oferente se compromete al cumplimiento de las siguientes directrices, normas, políticas de seguridad y ciberseguridad de SISA S.A. bajo el siguiente alcance:
POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN
Definir, aprobar, formalizar, publicar y comunicar hacia todos los empleados las políticas y directrices corporativas relacionadas con la seguridad de la información, esta política debe ser creada considerando las buenas prácticas y contener cómo mínimo los siguientes temas: Control de acceso, control de cambios, clasificación y manejo de la información, seguridad física y ambiental, roles y responsabilidades con la seguridad de la información, gestión de eventos e incidentes de seguridad, escritorios y pantallas limpias, equipos desatendidos, gestión segura de contraseñas, uso aceptable de la red, los canales de comunicaciones, el internet, el correo electrónico, el software, los recursos informáticos, entre otros. Con base en esta política se deberá establecer un conjunto de estándares, técnicas o procedimientos necesarios para tratar adecuadamente todos los aspectos de seguridad de la información presentados en dicha política.
GESTIÓN DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN
Garantizar la identificación, el análisis, la evaluación y el tratamiento de los riesgos de seguridad propios y de sus terceros subcontratados que hacen parte de la cadena de suministros de los servicios prestados a SISA S.A.
Exigir el manejo adecuado y seguro de los servicios tecnológicos a los terceros subcontratados, cuando estos pueden o tiene el acceso a la información de SISA S.A.
Contar con la metodología y los procedimientos adecuados para identificar y gestionar oportunamente los riesgos sobre la información cuando esta es conocida y manejada por terceros.
Informar cada mes durante la vigencia del contrato a SISA S.A., los riesgos de la información identificados junto con su análisis de criticidad y planes de tratamiento, esto con el fin de actualizar el panorama de riesgos y tener el entendimiento de los impactos que estos tendrán sobre el negocio y las operaciones.
Como parte de la gestión de riesgos se debe contar con un repositorio de eventos e incidentes, los cuales deben ser analizados y tratados oportunamente.
CONCIENCIACIÓN, EDUCACIÓN Y CAPACITACIÓN EN SEGURIDAD DE LA INFORMACIÓN
Brindar a los empleados vinculados a los servicios que son prestados a SISA S.A., la educación y la formación apropiada en seguridad de la información y ciberseguridad, cuyos programas deberán dictarse por lo menos una vez al año y ser impartidas en el proceso de inducción de los nuevos aliados, proveedores o terceros. Los programas de capacitación deberán evidenciarse a través de los registros de participación y evaluación.
SEGURIDAD DEL RECURSO HUMANO
Realizar las verificaciones de antecedentes de todos los candidatos a un empleo, considerando las leyes, regulaciones y la ética pertinente. Estas verificaciones deben ser proporcionales a los requisitos del negocio y a la clasificación o sensibilidad de la información a ser utilizada por el cargo.
Los acuerdos contractuales con los empleados y contratistas deben establecer las consideraciones y responsabilidades de seguridad de la información.
Los empleados o el personal a cargo del proveedor deben recibir la educación y la formación apropiada en concienciación de seguridad y ciberseguridad, recibiendo regularmente las actualizaciones de las políticas y de los procedimientos de seguridad de la información que sean aplicables al cargo que se está desempeñando.
Contar con un proceso formal y comunicado hacia el interior de su organización, para emprender acciones contra los empleados que hayan cometido violaciones a la seguridad de la información.
Las responsabilidades y los deberes de los empleados o contratistas para con la seguridad o la confidencialidad de la información después de la terminación o el cambio de funciones laborales deben estar definidos, comunicados y aceptados. Es común encontrar estos requisitos en los clausulados de los contratos laborales.
CONTROL DE ACCESO
Los derechos o permisos de acceso a las instalaciones de procesamiento de datos de los empleados, usuarios externos y proveedores subcontratados deben ser restringidos de acuerdo con las necesidades de acceso requeridas para el desarrollo de las funciones laborales y deben ser deshabilitados, eliminados o modificados una vez haya terminado o cambiado el acuerdo contractual laboral.
ADMINISTRACIÓN DE LOS SISTEMAS
Proporcionar los recursos de seguridad necesarios para impedir que la información de SISA S.A. sea extraída en medios de almacenamiento externos.
Implementar un comprensivo y aprobado proceso de gestión de incidentes sobre los sistemas y la información, que incluya: la identificación, respuesta, recuperación y la revisión posterior a la implementación de los planes de acción o tratamiento. Los eventos que afecten la operación de los servicios prestados a SISA S.A. deben ser notificados a través de los canales definidos y establecidos por SISA S.A. Este proceso debe incluir la identificación y gestión de los eventos e incidentes de ciberseguridad.
Contar con controles y alarmas que informen sobre el estado de los canales y las aplicaciones o sistemas utilizados en la operación, permitiendo a su vez identificar y corregir las fallas oportunamente. (Funciones de monitorización sobre la plataforma tecnológica)
Establecer los procedimientos de seguridad a seguir cuando se encuentre evidencia de la alteración o manipulación de los dispositivos o de la información.
SEGURIDAD FÍSICA
El acceso a las instalaciones y oficinas debe ser controlado en pro de proteger la información sensible o confidencial y prevenir el robo de documentos y equipos.
El acceso a las áreas de procesamiento de datos, los centros de cableado y a las zonas de alto uso de información confidencial deber ser restringido y monitoreado.
Proteger a: Las instalaciones, los centros de procesamiento de datos y cableado, los equipos y los servicios de tecnología, contra ataques maliciosos, daños accidentales, amenazas naturales y acceso físico no autorizado.
CIBERSEGURIDAD
Contar con las capacidades y recursos idóneos para la atención oportuna de eventos e incidentes de ciberseguridad que puedan afectar los servicios prestados a SISA S.A. El proceso de gestión de incidentes de seguridad debe contar con actividades para la prevención, protección, detección, respuesta, comunicaciones, recuperación y aprendizaje de dichos eventos e incidentes de seguridad informática y ciberseguridad.
Notificar oportunamente al área de Seguridad de la Información y Ciberseguridad de SISA S.A., a través del correo <seguridad_informacion@sisa.com.co> cuando se materialicen ataques cibernéticos que afecten la integridad, disponibilidad y confidencialidad de los servicios prestados al cliente final (externo e interno).
Reportar los incidentes de ciberseguridad a SISA S.A. inmediatamente al momento que se presentara alguno, así como la gestión y solución realizada con base a la metodología definida por el aliado, proveedor o tercero.
Contar con los mecanismos de seguridad y ciberseguridad apropiados para evitar el ingreso y la proliferación de software malicioso (malware) proveniente del ciberespacio que puedan llegar a afectar la seguridad, integridad y disponibilidad de los servicios proporcionados y la confidencialidad de los datos almacenados.
AUDITORÍAS O REVISIONES DE CUMPLIMIENTO
Permitir la realización coordinada de revisiones y/o auditorías en sitio o virtual, gestionadas directamente por el personal de Seguridad de la Información y Ciberseguridad de SISA S.A. como mínimo (1) vez cada año y/o durante la vigencia del contrato.
MONITOREO DE SEGURIDAD Y RESPUESTA
Se debe realizar monitoreo periódicamente sobre el desempeño de seguridad de los sistemas, la infraestructura tecnológica y las redes utilizados dentro de los servicios ofrecidos y/o interconectados a SISA S.A.., esto se puede lograr empleando sistemas de detección de intrusos y el registro y análisis consistente de los eventos de seguridad y el descubrimiento, análisis y gestión de vulnerabilidades para su respectiva remediación con el fin de mitigar los riesgos emergentes relacionados a la seguridad de la información, privacidad de los datos y la ciberseguridad.
SISA S.A., de manera coordinada con el proveedor, aliado o tercero podrá realizar pruebas de vulnerabilidad y penetración sobre la plataforma tecnológica dispuesta para la prestación del servicio. En caso de presentarse vulnerabilidades críticas que pongan en riesgo los servicios prestados a SISA S.A. y su información, se deberán aplicar medidas correctivas de mitigación que acaten los procesos y procedimientos establecidos por el aliado, proveedor o tercero para la gestión y control de cambios.
Estas pruebas de seguridad serán ejecutadas por SISA S.A. y serán ejecutadas como mínimo una vez al año bajo común acuerdo entre las partes haciendo uso cualquiera de las técnicas o métodos de Caja blanca o Caja Gris.
SEGURIDAD DE LAS OPERACIONES
Hacer seguimiento y monitoreo al uso de los recursos, con el objetivo de garantizar la disponibilidad del servicio prestado a SISA S.A.
Dotar a sus terminales, equipos de cómputo y redes locales de los elementos necesarios que eviten la instalación de programas o dispositivos que capturen la información de los clientes o de las operaciones de SISA S.A. dentro de los servicios prestados.
Establecer los mecanismos necesarios para que el mantenimiento y la instalación o desinstalación de programas o dispositivos en las terminales o equipos de cómputo sólo puedan ser realizados por personal debidamente autorizado.
CONTINUIDAD DEL NEGOCIO
Garantizar la continuidad del servicio y la integridad de los datos durante las interrupciones que afecten los servicios prestados a SISA S.A., tales como las provocadas por fallas eléctricas, tecnológicas, amenazas ambientales o de acceso a la infraestructura física donde se presta el servicio, fallas en el suministro de energía eléctrica, los imperfectos o las fallas en los equipos de cómputo o de infraestructura tecnológica, fallas de los sistemas telefónicos o en los canales de comunicaciones, ausencia de personas críticas para la operación del servicio, ausencia o incumplimiento de los terceros requeridos para la prestación del servicio.
Disponer de planes de continuidad debidamente documentados y que respondan a la recuperación de los servicios ofrecidos.
Revisar y establecer de forma conjunta con SISA S.A., ANS (Acuerdo de niveles de Servicio), tiempos resolución de eventos e incidentes en el marco del tiempo de recuperación (RTO) requerido y ofertado para la operación del servicio contratado.
Asegurar ante un evento de interrupción de los servicios prestados y que sea a causa de falla propias de los procesos o servicios del aliado, proveedor o tercero se deberá garantizar la prestación del servicio manteniendo los niveles de servicio preestablecidos.
Realizar durante la vigencia del contrato una prueba de continuidad de los servicios prestados a SISA S.A.., estas deberán ser previamente informadas y coordinadas de forma conjunta con el fin de establecer si se debe involucrar a los clientes finales, aliados, proveedores o terceros de SISA S.A., como observadores o como participantes.
Tomar las medidas requeridas para coordinar y administrar todos los recursos necesarios durante la contingencia del servicio prestado. Entre otras actividades, tales como:
- Reemplazo o reparación de componentes o partes de los equipos que soportan el
- Personal idóneo, con la formación, capacitación y habilidades necesarias para operar los servicios
- Garantizar que los terceros requeridos para la operación del servicio tengan unos acuerdos de niveles de servicio alineados con las necesidades de la operación y se realice seguimiento para verificar su eficacia y
- Garantizar los niveles de seguridad suficientes para proteger los servicios prestados a SISA
S.A. desde el ambiente de contingencia y/o recuperación.
Se deberá definir durante la vigencia del contrato a un funcionario que sea el contacto directo para atender situaciones de crisis y/o de interrupción de servicios, quien estará disponible durante las situaciones en mención y adicionalmente tendrá conocimientos técnicos específicos del servicio prestado y capacidad para toma de decisiones en este tipo de situaciones.
CONTINGENCIAS TECNOLÓGICAS
Los recursos tecnológicos utilizados en la operación de los servicios prestados a SISA S.A., deben contar con la capacidad suficiente para soportar la demanda actual, deben estar soportados en esquemas de alta disponibilidad y recuperación ante desastres incluyendo la operación en ambiente de contingencia en caso de ser necesario según la criticidad del servicio prestado. Considerando y aplicando las medidas de seguridad y ciberseguridad pertinentes para la protección de la información.
De acuerdo con lo establecido en la Ley 1581 de 2012 y el decreto reglamentario 1377 de 2013, se deben garantizar los controles, políticas y procedimientos de tratamiento de datos personales, seguridad y privacidad suficientes para proteger el acceso físico y lógico a las instalaciones y sistemas de información para la protección, aseguramiento y tratamiento de la información personal y demás clasificaciones según los señalado en la ley 1581 de 2012, implementando la seguridad tecnológica necesaria teniendo en cuenta todos los aspectos técnicos, administrativos, operativos y humanos; que en términos de integridad y
confidencialidad garanticen la protección de los datos privados, personal y sensibles en equipos de almacenamiento de datos; en pro del cumplimiento del principio de seguridad de los requisitos legales vigentes para la protección y tratamiento de los datos personales y en cumplimiento de la política de tratamiento de datos personales de SISA S.A..
Para los casos que el aliado, proveedor o tercero tenga acceso compartido sea a nivel de consulta, lectura o procesamiento de datos personales, privados o sensibles en el marco de los servicios proporcionados a SISA S.A., debe actuar y cumplir la figura como encargado del tratamiento de estos datos o de la información personal, de tal forma que cumpla con las obligaciones y funciones que señala la ley 1581 de 2012.
El proveedor, aliado o tercero, no podrá hacer uso de los datos personales que tenga acceso en el marco de los servicios prestados a SISA S.A., para promover campañas, realizar mercadeo o para cualquier otra razón o circunstancia, sin antes contar con la debida autorización por parte del responsable del tratamiento que es SISA S.A. y en efecto de manera previa con la autorización por parte de los titulares de la información personal.
Ante cualquier inquietud o duda de lo indicado anteriormente con base a lo normado para el cumplimiento de la Ley 1581 de 2012, puede solicitar detalle o ampliación de la información al correo proteccioninformacionpersonal@sisa.com.co