Añadir a la recogida (s) Añadir a salvo
  1. Ingeniería
Subido por sibyl45x_h396h

Manual de sistema de gestion de srguridad de informacion SGSI

Anuncio 
Proceso gobernabilidad tics
Subproceso o actividad del Sistema De
Gestión De Seguridad De La
Información
Manual del Sistema De Gestión En
Seguridad De La Información
MANUAL DEL SISTEMA DE
GESTION DE SEGURIDAD DE LA
INFORMACION SGSI
FEBRERO
2022
1
Proceso gobernabilidad tics
Subproceso o actividad del Sistema De
Gestión De Seguridad De La
Información
Manual del Sistema De Gestión En
Seguridad De La Información
Tabla de contenido
Pág.
1. Objetivo general
2. Alcance
3. Políticas
3.1 Políticas de apoyo
3.1.1 Uso de la política de apoyo
3.1.2 Finalidad de la política de apoyo
3.1.3 Propósito de la política de apoyo
3.1.4 Acuerdos de confidencialidad y seguridad
3.1.5 Control de acceso
3.1.6 Creación de usuario
3.1.7 Uso del cifrado
3.1.8 Malware
3.2 Políticas de respaldo y restauración de información
3.2.1 Respaldo de información
3.2.2 Información eliminada
3.2.3 Copia de seguridad
3.2.4 Encargados de la información
3.2.5 Control de acceso a la información
3.3 Políticas de revisiones de seguridad de la información
3.3.1 Efectividad en el sistema
3.3.2 Proceso para eliminar datos
3.3.3 Cumplimientos de los objetivos y normas
3.3.4 Revisión constante
3.4 Política de privacidad de la información personas
3.4.1 Tratamiento de datos
3.4.2 La información no será compartida
3.4.3 Uso de cookies
3.5 Política de prevención de fugas de la información
3.5.1 Que es la fuga de información
3.5.2 Prevención
3.5.3 Capacitación a los empleados
3.6 Política de control de acceso
3.6.1 Sistemas de control de acceso
3.6.2 Requisitos para el control de acceso
3.6.3 Derechos de acceso
3
3
3
3
3
3
3
4
4
4
4
4
5
5
5
5
5
5
5
5
6
6
6
6
6
6
7
7
7
7
7
7
7
8
8
2
Proceso gobernabilidad tics
Subproceso o actividad del Sistema De
Gestión De Seguridad De La
Información
Manual del Sistema De Gestión En
Seguridad De La Información
1. Objetivo general
Ecopetrol protegerá la información creada, procesada, transmitida o resguardada
por sus procesos de negocio, con el fin de minimizar impactos financieros,
operativos o legales debido a un uso incorrecto de esta. Las responsabilidades
frente a la seguridad de la información serán definidas, compartidas, publicadas y
aceptadas por cada uno de los empleados, proveedores, socios de negocio o
terceros.
2. Alcance
Esta política aplica a toda la entidad, sus funcionarios, contratistas y terceros de
Ecopetrol y la ciudadanía en general
Esta política se aplica al uso de información, dispositivos electrónicos y de cómputo,
y recursos de red para llevar a cabo negocios de Ecopetrol o interactuar con redes
internas y sistemas comerciales, ya sean de propiedad o arrendados por Ecopetrol
el empleado o un tercero. Todos los empleados, contratistas, consultores,
trabajadores temporales y otros trabajadores de Ecopetrol y sus las subsidiarias son
responsables de ejercer un buen juicio con respecto al uso adecuado de la
información, los dispositivos electrónicos y los recursos de la red de acuerdo con las
políticas y normas de Ecopetrol y las leyes y reglamentaciones locales.
3. Políticas
3.1 Políticas de apoyo
3.1.1 Uso de la política de apoyo
Uso apropiado de los recursos informáticos de Ecopetrol, además protegen tanto a
los empleados como a Ecopetrol. El uso inapropiado expone a Ecopetrol a riesgos
incluyendo ataques de virus, compromiso de sistemas y servicios de red y asuntos
legales.
3.1.2 Finalidad de la política de apoyo
Los recursos informáticos de Ecopetrol, dispuestos para la operación, solo deben
ser usados para fines laborales.
3.1.3 Propósito de la política de apoyo
Toda la información, independientemente de la forma, formato o ubicación, que se
crea o utiliza en apoyo de las actividades comerciales y operativas de Ecopetrol, es
información corporativa. Cualquier otro uso está sujeto a previa autorización de la
Presidencia Ejecutiva y/o Gerente responsable.
3
Proceso gobernabilidad tics
Subproceso o actividad del Sistema De
Gestión De Seguridad De La
Información
Manual del Sistema De Gestión En
Seguridad De La Información
El propósito de esta política es describir las medidas y responsabilidades necesarias
para clasificar y asegurarlos recursos de información con el fin de abordar el riesgo
de destrucción, modificación, divulgación, acceso, uso o eliminación no autorizada
de información.
3.1.4 Acuerdos de confidencialidad y seguridad
Para el uso de los recursos tecnológicos de Ecopetrol, todo usuario debe firmar un
acuerdo de confidencialidad y un acuerdo de Seguridad de los sistemas de
información antes de que le sea otorgado su Login de acceso a la red y sus
respectivos privilegios o medios de instalación.
3.1.5 Control de acceso
El control del acceso a los recursos de información es esencial para proteger la
información de personas no autorizadas. Los requisitos de control de acceso
incluyen medidas de seguridad para proteger los datos personales y otra
información corporativa no clasificada como Pública.
Esta política define los mecanismos de seguridad para el acceso físico a las
instalaciones de la empresa tales como: data centers, subestaciones y centros de
control.
3.1.6 Creación de usuario
Establecer criterios para la creación de contraseñas seguras, la protección de esas
contraseñas y su frecuencia de cambio. La combinación de un ID de usuario y una
contraseña proporciona acceso autenticado a los sistemas y servicios de Ecopetrol.
3.1.7 Uso del cifrado
La encriptación es un método para transformar información clara y significativa en
una forma cifrada e incomprensible. El uso del cifrado garantiza que la información
cifrada
conserva
su
confidencialidad,
autenticidad
e
integridad.
El propósito de esta política es proporcionar orientación sobre el uso efectivo del
cifrado. Esta aborda el riesgo de usar algoritmos de encriptación inadecuados y el
riesgo de usar soluciones de encriptación no autorizadas.
3.1.8 Malware
La protección contra malware, su propósito es proporcionar un completo programa
de malware para Ecopetrol, describiendo qué sistemas de servidores deben tener
aplicaciones antivirus y/o antispyware. Esta política está diseñada para minimizar
riesgos potenciales y para asegurar la confidencialidad, integridad y disponibilidad
de los datos de Ecopetrol de manera general.
4
Proceso gobernabilidad tics
Subproceso o actividad del Sistema De
Gestión De Seguridad De La
Información
Manual del Sistema De Gestión En
Seguridad De La Información
3.2 Política de respaldo y restauración de información
3.2.1 Respaldo de información
Proporcionar medios que respalden la información de Ecopetrol y su software para
que en caso de una falla su personal especializado pueda recuperar todos los datos
anteriormente guardados.
3.2.2 Información eliminada
Si se requiere eliminar algún dato o información se debe llevar su respectivo
proceso y ser autorizado por el propietario de los datos para que tenga un borrado
seguro y definitivo.
3.2.3 Copia de seguridad
La restauración de copias se puede realizar si se tiene la debida autorización del
propietario de la información y ser solicitada a través de la entidad de
requerimientos establecida por la entidad para que no tengan inconvenientes en
caso de que se restaure información innecesaria.
3.2.4 Encargados de la información
El personal encargado del área debe tener alto conocimiento de su contenido igual
que los altos cargos de la empresa de Ecopetrol deben estar al tanto de la
información que se maneja y el personal de cargos más bajos debe pedir
autorización al dueño de la información para mirar o cambiar algún dato.
Los administradores del backup (copia de respaldo) de la empresa de Ecopetrol
deben velar por el uso correcto del backup suministrando las cintas requeridas para
cada trabajo.
3.2.5 Control de acceso a la información
Todas las copias de información crítica deben estar es su respectiva área para así
poder vigilar y tener el control general al acceso de toda la información de la
empresa de Ecopetrol.
3.3 Política de revisiones de seguridad de la información
3.3.1 Efectividad en el sistema
Garantizar que el sistema de seguridad de la información esté funcionando bien de
acuerdo a las política y normas que tiene la empresa de Ecopetrol.
5
Proceso gobernabilidad tics
Subproceso o actividad del Sistema De
Gestión De Seguridad De La
Información
Manual del Sistema De Gestión En
Seguridad De La Información
3.3.2 Proceso para eliminar datos
Ecopetrol puede realizar auditorías de manera externa para verificar que el sistema
de protección de la información este teniendo un buen manejo también se esté
cumpliendo con sus objetivos y procedimientos en la seguridad de la información.
3.3.3 Cumplimientos de los objetivos y normas
Los altos cargos de Ecopetrol pueden estar revisando el cumplimiento de las
políticas de la seguridad de la información desde su respectiva área de
responsabilidad, aunque de todas formas tienen que pasar por su proceso y pedir
sus permisos establecidos anteriormente.
3.3.4 Revisión constante
El departamento de tecnologías y sistemas de información debe establecer un
tiempo y procedimiento adecuado para revisar los sistemas de información con las
debidas herramientas automáticas y técnicos especializados en el tema para así
poder aprovechar al máximo de esta política de protección.
3.7 Política de privacidad de la información personal
3.4.1 Tratamiento de datos
Ecopetrol deberá asegurar la privacidad en el aspecto personal con el fin de
proteger y cuidar los derechos de las personas, por medio del establecimiento de
medidas para controlar el tratamiento de datos.
3.4.2 La información no será compartida
Los datos que Ecopetrol recoja de las personas no se venderán ni se distribuirán a
terceros, aunque hay excepciones que pueden ser para uso de la empresa bajo los
términos y condiciones que las personas deberán leer anteriormente.
Ecopetrol cuenta con servicios cuyas políticas de privacidad incluyen clausulas que
protegen y no dejan que se comporta con terceros a menos de que Ecopetrol lo
solicite.
6
Proceso gobernabilidad tics
Subproceso o actividad del Sistema De
Gestión De Seguridad De La
Información
Manual del Sistema De Gestión En
Seguridad De La Información
3.4.3 Uso de cookies
La pagina de Ecopetrol usa cookies para identificar un usuario anónimo y mirar sus
preferencias mientras uso al sitio web de igual manera indicar información técnica o
básica sobre su uso del sitio web.
3.5 Política de prevención de fugas de la información
3.5.1 Que es la fuga de información
La fuga de la información es cuando en Ecopetrol hay una salida de información que
no se puede controlar y esto puede provocar que la información de la empresa
llegue a terceras personas no autorizadas o que el propietario pierda acceso a esta.
3.5.2 Prevención
Ecopetrol debe definir procedimientos para la prevención de una situación en la que
se puede provocar perdida de la información y con ella ya no tener acceso a la
misma, también procesos para que se notifique rápido la fuga de información y se
actúe de manera inmediata.
3.5.3 Capacitación a los empleados
Ecopetrol asegurara su información y de igual manera capacitara a sus empleados
para la prevención de perdida de información para esto se debe tener en cuenta los
siguientes aspectos:
•
•
•
•
•
•
•
Uso correcto de su correo electrónico
Entrega de información de manera verbal
Impresión de documentos
Entrega de documentación
Uso de dispositivos móviles como celulares
Buen manejo del internet
Escritorios limpios y ordenados
3.6 Política de control de acceso
3.6.1 Sistema de control de acceso
Todos los sistemas que maneja Ecopetrol contaran con un sistema de control de
acceso para asegurar el acceso a los usuarios y prevenir accesos no autorizados
esto se protege mediante contraseñas
7
Proceso gobernabilidad tics
Subproceso o actividad del Sistema De
Gestión De Seguridad De La
Información
Manual del Sistema De Gestión En
Seguridad De La Información
3.6.2 Requisitos para el control de acceso
Ecopetrol debe asumir algunos requisitos para la empresa y controlar el acceso a
los sistemas de información como los que se mencionaran a continuación:
•
Se manejarán usuarios únicos y no serán compartidos
•
•
No se manejará usuarios genéricos
Se puede utilizar cuentas asociadas a la identidad nominal de la persona
asociada
3.6.3 Derechos de acceso
Los derechos de acceso deberán ser establecidos de la siguiente manera:
•
•
•
•
Se manejarán perfiles personales por sistema de información para así poder
asignar los usuarios
Solo se permitirá el acceso a un recurso cuando realmente exista una
necesidad para la función de la actividad
Los permisos que se les dará a los usuarios no deben ser del 100% si no de
cierta parte
Se debe distribuir bien las funciones a desempeñar y asignar los derechos
para los accesos a los sistemas de información
GRUPO #8
-
Angela Maria Diaz Genoy
Johan Sebastian Botina Guacas
Juan Sebastian Gustin Bolaños
Anderson Javier Ordoñez
Heydi Catalina Daza Martinez
8
Documentos relacionados
1. Acreditar la terminación y aprobación de todas las materias
1. Acreditar la terminación y aprobación de todas las materias
Ecopetrol informa sobre sanción impuesta por la Autoridad Nacional
Ecopetrol informa sobre sanción impuesta por la Autoridad Nacional
ecopetrol-mantiene-plan-de-contingencia-en
ecopetrol-mantiene-plan-de-contingencia-en
CMR0193_Suspenden Negociaciones Laborales En Eco 27 Mar
CMR0193_Suspenden Negociaciones Laborales En Eco 27 Mar
Estados financieros
Estados financieros
HERNÁN MARTÍNEZ TORRES Profesión Ingeniero
HERNÁN MARTÍNEZ TORRES Profesión Ingeniero
ACUERDO ECOPETROL-USO PARA LA NUEVA CONVENCIÓN La
ACUERDO ECOPETROL-USO PARA LA NUEVA CONVENCIÓN La
Impresa - El Espectador
Impresa - El Espectador
PAGARE VENCIMIENTO: CUANTIA: INTERESES: Tasa
PAGARE VENCIMIENTO: CUANTIA: INTERESES: Tasa
Descargar
Anuncio
Anuncio