política de seguridad de la informacion distrienvios sas

POLÍTICA DE SEGURIDAD DE LA INFORMACION
DISTRIENVIOS S.A.S
Firmas de los responsables:
ELABORADO POR
REVISADO POR
APROBADO POR
_ _CARLOS NAVARRO _ _ _ _ _ _ _
Oficial de Seguridad de la
Información
_ _KARLA OSORIO_ _ _ _ _ _ _ _ _ _
Comité de Seguridad de la
Información
_ _ _ _ _ _CARLOS OSORIO _ _ _ _
Gerencia General
1
Política General de Seguridad de la Información
Política Corporativa de Seguridad de la Información
Distrienvios S.A.S consciente de la importancia de la seguridad de la información
dentro de los procesos gerenciales, administrativos y operativos; y comprometida
con la calidad de los servicios ofertados y la satisfacción de los clientes, asume un
compromiso expreso de protección de sus activos como parte de la estrategia de
continuidad del negocio, administración de riesgos y la consolidación de una cultura
de seguridad de la información.
Consecuente con las necesidades referentes a la seguridad de la información,
Distrienvios S.A.S implementa un modelo de gestión de seguridad de la información
como herramienta para identificar y minimizar los riesgos a los que se expone la
información tratada en todos sus procesos de negocios, al tiempo que establece una
cultura de seguridad, facilita la reducción de costos operativos y financieros a la vez
que garantiza el cumplimiento de los requerimientos contractuales, regulatorios y
legales vigentes.
La compañía tiene claro que el proceso de análisis de riesgos es el soporte para el
desarrollo de las políticas de seguridad de la información, de los controles y de los
objetivos de control seleccionados para obtener los niveles de protección esperados.
El proceso de análisis de riesgos será liderado de manera permanente por el Oficial
de Seguridad de la información.
Esta política será revisada con regularidad, cuando ocurran cambios en los procesos
del negocio, en su estructura, en sus objetivos o como parte del proceso de revisión
gerencial con el fin de asegurar que esta siga siendo adecuada y este ajustada a los
requerimientos identificados.
Políticas Generales de Seguridad de la Información
Distrienvios S.A.S ha establecido las siguientes políticas generales de la seguridad
de la información, las cuales representan la visión de la organización en cuanto a la
protección de la información:
1- Existirá un Oficial de seguridad de la Información que lidere el Sistema de gestión
de Seguridad de la Información.
2
2- Se contará con un comité de seguridad de la información liderado por el Oficial
de Seguridad de la Información y quien será el responsable del mantenimiento,
revisión, monitoreo y mejora del Sistema de Gestión de Seguridad de la
Información.
3- Todos los activos de la información de la compañía serán identificados y
clasificados para establecer los mecanismos de protección que sean necesarios
para garantizar la confidencialidad, integridad y su disponibilidad.
4- Distrienvios S.A.S implantará los controles necesarios para proteger la
información contra violaciones de autenticidad, acceso no autorizado, la perdida
de la integridad y que garanticen la disponibilidad requerida por los clientes,
proveedores y demás usuarios de los servicios de la organización.
5- Tanto los funcionarios como los contratistas serán responsables de proteger la
información a la cual accedan y procesen, para evitar su perdida, alteración,
destrucción o uso indebido de la misma.
6- Únicamente se permitirá la instalación y el uso de software autorizado y que haya
sido adquirido de forma legal por la institución.
7- Se realizaran auditorias periódicas y actualización de controles sobre el sistema
de gestión de seguridad de la información adoptado por la Organización.
8- Se considera responsabilidad de funcionarios y contratistas de la organización
reportar los incidentes de seguridad, eventos sospechosos y mal uso de los
recursos al Comité de Seguridad de la Información.
Acuerdos de Confidencialidad
Todos los funcionarios, contratistas y terceros de la organización, deben aceptar los
acuerdos de confidencialidad definidos, los cuales deben reflejar el compromiso de
estos con la protección y buen uso de la información de acuerdo con los criterios
establecidos en las políticas de seguridad.
Con respecto a los contratistas y demás terceros, los contratos deben incluir una
cláusula de confidencialidad, de igual manera cuando se permita el acceso a la
información
y
otros
recursos
a
personas
o
entidades
externas.
3
El acuerdo de confidencialidad debe ser aceptado por funcionarios, contratistas y
terceros como parte del proceso de contratación; razón por la cláusula y/o acuerdo
de confidencialidad hace parte integral de cada uno de los contratos.
1. Política de privacidad
1.1 Objetivo
El objetivo de esta política es establecer una norma para el uso correcto de la
información de que se ingresa, procesa, transmite, transporta y almacena en la
organización Distrienvios S.A.S, incluyendo los archivos de los usuarios así como el
uso de los servicios de correo electrónico, las bases de datos de la organización y al
registro y monitorización de actividades por parte de funcionarios y/o contratistas
que hagan uso de la información corporativa.
1.2 Alcance
El alcance de esta política incluye a todo el personal que labora, posee o tiene a
cargo una cuenta que resida en cualquier sistema de la organización y en general a
todas las personas que de una u otra forma interactúan con la entidad directa o
indirectamente.
1.3 Uso general
•
•
•
•
•
•
El nombre de usuario se utilizará como base para cargar el respectivo perfil
del empleado.
Solo los usuarios autorizados son responsables de la seguridad de las
contraseñas y de sus cuentas.
Solo los usuarios autorizados son responsables del uso indebido de sus
cuentas de usuario y de los actos cometidos con estas.
Ningún empleado está autorizado a revelar información sobre la organización
o sobre los movimientos de la misma a terceros.
Ningún empleado o persona que labore con la compañía está autorizado para
revelar información a terceros con respecto al direccionamiento de la red,
tecnología empleada en la organización o procedimientos internos. La
violación a esta política será razón suficiente para el despido o para la
finalización del contrato en caso de ser contratado por outsourcing.
El uso del correo electrónico corporativo está limitado al servicio de los
intereses
de
la
compañía
y
no
para
uso
personal.
4
•
•
•
•
•
•
•
•
•
•
•
•
•
•
Cada vez que sea necesario levantarse de su estación de trabajo es necesario
habilitar el bloqueo de pantalla para evitar intrusiones internas.
En caso de que sospeche de que está siendo monitoreado o que detecte algún
comportamiento sospechoso de su sistema informático o de comunicaciones
comuníquese inmediatamente con el personal de seguridad de la compañía.
En el momento en que un empleado deje de pertenecer a la organización, su
cuenta de usuario debe ser dada de baja de inmediato.
A los archivos que no se almacenen en los directorios “home” de los usuarios
no se les incluirá dentro de las copias de periódicas de seguridad.
Cada usuario es responsable del estado y del uso de sus archivos.
Cualquier información que el usuario considere sensible o vulnerable debe ser
encriptada. En cuanto a las reglas de encriptación y cifrado se hará referencia
a alguien de seguridad de la información.
La información que se capture, procese e imprima o de la cual se genere una
salida ya sea por medio físico o electrónico es de propiedad de la organización
y no de los responsables de la misma.
Toda la información de la organización se considera sensible y confidencial de
manera que está totalmente prohibido hacer copias electrónicas, físicas o por
cualquier medio de la información capturada, procesada o manipulada por la
organización.
Los archivos pertenecientes a la organización serán utilizados solo para los
objetivos del negocio sirviendo a los intereses de la compañía y no a intereses
personales.
Los empleados deben tener extrema cautela al abrir archivos adjuntos a su
correo electrónico recibidos de remitentes desconocidos ya que pueden incluir
bombas lógicas, troyanos o cualquier tipo de virus. Cada usuario tiene la
obligación de inocular los archivos que descargue a su computadora antes de
su uso para prevenir infecciones de virus.
Todos los sistemas usados por los empleados de la organización tendrán
instalado software antivirus aceptado y actualizado periódicamente.
La organización se reserva el derecho de intervenir las redes y los sistemas
de información periódicamente para asegurar el cumplimiento de esta política.
Las computadoras de la compañía deben tener deshabilitadas las unidades de
almacenamiento removible como disqueteras, puertos USB y similares.
El acceso a Internet desde las estaciones de trabajo debe estar condicionado
a las necesidades del puesto y debe darse a través del servicio de un Proxy
Server y no a través de una conexión directa.
Es tarea del administrador de la red revisar periódicamente el comportamiento
de la red y la realización de monitoreo del tráfico de la misma y el escaneo de
puertos de los sistemas informáticos con el fin de verificar la existencia del
establecimiento de conexiones remotas, la ejecución de procesos peligrosos
en background, ataques tipo spoofing o de las capturas de sesiones que en
algún momento puedan violar las políticas de privacidad de la compañía.
5
1.4
Uso Inaceptable
• Está prohibido el uso de computadoras de terceros dentro de la organización,
excepto cuando estas pertenezcan a personal de outsourcing y sea
estrictamente necesario su uso.
• Está prohibido retirar de las instalaciones de la compañía computadoras
portátiles o PDA’s sin antes ser revisadas por el personal de seguridad de la
organización.
• Está prohibido presentar, alojar o transmitir información, imágenes, textos
que en forma indirecta o directa se encuentren relacionadas con actividades
sexuales y mucho menos con menores de edad.
• Está prohibido el acceso a personal no autorizado a las dependencias
administrativas y operativas de la organización.
• Está prohibido anunciar, enviar, presentar o transmitir contenido de carácter
ilegal, atentatorio a la dignidad del ser humano, que tenga la potencialidad
de ser peligroso, genere pánico económico, social, de salubridad, o que ponga
en cualquier tipo de riesgo a la compañía ,etc.
• Está prohibido vulnerar derechos de propiedad industrial, derechos de autor,
o copyright protegidos por las leyes nacionales, extranjeras y acuerdos o
tratados internacionales sobre la materia que comprometan a la compañía.
• Está prohibido enviar correo electrónico basura, Spam indiscriminado, o
encadenado no autorizado o consentido previamente por los destinatarios,
que en algún momento pueda llegar a generar un atentado contra la
disponibilidad de la información o del servicio de correo corporativo.
• Está prohibido para todos los empleados descargar o instalar aplicaciones o
programas no autorizados por el personal de seguridad en sus computadoras
personales.
• Está prohibido realizar cualquier tipo de monitoreo de tráfico o de cualquier
equipo en particular que haga parte de cualquier red o sistema sin la debida
autorización del administrador de la red.
• Está prohibido intentar acceder sin autorización a los sitios o servicios de la
organización o de terceros, mediante la utilización de herramientas intrusivas
(hacking), descifre de contraseñas, descubrimiento de vulnerabilidades o
cualquier otro medio no permitido o legítimo utilizando la infraestructura de
la compañía.
• Está prohibido influir injusta, ilegal o en forma indebida o inadecuada directa
o indirectamente en los sistemas, redes, aplicativos, y demás elementos
involucrados en la transmisión o recepción de información, incluyendo las
terminales
o
estaciones
de
trabajo
de
los
usuarios.
6
•
•
•
Está prohibida cualquier forma de asedio ya sea por teléfono correo
electrónico o lenguaje.
Enviar grandes números de mensajes de correo idénticos o similares no
relacionados con el negocio a los grupos de noticias de UseNet (newsgroup
spam).
Está prohibido realizar llamadas no autorizadas a terceros con fines diferentes
a los laborales.
Está prohibido brindar información personal sobre los clientes de la
organización y de sus actividades por cualquier medio.
2. Política de Acceso
2.1 Objetivo
El objetivo de esta política es establecer una norma para el uso, el acceso local y
remoto si fuese necesario a los recursos y a los bienes de la organización de la misma
forma que definir reglas sobre el control de dispositivos y el monitoreo de los
sistemas de la compañía.
2.2 Alcance
El alcance de esta política incluye a todo el personal que labora, posee o tiene a
cargo una cuenta que resida en cualquier sistema de la organización y en general a
todas las personas que de una u otra forma interactúan con la entidad directa o
indirectamente.
2.3 Uso general
•
•
•
•
El acceso al sistema de información corporativo solo debe hacerse dentro de
las instalaciones de la organización.
Todo el personal de planta o temporal de la organización deben poseer una
cuenta de usuario con una contraseña valida, única e intransferible que
utilizarán para iniciar la sesión de trabajo en sus computadoras y que será la
única manera de tener acceso a los recursos de la empresa.
Los nombres de cuentas y contraseñas deben basarse en las políticas de
autenticación definidas para la organización.
Los usuarios solo deben tener acceso a los recursos y servicios que se les
haya asignado de acuerdo a su cargo y a su perfil de usuario.
7
•
•
•
•
•
•
•
•
•
•
•
•
Los administradores de servidores, y de los equipos de la organización en
general deben poseer una cuenta de usuario privilegiada que debe usarse
solamente para tareas administrativas y no para uso regular.
Los empleados solo podrán iniciar sesión durante la jornada laboral, los únicos
empleados autorizados para hacerlo en un horario diferente son los
administradores de sistemas o el personal de mantenimiento de la compañía
en caso de mantenimiento preventivo programado previamente o en caso de
una falla en el sistema que requiera atención inmediata.
Los mensajes de correo electrónico al igual que sus adjuntos deben enviarse
cifrados.
Cada fin de semana debe realizarse una comprobación del estado de los
servidores y de la integridad de las bases de datos.
Las bases de datos deben incluir disparadores o procedimientos almacenados
que impidan el acceso a las mismas en modo consola por parte de personal
no autorizado.
Los servidores que almacenan información sensible de la organización como
el servidor de bases de datos y el de aplicaciones no deben estar expuestos
al exterior (deben estar conectados a una vlan privada.).
Solo la maquina de la vlan publica que soporta el servidor web podrá tener
acceso a los recursos de la base de datos y el usuario que se usa para dicha
conexión solo tendrá el privilegio de consulta.
Los sistemas de la organización deben registrar en un “log” todos los accesos
autorizados, no autorizados y los intentos de acceso con sus respectivas
particularidades dentro de las que se encuentran fecha, hora, numero de
intentos, dirección de host (si se realiza remotamente), etc.
Todos los sistemas de la organización deben informar a los usuarios en el
inicio de sesión de que sus actividades serán monitoreadas.
Los perfiles de usuario configurados en los sistemas de la compañía deben
restringir el acceso a herramientas de administración del sistema operativo o
que incluyan las aplicaciones instaladas con el fin de evitar la desconfiguración
o el uso mal intencionado de las mismas con fines de sabotaje de los sistemas
de la compañía.
Ninguna estación de trabajo debe tener instaladas herramientas de software
o de hardware que permitan realizar tareas de administración o conexiones a
recursos (como bases de datos) diferentes a los que requiere el cargo que
desempeña el empleado. Excepto la computadora de escritorio del
administrador de seguridad de la compañía.
Los nombres de usuario y las contraseñas de las cuentas privilegiadas deben
ser manejadas con total reserva por parte del o de los administradores de los
recursos informáticos de la organización y debe cambiarse con frecuencia.
8
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
Todo comportamiento sospechoso así como la pérdida no justificada de
información electrónica o en cualquier formato (físico/lógico) debe informase
al administrador de seguridad de la compañía o en su defecto al encargado
del negocio.
Los archivos de log y de configuración deben incluirse en el backup de la
organización.
Los archivos de registro de actividades deben revisarse diariamente.
Cada actividad sospechosa debe registrarse en una bitácora de para su fin.
Solo el personal del área de tecnología está autorizado para instalar o
reemplazar dispositivos de comunicaciones e informáticos (previa autorización
de la dirección).
Las estaciones de trabajo no deben poseer módems, en caso de que los
tengan estos deben estar deshabilitados.
Los servidores solo deben ejecutar los servicios que están establecidos por las
directivas de la organización, cualquier otro servicio debe deshabilitarse.
Los servidores deben ejecutar solo versiones software estables y sin bugs.
Esto debe evaluarse continuamente.
Los servicios que presenten vulnerabilidades deben reemplazarse por
versiones seguras o de ser necesario deben desmontarse.
En caso de ser necesario el establecimiento el sesiones remotas (dentro de la
organización o fuera en casos excepcionales) deben utilizarse aplicaciones que
implementen protocolos de seguridad en la autenticación y en lo posible de
cifrado en la transmisión como por ejemplo SSH, SSL, RADIUS, etc.
Los puertos libres de los conmutadores deben deshabilitarse, y los usados
deben asociarse a las direcciones MAC de las computadoras de la
organización.
Debe habilitarse el servicio SNMP en los equipos activos de la red con nombres
de comunidades diferentes a los nombres que vienen configurados por
default.
Dentro de lo posible debe evitarse el uso de HUBS (concentradores) en la red.
Las contraseñas de administración por default de los equipos activos de la red
(switchs, etc) deben cambiarse por contraseñas basadas en las políticas de
autenticación.
Solo debe dejarse habilitada la administración de los equipos activos a través
de una conexión directa al puerto de consola.
Toda violación a cualquiera de las políticas definidas en este documento o
todo suceso que valla en contra de las mismas deberá ser reportado
inmediatamente al personal de seguridad y/o al encargado de la compañía si
se considera necesario.
9

Se debe registrar en una bitácora de visitante todas la personas que
ingresan a la información con el fin de tener evidencia de su justificación
de
visita.
10
2.4 Uso Inaceptable
•
•
•
•
•
•
Está prohibido el acceso remoto a cualquiera de recursos de la organización,
excepto al sitio web de consulta de la compañía.
Está prohibido el acceso a cualquiera de los servidores de la organización de
forma física o a través del uso de cualquier herramienta de acceso remoto
por personal diferente al administrador o administradores de los respectivos
servidores.
Está prohibido el acceso a cualquiera de los equipos activos de la organización
ya sea para monitoreo, configuración o reconfiguración por parte de terceros
o del personal de usuarios no autorizados diferentes del administrador o
administradores de dichos equipos.
Está prohibido el uso de herramientas de inicio de sesión remota que
presentan grandes fallas en la seguridad como por ejemplo: telnet, etc.
Está prohibido el uso o instalación de herramientas de monitoreo de los
sistemas de información o de comunicaciones de la organización tales como
sniffers, agentes SNMP, taps, etc. entre otros por parte de empleados,
terceros sin autorización o de personal ajeno a los administradores de los
sistemas y de la red de la compañía.
Está prohibido la instalación de software por parte de terceros o de los
usuarios diferentes de los administradores de los sistemas informáticos o de
la red de la organización.
3. Política de autenticación
3.1
Apreciación global
La autenticación se basa en el uso de credenciales. Ellas son la primera línea de
protección para las cuentas de usuario. Una contraseña pobremente escogida puede
comprometer a toda la red. En consecuencia, todos los funcionarios y/o Contratistas
de DISTRIENVIOS S.A.S (incluso auxiliares y vendedores con acceso a los sistemas
de DISTRIENVIOS S.A.S) son responsables de seguir los pasos apropiados para
seleccionar y asegurar sus contraseñas, tal como se describe aquí abajo.
3.2
Objetivo
El objetivo de esta política es establecer una norma para la creación de contraseñas
robustas, la protección de estas contraseñas y la frecuencia de cambio de las
mismas.
11
3.3
Alcance
El alcance de esta política incluye todo el personal que tiene o es responsable de
una cuenta (o cualquier forma de acceso que se apoya o requiere una contraseña)
en cualquier sistema que resida en cualquier facilidad de DISTRIENVIOS S.A.S, tiene
acceso a la red de DISTRIENVIOS S.A.S. o guarda cualquier información nopública
de DISTRIENVIOS S.A.S.
3.4 General
•
Todas las contraseñas de nivel sistema (por ejemplo, root, Admin de NT,
cuentas de administración de aplicaciones, etc.) deben cambiarse por lo menos
trimestralmente.
•
Todas las contraseñas de nivel sistema deben formar parte de una base de
datos global de contraseñas de la Administración de Seguridad.
•
Todas las contraseñas de nivel usuario (por ejemplo, de correo electrónico,
Internet, ordenadores desktop, etc.) deben cambiarse cada seis meses por lo menos.
El intervalo de cambio recomendado es cada cuatro meses.
•
Las cuentas de usuario que tengan privilegios de nivel sistema concedidos a
través de miembros de grupo o programas como "sudo" deben tener una contraseña
diferente de todas las otras cuentas de ese usuario.
•
Las contraseñas no deben escribirse en mensajes de correo electrónico u otros
formularios de comunicación electrónica.
•
Cuando se usa SNMP, los nombres de las comunidades deben definirse como
algo diferente de los valores predeterminados normales de "public", "private" y
"system" y deben ser diferentes de las contraseñas anotadas interactivamente. Debe
usarse, si se halla disponible, un sistema de Hash codificado (por ejemplo, SNMPv2).
•
Todas las contraseñas de nivel usuario y de nivel sistema deben conformar
las reglas descritas aquí abajo.
3.5 Reglas
A. Reglas Generales de Construcción de Contraseña
Se usan contraseñas para varios propósitos en DISTRIENVIOS S.A.S. Algunos de los
usos más comunes incluyen: cuentas de usuario, cuentas de Internet, cuentas de
correo electrónico, protección del protector de pantalla, contraseña de correo de voz
(voicemail),
y
logins
de
los
equipos
de
comunicaciones.
12
Como muy pocos sistemas tienen contraseñas de un-solo uso (one-time-password
es decir, contraseñas dinámicas que sólo se usan una vez), todos los usuarios deben
ser conscientes de cómo escoger contraseñas robustas.
Las contraseñas pobres o débiles tienen las características siguientes:
• La contraseña contiene menos de ocho caracteres
• La contraseña es una palabra encontrada en un diccionario (castellano o
extranjero)
• La contraseña es una palabra de uso común como:
 Nombres de familia, de animales domésticos, amigos, colaboradores,
personajes imaginarios, etc.,
 Términos y nombres del ordenador, comandos, sitios, compañías, firmas de
hardware y software.
 Las palabras "DISTRIENVIOS S.A.S", "sanjose", "sanfran" o cualquier
derivación.
 Fechas de cumpleaños y otra información personal como las direcciones y
números de teléfono.
 Modelos de números y palabras como el aaabbb, qwerty, el zyxwvuts,
123321, etc.
 Cualquiera de las anteriores escritas al revés.
 Cualquiera de las anteriores precedidas o seguidas por un dígito (por ejemplo,
secreto1, 1secreto)
 Las contraseñas robustas tienen las características siguientes:
 Contienen caracteres mayúscula y minúscula (por ejemplo, un-z, UN-Z) 
Tienen dígitos y caracteres de puntuación junto con letras por ejemplo, 0-9!
@ #$% ^ & * () _+ | - = \ ` {} []: "; '<>?. /) 
Son por lo menos ocho caracteres alfanuméricos.
 No son una palabra en cualquier idioma, dialecto, jerga, etc.,
 No están basadas en la información personal, los nombres de familia, etc.,
Las contraseña nunca deben apuntarse o guardarse en línea.
Intente crear contraseñas que puedan recordarse fácilmente. Una manera de hacer
esto es crear una contraseña basada en un título de canción u otra frase. Por
ejemplo, la frase podría ser: "Esta Puede Ser Una Manera de Recordar" y la
contraseña podría ser: "EpS1MdR! " o "ePsUmDr" o alguna otra variación.
NOTA: ¡No usar ninguno de estos ejemplos para contraseñas!
13
B. Normas de Protección de contraseña
No use la misma contraseña para las cuentas en DISTRIENVIOS S.A.Sy cualquier
otro acceso (por ejemplo, cuentas en ISP personales, banca electrónica, etc.).
Cuando sea posible, no use la misma contraseña para varias necesidades de acceso.
Por ejemplo, seleccione una contraseña para los sistemas de ingeniería y una
contraseña separada para los sistemas de contabilidad. También, seleccione una
contraseña distinta para una cuenta de NT y una cuenta de UNIX.
No comparta las contraseñas con nadie, incluyendo a ayudantes administrativos o
secretarias. Todas las contraseñas serán tratadas como sensibles, información
confidencial de DISTRIENVIOS S.A.S.
Aquí está una lista de "No Hacer":








No
No
No
No
No
No
No
No
revelar una contraseña por teléfono a NADIE
revelar una contraseña en un mensaje de correo electrónico
revelar una contraseña al jefe
hablar sobre una contraseña delante de otros
indicar el formato de una contraseña (por ejemplo, "mi nombre" familiar)
revelar una contraseña en encuestas o formularios de seguridad
compartir una contraseña con los miembros familiares
revelar una contraseña a los colaboradores mientras esté de vacaciones
Si alguien le exige una contraseña, haga referencia a este documento o hágales
llamar a algún responsable de Seguridad de la Información.
 No use la funcionalidad de "Recordar la Contraseña" de algunas aplicaciones
(por ejemplo, Eudora, Outlook, Netscape Messenger).
 De nuevo, no apunte o guarde las contraseñas en cualquier parte en su
oficina.
 No guarde las contraseñas en NINGUN archivo de computadora (incluso Palm
Pilots o dispositivos similares) sin encriptación.
 Cambie por lo menos una vez las contraseñas cada seis meses (excepto
contraseñas de nivel sistema que deben cambiarse trimestralmente). El
intervalo de cambio recomendado es cada cuatro meses.
 Si sospecha que una contraseña ha sido descubierta, informe al responsable
de Seguridad de la Información y cambie todas las contraseñas.
14
 Los responsables de Seguridad de la Información pueden realizar, periódica
o aleatoriamente, tests para descubrir contraseñas. Si una contraseña es
descubierta durante uno de estos exámenes, se exigirá al usuario cambiarla.
3.6
Definiciones
Cuenta: elemento a través del cual se otorgan o revocan permisos de acceso a uno
o más recursos de la compañía a funcionarios y contratistas.
Credenciales: combinación de nombre de usuario y contraseña requeridos para
validar los permisos de un funcionario o tercero frente al acceso a un recurso de la
compañía.
Contraseña: Identificador complemento del nombre de usuario que permite que
un funcionario, contratista o tercero pueda ser validado con el fin de verificar los
permisos que este posee con respecto al activo requerido.
4. Política de Uso Aceptable
4.1. Apreciación Global
Las intenciones de Seguridad de la Información en la publicación de una Política de
Uso Aceptable no son las imponer restricciones pero sí establecer una cultura de
franqueza, confianza e integridad.
Los sistemas Internet / Intranet, incluyendo pero no limitados a los equipos de
ordenadores, software, sistemas operativos, medios de comunicación y
almacenamiento, cuentas de correo electrónico, cuentas de WWW y FTP, son
propiedad de DISTRIENVIOS S.A.S.
Estos sistemas serán usados sólo para los objetivos del negocio, sirviendo a los
intereses de la compañía y de nuestros clientes, vendedores y afiliados.
La seguridad eficaz es un esfuerzo de equipo que incluye la participación y apoyo de
cada empleado y afiliado de DISTRIENVIOS S.A.S. que trate con la información y/o
sistemas de información. Es responsabilidad de cada usuario conocer estas reglas y
dirigir
sus
actividades
de
acuerdo
con
ellas.
15
4.2. Objetivo
El propósito de esta política es perfilar el uso aceptable de la plataforma
tecnológica y los sistemas de información en DISTRIENVIOS S.A.S. Estas reglas
existen en primer lugar para proteger al funcionario y a DISTRIENVIOS S.A.S. El
uso impropio expone a DISTRIENVIOS S.A.S. a riesgos como ataque de virus,
compromiso de sistemas, de la red y servicios y problemas legales.
4.3. Alcance
Esta política se aplica a los empleados, consultores, personal temporal y otros
trabajadores de DISTRIENVIOS S.A.S. Esta política se aplica a todos los equipos que
DISTRIENVIOS S.A.S arrende o posea.
4.4 Uso general y propiedad
1.
A pesar que la administración de DISTRIENVIOS S.A.S. desea proporcionar
un nivel razonable de privacidad en los ordenadores conectados en red, todos los
datos que los usuarios y empleados crean, modifican, actualizan, etc sobre las
computadoras de la organización sistemas propiedad de DISTRIENVIOS S.A.S.
2.
Los empleados tienen la responsabilidad de hacer un uso personal, racional y
con buen juicio de la tecnología a su cargo y de la información que en ella se
encuentra. El departamento de Sistemas tiene la responsabilidad de crear reglas
que especifiquen los límites del uso personal de los sistemas de Internet / Intranet.
En la ausencia o falla de tales políticas, los empleados deben guiarse por esta
política de seguridad y, si hay alguna incertidumbre, los empleados deben
consultar a su supervisor o gerente.
3.
Seguridad de la Información recomienda que cualquier información que los
usuarios consideren sensible o vulnerable sea encriptada. Para las reglas de
encriptación de correo electrónico y documentos, se hará referencia a alguien de
Seguridad de la Información.
4.
DISTRIENVIOS S.A.S se reserva el derecho de intervenir en redes y sistemas
periódicamente para asegurar la complacencia con esta política.
4.5 Seguridad e Información de Propiedad
1. Toda la información contenida en los sistemas Internet/Intranet debe ser
clasificada como confidencial o no confidencial, tal como definen las reglas de
confidencialidad de la empresa, detalladas en las políticas de Recursos Humanos.
16
Los ejemplos de información confidencial incluyen pero no se limitan a: estrategias
privadas de la compañía, secretos de comercio, especificaciones de productos,
datos de clientes y datos de la investigación. Los empleados deben seguir todos
los pasos necesarios para prevenir el acceso desautorizado a esta información.
2. Guarde las contraseñas en sitio seguro y no comparta cuentas. Los usuarios
autorizados son responsables de la seguridad de sus contraseñas y cuentas.
3. Todos los PCs, ordenadores portátiles y puestos de trabajo deben afianzarse con
protectores de pantalla (screensaver) protegidos por contraseña con activación
automática a 10 minutos o menos.
4. Use encriptación de la información conforme a la Política de Encriptación.
5. Debido a que los ordenadores portátiles son especialmente vulnerables, debe
tenerse un cuidado especial con la información contenida en ellos.
6. Las firmas de las cuentas de correo electrónico de los empleados de
DISTRIENVIOS S.A.S deben contener una declaración que explique que las
opiniones expresadas son estrictamente personales y no necesariamente
coinciden con las de DISTRIENVIOS S.A.S.
7. Todos los sistemas usados por el empleado ejecutarán el software anti-virus
aceptado y actualizado continuamente.
8. Los empleados deben tener extrema cautela al abrir ficheros adjuntos al correo
electrónico recibidos de remitentes desconocidos, preferiblemente no abrirlos y
remitirlos al departamento de sistemas que pueden contener virus, bombas del
correo electrónico o caballos de troya.
4.6 Uso inaceptable
En general, se prohíbe las actividades siguientes. Los empleados pueden exentarse
de estas restricciones durante el curso de sus responsabilidades legítimas de trabajo
(por ejemplo, el personal de administración de sistemas puede tener necesidad de
desactivar el acceso a la red de un sistema si este sistema está dañando el
funcionamiento normal de la red).
Bajo ninguna circunstancia un empleado de DISTRIENVIOS S.A.S está autorizado a
comprometer los recursos de DISTRIENVIOS S.A.S en cualquier actividad que sea
ilegal bajo leyes regionales, nacionales o internacionales.
17
Las listas siguientes no son de ninguna manera exhaustivas, pero intentan crear un
marco de actividades que entran en la categoría de uso inaceptable.
4.6.1 Actividades inaceptables en la red y sistemas
Las actividades siguientes se prohíben estrictamente, sin excepciones:
1. Las violaciones de los derechos de cualquier persona o compañía protegidas por
los derechos de propiedad literaria, secreto de comercio, patente u otra
propiedad intelectual o leyes y regulaciones similares. También se prohíbe la
instalación o distribución de “programas pirateados” u otros productos de
software no autorizados apropiadamente para el uso de DISTRIENVIOS S.A.S.
2. Las copias no autorizadas de material incluyendo la digitalización y distribución
de fotografías de revistas, libros u otras fuentes con propiedad registrada, música
con propiedad registrada y la instalación de cualquier software del que
DISTRIENVIOS S.A.S. o el usuario final no tenga una licencia activa se prohíben
estrictamente.
3. La introducción de programas malintencionados en la red o servidor (por
ejemplo, virus, worms, trojan horses, mail-bombs, etc.).
4. Revelar su contraseña de cuenta a otros o permitir el uso de su cuenta por otros.
Esto incluye a la familia y otros miembros de la casa cuando el trabajo se está
haciendo en casa.
5. Usar un recurso de DISTRIENVIOS S.A.S para transmitir material que sea
considerado como violación de acoso sexual, apoyar la pornografía infantil, el
turismo sexual o alguna actividad similar que pueda ser considerada como ilícita
por las políticas de la organización y/o por leyes del estado.
6. Hacer ofertas fraudulentas de productos, artículos o servicios utilizando cualquier
cuenta de DISTRIENVIOS S.A.S.
7. Hacer declaraciones sobre garantías, expresas o implícitas, a menos que sea una
parte de los deberes normales del trabajo.
8. Abrir brechas de seguridad o rupturas de comunicación de la red.
18
9. Las brechas de seguridad incluyen, pero no se limitan, al acceso a datos de los
cuales el empleado no es un destinatario intencional o al acceso a un servidor o
cuenta al que el empleado no tiene acceso expresamente autorizado, a menos
que estos accesos estén dentro del alcance de los deberes regulares del
empleado. Para los propósitos de esta sección, la ruptura incluye, pero no se
limita a: network sniffing, ping floods, packet spoofing, denial of service, e
información de routing falsificada para propósitos malintencionados.
10. La ejecución de cualquier actividad de identificación y evaluación de la tecnología
de la organización está prohibida expresamente a cualquier empleado de la
organización excepto por el personal del departamento de sistemas previa
autorización de la gerencia.
11. Ejecutar cualquier sistema de monitorización de red que interceptará datos no
destinados al ordenador del empleado, a menos que esta actividad sea una parte
de los deberes normales de trabajo del empleado.
12. Engañar o falsear la autenticación de usuario o seguridad en cualquier ordenador,
red o cuenta.
4.6.2 Actividades inaceptables de comunicaciones y correo electrónico
1.
Enviar mensajes no solicitados, incluso enviar “junk mail” u otro material de
publicidad a individuos que no pidieron tal material específicamente (spam de correo
electrónico).
2.
Cualquier forma de asedio vía correo electrónico o teléfono, a través del
lenguaje, frecuencia o tamaño de mensajes.
3.
Solicitud de correo electrónico para cualquier otra dirección de correo
electrónico, con la intención de que las respuestas causen molestia o tormento.
4.
Crear o remitir “cartas en cadena”, esquemas “Ponzi” o planes de pirámide de
cualquier tipo o forma.
5.
Mandar por correo grandes números de mensajes idénticos o similares no
relacionadas con el negocio a los newsgroups de Usenet (newsgroup spam).
4.7. Definiciones
Spam: envío de correo electrónico no autorizado o no solicitado en masa.
19
4.8
Reglas de utilización del Anti-virus/Antimalware.
Los procesos recomendados para prevenir los problemas de virus son:
•
Ejecute siempre el software de anti-virus normalizado. Descargue y ejecute la
versión actual; descargue e instale las actualizaciones de software de anti-virus en
cuanto estén disponibles.
•
Jamás abra ningún archivo o macro anexo a un correo electrónico de un
desconocido, de fuente sospechosa o poco fiable. Elimínelos inmediatamente y vacíe
después su basura.
•
Corte el spam, cartas de cadena y otro correo electrónico similar sin remitente,
en conformidad con la Política de Uso Aceptable.
•
Jamás transmita los archivos provenientes de desconocidos o de fuentes
sospechosas.
•
Evite particiones de discos con permisos de acceso leer/escribir a menos que
haya un requisito comercial absoluto para hacerlo.
•
Examine siempre con el anti-virus cualquier disquete proveniente de fuente
desconocida antes de usarlo.
•
Haga copias de seguridad de los datos críticos y configuraciones del sistema
regularmente y guarde los datos en un lugar seguro.
5. Política de evaluación de adquisiciones
5.1. Objetivo
El objetivo de la Política de evaluación de adquisiciones es establecer las
responsabilidades de Seguridad de la Información con respecto a las adquisiciones
de la empresa y definir los requisitos de seguridad mínimos para la evaluación de
adquisiciones.
5.2. Alcance
Esta política es aplicable a todos los sistemas, redes, laboratorios, equipos de
prueba, hardware, software y firmware, propiedad y/o operados por la
DISTRIENVIOS S.A.S.
5.3. Adquisiciones
I. General
20
La evaluación de adquisiciones se dirige a asegurar que el material que es adquirido
por DISTRIENVIOS S.A.S no presente un riesgo de seguridad para la red, sistemas
y/o información confidencial / sensible. El papel de Seguridad de la Información es
descubrir y evaluar el riesgo para la seguridad de la información, desarrollar un plan
para poner remedio a las partes afectadas por el riesgo identificado y trabajar con
el equipo de adquisiciones para conseguir la solución a cualquier problema de
seguridad, previo a permitir la conexión a la red de DISTRIENVIOS S.A.S.
II. Los requisitos
A. Sistemas
1.
En todos los sistemas (servidores, desktops, portátiles) se reemplazará el
Sistema Operativo/imagen del suministrador por una versión del sistema
operativo/imagen licenciado y/o adquirido legalmente de DISTRIENVIOS S.A.S.
2.
Servidores de producción críticos que no puedan reemplazarse deberán ser
intervenidos y autorizados por algún responsable de Seguridad de la Información.
3.
Todos los sistemas PC requerirán una protección de antimalware/antivirus
autorizada antes de la conexión de la red.
B. Redes
1. En todos los dispositivos de la red se reemplazará la imagen del suministrador por
una imagen validada por el comité de seguridad de la información de DISTRIENVIOS
S.A.S.
C. Internet
1. Las conexiones a Internet predefinidas serán clausuradas.
2. Cuando estén justificadas por razones operacionales, las conexiones a Internet
requerirán la revisión y aprobación de Seguridad de la Información.
D. Acceso Remoto
1. En principio, no se permiten conexiones de acceso remoto.
2. Cuando estén justificadas por razones operacionales, las conexiones de acceso
remoto requerirán la revisión y aprobación de Seguridad de la Información.
E. Entornos de pruebas
21
1. Los equipos del entorno de pruebas deben separarse físicamente y lógicamente
de las áreas de producción.
2. La red de las pruebas debe separarse de la red de producción con un firewall.
3. Cualquier conexión de la red (incluso las líneas analógicas, línea RDSI, T1, etc.)
directa al exterior, debe ser aprobada por el oficial de Seguridad y/o el comité de
Seguridad de la Información.
6. Política de Mantenimiento
6.1 Objetivo
El objetivo de esta política es definir las normativas a seguir en cuanto al proceso de
mantenimiento interno y externo (si se requiere) de los sistemas de tecnología, de
la red y de los equipos de comunicaciones de la compañía.
6.2 Alcance
El alcance de esta política incluye a todo el personal de planta y externo
(outsourcing) encargado del mantenimiento y soporte de la infraestructura
informática de la organización.
6.3 Uso general
• Todo equipo informático y de comunicaciones requiere una revisión periódica
de su integridad y funcionamiento (mantenimiento preventivo), esta tarea
será realizada por el personal de soporte de la compañía o en su defecto por
una entidad externa cada 6 meses o en caso fortuito se realizará
mantenimiento correctivo en el momento en el que se requiera.
• Los equipos de terceros (como ISP’s) que se encuentren en las instalaciones
de la empresa deben ser mantenidos por sus respectivos dueños.
• El mantenimiento a nivel de software de los sistemas de información, dentro
de lo posible deberá realizarlo el personal de soporte local, si se requiere se
contratará por outsourcing a la compañía que desarrollo el producto o a su
partner local.
• El mantenimiento a los sistemas informáticos se realizará localmente, solo en
casos extremos como por ejemplo realización de una tarea muy compleja de
mantenimiento que requiera de un experto ubicado geográficamente fuera de
la ciudad; se permitirá el acceso remoto teniendo en cuenta todas los
cuidados necesarios que garanticen la no violación de ninguna de las políticas
de
acceso
definidas
para
la
organización.
22
•
•
•
•
•
•
•
Toda conexión remota autorizada (aplica a proveedores, socios de negocios
y clientes) en casos de fuerza mayor deberá en lo posible ser monitoreada
desde el inicio hasta el fin de la conexión, para este efecto se creará o se
tomará una cuenta No privilegiada a través de la cual se establecerá la sesión
remota y solo se le permitirá dentro de lo posible la ejecución de tareas que
requieran de privilegios de administración a través de comandos como “sudo”,
de igual manera se deberá llenar un reporte del suceso en la bitácora de
mantenimientos remotos que incluya todos los detalles de la operación así
como la información que se considere necesaria del personal que llevo a cabo
el procedimiento.
No se permite la salida de equipos de las instalaciones de la compañía, todos
los equipos y partes deberán ser reemplazados dentro de la compañía y bajo
supervisión del personal de soporte local.
Cada vez que sea necesario realizar el cambio o el reemplazo de un equipo o
de una parte de hardware deberá registrarse en la bitácora de control de
cambios las características de la pieza o equipo que sale de servicio que debe
incluir las características generales del mismo como: marca, capacidad,
velocidad, tecnologías, seriales, tiempo de servicio y motivo del reemplazo
entre otros. También deben registrarse las características antes mencionadas
del nuevo equipo o parte que entra en producción incluyendo fecha, hora del
cambio y personal que realizó la tarea.
En caso de que sea necesario realizar algún tipo de modificación, reemplazo
o actualización de algún componente de software de la compañía, este deberá
registrarse en la bitácora de control de cambios con los datos del (de los)
respectivo responsable, incluyendo el motivo de la realización del
procedimiento.
Las labores de mantenimiento preventivo deberán programarse
preferiblemente en espacios diferentes al horario laboral.
Es tarea del personal encargado del mantenimiento del sistema junto con el
administrador del servidor de antivirus mantener actualizadas las definiciones
de los viruses (base de datos del antivirus) más recientes al igual que realizar
una inspección general sobre infecciones en los sistemas informáticos de la
compañía.
El mantenimiento de los sistemas informáticos en general debe incluir por lo
menos la revisión de todas las piezas de hardware de los equipos de la
compañía incluyendo evaluación de superficie, búsqueda de clusters dañados
en los discos duros, estado de la memoria principal, entre otros; en cuanto al
software debe revisarse el estado del sistema operativo, el estado del file
system, el estado de las aplicaciones, de la memoria de intercambio y se
deberá evaluar el performance de dicho equipo con respecto a las aplicaciones
que este ejecutan sobre este cada vez que se hagan actualizaciones de
software.
23
•
•
•
•
•
Al terminar las tareas de mantenimiento es necesario probar que todos los
servicios informáticos de la compañía hayan quedado operando normalmente,
de no ser así el trabajo no termina hasta que esto se halla conseguido.
En caso de que el mantenimiento sea realizado por terceros dicha tarea debe
ser entregada formalmente al administrador de sistemas de la organización
el cual debe verificar la correcta operación de los equipos y servicios que
fueron revisados.
En caso de que se presente alguna anomalía en la entrega del servicio esta
debe ser registrada e informada al encargado de la compañía.
El mantenimiento realizado por outsourcing debe realizarse en presencia del
personal de soporte asignado para esto o en su defecto del administrador de
sistemas de la compañía.
Cada vez que termina la tarea de mantenimiento es necesario registrarla en
la bitácora periódica de mantenimiento.
6.4 Uso Inaceptable
•
•
•
•
•
Está prohibido realizar mantenimiento preventivo de los sistemas informáticos
de la compañía a usuarios no autorizados para esto.
Está prohibida destapar los equipos por parte de terceros o por parte de
personal de la empresa diferente al personal de soporte y mantenimiento.
Está prohibido la realización de mantenimiento preventivo de los sistemas
informáticos de la compañía durante la jornada laboral incluso para el
personal de mantenimiento.
Está prohibido mantener, destapar y remover piezas de los equipos
informáticos o de comunicaciones de terceros (por ejemplo del ISP) que se
encuentren en las instalaciones de la empresa incluso para el personal de
mantenimiento local.
Está prohibido el uso de herramientas no licenciadas (piratas) en las tareas
de mantenimiento.
7. Política de servidores
7.1. Objetivo
El propósito de esta política es establecer las normas para la configuración básica de
equipos de servidores internos propiedad y/o operados por DISTRIENVIOS S.A.S. La
aplicación eficaz de esta política minimizará el acceso no autorizado a la información
y
tecnología
propietaria
de
DISTRIENVIOS
S.A.S.
24
7.2. Alcance
Esta política se aplica a los equipos servidor propiedad y/o operados por
DISTRIENVIOS S.A.S. y a servidores registrados bajo cualquier nombre pero
conectados al dominio interno de la red.
Esta política es específica para los equipos de la red interna de DISTRIENVIOS S.A.S.
Para la Configuración segura de los equipos externos a la red de DISTRIENVIOS
S.A.S refiérase a la Política de Equipos en Internet.
7.3 Propiedad y responsabilidades
Todos los servidores internos de DISTRIENVIOS S.A.S deben ser gestionados por
algún grupo operacional que será responsable de la administración del sistema.
Deben establecerse guías de configuración de servidor aceptadas (que deben ser
mantenidas por cada grupo operacional), basadas en las necesidades de negocio y
aprobadas por los responsables de Seguridad de la Información. Los grupos
operacionales deben supervisar la conformidad de la configuración y, si es necesario,
llevar a cabo una política de excepción de acuerdo con su ámbito. Cada grupo
operacional debe establecer un proceso para cambiar la configuración guía, que
incluye obligatoriamente la revisión y aprobación de la persona responsable de
Seguridad de la Información.
•
Todos los servidores deben registrarse en el sistema de dirección de la
empresa. Como mínimo, se exige la información siguiente para identificar
positivamente el punto de contacto:
 Contacto(s) y situación del servidor, y un contacto auxiliar
 Versiones de Hardware y de Sistema Operativo
 Funciones y aplicaciones principales, si son aplicables
•
La información registrada en el sistema de dirección de la empresa debe ser
mantenida actualizada.
•
Los cambios en la configuración de los servidores de producción deben seguir
los procedimientos de gestión de cambios apropiados.
7.4 Reglas generales de configuración
• La configuración del sistema operativo debe estar de acuerdo con las reglas de
Seguridad de la Información aceptadas.
25
• Deben desactivarse servicios y aplicaciones que no se usen en la práctica.
• El acceso a los servicios debe ser auditado y/o protegido a través de los métodos
de control de accesos como los TCP Wrappers, si es posible.
• Los patches de seguridad más recientes deben instalarse en el sistema en cuanto
estén disponibles, la única excepción válida es cuando su aplicación inmediata
interfiera con los requisitos del negocio.
• Las relaciones de confianza (Trust) entre los sistemas son un riesgo de seguridad
y su uso debe evitarse. No use una relación de confianza cuando algún otro método
de comunicación realice la misma tarea.
• Usar siempre los niveles de seguridad de acceso mínimos requeridos para realizar
una función.
• No usar cuentas de administración (por ejemplo, root) cuando una cuenta no
privilegiada realice la misma tarea.
• Si una metodología para la conexión segura está disponible (es decir, es
técnicamente viable), los accesos privilegiados deben realizarse utilizando los
canales seguros, (por ejemplo, conexiones de red encriptadas con SSH o IPSec).
• Los Servidores deben localizarse físicamente en un ambiente de acceso controlado.
7.5 Monitorización
Todos los eventos relacionados con la seguridad en los sistemas críticos o sensibles
deben ser anotados y los registros de auditoría guardados como sigue:
• Todos los logs de seguridad se guardarán en línea como mínimo 1 semana.
• Las salvaguardas incrementales diarias se guardarán durante por lo menos 1 mes.
• Las copias de seguridad completas semanales se guardarán durante por lo menos
1 mes.
• Las copias de seguridad completas mensuales se guardarán por un mínimo de 2
años.
• Los incidentes relacionados con la seguridad se informarán a la persona
responsable de Seguridad de la Información que facilitará un informe de
ocurrencias a la dirección. Las medidas correctivas se prescribirán como sea
necesario. Los eventos relacionados con la seguridad incluyen, pero no se limitan,
a:
• Ataques tipo Port-scan
• Indicios de acceso no autorizado a las cuentas privilegiadas
• Ocurrencias anómalas que no se relacionen con aplicaciones específicas en el
servidor
regularmente.
26
7.6 Conformidad
•
Los organismos autorizados dentro de DISTRIENVIOS S.A.S realizarán
auditorías regularmente.
•
Las auditorías serán gestionadas por el grupo de auditoría interna o de
Seguridad de la Información, de acuerdo con la Política de Auditoría.
•
Se harán todos los esfuerzos para impedir que las auditorías causen
problemas operacionales u obstrucciones.
7.7 Definiciones
Servidor: Para los propósitos de esta política, un servidor se define como un
servidor interno de DISTRIENVIOS S.A.S. Las máquinas de sobremesa (desktop) y
equipos de laboratorio o tests no están sujetos a esta política.
8. Política de auditorías
8.1. Objetivo
El objetivo de esta política es la de establecer la autoridad de los miembros de
seguridad de la Información de DISTRIENVIOS S.A.S. Para dirigir una auditoría de
seguridad en cualquier sistema que pertenezca a DISTRIENVIOS S.A.S. Las
auditorías pueden estar dirigidas a:
• Garantizar la integridad, confidencialidad y disponibilidad de la información y
recursos.
• Investigar los posibles incidentes de seguridad en conformidad con las políticas e
seguridad de DISTRIENVIOS S.A.S.
• Monitorizar la actividad de usuarios o sistemas, ahí donde sea apropiado.
8.2. Alcance
Esta política cubre todos los ordenadores y los dispositivos de comunicación
propiedad u operados por DISTRIENVIOS S.A.S. Esta política también cubre
cualquier ordenador y dispositivo de comunicaciones que esté presente en las
instalaciones de DISTRIENVIOS S.A.S, pero que no es propiedad ni es operado por
DISTRIENVIOS
S.A.S.
27
8.3 Auditorias
Cuando se solicite, y con el objetivo de realizar una auditoría, se proporcionará
cualquier acceso necesario a los miembros del equipo de Seguridad de la
Información de DISTRIENVIOS S.A.S.
Este acceso puede incluir:
Acceso a nivel usuario y/o sistema a cualquier dispositivo de informática o
comunicaciones.
• Acceso a la información (electrónica, impresión, etc.) que pueda producirse,
transmitirse o guardarse en cualquiera equipo o instalaciones de
DISTRIENVIOS S.A.S.
• Acceso para trabajar en las áreas (laboratorios, oficinas, áreas de
almacenamiento, etc.).
Acceso para monitorizar interactivamente y grabar el tráfico en las redes de
DISTRIENVIOS S.A.S.
•
9. Política de Clasificación de la Información
9.1. Objetivo
El objetivo de esta política es la de definir las categorías de clasificación de la
información, las reglas de etiquetado y rotulación, almacenamiento y autorización
de acceso a la información sensible de DISTRIENVIOS S.A.S.
9.2. Declaración
Toda la información de propiedad de DISTRIENVIOS S.A.S y los datos de terceros
confiados a DISTRIENVIOS S.A.S. deben estar clasificados en una de las siguientes
categorías:

Publica: Esta información puede ser difundida sin que sea necesaria una
autorización.

Privada: Esta información puede ser divulgada internamente previa
autorización de la gerencia general y solo puede ser divulgada a terceros en
las siguientes condiciones:
o Información de Clientes: respetando en todas las situaciones los
acuerdos de privacidad y confidencialidad de la información al igual
que debe seguirse las normas establecidas en la ley 1581 del 2012
referente
a
la
protección
de
datos
personales.
28
o Información de terceros No clientes: Debe existir una
autorización escrita del tercero o de un representante del mismo
autorizado legalmente.
o Información Propia: Debe ser aprobada por el responsable del área
propietaria de dicha información y debe existir un acuerdo escrito de
no divulgación con terceros que requieran esta información para
desempeñar alguna de las labores contratadas.
Confidencial: Esta información de uso interno está sujeta a restricciones
de acceso adicionales y de uso autorizado solo para algunos funcionarios de
la compañía; en esta categoría se incluyen: planes estratégicos, información
relacionada con proveedores, entre otras.
Todo el tratamiento de la información debe estar de acuerdo con su clasificación.

9.3. Alcance
Esta política cubre toda la información de la empresa DISTRIENVIOS S.A.S, de los
clientes y de terceros confiada a DISTRIENVIOS S.A.S.
9.4 Roles y responsabilidades
Oficial de Seguridad:
 Liderar el proyecto de clasificación de la Información
 Debe someter al Comité de Seguridad de la Información, las eventuales dudas
que se presenten respecto a la propiedad de la información.
Comité de seguridad de la Información:
 Definir y aprobar los criterios para la clasificación de la información.
 Resolver toda solicitud externa de información acerca de DISTRIENVIOS S.A.S
y sus negocios que no esté considerada en la política vigente.
 Resolver las eventuales dudas referentes a la propiedad de la información en
los casos que lo amerite.
 Tomar la decisión referente a aprobar o desaprobar las desclasificación de la
información.
Gerencia general:
 Autorizar/Desautorizar la divulgación de la Información privada.
Responsable de Área / Coordinador:
29


Velar por el cumplimiento del almacenamiento de la información (Escritorio
limpio).
Propender por el cumplimiento de las políticas de seguridad de la información
dentro de su dependencia.
9.5 General

Propiedad de la Información
o Es propietaria de la Información, la unidad de negocios de genera la
misma y/o recibe la responsabilidad de su administración.
o En situaciones en las que la información no pueda se asignada
claramente a un único responsable, será el comité de seguridad de la
información quien lo resuelva.
o Cualquier situación referente a la propiedad de la información que
requiera ser evaluada deberá ser presentada al Comité de seguridad
de la Información por parte del Oficial de Seguridad.

Divulgación de la Información
o Solo el Coordinador responsable del área propietaria de la información
tiene la facultad para autorizar su divulgación de acuerdo con los
criterios, recomendaciones y normativa interna, externa y política
general sobre la confidencialidad de la información definida en este
documento.

Desclasificación de la Información
o El coordinador de área cuando lo considere necesario podrá solicitar la
liberación de la información al Comité de Seguridad y luego podrá
rotularla como publica.

Rotulación/Etiquetado de la Clasificación de la Información
o Toda la Información pública debe ser rotulada de acuerdo al estándar
definido por DISTRIENVIOS S.A.S.
o La Información privada de uso interno no requiere ser rotulada.
o La información confidencial debe ser rotulada para diferenciarla de la
privada.
o En consecuencia toda la información que no se encuentre rotulada
debe ser considerada como privada.
o La información debe rotularse independientemente del formato y del
medio de almacenamiento en donde se encuentre: documentos
30
electrónicos, impresos, manuscritos, audios, videos; almacenados en
CD, DVD, BlueRay, Discos Duros, etc.

Mantención de Rótulos
o Desde que la información pública es creada hasta que es eliminada,
debe mantener la rotulación que indica cómo está clasificada.
o La Información confidencial debe mantener su rotulación a menos que
el coordinador cambie su clasificación con el visto bueno de gerencia.

Rotulación de Información Consolidada
o Cuando se consolida información clasificada en distintas categorías
(Pública y Privada), la información resultante será considerada como
privada. Si la consolidación incluye información confidencial, toda esta
será considerada como confidencial.

Almacenamiento de la Información
o Cuando no está en uso y en horario “no hábil”, la información sensible
(privada y confidencial) debe ser almacenada de forma segura, de
manera que se evite el acceso no autorizados; este concepto se
relaciona con el “escritorio limpio”.

Almacenamiento de información digital
o Si se almacena información sensible en el disco duro de una
computadora u otro medio de almacenamiento persistente o temporal,
esta debe estar protegida con un control de acceso basado en
contraseña o criptografía.
o Si la información privada se almacena sobre un medio de
almacenamiento móvil como memorias flash, discos externos, cintas,
disquetes, etc; debe protegerse con criptografía o en su defecto debe
almacenarse bajo llave.
o La información confidencial deberá almacenarse protegida por un
algoritmo criptográfico como DES, AES, IDEA o RSA.
o Considerando que muchos usuarios almacenan información de uso
público y privado localmente en sus computadoras esta información
consolidada será considerada como privada.
o Si en alguna computadora de la compañía se almacena también
información confidencial, a esta y a la computadora debe aplicarse las
medidas de seguridad que correspondan.

Información en papel e Impresa
o Cuando no está en uso, la documentación escrita con información
privada o confidencial debe ser almacenada en gabinetes, escritorios u
otras áreas de almacenamiento protegidas bajo llave física.
31
o Toda la información impresa clasificada como confidencial debe incluir como
parte de la impresión misma la identificación de la persona a la cual es
entregada.

Mezcla de Información
o En un medio de almacenamiento digital ni físico, debe mezclarse
información confidencial o privada con información pública.

Acuerdos de No divulgación
o Los acuerdos de no divulgación de información que se firmen con
terceros deben incluir cláusulas referentes al uso de la información y su
posterior y eventual divulgación.

Requerimientos Externos de Información
o Toda solicitud de información acerca de DISTRIENVIOS S.A.S y sus
negocios, que no esté considerada en la normativa vigente, debe ser
derivada para su resolución al comité de seguridad de la Información
a través del oficial de seguridad. Esta situación no incluye a la
información marketing, de ventas de productos, servicios de
DISTRIENVIOS S.A.S.

Acceso a Información sensible por personal externo o consultores
o Las actividades que requieran acceso a información privada o
confidencial solo pueden ser llevadas a cabo por personal contratado
directamente por la empresa o por el personal de outsourcing
contratado por la gerencia, pero debe incluirse un acuerdo de
confidencialidad en el contrato.

Medidas de Resguardo
o Frente a la presencia de terceros externos, a compañía debe tomar las
medidas inmediatas para no exponer la información sensible al acceso no
autorizado.
10. Política de Actualización, Mantenimiento y Desarrollo de Aplicaciones
10.1. Objetivo
El objetivo de la siguiente política es poder establecer los lineamientos a seguir cuando se
realicen actualizaciones, mantenimientos y desarrollos de aplicaciones que sean
requeridas para poder cubrir las necesidades internas y externas de DISTRIENVIOS
S.A.S., y de esta manera fomentar el avance y la innovación tecnológica en la compañía
aprovechando al máximo los recursos actuales y futuros, procurando la integración de las
tecnologías y evitando su obsolescencia prematura.
32
10.2. Alcance
Esta política cubre las actualizaciones, mantenimientos y desarrollos de todas las
aplicaciones, que son utilizadas por DISTRIENVIOS S.A.S. y que sirven para apoyar y cubrir
las necesidades internas y externas de la compañía, no se incluye dentro del alcance la
metodología de programación a utilizar debido a que los desarrollos son realizados por una
empresa destinada a la realización de software.
10.3 General











Todo nuevo desarrollo que se proponga deben ser aprobado por el director operativo
y/o administrativo.
Todo actualización de algún sistema debe ser probado en un ambiente de pruebas
antes de colocarlo en productivo, y debe ser aprobado por el área de Sistemas.
La puesta en marcha de todo sistema debe seguir un proceso formal de aceptación en
el que el área de sistemas determine bajo criterios establecidos y documentados si el
sistema cumple con los estándares de calidad y seguridad apropiados para entrar en
producción en la compañía.
La propiedad intelectual y la propiedad del código es de DISTRIENVIOS S.A.S.
La calidad del producto final será verificada por la compañía.
La compañía firmará una carta de aceptación para el nuevo sistema, los requerimientos
mínimos para la aceptación de un nuevo sistema debe tener contemplado:
a) Desempeño y requerimientos de capacidad de cómputo.
b) Procedimientos de instalación.
c) Procedimientos de retorno en caso de falla y contingencias.
d) Preparación para recuperación de errores y procedimientos de re-inicio y planes de
contingencia para los equipos de cómputo.
e) Evidencias de que la instalación del nuevo sistema no afectará negativamente a
sistemas en producción, especialmente en tiempos de proceso pico.
f) Entrenamiento en la operación del nuevo sistema.
Los ambientes de pruebas y producción deben estar separados con la finalidad de
reducir riesgos de accesos no autorizados o cambios accidentales a los sistemas e
información de DISTRIENVIOS S.A.S.
Los mecanismos de registro a los ambientes de pruebas y producción deben ser
diferentes, obligando a los usuarios a utilizar cuentas y contraseñas distintas
DISTRIEVIOS S.A.S tendrá el derecho de auditar las actividades del desarrollador
externo, cuando lo requiera.
Cualquier mantenimiento de un aplicativo debe ser monitoreado por el área de
Sistemas.
Para el caso de la realización de los desarrollos y pruebas por parte de la compañía
desarrolladora, DISTRIENVIOS S.A.S no suministrara datos internos de la base de datos
de nuestros clientes
33
11. Política de Excepciones
11.1. Objetivo
El objetivo de la siguiente política es poder establecer los lineamientos que se deben
realizar cuando existan algunos casos en los que ciertas necesidades de la compaña,
exijan la exención de esta política, por circunstancias que pudieran entrar en conflicto con
las políticas de DISTRIENVIOS S.A.S.
11.2. Alcance
Esta política cubre todo este documento incluyendo la Política General de Seguridad de la
Información, la Política de privacidad, la Política de Acceso, la Política de autenticación, la
Política de Uso Aceptable, la Política de evaluación de adquisiciones, la Política de
Mantenimiento, la Política de servidores, la Política de auditorías, la Política de
Clasificación de la Información y la política de mantenimiento y Desarrollo de aplicaciones,
sin embargo, no existen excepciones para aquellas actividades que por normatividad de
ley se tenga que cumplir.
11.3. Excepciones
Las excepciones a cualquier directriz de esta política, deben ser documentadas e
informadas al comité de seguridad, quien deberá analizar y determinar la validez de la
excepción, basándose en un análisis de riesgos.
Si la excepción es válida, el comité de seguridad deberá comunicar por escrito
especificando el período válido de la excepción acorde con el riesgo asociado. Una vez
pasado el período de excepción el comité de seguridad valorará si continúa siendo una
excepción, caso en el cual deberá ser aprobada y evaluada nuevamente.
34
12. Entrada en vigor
Cualquier empleado que se descubra que ha violado esta política puede estar sujeto a una
acción disciplinaria e incluso a la terminación del contrato.
A partir de la fecha de publicación del este documento.
Control De Versiones:
REVISIONES DEL DOCUMENTO DE POLITICA DE SEGURIDAD
Nº
Fecha
Revisión
0(Cero)
1
Motivo de la revision
Elaboración inicial
27/06/2014
Se adiciona la Política de Actualización,
Mantenimiento y Desarrollo de aplicaciones y la
política de excepciones,
2
3
35
Páginas
Modificadas
Autor
Todas
CISO
31,32 y 33
CISO