1. OBJETIVO
CÓDIGO: SGI-TIC-DG-002
VERSIÓN: 1 Página 1 de 5
Determinar las prácticas, políticas, y controles internos de la compañía con el fin de asegurar y proteger la integridad de las tecnologías de la información.
2. ALCANCE
Desde la identificación de las políticas para la seguridad de la información, hasta el cumplimiento de las mismas por todos los empleados de Colvapor 24 Horas y visitantes a las instalaciones, con el fin de evitar vulnerabilidades dentro del sistema
3. RESPONSABLES
El Gerente de operaciones y comercial y la Analista SGI y Administrativa son los responsables de divulgar y actualizar la información concerniente a la presente política.
4. DEFINICIONES
BACK UP: Se refiere a la copia y archivo de datos de la computadora de modo que se puede utilizar para restaurar la información original después de una eventual pérdida de datos.
NAS: Network Attached Storage (NAS), es el nombre dado a una tecnología de almacenamiento dedicada a compartir la capacidad de almacenamiento de un computador (servidor) con computadoras personales o servidores clientes.
SERVIDOR: Es un ordenador o máquina informática que está al “servicio” de otras máquinas, ordenadores o personas llamadas clientes y que les suministran a estos, todo tipo de información.
FIREWALL: Es una parte de un sistema o una red que está diseñada para bloquear el acceso no autorizado, permitiendo al mismo tiempo comunicaciones autorizadas.
VPN: (Virtual Private Network) es una tecnología de red que se utiliza para conectar una o más computadoras a una red privada utilizando Internet.
EXTENSIÓN: Una extensión del archivo o extensión del fichero, es una cadena de caracteres anexada al nombre de un archivo, usualmente precedida por un punto.
BASE DE DATOS: Conjunto organizado de datos.
VULNERABILIDADES: son las debilidades, hoyos de seguridad o flaquezas inherentes a los activos de información que pueden ser explotadas por factores externos y no controlables, las cuales se constituyen en fuentes de riesgo.
SOFTWARE MALICIOSO: es una variedad de software o programas de códigos hostiles e intrusivos que tienen como objeto infiltrarse o dañar los recursos tecnológicos, sistemas operativos, redes de datos o sistemas de información.
SISTEMA DE INFORMACIÓN: es un conjunto organizado de datos, operaciones y transacciones que interactúan para el almacenamiento y procesamiento de la información que, a su vez, requiere la interacción de uno o más activos de información para efectuar sus tareas.
RECURSOS TECNOLÓGICOS: son aquellos componentes de hardware y software tales como: servidores (de aplicaciones y de servicios de red), estaciones de trabajo, equipos portátiles, dispositivos de comunicaciones y de seguridad, servicios de red de datos y bases de datos, entre otros.
PERFILES DE USUARIO: son grupos que concentran varios usuarios con similares necesidades de información y autorizaciones idénticas sobre los recursos tecnológicos o los sistemas de información a los cuales se les concede acceso de acuerdo con las funciones realizadas. Las modificaciones sobre un perfil de usuario afectan a todos los usuarios cobijados dentro de él.
Cláusuladeconfidencialidad.EstainformaciónespropiedadintelectualdeCOLVAPOR24HORASSAScualquiercambio,copiaoreproducción debeserpreviamenteautorizadaporlaGerenciadelaempresaoSistemasdeGestión.
CÓDIGO: SGI-TIC-DG-002
2023/03/21
VERSIÓN: 1 Página 2 de 5
MEDIO REMOVIBLE: es cualquier componente extraíble de hardware que sea usado para el almacenamiento de información; los medios removibles incluyen cintas, discos duros removibles, CDs, DVD´s y unidades de almacenamiento USB, entre otras.
LICENCIA DE SOFTWARE: es un contrato en donde se especifican todas las normas y cláusulas que rigen el uso de un determinado producto de software, teniendo en cuenta aspectos como: alcances de uso, instalación, reproducción y copia de estos productos.
INTEGRIDAD: es la protección de la exactitud y estado completo de los activos.
DISPONIBILIDAD: es la garantía de que los usuarios autorizados tienen acceso a la información y a los activos asociados cuando lo requieren.
EQUIPO DE CÓMPUTO: dispositivo electrónico capaz de recibir un conjunto de instrucciones y ejecutarlas realizando cálculos sobre los datos numéricos, o bien compilando y correlacionando otros tipos de información.
CONTROL: es toda actividad o proceso encaminado a mitigar o evitar un riesgo. Incluye políticas, procedimientos, guías, estructuras organizacionales y buenas prácticas, que pueden ser de carácter administrativo, tecnológico, físico o legal.
AUTENTICACIÓN: es el procedimiento de comprobación de la identidad de un usuario o recurso tecnológico al tratar de acceder a un recurso de procesamiento o sistema de información
5. CONDICIONES GENERALES
5.1.ÁREA ENCARGADA DE ATENCION DE SOLICITUDES
Los datos de contacto del área de Atención interna y externa de COLVAPOR 24 HORAS S.A.S. son:
Correo electrónico: info@colvapor24horas.com
5.2.VIGENCIA DE LA POLÍTICA DE SEGURIDAD INFORMATICA
La presente Política se encuentra vigente desde el abril de 2017
6. DESARROLLO
6.1.SISTEMA DE ALMACENAMIENTO Y POLITICAS DE BACK UP
Dentro del sistema de almacenamiento y políticas de Back UP encontramos las siguientes actividades con el fin de garantizar la protección de las tecnologías de la información:
Políticas y reglas administradas por el servidor de dominio. Restricciones de puertos lógicos.
Almacenamiento exclusivo en NAS y Servidor
Rutinas de Back up locales diarios (Full/Incremental)
Rutinas de Back up semanales externas con redundancia de roles DC/DNS e información.
6.2.TIEMPOS DE RESTAURACIÓN DE LA INFORMACION:
Restauración de Roles: 3 Horas.
Información local: 1 Hora.
Cláusuladeconfidencialidad.EstainformaciónespropiedadintelectualdeCOLVAPOR24HORASSAScualquiercambio,copiaoreproducción debeserpreviamenteautorizadaporlaGerenciadelaempresaoSistemasdeGestión.
CÓDIGO: SGI-TIC-DG-002
Información Remota: 6-12 Horas.
6.3. LICENCIAMIENTO
VERSIÓN: 1 Página 3 de 5
Todos los productos de Software que se utilicen deberán contar con su licencia de uso respectiva; por lo que se promoverá la regularización o eliminación de los productos que no cuenten con el debido licenciamiento.
6.4.USO
DE LOS MEDIOS TECNOLOGICOS
✓ Los usuarios deberán cuidar, respetar y hacer un uso adecuado de los recursos de cómputo y Red de las empresas, de acuerdo con las políticas que en este documento se mencionan.
✓ Los usuarios deberán solicitar apoyo al área de Tecnología ante cualquier duda en el manejo de los recursos de cómputo de la empresa.
✓ El correo electrónico no se deberá usar para envío masivo, materiales de uso no institucional o innecesarios (entiéndase por correo masivo todo aquel que sea ajeno a la Las Empresas, tales como cadenas, publicidad y propaganda comercial, política, social, etcétera).
✓ La autorización de acceso a Internet se concede exclusivamente para actividades de trabajo. Todos los colaboradores de la empresa tienen las mismas responsabilidades en cuanto al uso de Internet.
6.5.SEGURIDAD PERIMETRAL
Con el fin de detectar o prevenir de tentativas de intrusión en la compañía se establecen los siguientes mecanismos y/o elementos:
6.5.1. FIREWALL: Bloqueo de acceso no autorizado.
6.5.2. REGLAS RESTRICTIVAS: Está restringida la navegación hacia internet dentro de la red de Colvapor a los siguientes contenidos:
✓ Contenido Redes Sociales
✓ Contenido Violencia
✓ Contenido Pornográfico
✓ Contenido Multimedia-Video
6.5.3. REGLAS DE SEDURIDAD:
Se realiza bloqueo de los puertos lógicos con excepción por necesidad dentro de la red.
✓ BLOQUEO DE PUERTOS LOGICOS: Excepción (80) (VPN)
No se realiza bloqueo de los puertos físicos, y unidades removibles sin embargo no se puede realizar copia de la información sin previa autorización.
6.6.SEGURIDAD LOCAL
Dentro de la red se tiene los siguientes Software y Controles para minimizar los riesgos:
Cláusuladeconfidencialidad.EstainformaciónespropiedadintelectualdeCOLVAPOR24HORASSAScualquiercambio,copiaoreproducción debeserpreviamenteautorizadaporlaGerenciadelaempresaoSistemasdeGestión.
CÓDIGO: SGI-TIC-DG-002
✓ Antivirus Kaspersky (Versión Vigente)
✓ Google Apps Works (Sistema de Correos)
VERSIÓN: 1 Página 4 de 5
✓ Usuarios Perfil Restringido: Acceso Local y Aplicativos Web
6.7.RESTRICCION DE CORREOS
El servidor de correos realiza un primer filtro con destinatarios desconocidos y contenido reconocido como potencialmente peligroso, en segundo filtro el personal de Colvapor no está autorizado a abrir correos con extensiones “.exe” o extensiones diferentes a las siguientes:
Autorizados:
Paquete de Office:
✓ . xlxs
✓ .ppsx
✓ .pptx
✓ .docx
✓ .sldx
✓ Adobe:
Imagen:
✓ .jpg
✓ .jepg
✓ .png
Video:
✓ .avi
✓ .mp4
✓ .mov
✓ .wmv
Adicional el personal no debe abrir hipervínculos o acceder a URL’s de remitentes desconocidos con el fin de evitar el acceso o descarga de Software Malicioso.
6.8.RED INALAMBRICA (WIFI)
La red inalámbrica está disponible para los dispositivos móviles, equipos de escritorio y portátiles de uso Corporativo, donde se podrá acceder al servicio de Internet de manera controlada.
Existen dos redes para el personal externo de la compañía en caso de requerir conectarse a internet, con el fin de evitar intrusión desde un dispositivo externo.
Las condiciones de uso presentadas definen los aspectos más importantes que deben tenerse en cuenta para la utilización del servicio de red inalámbrica, estas condiciones abarcan todos los dispositivos de comunicación inalámbrica con capacidad de conexión Wireless.
6.9.CONTROL SOBRE EXFUNCIONARIOS
Cláusuladeconfidencialidad.EstainformaciónespropiedadintelectualdeCOLVAPOR24HORASSAScualquiercambio,copiaoreproducción debeserpreviamenteautorizadaporlaGerenciadelaempresaoSistemasdeGestión.
CÓDIGO: SGI-TIC-DG-002
2023/03/21
VERSIÓN: 1 Página 5 de 5
El personal que ya no labore en la empresa, será restringido, por medio del cambio de datos de autenticación y se eliminaran sus cuentas en el momento que la compañía determine oportuno considerando el tiempo de migración de la información, adicional por medio de cláusula de confidencialidad se mitiga la fuga malintencionada de información.
6.10. MODIFICACIONES
Este documento podrá ser modificado por parte de COLVAPOR 24 HORAS S.A.S.
7. DOCUMENTOS DE REFERENCIA N/A
8. ANEXOS N/A
9. CONTROL DE CAMBIOS No. VERSIÓN
1 Creación del Documento. A 21 de marzo de 2023
NOMBRE: Dayn Maritza Lesmes
CARGO: Analista de SGI y Administrativa
NOMBRE: Dayn Maritza Lesmes
CARGO: Analista de SGI y Administrativa
NOMBRE: Juan Sebastián Quintero
CARGO: Gerente de Operaciones y Comercial.
Cláusuladeconfidencialidad.EstainformaciónespropiedadintelectualdeCOLVAPOR24HORASSAScualquiercambio,copiaoreproducción debeserpreviamenteautorizadaporlaGerenciadelaempresaoSistemasdeGestión.