manual de polÍticas de seguridad de la ......establecer, implementar, operar, hacer seguimiento,...

TELCOS INGENIERÍA S.A.

MANUAL DE POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN

04 DE DICIEMBRE DE 2020

Telcos Ingeniería S. A “Información Interna” Documento impreso No Controlado, Consultar en https://web.telcosingenieria.com/telcos/ última revisión


GTIC-TIC-MA-01 Versión 02

04 de diciembre de 2020

Página 2 de 14

TABLA DE CONTENIDO

1 INTRODUCCIÓN ............................................................................................................................................................ 3

2 OBJETIVOS .................................................................................................................................................................... 3

3 ALCANCE ....................................................................................................................................................................... 3

4 RESPONSABLES ........................................................................................................................................................... 3

5 DEFINICIONES Y/O ABREVIATURAS .......................................................................................................................... 4

6 POLÍTICA GENERAL DE SEGURIDAD DE LA INFORMACIÓN .................................................................................. 5

7 POLÍTICAS ESPECÍFICAS DE SEGURIDAD DE LA INFORMACIÓN ......................................................................... 5

7.1 POLÍTICA PARA DISPOSITIVOS MÓVILES, TELETRABAJO Y TRABAJO EN CASA ........................................ 5

7.2 POLÍTICA DE CLASIFICACIÓN Y ETIQUETADO DE LA INFORMACIÓN ........................................................... 7

7.3 POLÍTICA DE ESCRITORIO LIMPIO Y PANTALLA LIMPIA ................................................................................. 7

7.4 POLÍTICA DE COPIAS DE RESPALDO DE INFORMACIÓN ................................................................................ 7

7.5 POLÍTICA DE TRANSFERENCIA DE INFORMACIÓN .......................................................................................... 8

7.6 POLÍTICA DE DESARROLLO SEGURO ................................................................................................................ 9

7.7 POLÍTICA DE CONTROL DE ACCESO ............................................................................................................... 10

7.8 POLÍTICA DE ÁREAS SEGURAS ........................................................................................................................ 11

7.9 POLÍTICA DE CONTROLES CRIPTOGRÁFICOS ............................................................................................... 12

7.10 POLÍTICA PARA LAS RELACIONES CON LOS PROVEEDORES ..................................................................... 13

8 CONTROL DE REVISIONES ........................................................................................................................................ 14

http://190.85.119.252/telcos/





Página 3 de 14

1 INTRODUCCIÓN Telcos Ingeniería S.A determina los activos de información como un elemento muy importante para la organización que permite el desarrollo continuo de su operación, lo cual genera la necesidad de implementar directrices y lineamientos que permitan proteger la Confidencialidad, Integridad y Disponibilidad de la información en todo el ciclo de vida de los activos de información. Este manual establece las políticas que integran el Sistema de Gestión de Seguridad de la Información (SGSI), las cuales se encuentran enfocadas al cumplimiento de la normatividad legal colombiana vigente y a las buenas prácticas de seguridad de la información, basadas en la norma ISO 27001:2013. 2 OBJETIVOS

Definir un conjunto de políticas y directrices para la Seguridad de la Información, de acuerdo con los requisitos del negocio, las leyes aplicables y los requisitos de las normas del Sistema de Gestión.

Implementar los controles necesarios para proteger la confidencialidad, integridad y disponibilidad de los activos de información, los cuales se encuentran documentados en la GTIC-TIC-FT-14 Declaración de aplicabilidad.

3 ALCANCE Este manual como parte del Sistema de Gestión de Seguridad de la Información, tiene alcance a todos los procesos que hacen parte de Telcos Ingeniería S.A. y aplica a todos los colaboradores de la empresa y a las partes interesadas externas que impacten la seguridad de la información. La política de tratamiento y protección de datos personales, la política de ética y buena conducta, la política de imagen empresarial, la política de sostenibilidad y la política anticorrupción y antisoborno, si son consideradas por Telcos Ingeniería S.A, pero no se encuentran dentro de este manual.

4 RESPONSABLES

Presidente y Director Ejecutivo

- Determinar y asignar los recursos necesarios tanto físicos, técnicos, financieros y humanos para la implementación de las Políticas de Seguridad de la Información.

- Promover las políticas definidas en el presente manual, para aumentar la toma de conciencia, la motivación y la participación.

- La aprobación del presente manual de Políticas del Seguridad de la Información estará a cargo del Director ejecutivo, Presidente o en su defecto a quien designen.

Coordinador de Tecnología y Seguridad de la Información

- Realizar y aprobar cambios en las Políticas de Seguridad de la Información, de acuerdo con las necesidades de la empresa.

- Llevar a cabo todas las directrices definidas en el presente Manual dentro del proceso de Gestión TICS.

- Velar porque los colaboradores de la empresa y las partes interesadas externas que impacten la seguridad de la información, den cumplimiento a las directrices definidas en el presente Manual.

- Detener una actividad en la que se presente un incumplimiento a cualquiera de las Políticas de Seguridad de la Información.

Líder de Seguridad de la Información

Realizar cambios en las Políticas de Seguridad de la Información, de acuerdo con las necesidades de la empresa.

Velar porque los colaboradores y las partes interesadas externas que impacten la seguridad de la información, den cumplimiento a las directrices definidas en el presente Manual.

Detener una actividad en la que se presente un incumplimiento a cualquiera de las Políticas de Seguridad de la Información.

http://190.85.119.252/telcos/





Página 4 de 14

Líder de Gestión Documental

Velar porque los colaboradores de la empresa y las partes interesadas externas, que impacten la seguridad de la información física, den cumplimiento a las directrices definidas en el presente Manual.

Detener una actividad en la que se presente un incumplimiento a cualquiera de las Políticas de Seguridad de la Información.

Colaboradores y Partes Interesadas Externas

- Dar cumplimiento a todas las Políticas de Seguridad de la Información.

- Reportar cualquier incumplimiento a las Políticas de Seguridad de la Información, al área de TICS y/o al Líder de Seguridad de la Información.

- Detener una actividad en la que se presente un incumplimiento a cualquiera de las Políticas de Seguridad de la Información.

5 DEFINICIONES Y/O ABREVIATURAS

Activo de Información: Cualquier elemento físico, tecnológico tangible o intangible que genera; almacena o procesa información y que tiene valor para la organización.

Confidencialidad: Propiedad que determina que la información no esté disponible ni sea revelada a individuos, entidades o procesos no autorizados.

Disponibilidad: Propiedad de que la información sea accesible y utilizable por solicitud de una entidad autorizada.

Evento de seguridad: Presencia identificada de una condición de un sistema, servicio o red, que indica una posible

violación de la política de seguridad de la información o la falla de los controles, o una situación desconocida

previamente que puede ser pertinente a la seguridad.

Hardware: es la parte física de cualquier dispositivo electrónico o informático, es usual que sea utilizado en una forma más amplia, generalmente para describir componentes físicos de una tecnología, incluyendo equipos de cómputo, periféricos, redes, cableado y cualquier otro elemento físico involucrado.

Integridad: Propiedad de salvaguardar la exactitud y estado completo de los activos.

Incidente de Seguridad de la Información: Un evento o serie de eventos de seguridad de la información no deseados o inesperados, que tienen una probabilidad significativa de comprometer las operaciones del negocio y amenazar la seguridad de la información.

Infraestructura Tecnológica: se entiende por infraestructura tecnológica al conjunto de todos los elementos tecnológicos hardware y software: servidores, computadores, portátiles, impresoras, switches, routers, firewall, escáneres, cableado estructurado, CPU, software informático, sistemas de información, equipos de comunicación, internet, red LAN, entre otros.

Propietario de la Información: Individuo o entidad que tiene responsabilidad aprobada de la dirección por el control de la producción, el desarrollo, el mantenimiento, el uso y la seguridad de los activos. El término “propietario” no implica que la persona tenga realmente los derechos de propiedad de los activos.

Sistema de Gestión de Seguridad de la Información – SIG: Parte del Sistema Integrado de Gestión, cuyo fin es establecer, implementar, operar, hacer seguimiento, revisar, mantener y mejorar la seguridad de la información.

Software: Se refiere al equipamiento lógico de un computador, está compuesto por todos los aplicativos y licencias que están instalados en cada uno de los equipos de cómputo de la entidad.

Seguridad de la información: La seguridad de la información es el conjunto de medidas preventivas y reactivas de las organizaciones y de los sistemas tecnológicos que permiten resguardar y proteger la información buscando mantener la confidencialidad, la disponibilidad e integridad de datos y de la misma.

Teletrabajo: Forma de organización laboral, que consiste en el desempeño de actividades remuneradas o prestación de servicios a terceros, utilizando como soporte las tecnologías de la información y comunicación -TIC, para el contacto entre el colaborador y la empresa, sin requerirse la presencia física del colaborador en un sitio específico de trabajo.

Trabajo en Casa: Situación ocasional, temporal y excepcional en la que un colaborador desempeñará sus actividades laborales fuera de los locales habituales de trabajo del empleador.

http://190.85.119.252/telcos/





Página 5 de 14

6 POLÍTICA GENERAL DE SEGURIDAD DE LA INFORMACIÓN Versión 3, 04 de diciembre de 2020

TELCOS INGENIERÍA S.A. empresa líder en la prestación de servicios técnicos en construcción, instalación y mantenimiento de redes de telecomunicaciones, para los servicios de televisión, telefonía e internet a nivel nacional, se compromete a proteger la información generada en la ejecución de sus funciones o la que es entregada en custodia por todas las partes interesadas internas y externas, implementando lineamientos para velar por la Confidencialidad, la Disponibilidad y la Integridad de la información, soportados en la Misión, Visión y Objetivos de la empresa. Para tal fin se establecen los siguientes propósitos:

Proteger la información creada, procesada, transmitida o resguardada en los diferentes procesos, asegurando el cumplimiento de los principios de Confidencialidad, Integridad y Disponibilidad de la información.

Controlar la operación de sus procesos, garantizando la seguridad de los recursos tecnológicos, infraestructura, redes y bases de datos.

Dar cumplimiento a los requisitos legales, contractuales, internos y de otra índole, relacionados con la Seguridad de la Información.

Mejorar continuamente el Sistema de Gestión de Seguridad de la Información.

7 POLÍTICAS ESPECÍFICAS DE SEGURIDAD DE LA INFORMACIÓN TELCOS INGENIERÍA S.A, ha implementado una serie de Políticas Específicas de seguridad de la información, con el fin de brindar los lineamientos a cada servicio y proceso establecido en la compañía, para mantener los principios de seguridad de la información establecidos en la Política General de Seguridad de la Información. 7.1 POLÍTICA PARA DISPOSITIVOS MÓVILES, TELETRABAJO Y TRABAJO EN CASA

Versión 4, 04 de diciembre de 2020

TELCOS INGENIERÍA S.A., provee las condiciones para el manejo de los dispositivos móviles usados para fines laborales. Así mismo vela porque los colaboradores hagan uso responsable de estos por medio del área de TICS. El uso de dispositivos personales para ejecutar labores relacionadas con el cargo, está permitido con la autorización de los Líderes de proceso, previa validación del Presidente y el Director Ejecutivo. Se deben cumplir los siguientes lineamientos:

Los colaboradores que requieran configuración del correo electrónico en un dispositivo personal móvil, deben realizar un Ticket en la plataforma destinada para tal fin, a través del enlace https://web.telcosingenieria.com/telcos/index.php/plataformas/tickets, en el que se debe incluir la autorización de su jefe inmediato, para que se le dé el respectivo acceso por parte del área de TICS.

El dispositivo debe usar software licenciado.

El sistema operativo del dispositivo móvil no debe tener ninguna alteración (JailBreak, root access).

El dispositivo debe tener bloqueo automático y se debe solicitar algún método de desbloqueo (PIN, Huella, reconocimiento facial o contraseña).

En caso de Uso de WhatsApp y/o correo electrónico por medio de aplicación, el dispositivo debe contar con cifrado y estar activo.

No se admite el uso de dispositivos con sistema operativo inferior a Android 4.0 o IOS 7.

Los celulares, tabletas y portátiles personales no se podrán conectar a la red corporativa, sin previa validación y autorización del área de TICS.

El usuario debe borrar la información de su dispositivo, cuando está ya no sea necesaria para realizar su labor.

Los dispositivos que sean de propiedad de la empresa y requieran ser retirados de las instalaciones de la compañía, deberán contar con autorización previa del área de TICS y del Líder de proceso.

Se debe informar el robo o pérdida de los dispositivos entregados por la compañía al usuario, este lo debe reportar en la plataforma de Tickets a través del enlace https://web.telcosingenieria.com/telcos/index.php/plataformas/tickets. Allí mismo se debe incorporar la denuncia

http://190.85.119.252/telcos/

https://web.telcosingenieria.com/telcos/index.php/plataformas/tickets






Página 6 de 14

realizada frente a las autoridades competentes (Policía Nacional, Fiscalía, operadores de servicio Móvil entre otros).

El usuario debe informar si se presentan daños en los dispositivos entregados por parte de la compañía, a través de la plataforma de Tickets en el enlace https://web.telcosingenieria.com/telcos/index.php/plataformas/tickets, e incluir fotos y/o evidencias del daño presentado.

TELCOS INGENIERÍA S.A., define medidas de seguridad para los colaboradores que tienen acceso o transfieren información fuera de las instalaciones como parte de la prestación del servicio. Para proteger los activos de la información, el área de TICS define los siguientes parámetros:

Acceder a los recursos de la empresa por medio de páginas seguras (Https).

Acceder al correo electrónico según lo indicado por el área de TICS (Configuración de cliente de correo en los dispositivos adecuados o ingreso a través de “Web Mail”).

Cuando el usuario así lo requiera, se habilitará el acceso por medio de VPN, previa autorización del área de TICS.

El usuario no debe ingresar a los recursos de la empresa usando redes WIFI abiertas o de origen desconocido.

El usuario no debe ingresar a los recursos de la empresa usando dispositivos públicos, ajenos a su propiedad o a la propiedad de la organización.

Solo se permite el uso de equipos asignados por la organización para realizar actividades de teletrabajo.

Todos los dispositivos móviles con acceso a información confidencial, deben tener antivirus instalado y actualizado.

Antes de realizar cualquier actividad de Teletrabajo o Trabajo en casa, Telcos Ingeniería define con los Líderes de proceso el alcance de las actividades a desarrollar, estableciendo como mínimo, el horario, los activos de información a acceder, los sistemas de información y los servicios requeridos para el desarrollo de las actividades.|

Solo los empleados autorizados por la Alta Dirección tendrán acceso remoto, única y exclusivamente a través de una VPN (Red Privada Virtual) a los sistemas de Telcos Ingeniería. No está permitido el acceso remoto utilizando conexiones diferentes a una VPN.

Mantener activos los antivirus y sistemas de protección para conectarse a redes o servicio de internet no corporativos, que apliquen a colaboradores con modalidad de Teletrabajo o Trabajo en casa. Consulte al área de TICS sobre cualquier duda con respecto a Seguridad de la Información.

http://190.85.119.252/telcos/






Página 7 de 14

7.2 POLÍTICA DE CLASIFICACIÓN Y ETIQUETADO DE LA INFORMACIÓN Versión 4, 04 de diciembre de 2020

TELCOS INGENIERÍA S.A determina las siguientes categorías para la clasificación de la información:

Confidencial: Información que solo puede ser conocida y utilizada por un grupo de colaboradores, que la necesiten para realizar su trabajo y cuya divulgación o uso no autorizados podrían ocasionar pérdidas significativas para la organización.

Interna: Información que puede ser conocida y utilizada por todos los empleados de la organización y algunas partes interesadas externas debidamente autorizadas, y cuya divulgación o uso no autorizados podrían ocasionar riesgos o pérdidas leves para la organización.

Pública: Información que puede ser conocida y utilizada sin autorización por cualquier persona, sea colaborador de la organización o no.

Es responsabilidad de los líderes de proceso identificar, clasificar y resguardar la información tanto física como digital de su proceso, de acuerdo con lo definido en el procedimiento GTIC-TIC-PD-11 Clasificación y etiquetado de activos de información. Telcos Ingeniería S.A. respeta la clasificación de la información proveniente de las partes interesadas externas y la trata conforme a las políticas de la organización y de la parte interesada, si aplica.

7.3 POLÍTICA DE ESCRITORIO LIMPIO Y PANTALLA LIMPIA


TELCOS INGENIERÍA S.A. garantiza que los colaboradores y partes interesadas externas, que tengan acceso a las instalaciones físicas de la empresa, sistemas de información y equipos de cómputo, mantengan sus escritorios libres de documentos o dispositivos de almacenamiento, guardándolos en sitios seguros, después de la jornada laboral o cuando no estén siendo utilizados. No se permite tener accesos directos en el escritorio del computador. El usuario debe bloquear sesión cuando se ausente de su puesto de trabajo y/o deje el equipo desatendido, para proteger el acceso a la documentación digital, aplicaciones y servicios de la empresa. Una vez termine la labor o actividad en las aplicaciones, herramientas de software o sistemas, de debe cerrar la sesión de usuario de manera correcta, evitando posibles suplantaciones y accesos no autorizados. Se debe retirar de las impresoras, escáneres y fax, toda documentación física, evitando de esta manera la exposición de la información a personal no autorizado. Al imprimir documentos con información confidencial, estos deben ser retirados de la impresora inmediatamente.

7.4 POLÍTICA DE COPIAS DE RESPALDO DE INFORMACIÓN

Versión 4, 04 de diciembre de 2020 TELCOS INGENIERÍA S.A garantiza que la información que la organización y/o el propietario de la misma determine que debe ser protegida, es respaldada mediante copias de seguridad, y que las mismas son sometidas a pruebas de restauración que verifican el grado de integridad de las mismas. Conforme se establece en el procedimiento GTIC-TIC-PD-03 Gestión de copias de seguridad. El área de TICS junto con el propietario de la información establecen un plan de restauración de copias de seguridad, que son probadas a intervalos regulares con el fin de asegurar que son confiables en caso de emergencia y retenidas por un tiempo determinado. Es responsabilidad de los usuarios almacenar la información laboral, únicamente en los sitios asignados por el área de TICS, para garantizar su copia de respaldo. Adicionalmente deben atender las instrucciones del área de TICS, para realizar correctamente estas copias de respaldo en los tiempos estipulados.

http://190.85.119.252/telcos/





Página 8 de 14

El área de TICS garantizará la generación y almacenamiento de las copias de respaldo de la información en un sitio alterno. Para asegurar los principios de Confidencialidad, Integridad y Disponibilidad de la información, el área de TICS NO se hace responsable de respaldar información que no sea de la compañía, por tanto, cada colaborador debe abstenerse de almacenar información personal en los equipos de la empresa.

Telcos Ingeniería S.A. no se hace responsable de salvaguardar información presente en medios no autorizados, ni aplicaciones no corporativas.

7.5 POLÍTICA DE TRANSFERENCIA DE INFORMACIÓN


Todo colaborador de la organización es responsable de proteger la Confidencialidad, Integridad y Disponibilidad de la información y tiene especial cuidado en el uso de los diferentes medios de intercambio de información, establecidos en el procedimiento GTIC-TIC-PD-10 Transferencia de Información, que pueden generar una divulgación o modificación no autorizada. El área de TICS, Gestión Documental o cualquier persona delegada por el propietario de la información, son responsables de implementar los controles que garantizan el cumplimento de los criterios de Confidencialidad, Integridad y Disponibilidad requeridos según corresponda. Para el cumplimiento de esta política se establecen los siguientes lineamientos:

Uso de Correo Electrónico

- La cuenta de correo corporativo asignada a cada empleado es para uso exclusivo de las labores propias del cargo. Por lo mismo, no está autorizado el reenvío de correos electrónicos ni de agendas del buzón de Telcos Ingeniería a cuentas de correo públicas como Gmail, Hotmail u otras. Recuerde que el uso de cuentas de correo público no está asegurado y la información que intercambie a través de este medio puede ser accedida por personas no autorizadas.

- El correo se debe acceder desde un navegador o un cliente de correo.

- Si se accede al correo a través de navegador, el área de TICS proveerá al usuario la dirección que debe usar.

- En el caso de cliente de correo se usan solo protocolos seguros.

- El área de TICS configura el cliente de correo para garantizar el uso de los parámetros adecuados.

- Está prohibido por parte del usuario alterar la configuración de las cuentas de correo, establecida por el área de TICS. No está permitido usar el correo electrónico para el envío de propagandas, ofertas, negocios personales, avisos publicitarios o cualquier otra información ajena a las labores que desempeña en su cargo.

- No está permitido el envío de correos con mensajes difamatorios, discriminatorios, de acoso o intimidación, imágenes o videos con contenido ilegal, racista, ofensivo, indecente, obsceno o con material sexual explícito.

- No está permitido el envío de correos masivos sin autorización. Si está autorizado para realizar este tipo de envíos, asegúrese que los nombres de los correos electrónicos de los destinatarios vayan en el campo CCO – Copia Oculta, para evitar que los destinatarios puedan ver todas las direcciones de los correos electrónicos.

- Todo correo electrónico de procedencia desconocida, llamado SPAM o Junkmail que sea recibido en los buzones de correo de Telcos Ingeniería debe ser eliminado, ignorado y reportado al área de TICS, con el fin de evitar posibles vulnerabilidades por código malicioso o virus. Telcos Ingeniería puede aplicar controles técnicos que prevengan la recepción de correos provenientes de estos individuos u organizaciones. Es responsabilidad de los usuarios la no propagación de dichos correos a cuentas corporativas o personales.

- Antes de responder un correo electrónico, valide si requiere incluir el historial de este. Enviar este historial sin validar si el remitente requiere o no tener conocimiento del mismo, puede estar exponiendo información confidencial a personas no autorizadas.

- Absténgase de usar el correo electrónico como una herramienta de mensajería instantánea.

- Utilicé en el pie de firma el aviso de confidencialidad de los mensajes de correo electrónico, de acuerdo con el modelo corporativo establecido.

http://190.85.119.252/telcos/





Página 9 de 14

- La transferencia de información confidencial por correo electrónico, que se envíe a direcciones fuera de la compañía debe ir cifrada con contraseña.

Uso de mensajería instantánea

- El uso de la plataforma WhatsApp está permitido bajo autorización individual por parte del Líder del proceso. El acceso a dicha plataforma se hace solo a través de la aplicación o página oficial.

Plataformas web de terceros

- Las plataformas de terceros se validan por el área de TICS, para que cuenten con protocolos de transferencia seguros (Https, VPN).

- Cuando la transferencia es a través de plataformas web de terceros, el usuario solo la usa si la página es segura.

Protección de información verbal

- Los empleados de Telcos Ingeniería no deben tener conversaciones confidenciales en lugares públicos, o mediante canales de comunicación no seguros, oficinas abiertas y lugares de reunión.

Uso de dispositivos USB y medios extraíbles

- Los puertos USB se encuentran bloqueados contra escritura y lectura, y únicamente se habilitarán con la autorización del área de TICS. El uso de dispositivos USB se encuentran documentados en el procedimiento GTIC-TIC-PD-05 Gestión de medios, equipos y dispositivos.

- Los dispositivos móviles USB autorizados para la operación deben tener un tipo de encriptación, o la información contenida debe ir cifrada, con el fin de proteger contra acceso no autorizado o fugas de información en su transporte.

Códigos Maliciosos

- TELCOS INGENIERÍA S.A. establece la implementación de Windows Server Update (WSUS), con el fin de

garantizar las actualizaciones de Seguridad para los sistemas operativos Microsoft.

- No está permitido realizar instalaciones de Antivirus o Software sin la previa autorización del área de TICS, todo

usuario que se encuentre en modo de trabajo remoto ( teletrabajo o trabajo en casa) debe reportar cualquier tipo

de actualización o servicio referente a TICS, a través de la plataforma de tickets en el siguiente enlace

https://web.telcosingenieria.com/telcos/index.php/plataformas/tickets.

- Se establece Windows Defender para prevenir, retirar o poner en cuarentena Software que altere los activos de

información de Telcos Ingeniería.

- Toda solicitud o requerimiento para la protección del equipo de cómputo de los colaboradores de Telcos Ingeniería,

debe ser solicitada previamente a través del portal de tickets, en el siguiente enlace:

https://web.telcosingenieria.com/telcos/index.php/plataformas/tickets.

- Solo el personal de TICS se encuentra autorizado para realizar cambios o actualizaciones manuales de Windows

Server Update (WSUS) o Windows Defender o cualquier sistema de protección que establezca la compañía.

7.6 POLÍTICA DE DESARROLLO SEGURO Versión 4, 04 de diciembre de 2020

TELCOS INGENIERÍA S.A. garantiza que el desarrollo de software y sistemas dentro de la organización cumplen con los requerimientos de seguridad establecidos, con las buenas prácticas para el desarrollo seguro de aplicativos, así como con las metodologías para la realización de pruebas de aceptación y seguridad al software desarrollado. Además, asegura que todo software desarrollado o adquirido, interna o externamente cuenta con el nivel de soporte requerido por la organización y debe cumplir con lo estipulado en el procedimiento GTIC-TIC-PD-09 Desarrollo Seguro. Para garantizar que en el proceso de desarrollo de software se proteja la seguridad de la información, el área de TICS establece lo siguiente:

Los equipos usados para el desarrollo de software cumplen con todos los controles de acceso a redes y aplicaciones.

Los equipos usados para desarrollo están conectados a un entorno de red diferente al de producción. Así mismo los ambientes de pruebas y producción deben estar separados.

http://190.85.119.252/telcos/







Página 10 de 14

El desarrollador se abstiene de usar contraseñas o claves en texto plano dentro del código.

Los datos de prueba no deben contener información confidencial.

Las credenciales de acceso a sistemas de información usadas durante el desarrollo, no son usadas en producción.

Toda modificación o cambio en el software desarrollado, deberá ser analizado y probado en ambientes de pruebas

y autorizado por el personal correspondiente en TELCOS INGENIERÍA S.A., con el fin de identificar, analizar y

evaluar los posibles riesgos de seguridad de la información que puedan presentarse por dichos cambios.

Garantizar que no se divulgue información confidencial en respuestas de error, incluyendo detalles del sistema,

identificadores de sesión o información de las cuentas de usuarios en entorno de producción. Para dicho entorno

implementar mensajes de error genéricos.

7.7 POLÍTICA DE CONTROL DE ACCESO Versión 4, 04 de diciembre de 2020

TELCOS INGENIERÍA S.A., garantiza que todo colaborador y parte interesada externa, que tenga necesidad de acceso a las redes de la empresa o recursos de red, realice la actividad preservando la Confidencialidad, Integridad y Disponibilidad de la información. La organización establece que los únicos autorizados para administrar la infraestructura de red y sistemas de información son el Coordinador de Tecnología y Seguridad de la Información y el personal a quien este designe. La Presidencia y/o la Dirección Ejecutiva se reservan el derecho de asignar a otro administrador fuera del área de TICS. El área de TICS asegura que los sistemas de información usados por la organización, cuentan con sistemas de autenticación y que existen niveles de privilegios de acceso a los recursos de los mismos, tomando en cuenta los criterios definidos en el documento GTIC-TIC-PD-07 Control de acceso a sistemas y aplicaciones. Por lo anterior se definen los siguientes lineamientos de control de acceso y perfiles de conformidad:

Usuario y Contraseña Seguros

Una vez el colaborador de TELCOS INGENIERÍA S.A., recibe su usuario y contraseña con el cual puede ingresar a su correo electrónico corporativo y/o directorio activo, debe cambiarla en su primer ingreso. Las siguientes son las responsabilidades para cumplir en el uso seguro de usuarios y contraseñas y los lineamientos a seguir para crear contraseñas seguras, con el fin de evitar que personas no autorizadas tengan acceso a los sistemas de información de la organización:

Las credenciales de usuario y contraseña son de uso personal e intransferible. Por tanto, no deben ser compartidas, ni divulgadas a otros usuarios internos, ni partes interesadas externas. Memorice la contraseña, no la escriba.

Utilice contraseñas que no sean fáciles de adivinar, que tengan un nivel de complejidad y respete las políticas de contraseñas que las diferentes plataformas o aplicaciones tecnológicas incluyan.

Construir contraseñas con una longitud mínima de ocho caracteres. Debe estar compuesta por letras, números, caracteres especiales que no sean consecutivos, ni idénticos, mayúsculas y minúsculas.

Cambiar frecuentemente las contraseñas y seguir las instrucciones del proceso de cambio, de acuerdo al instructivo GTIC-TIC-IN-01 Instructivo cambio de contraseñas en SI.

Absténgase de usar el mismo nombre de usuario como contraseña.

El usuario no debe activar la función de recordación de contraseñas de los navegadores. Una vez termine su sesión en el navegador, proceda a eliminar la contraseña y los datos de inicio de sesión en la configuración del navegador, en la sección borrar datos de navegación.

Una vez se asignan las credenciales de acceso, el usuario acepta sus responsabilidades.

En la prestación de los servicios al interior de la vivienda del usuario final tenga en cuenta los siguientes lineamientos en el control de acceso:

Absténgase de divulgar a personas no autorizadas la contraseña de la red WiFi y claves de acceso para acceder a contenido Premium y canales de adultos.

http://190.85.119.252/telcos/

https://web.telcosingenieria.com/telcos/attachments/article/92/GTIC-TIC-PD-07%20V4%20Control%20de%20Acceso%20a%20sistemas%20y%20aplicaciones.pdf

https://web.telcosingenieria.com/telcos/attachments/article/94/GTIC-TIC-IN-01%20V2%20Instructivo%20cambio%20de%20contrase%C3%83%C2%B1as%20en%20SI.pdf





Página 11 de 14

En la entrega del servicio y obtención de firma digital del usuario final, no descuide en ningún momento el dispositivo móvil y asegúrese que no ingrese a los sistemas de información.

Cumplir con los lineamientos de protección de información generados por el cliente, para el uso de credenciales y manejo de la información en sus plataformas o aplicaciones.

Control de Acceso a la Red

Todos los equipos que estén conectados o deseen conectarse a las redes de la organización, deben cumplir con los requisitos y controles validados por el área de TICS y únicamente pueden realizar las tareas para las que fueron autorizados.

El acceso a la redes inalámbricas o servicio WIFI es concedido de forma individual y las credenciales de acceso no se deben compartir.

La conexión de dispositivos no corporativos a la red, sin la previa revisión del área de TICS está prohibida.

La configuración de red asignada por el área de TICS no se debe modificar por el usuario.

El traslado de equipos conectados a la red alambrada debe ser coordinado con el área de TICS, para garantizar su correcto funcionamiento.

Ningún equipo tiene acceso directo a internet, el acceso se realiza a través de los mecanismos de control existentes (Proxy).

El área de TICS no responde por los daños a los equipos o los riesgos que pueda correr la información, en los equipos o dispositivos que se conecten a redes no autorizadas.

7.8 POLÍTICA DE ÁREAS SEGURAS Versión 4, 04 de diciembre de 2020

TELCOS INGENIERÍA S.A. garantiza que todo colaborador y parte interesada, que necesite utilizar las instalaciones físicas, realice su ingreso y salida cumpliendo con las medidas de seguridad física y digital establecidas por la organización.

Se definen el Centro de Datos y al área de Gestión Documental como áreas seguras y su acceso está restringido por un lector biométrico.

El personal autorizado para ingresar al Centro de Datos es definido por el Presidente, Director Ejecutivo y/o el Coordinador de Tecnología y Seguridad de la Información.

El personal autorizado para ingresar al área de Gestión Documental es definido por el Presidente, Director Ejecutivo, Apoderado General y/o el Líder de Gestión Documental.

El personal autorizado registra el ingreso al área segura correspondiente, en el lector biométrico ubicado a su entrada. En caso de que este lector biométrico no pueda ser utilizado por daño, no disponibilidad o restricción asociada al cumplimiento de normas sanitarias, se determinará otro sistema de acceso previamente aprobado por el Presidente y/o la Dirección Ejecutiva y en su defecto se diligenciará el formato GTIC-TIC-FT-19 Control de ingreso y salida áreas seguras.

Todo personal ajeno, interno o externo, que requiera ejecutar labores dentro del área segura deberá solicitar autorización y diligenciar el formato GTIC-TIC-FT-19 Control de ingreso y salida áreas seguras.

Absténgase de dejar descuidados y/o desatendidos los equipos de cómputo o elementos que estén bajo su custodia. Tanto en las instalaciones de la empresa como en las del usuario final.

Al dejar su área de trabajo o al final del día:

- Apague su estación de trabajo.

- Cierre su oficina o áreas bajo su custodia con llave, si trabaja en una oficina cerrada llévese la llave.

- Asegure los cajones que contengan información o recursos informáticos asignados a su cargo.

- No deje elementos que contengan información confidencial sobre los puestos de trabajo, tales como tokens o elementos de acceso físico, dispositivos móviles, carpetas o documentos.

Absténgase de realizar acciones riesgosas o inadecuadas, tanto para su seguridad física como para la del elemento y la información contenida en él. Entre estas acciones riesgosas se encuentran pero no se limitan a:

- Trasladar o mover los equipos en condiciones no seguras, exponiéndolos a daño o hurto.

- Continuar utilizando el equipo de cómputo, portátil, dispositivo móvil, tableta o cualquier otro elemento electrónico, cuando se detecte o sospeche que el mismo se encuentre infectado por un virus.

http://190.85.119.252/telcos/





Página 12 de 14

- Golpear, manipular o utilizar de forma inadecuada los equipos informáticos y de servicio tecnológico. En caso de algún problema físico con los elementos tecnológicos solicitar al área de TICS su ayuda.

- Realizar conexiones eléctricas no adecuadas o usar redes o dispositivos con protección eléctrica para uso de aparatos como brilladoras, secadoras, ventiladores, calentadores entre otros, consulte previamente al personal del área de TICS.

- Al interior de la vivienda del usuario final manipular directamente los computadores portátiles, de escritorio y celulares del usuario sin previa autorización. En todos los casos el usuario debe prender el equipo e introducir la contraseña de inicio.

- Al interior de la vivienda del usuario final no solicitar el retiro de elementos de valor, cuando los identifique a la vista en el lugar donde se ejecutará el servicio.

- En la prestación de los servicios, quedarse sin acompañamiento de un mayor de edad al interior de la vivienda. En caso de que este se retire informarle que no puede continuar la labor sin su supervisión.

7.9 POLÍTICA DE CONTROLES CRIPTOGRÁFICOS Versión 4, 04 de diciembre de 2020

Se provee de herramientas de cifrado para almacenar y trasmitir la información cuando el propietario de la misma o las partes interesadas externas así lo requieran; se garantiza la confiabilidad de los sistemas de almacenamiento para dicha información.

El uso de los controles criptográficos y las credenciales de los mismos implementados dentro de la organización, es responsabilidad del área o usuario que utilice este control.

La gestión de certificados y algoritmos de generación de claves y configuración de los controles criptográficos, deben estar a cargo del área de TICS. En caso de identificar un riesgo o evento de seguridad de la información, se informará al área encargada y se bloqueará el uso del control criptográfico.

Para garantizar la efectividad de los controles criptográficos, el área de TICS establece los siguientes lineamientos:

En las páginas protegidas por certificado SSL (HTTPS), solo se admite protocolo TLS 1.0 o superior.

En el caso de uso del algoritmo RSA o derivados, la longitud de la llave debe ser mínimo de 1024 bits.

El algoritmo de Hash MD5 ya no se considera seguro y no se usa para proteger información, únicamente se podrá usar para validar integridad.

Los controles físicos como Token o llaves USB, deben permanecer a la vista del usuario responsable cuando estén en uso, en caso contrario deben estar almacenados en sitios seguros.

En algoritmos de cifrado asimétricos, la llave privada se considera información confidencial y se usan los controles adecuados para protegerla.

La transmisión en memorias USB o discos duros de información restringida, fuera del ámbito de la organización debe ir cifrada.

La protección de claves de acceso a sistemas, datos y servicios debe estar cifrada.

En caso de que el control criptográfico sea suministrado por una parte interesada externa, ejemplo: Bancos, DIAN o aplicación transaccional, a un cargo o colaborador en específico, este será responsable de velar por su custodia y conservación de los principios de la Seguridad de la Información (Disponibilidad, Integridad y Confidencialidad) de las claves criptográficas.

Ante cualquier cambio o expiración de vigencia del control criptográfico informar al área de TICS. Si el control criptográfico es físico (ejemplo: Token RSA), cuando este no se encuentre en uso, deberá estar almacenado de forma segura, bajo llave y en un sitio de acceso solo para el colaborador responsable.

Si el control criptográfico es lógico (ejemplo: Certificado o firma digital), el área de TICS apoya su protección aplicando el control de acceso adecuado.

Las partes interesadas externas podrán proveer controles criptográficos propios y definir los responsables dentro de la organización, siempre y cuando no se entre en conflicto con las políticas propias de TELCOS INGENIERÍA S.A., así mismo

http://190.85.119.252/telcos/





Página 13 de 14

se deben socializar sus políticas y lineamientos de uso con el personal del área de TICS y el área responsable del control criptográfico.

7.10 POLÍTICA PARA LAS RELACIONES CON LOS PROVEEDORES Versión 3, 04 de diciembre de 2020

Los proveedores de TELCOS INGENIERÍA S.A., que tengan cualquier tipo de acceso a los activos de información son responsables de protegerlos, conservarlos y utilizarlos solo para los fines autorizados. Los activos de información de la empresa incluyen elementos tangibles, como equipos, información digital e impresa, sistemas informáticos y de comunicación, así como también elementos intangibles, como el buen nombre y la reputación de la compañía.

Los proveedores que tengan acceso a la información de TELCOS INGENIERÍA S.A, incluyendo aquellos que dentro de la cadena de suministro también tengan acceso a los activos de información, se deben ajustar a las siguientes reglas, para evitar su divulgación o mal uso:

Las contraseñas o claves de acceso de equipos de telecomunicaciones deben ser confidenciales y no serán divulgadas a terceros.

Los proveedores que tengan acceso a los activos de información deberán dar estricto cumplimiento a lo establecido frente a confidencialidad, disponibilidad e integridad de la información, en las Políticas de Seguridad de la Información de TELCOS INGENIERÍA S.A.

Los proveedores que tenga acceso a los activos de información deben aceptar el acuerdo de confidencialidad proporcionado por TELCOS INGENIERÍA S.A. o contar con un acuerdo de confidencialidad compatible con los mínimos exigidos por TELCOS INGENIERÍA S.A.

Los proveedores que tengan acceso a los activos de información de la empresa mantendrán la debida reserva y protegerán, en todo momento, los documentos de trabajo y la información restringida que esté a su cuidado.

Todos los proveedores que tenga acceso a los activos de información de TELCOS INGENIERÍA S.A deben contar con una política de tratamiento de datos personales y privacidad que cumpla con la legislación vigente.

En caso de evidenciar algún riesgo, problema o incidente que comprometa la Seguridad de la Información se debe informar inmediatamente al personal de TELCOS INGENIERÍA S.A o al personal encargado de la seguridad de la información.

El área de Compras monitorea periódicamente, el cumplimiento de las obligaciones del proveedor, incluyendo el acuerdo y/o cláusula de confidencialidad. Las áreas de Compras y de TICS administran los cambios en el suministro de servicios por parte de los proveedores, manteniendo los niveles de cumplimiento del servicio y la seguridad de la información. Todas las acciones de mejora, observaciones e inquietudes por parte TELCOS INGENIERÍA S.A. con respecto al uso y seguridad de la información y al manejo de activos de información, deben ser acogidas y aceptadas de manera conjunta con el proveedor, minimizando riesgos que comprometan la información.

Las anteriores Políticas del Sistema de Gestión de Seguridad de la Información son aprobadas para su socialización y cumplimiento.

______________________________

MAURICIO BOTERO TOBÓN APODERADO GENERAL

http://190.85.119.252/telcos/





Página 14 de 14

8 CONTROL DE REVISIONES

VERSIÓN N°

ELABORÓ REVISÓ APROBÓ FECHA DE

APROBACIÓN MODIFICACIÓN REALIZADA

2

Luz Adriana Poveda

Claudia Galeano

Paula Pesca

Luis Soler

Mauricio Botero Tobón


Se amplía el alcance del Manual a las partes interesadas externas que impacten la seguridad de la información.

Se realiza actualización de cargos.

Se incluye el numeral 4 RESPONSABLES.

Se incluyen los conceptos de Teletrabajo y Trabajo en Casa.

Se actualizan todas las Políticas de SI: General de SI, para dispositivos móviles y teletrabajo, de clasificación y etiquetado de la información, de escritorio limpio y pantalla limpia, de copias de respaldo de información, de transferencia de información, de desarrollo seguro, de control de acceso, de áreas seguras, de controles criptográficos, y para las relaciones con los proveedores.

Líder de Seguridad

de la Información

Director de Capital

Intelectual Coordinador de Calidad

Coordinador de Tecnología y Seguridad

de la Información

Apoderado

General

1

Omar Andrés

Fonseca Herrera

Claudia Galeano R.

Mauricio Botero Tobón

08 de julio de 2019

Creación del documento

Actualización y compilación de todas las políticas de seguridad de la información en un solo documento.

Directora Capital

Intelectual

Líder de Seguridad

de la Información

Luis Soler

Apoderado General

Coordinador de Tecnología y Seguridad de la Información

http://190.85.119.252/telcos/

manual de polÍticas de seguridad de la ......establecer, implementar, operar, hacer seguimiento,...

Documents