Política de seguridad de la información

1. OBJETIVO

A través de la presente política se difunden los objetivos de seguridad de la información de HELIOS CONSULTING S.A.S., alcanzables a través de la aplicación de controles de seguridad para la gestión de un nivel de riesgo aceptable, garantizar la continuidad de los servicios, y asegurar el eficiente cumplimiento de los objetivos de negocio y de los requisitos de seguridad destinados a impedir infracciones y violaciones de seguridad.

2. ALCANCE

Esta política es aplicable a todas las personas, internas o externas a la organización, que usen activos de información que sea propiedad de la compañía.

3. SEGURIDAD FÍSICA Y DEL ENTORNO

Acceso físico: El acceso al centro de datos está restringido y sólo se debe permitir para:

  • Implementación, mantenimiento, monitoreo de controles ambientales.
  • Implementación, mantenimiento, monitoreo de operaciones tecnológicas.
  • Actividades de aseo (vigilado por el personal TIC).

Seguridad eléctrica: Los equipos deben estar conectados a tomas de energía regulada, con el fin de prevenir la pérdida o daño de información, dando continuidad a las actividades.

Escritorio limpio: Todo usuario debe bloquear la sesión al retirarse de su equipo. De igual manera se estable directiva de bloqueo después de diez (10) minutos de inactividad, caso en el cual el usuario debe volver autenticarse para reanudar su actividad.

4. SEGURIDAD DEL PERSONAL

Se debe notificar a HELIOS CONSULTING S.A.S. todas las novedades del personal, tales como ingresos, traslados, retiros y vacaciones, entre otros.

Seguridad previa a la contratación: Toda persona, previo a su contratación, debe conocer su responsabilidad en materia de seguridad informática, debiendo quedar a su vez estipulado en los términos y condiciones de la contratación y en la descripción del cargo.

HELIOS CONSULTING S.A.S. debe garantizar que los colaboradores de la empresa al ingresar o cambiar de puesto de trabajo firmen el acuerdo de confidencialidad a lugar. La vigencia se debe establecer hasta la finalización del contrato o hasta que la empresa lo considere conveniente.

Seguridad permanente al personal: Es responsabilidad de HELIOS CONSULTING S.A.S desarrollar planes de concientización a los usuarios respecto a la seguridad de la información. Así mismo brindar capacitación específica en administración de riesgos tecnológicos a aquellos individuos que están en cargos de responsabilidades, para que estos contribuyan a su cumplimiento y vigilancia.

Es responsabilidad de cada trabajador asistir a las charlas de concientización en seguridad de la información que la empresa programa y la aplicación de las políticas y procedimientos establecidos en dicha materia.

Finalización o traslado de personal: HELIOS CONSULTING S.A.S debe velar por la completa devolución de todos los activos y retiro de derechos de acceso del personal saliente o transferido.

5. GESTIÓN DE SEGURIDAD INFRAESTRUCTURA TIC

HELIOS CONSULTING S.A.S. debe garantizar el correcto funcionamiento del procesamiento y tratamiento de la información y de medios de comunicación seguros.

Procedimientos y responsabilidades de operación: Es responsabilidad de HELIOS CONSULTING S.A.S definir y documentar las responsabilidades para el manejo de los equipos y redes, incluyendo procedimientos de respuesta en caso de incidentes. Estos procedimientos deben incluir como mínimo lo siguiente:

  •  Capacidad y disponibilidad de los recursos de TI.
  • Aseguramiento de plataformas.
  • Administración de sistemas de antivirus.
  • Administración de acceso a los recursos.
  • Administración de usuarios y contraseñas.
  • Administración de acceso remoto.
  • Copias de seguridad.
  • Recuperación de datos y reversión de cambios.

Protección contra el software malicioso: HELIOS CONSULTING S.A.S debe velar por la implementación de sistemas para la detección, prevención y recuperación frente a software malicioso. Los usuarios deben ser conscientes de los peligros del software malicioso y deben informar a HELIOS CONSULTING S.A.S cualquier situación anómala.

Ambientes para aplicaciones: A nivel de hardware y software HELIOS CONSULTING S.A.S debe asegurar ambientes separados para desarrollo, pruebas y producción a fin de reducir los riesgos de acceso o cambios no autorizados, prevenir fallos e implementar controles.

Registro de uso del sistema: HELIOS CONSULTING S.A.S debe asegurar el registro y monitoreo de uso en las diferentes plataformas entregadas al usuario, así mismo las redes y los accesos a los diferentes servicios. El monitoreo debe incluir: operaciones privilegiadas, acceso no autorizado y alertas o fallas del sistema, visita de páginas prohibidas, entre otras.

Gestión del Cambio HELIOS CONSULTING S.A.S debe implementar el procedimiento de control necesario para la realización de cambios en plataformas y dispositivos en producción, bajo una adecuada segregación de funciones. Cuando los cambios no se realizan de forma contralada se pueden presentar riesgos en la integridad y la disponibilidad de los sistemas. Como parte del proceso establecido se debe indicar la siguiente información:

  • Persona/proyecto que solicita el cambio.
  • Descripción del cambio.
  • Justificación del cambio.
  • Nivel de impacto.
  • Aprobador del cambio.
  • Pruebas, aprobación revisiones después de implementado.

Copias de seguridad: HELIOS CONSULTING S.A.S debe definir y asegurar la debida implementación de la política de copias de seguridad de la información, su custodia y recuperación, bajo los principios de oportunidad y confidencialidad.

Sincronización de hora: HELIOS CONSULTING S.A.S debe asegurar que los equipos/dispositivos de la organización se encuentran sincronizados a un servidor NTP para el registro consistente de todas las actividades de la red (inicio y cierre de sesión de usuarios, controles de acceso para diversos servicios como carpetas compartidas, navegación, etc).

Seguridad en las redes: HELIOS CONSULTING S.A.S es responsable de fortalecer y dar atención especial al manejo de la seguridad en redes, dispositivos expuestos a Internet y que ejecutan servicios web, debiendo adoptar medidas especiales para proteger el paso de información sensible a redes de dominio público.

Se deben establecer controles especiales para salvaguardar la integridad, reducir las posibilidades de explotación de vulnerabilidades, igualmente se debe garantizar la disponibilidad de los servicios de red y equipos conectados.

Auditoría de usuarios: HELIOS CONSULTING S.A.S debe garantizar durante un período establecido, el registro de trazabilidad de las actividades de usuario, de operación y administración del sistema.

Aseguramiento del registro: HELIOS CONSULTING S.A.S debe proteger la información de la actividad de registro contra el acceso o manipulación no autorizados.

Tratamiento de medios con información: HELIOS CONSULTING S.A.S debe implementar procedimientos eficaces que evitan cualquier intento de recuperación de datos sensibles contenidos en dispositivos de almacenamiento en desuso/baja.

6. CONTROL DE ACCESO A LA INFORMACIÓN

HELIOS CONSULTING S.A.S debe garantizar un adecuado control de acceso a los sistemas de información, implementando medidas de seguridad según el caso, para evitar la modificación, pérdida, consulta, acceso no autorizado o fraudulento a esta.

El acceso a la información debe efectuarse con el criterio de “privilegio mínimo” y administrar el modelo de seguridad para dispositivos de usuario y punto final, lo que implica que no se otorgará acceso a menos que sea explícitamente permitido.

Registro de usuarios: El registro de los usuarios se realiza con base a un identificador único de cada persona, utilizado para el seguimiento de las actividades de responsabilidad individual o jurídica. Las actividades de usuario no deben ser cuentas con privilegios elevados.

Solo en casos especiales y para beneficio de la compañía, se podrá compartir un identificador para un grupo de usuarios con un rol común; debe ser autorizado y aprobado por el respectivo Director y/o encargado del proyecto y por HELIOS CONSULTING S.A.S

Se debe verificar que el nivel de acceso otorgado sea acorde a los propósitos de la empresa, con la debida segregación de funciones. Adicionalmente los usuarios deben tomar y certificar el proceso de inducción y así garantizar el uso adecuado de los sistemas y/o servicios de información.

Gestión de acceso a usuarios: HELIOS CONSULTING S.A.S debe administrar y mantener la infraestructura de seguridad de la empresa, e implementar prácticas de detección y prevención temprana para limitar las amenazas y evitar violaciones a la seguridad donde sea posible. Dichos procedimientos deben cubrir todas las etapas del ciclo de vida del usuario, desde su registro inicial hasta la eliminación o desactivación del registro a quienes no necesiten el acceso.

Administración de cuentas: HELIOS CONSULTING S.A.S implementará los procedimientos necesarios que permitan controlar la creación, modificación, desactivación y eliminación de cuentas de usuarios, administración de contraseñas y permisos de acceso a los recursos tecnológicos y a la información. Así mismo implementar un procedimiento de revisión periódica que valide y asegure el adecuado nivel de permisos de acceso de los usuarios.

Control de acceso a la red: HELIOS CONSULTING S.A.S debe garantizar que únicamente tendrán acceso a la red interna desde el exterior aquellos usuarios debidamente autorizados por el Director y/o encargado del proyecto. Se deben utilizar métodos apropiados de autenticación para el control de acceso a los usuarios remotos. Los usuarios deben hacer correcto uso de la red al conectar dispositivos, la conexión cableada solo es para equipos que pertenecen a la organización, los equipos externos se deben conectar a las redes inalámbricas correspondientes.

Control de acceso a las aplicaciones: El uso de programas que puedan ser capaces de invalidar los controles del sistema y de la aplicación deben estar restringidos y estrictamente controlados.

Está prohibida la eliminación o modificación del software instalado por HELIOS CONSULTING S.A.S. Las cuentas de usuario por defecto en los sistemas deben ser inhabilitadas o efectuarles el procedimiento de cambio de contraseña.

7. BUEN USO DE LOS RECURSOS TIC

Todas las personas, internas o externas a la organización, que usen los recursos TIC de la empresa son responsables de acoger y cumplir con integridad la Política de Buen Uso de los recursos, y darles un uso racional y eficiente a estos.

Cuentas de usuario: HELIOS CONSULTING S.A.S. es responsable de notificar oportunamente los procesos de vinculación que requieran creación de cuenta de usuario de dominio; así mismo notificar oportunamente los retiros del personal para la suspensión de dichos servicios, o cualquier otra novedad que implique la gestión de cambio de permisos a estos.

La cuenta de usuario de dominio es de carácter personal, intransferible y corresponde al designado velar por la seguridad y buen uso de esta y de los servicios conexos (correo, mensajería, sistemas de información, sistemas de gestión documental, otros), manteniendo confidencial su clave de acceso y cambiándola periódicamente. En consecuencia, al aceptar la cuenta de usuario, el designado se compromete a:

  • Respetar la privacidad de las cuentas de otros usuarios del servicio, tanto dentro como fuera de la red corporativa.
  • No utilizar identidades ficticias o pertenecientes a otros usuarios para hacer uso de los servicios de red

Uso de servidores y equipos de cómputo: Todo usuario debe leer, entender y dar por aceptado los términos y condiciones indicados en el aviso legal (disclaimer) de los sistemas de la organización a los cuales desea acceder. Se describe a continuación el aviso legal aplicado:

HELIOS CONSULTING S.A.S. – AVISO LEGAL

Usted se encuentra haciendo uso de un recurso que es propiedad de HELIOS. Por tal motivo toda la información, formatos, aplicaciones u otros elementos construidos con el uso de éste son propiedad de HELIOS. De acuerdo con lo definido en las políticas empresariales. Les recordamos hacer uso seguro y racional dando cumplimiento a las políticas establecidas de: Propiedad intelectual y derechos de autor. Almacenamiento y seguridad informática. Uso racional y seguro del internet. El incumplimiento de estas políticas es una violación al contrato laboral y al reglamento interno de trabajo de la empresa ya que pone en riesgo los intereses de la misma.

Uso de equipos portátiles y móviles: Todas las personas, internas o externas a la organización, se comprometen a hacer uso adecuado de los servicios corporativos proporcionados por la empresa, tales como escritorios y aplicaciones virtuales, correo, comunicaciones unificadas, redes virtuales privadas (VPN), entre otros, atendiendo las siguientes directrices:

  • El equipo de acceso debe estar configurado para bloqueo automático por un tiempo de inactividad, mediante sistemas de autenticación tales como contraseña, patrón de huella dactilar, reconocimiento de voz, entre otras.
  • El equipo de acceso debe tener instalada una aplicación de antivirus.
  • Si el equipo de acceso pertenece a la operación de campo, debe tener implementada la solución de gestión de dispositivos móviles autorizada por la empresa.
  • Hacer uso de conexiones seguras y cifradas (VPN) cuando se conecte a redes compartidas de acceso libre (no seguras).
  • Velar por la seguridad y custodia del equipo de acceso en lugares públicos o privados, en cualquier momento.
  • Si el lugar u hora representan un riesgo evitar llevar el equipo o abstenerse de desplazarse al lugar.
  • Para el retiro de equipos de oficina pertenecientes a la empresa se debe tener la respectiva autorización del Director y/o encargado del proyecto, a fin de reducir el riesgo de pérdida, robo y/o acceso no autorizado a la información; efectuando la respectiva notificación a HELIOS CONSULTING S.A.S de las autorizaciones otorgadas.

Acceso desde equipos distintos a los asignados: Cuando use equipos diferentes a los asignados por la empresa asegúrese de:

  • Desactivar la opción de autoguardado de contraseñas en los diferentes navegadores web.
  • Establecer contraseñas seguras, no incluir información personal como nombres, fechas de nacimiento, otros.
  • No dejar claves en ningún sistema de almacenamiento de información web.
  • No dejar aplicaciones configuradas para acceso a la red VPN.
  • Cerrar sesión cuando finalice el uso.

HELIOS CONSULTING S.A.S debe implementar las medidas necesarias de protección frente al riesgo de utilización de equipos y comunicación móvil. Se prestará especial cuidado para asegurar que no se compromete la información del negocio, teniendo en cuenta los riesgos que conlleva el trabajar con el equipo móvil en entornos desprotegidos.

La utilización de los servicios móviles conectados a las redes, debe tener una protección idónea. El acceso remoto a la información del negocio a través de redes públicas usando servicios de computación móvil sólo debería tener lugar después de la identificación y autenticación exitosa y con el establecimiento de los mecanismos adecuados de control del acceso.

Correo electrónico: Según la necesidad del cargo, a cada trabajador le será asignada una cuenta de correo corporativa. La empresa podrá en cualquier momento denegar el acceso a los servicios de correo electrónico, inspeccionar, monitorear y/o dar de baja un buzón de correo electrónico.

En consecuencia, al aceptar el buzón otorgado por la organización, el usuario acepta:

  • Hacer uso del correo electrónico propiedad de la empresa exclusivamente para fines propios a la organización, y para el desarrollo de las labores propias de su cargo. Así mismo, acepta que la información allí gestionada es de propiedad de la empresa.
  • Hacer uso del servicio con respeto y cortesía; no podrá crear, distribuir o reenviar mensajes que ofendan la dignidad, intimidad y buen nombre de las personas, de las instituciones, o para realizar algún tipo de acoso, difamación, calumnia, con intención de intimidar, insultar o cualquier otra forma de actividad hostil; de igual forma se prohíbe difundir ideas políticas, religiosas, propagandas, entre otros.
  • Las comunicaciones internas/externas por correo electrónico que guarden relación con las actividades de la empresa deben hacerse a través del correo corporativo proporcionado por la empresa. No está permitido el uso de cuentas personales de correo para comunicarse y/o transmitir cualquier tipo de información de la organización; salvo casos excepcionales, expresamente autorizados por la Gerencia y/o HELIOS CONSULTING S.A.S.
  • Realizar mantenimiento periódico de su correo, cuando el sistema le haga advertencias de espacio disponible. Estas advertencias se realizan varias veces, por lo que debe estar atento e informar a la mesa de servicios, para apoyarle en la depuración del mismo.
  • Que la empresa se abstenga unilateralmente de enviar o recibir los mensajes de sus usuarios con contenido impropio, difamatorio, ilícito, obsceno, indecente, anónimos, esquemas piramidales, concursos, cartas en cadena, mensajes no deseados, o cualesquiera que contenga información ajena a las labores que desempeñan en su cargo.
  • Evitar abrir mensajes no esperados que contengan archivos adjuntos, aunque provengan de personas conocidas. Podría tratarse de un virus. En particular, no abrir mensajes cuyo asunto contenga palabras en idiomas extranjeros, a menos que lo esté esperando.
  • Abstenerse de utilizar la cuenta para el envío o reenvío de mensajes spam (no solicitados, no deseados o de remitente desconocido, habitualmente de tipo publicitario, enviados en grandes cantidades), hoax (es un intento de hacer creer que algo falso es real), con contenido que pueda resultar ofensivo o dañino para otros usuarios (como virus o pornografía), o que sea contrario a las políticas y normas corporativas.
  • Evitar el envío de elementos (textos, software, música, imágenes o cualquier otro) que contravengan lo dispuesto en la legislación vigente y en los reglamentos internos, sobre propiedad intelectual y derechos de autor. En especial, es necesario evitar la distribución de software que requiera licencia, claves ilegales de software, programas para romper licencias (crackers), y en general, cualquier elemento u objeto de datos sin permiso específico del autor cuando este sea requerido. La violación de esta obligación origina automáticamente la suspensión del servicio y puede ser causa de sanciones al usuario, con perjuicio de las responsabilidades que eventualmente puedan surgir ante la ley.
  • La empresa dispondrá de herramientas de monitoreo para filtrar los archivos anexos a los mensajes de correo electrónico, y verificar la ausencia de virus. La entrega de todo mensaje a su destinatario final está sujeta a que esta comprobación sea exitosa.
  • El envío de comunicaciones masivas deberá ser aprobado por la empresa, a través del correo electrónico info@heliosconsulting.com.co.
  • Evitar el envío de respuestas con copia a todos los destinatarios de un mensaje recibido, y en particular cuando se trate de mensajes que originalmente hayan sido dirigidos a un grupo grande de usuarios; salvo cuando se trate de una respuesta que por su naturaleza o contenido necesita ser conocida por todos ellos.

La empresa aplica una política de aviso legal (disclaimer) en todos los mensajes enviados hacia fuera de la organización. El aviso legal aprobado es:

Este mensaje y sus archivos adjuntos van dirigidos exclusivamente a su destinatario pudiendo contener información confidencial sometida a secreto profesional. No está permitida su reproducción o distribución sin la autorización expresa de HELIOS CONSULTINS S.A.S. Si usted no es el destinatario final por favor elimínelo e infórmenos por esta vía. De acuerdo con la Ley Estatutaria 1581 de 2012 de Protección de Datos y sus normas reglamentarias, el Titular presta su consentimiento para que sus datos, facilitados voluntariamente, pasen a formar parte de una base de datos, cuyo responsable es HELIOS CONSULTINS S.A.S..
Puede usted ejercitar los derechos de acceso, corrección, supresión, revocación o reclamo por infracción sobre sus datos, mediante escrito dirigido a HELIOS CONSULTINS S.A.S. a la dirección de correo electrónico info@heliosconsulting.com.co, indicando en el asunto el derecho que desea ejercitar.

Navegación en Internet: Según la necesidad del cargo, a cada trabajador le será permitido el acceso a los servicios de navegación en internet. La empresa podrá en cualquier momento denegar el acceso a dicho servicio, inspeccionar y/o monitorear su uso.

En consecuencia, al aceptar el acceso al servicio de navegación en internet otorgado por la empresa, el usuario acepta:

  • El uso de Internet debe estar destinado exclusivamente a la ejecución de las actividades de la organización y ser utilizado para realizar las funciones establecidas para su cargo.
  • Abstenerse de descargar programas que realicen conexiones automáticas o visores de sitios clasificados como pornográficos y la utilización de los recursos para distribución o reproducción de este tipo de material, ya sea vía web o medios magnéticos.
  • Abstenerse de usar sitios que salten la seguridad y/o los controles de acceso a Internet.
  • La descarga de música y videos no es una práctica permitida; ni el uso de servicios para descarga de estos.
  • No está permitido personificar o intentar personificar a otra persona a través de la utilización de encabezados falsificados u otra información personal.
  • Las salas para videoconferencia de la organización deben ser de uso exclusivo para asuntos relacionados con la empresa. Cualquier excepción a esta política debe ser autorizada por la Gerencia y/o HELIOS CONSULTING S.A.S..
  • El uso con fines comerciales, políticos, particulares o cualquier otro que no sea el laboral y que dio origen a la habilitación del servicio, no está permitido.
  • Evitar coleccionar, almacenar, difundir, transmitir, solicitar, inducir o incitar en cualquier forma actos ilegales, inmorales, engañosos y/o fraudulentos es responsabilidad de los colaboradores de la organización; así como también amenazas, abusos, difamaciones, injurias, calumnias, escándalos, actos obscenos, pornográficos, profanos, racistas, discriminatorios, actos que invadan la privacidad de los demás u otro tipo de materias, informaciones, mensajes o comunicaciones de carácter ofensivo.
  • Hacer ofertas fraudulentas de compra o venta, así como también, conducir cualquier tipo de fraude financiero, tales como “cartas en cadena” o “las pirámides”, son faltas que se constituyen como violaciones a esta política.
  • Abstenerse de coleccionar, divulgar, transmitir o solicitar programas de computación dañinos, virus, códigos, expedientes o programas.
  • Hacer o intentar hacer, cualquier cosa que afecte desfavorablemente la habilidad de utilizar el servicio de internet por otros usuarios, incluyendo sin limitación alguna, “denegación de servicios”, ataques contra otros sistemas o contra el anfitrión de redes u otros usuarios, se constituye como una violación a esta Política.
  • No coleccionar, almacenar, divulgar, transmitir o solicitar cualquier material, información, mensaje o comunicación que pueda infringir o violar cualquier patente, derechos de autor, marcas, secretos empresariales o cualquier otro derecho intelectual de otra persona.
  • No coleccionar, almacenar, divulgar, transmitir o solicitar información personal (incluyendo sin limitación alguna, información biográfica, habitacional, social, marital, ocupacional, financiera, y de salud) sobre otros usuarios, sin su consentimiento o conocimiento; estas no son prácticas permitidas por la compañía.

Uso de herramientas que comprometen la seguridad: Hacer o intentar hacer, sin autorización del propietario o del anfitrión del sistema, o de la Dirección TIC, cualquiera de los siguientes actos:

  • Acceder al sistema o red.
  • Monitorear datos o tráfico.
  • Sondear, copiar, probar firewalls o herramientas de hacking.
  • Atentar contra la vulnerabilidad del sistema o redes.
  • Violar las medidas de seguridad o las rutinas de autenticación del sistema o de la red.

Recursos compartidos: El uso de carpetas compartidas en los equipos de cómputo de los usuarios es una práctica que, aunque puede ser una herramienta útil de trabajo, tiene implícitos algunos riesgos que pueden afectar los principios de confidencialidad, integridad y disponibilidad de la información, por lo tanto su uso y aplicación debe ser controlado. Con este propósito la organización define los siguientes lineamientos para su uso seguro:

  • Se debe evitar el uso de carpetas compartidas en equipos de escritorio.
  • Los administradores de la red establecen e implementan, en los casos aprobados, la configuración de acceso a la carpeta, previo requerimiento formal de la misma a través de la Mesa de Servicios. No está permitido que los usuarios finales realicen por si mismos estas configuraciones.
    • Se debe definir el tipo de acceso y los roles estrictamente necesarios sobre la carpeta (lectura, escritura, modificación y borrado).
  • El usuario que autoriza y dispone el recurso compartido es el responsable por las acciones y los accesos sobre la información contenida en dicha carpeta.
  • Debe tenerse claramente especificado el límite de tiempo durante el cual estará publicada la información y compartido el recurso en el equipo.
  • Si se trata de información confidencial o crítica para la empresa, deben utilizarse las carpetas destinadas para tal fin en el servidor de gestión de información, para que sean incluidos en las copias diarias de respaldo de información o implementar herramientas para el respaldo continuo de información sobre dichos equipos.
  • El acceso a carpetas compartidas debe delimitarse a los usuarios que las necesitan y deben ser protegidas con contraseñas.

Sitios web en la intranet para compartir documentos:

  • El dueño del sitio será el responsable de la seguridad del mismo y del acceso a la información que se encuentra alojada en este.
  • El dueño del sitio será el responsable de otorgar los permisos requeridos.
  • El dueño del sitio definirá un colaborador que tenga nivel de autorización suficiente sobre el sitio, a manera de contingencia, para la asignación de los permisos requeridos en su ausencia.
  • No está permitido el uso de plataformas de nube para almacenar, compartir, intercambiar información al interior/exterior de la organización, ello representa una clara violación a la presente política. Casos excepcionales deben ser evaluados y autorizados por HELIOS CONSULTING S.A.S.

Computación en nube: Ninguna información de HELIOS CONSULTING S.A.S. podrá utilizar tecnologías de computación en nube si no está previamente autorizado por la misma.

8. GESTIÓN DE SEGURIDAD PARA LA ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO

HELIOS CONSULTING S.A.S. debe proveer medidas de seguridad en sistemas de información desde la fase de requerimientos, y deben ser incorporados en las etapas de desarrollo, implementación y mantenimiento.

Seguridad de las aplicaciones del sistema: Se deben desarrollar estándares que indiquen cómo se deben asegurar los diferentes sistemas, aplicaciones y desarrollos, para minimizar la aparición de errores, pérdidas y modificaciones no autorizadas o usos indebidos en la información de las aplicaciones.

Se deben diseñar controles adecuados en las aplicaciones, para garantizar un correcto procesamiento. Se debe incluir la validación de los datos introducidos, el procesamiento interno y los datos resultantes.

Las aplicaciones que se desarrollen en HELIOS CONSULTING S.A.S. deben cumplir unos requerimientos mínimos de seguridad, conforme a las buenas prácticas en seguridad de la información y a esta política de seguridad. El diseño y operación de los sistemas debe obedecer a estándares de seguridad comúnmente aceptados y la normatividad vigente.

Seguridad de los sistemas de archivos: Se debe controlar el acceso al sistema de archivos y al código fuente de los programas. La actualización del software aplicativo, las aplicaciones y las librerías sólo deben ser llevadas a cabo por los administradores del sistema.

Seguridad de los procesos de desarrollo y soporte: Se requiere de un control estricto en la implementación de cambios. Los procedimientos de control de cambios deben validar que los procesos de seguridad y control no estén comprometidos; igualmente deben cerciorarse de que los programadores de apoyo posean acceso sólo a las partes en el sistema necesarias para desarrollar su trabajo, que dichos cambios sean aprobados con un procedimiento adecuado y con la documentación correspondiente.

9. TRATAMIENTO Y GESTIÓN DEL RIESGO EN SEGURIDAD DE LA INFORMACIÓN

HELIOS CONSULTING S.A.S., es responsable de analizar los riesgos en seguridad de la información, con base en los objetivos de negocio y de acuerdo con la Política de Gestión de Riesgos.

Periódicamente se debe realizar una valoración del riesgo para contemplar los cambios en los requisitos de seguridad y la situación de riesgo, tales como cambio en los activos, las amenazas, las vulnerabilidades y los impactos. Se debe decidir cuándo un riesgo es aceptable, ya sea por motivos de objetivos de negocio o por costes no rentables.

Los posibles tratamientos a los riesgos identificados incluyen:

  • Evitar el riesgo.
  • Disminuir la probabilidad de ocurrencia.
  • Disminuir el impacto.
  • Transferir los riesgos.