A través de la presente política se difunden los objetivos de seguridad de la información de HELIOS CONSULTING S.A.S., alcanzables a través de la aplicación de controles de seguridad para la gestión de un nivel de riesgo aceptable, garantizar la continuidad de los servicios, y asegurar el eficiente cumplimiento de los objetivos de negocio y de los requisitos de seguridad destinados a impedir infracciones y violaciones de seguridad.
Esta política es aplicable a todas las personas, internas o externas a la organización, que usen activos de información que sea propiedad de la compañía.
Acceso físico: El acceso al centro de datos está restringido y sólo se debe permitir para:
Seguridad eléctrica: Los equipos deben estar conectados a tomas de energía regulada, con el fin de prevenir la pérdida o daño de información, dando continuidad a las actividades.
Escritorio limpio: Todo usuario debe bloquear la sesión al retirarse de su equipo. De igual manera se estable directiva de bloqueo después de diez (10) minutos de inactividad, caso en el cual el usuario debe volver autenticarse para reanudar su actividad.
Se debe notificar a HELIOS CONSULTING S.A.S. todas las novedades del personal, tales como ingresos, traslados, retiros y vacaciones, entre otros.
Seguridad previa a la contratación: Toda persona, previo a su contratación, debe conocer su responsabilidad en materia de seguridad informática, debiendo quedar a su vez estipulado en los términos y condiciones de la contratación y en la descripción del cargo.
HELIOS CONSULTING S.A.S. debe garantizar que los colaboradores de la empresa al ingresar o cambiar de puesto de trabajo firmen el acuerdo de confidencialidad a lugar. La vigencia se debe establecer hasta la finalización del contrato o hasta que la empresa lo considere conveniente.
Seguridad permanente al personal: Es responsabilidad de HELIOS CONSULTING S.A.S desarrollar planes de concientización a los usuarios respecto a la seguridad de la información. Así mismo brindar capacitación específica en administración de riesgos tecnológicos a aquellos individuos que están en cargos de responsabilidades, para que estos contribuyan a su cumplimiento y vigilancia.
Es responsabilidad de cada trabajador asistir a las charlas de concientización en seguridad de la información que la empresa programa y la aplicación de las políticas y procedimientos establecidos en dicha materia.
Finalización o traslado de personal: HELIOS CONSULTING S.A.S debe velar por la completa devolución de todos los activos y retiro de derechos de acceso del personal saliente o transferido.
HELIOS CONSULTING S.A.S. debe garantizar el correcto funcionamiento del procesamiento y tratamiento de la información y de medios de comunicación seguros.
Procedimientos y responsabilidades de operación: Es responsabilidad de HELIOS CONSULTING S.A.S definir y documentar las responsabilidades para el manejo de los equipos y redes, incluyendo procedimientos de respuesta en caso de incidentes. Estos procedimientos deben incluir como mínimo lo siguiente:
Protección contra el software malicioso: HELIOS CONSULTING S.A.S debe velar por la implementación de sistemas para la detección, prevención y recuperación frente a software malicioso. Los usuarios deben ser conscientes de los peligros del software malicioso y deben informar a HELIOS CONSULTING S.A.S cualquier situación anómala.
Ambientes para aplicaciones: A nivel de hardware y software HELIOS CONSULTING S.A.S debe asegurar ambientes separados para desarrollo, pruebas y producción a fin de reducir los riesgos de acceso o cambios no autorizados, prevenir fallos e implementar controles.
Registro de uso del sistema: HELIOS CONSULTING S.A.S debe asegurar el registro y monitoreo de uso en las diferentes plataformas entregadas al usuario, así mismo las redes y los accesos a los diferentes servicios. El monitoreo debe incluir: operaciones privilegiadas, acceso no autorizado y alertas o fallas del sistema, visita de páginas prohibidas, entre otras.
Gestión del Cambio HELIOS CONSULTING S.A.S debe implementar el procedimiento de control necesario para la realización de cambios en plataformas y dispositivos en producción, bajo una adecuada segregación de funciones. Cuando los cambios no se realizan de forma contralada se pueden presentar riesgos en la integridad y la disponibilidad de los sistemas. Como parte del proceso establecido se debe indicar la siguiente información:
Copias de seguridad: HELIOS CONSULTING S.A.S debe definir y asegurar la debida implementación de la política de copias de seguridad de la información, su custodia y recuperación, bajo los principios de oportunidad y confidencialidad.
Sincronización de hora: HELIOS CONSULTING S.A.S debe asegurar que los equipos/dispositivos de la organización se encuentran sincronizados a un servidor NTP para el registro consistente de todas las actividades de la red (inicio y cierre de sesión de usuarios, controles de acceso para diversos servicios como carpetas compartidas, navegación, etc).
Seguridad en las redes: HELIOS CONSULTING S.A.S es responsable de fortalecer y dar atención especial al manejo de la seguridad en redes, dispositivos expuestos a Internet y que ejecutan servicios web, debiendo adoptar medidas especiales para proteger el paso de información sensible a redes de dominio público.
Se deben establecer controles especiales para salvaguardar la integridad, reducir las posibilidades de explotación de vulnerabilidades, igualmente se debe garantizar la disponibilidad de los servicios de red y equipos conectados.
Auditoría de usuarios: HELIOS CONSULTING S.A.S debe garantizar durante un período establecido, el registro de trazabilidad de las actividades de usuario, de operación y administración del sistema.
Aseguramiento del registro: HELIOS CONSULTING S.A.S debe proteger la información de la actividad de registro contra el acceso o manipulación no autorizados.
Tratamiento de medios con información: HELIOS CONSULTING S.A.S debe implementar procedimientos eficaces que evitan cualquier intento de recuperación de datos sensibles contenidos en dispositivos de almacenamiento en desuso/baja.
HELIOS CONSULTING S.A.S debe garantizar un adecuado control de acceso a los sistemas de información, implementando medidas de seguridad según el caso, para evitar la modificación, pérdida, consulta, acceso no autorizado o fraudulento a esta.
El acceso a la información debe efectuarse con el criterio de «privilegio mínimo» y administrar el modelo de seguridad para dispositivos de usuario y punto final, lo que implica que no se otorgará acceso a menos que sea explícitamente permitido.
Registro de usuarios: El registro de los usuarios se realiza con base a un identificador único de cada persona, utilizado para el seguimiento de las actividades de responsabilidad individual o jurídica. Las actividades de usuario no deben ser cuentas con privilegios elevados.
Solo en casos especiales y para beneficio de la compañía, se podrá compartir un identificador para un grupo de usuarios con un rol común; debe ser autorizado y aprobado por el respectivo Director y/o encargado del proyecto y por HELIOS CONSULTING S.A.S
Se debe verificar que el nivel de acceso otorgado sea acorde a los propósitos de la empresa, con la debida segregación de funciones. Adicionalmente los usuarios deben tomar y certificar el proceso de inducción y así garantizar el uso adecuado de los sistemas y/o servicios de información.
Gestión de acceso a usuarios: HELIOS CONSULTING S.A.S debe administrar y mantener la infraestructura de seguridad de la empresa, e implementar prácticas de detección y prevención temprana para limitar las amenazas y evitar violaciones a la seguridad donde sea posible. Dichos procedimientos deben cubrir todas las etapas del ciclo de vida del usuario, desde su registro inicial hasta la eliminación o desactivación del registro a quienes no necesiten el acceso.
Administración de cuentas: HELIOS CONSULTING S.A.S implementará los procedimientos necesarios que permitan controlar la creación, modificación, desactivación y eliminación de cuentas de usuarios, administración de contraseñas y permisos de acceso a los recursos tecnológicos y a la información. Así mismo implementar un procedimiento de revisión periódica que valide y asegure el adecuado nivel de permisos de acceso de los usuarios.
Control de acceso a la red: HELIOS CONSULTING S.A.S debe garantizar que únicamente tendrán acceso a la red interna desde el exterior aquellos usuarios debidamente autorizados por el Director y/o encargado del proyecto. Se deben utilizar métodos apropiados de autenticación para el control de acceso a los usuarios remotos. Los usuarios deben hacer correcto uso de la red al conectar dispositivos, la conexión cableada solo es para equipos que pertenecen a la organización, los equipos externos se deben conectar a las redes inalámbricas correspondientes.
Control de acceso a las aplicaciones: El uso de programas que puedan ser capaces de invalidar los controles del sistema y de la aplicación deben estar restringidos y estrictamente controlados.
Está prohibida la eliminación o modificación del software instalado por HELIOS CONSULTING S.A.S. Las cuentas de usuario por defecto en los sistemas deben ser inhabilitadas o efectuarles el procedimiento de cambio de contraseña.
Todas las personas, internas o externas a la organización, que usen los recursos TIC de la empresa son responsables de acoger y cumplir con integridad la Política de Buen Uso de los recursos, y darles un uso racional y eficiente a estos.
Cuentas de usuario: HELIOS CONSULTING S.A.S. es responsable de notificar oportunamente los procesos de vinculación que requieran creación de cuenta de usuario de dominio; así mismo notificar oportunamente los retiros del personal para la suspensión de dichos servicios, o cualquier otra novedad que implique la gestión de cambio de permisos a estos.
La cuenta de usuario de dominio es de carácter personal, intransferible y corresponde al designado velar por la seguridad y buen uso de esta y de los servicios conexos (correo, mensajería, sistemas de información, sistemas de gestión documental, otros), manteniendo confidencial su clave de acceso y cambiándola periódicamente. En consecuencia, al aceptar la cuenta de usuario, el designado se compromete a:
Uso de servidores y equipos de cómputo: Todo usuario debe leer, entender y dar por aceptado los términos y condiciones indicados en el aviso legal (disclaimer) de los sistemas de la organización a los cuales desea acceder. Se describe a continuación el aviso legal aplicado:
Usted se encuentra haciendo uso de un recurso que es propiedad de HELIOS. Por tal motivo toda la información, formatos, aplicaciones u otros elementos construidos con el uso de éste son propiedad de HELIOS. De acuerdo con lo definido en las políticas empresariales. Les recordamos hacer uso seguro y racional dando cumplimiento a las políticas establecidas de: Propiedad intelectual y derechos de autor. Almacenamiento y seguridad informática. Uso racional y seguro del internet. El incumplimiento de estas políticas es una violación al contrato laboral y al reglamento interno de trabajo de la empresa ya que pone en riesgo los intereses de la misma.
Uso de equipos portátiles y móviles: Todas las personas, internas o externas a la organización, se comprometen a hacer uso adecuado de los servicios corporativos proporcionados por la empresa, tales como escritorios y aplicaciones virtuales, correo, comunicaciones unificadas, redes virtuales privadas (VPN), entre otros, atendiendo las siguientes directrices:
Acceso desde equipos distintos a los asignados: Cuando use equipos diferentes a los asignados por la empresa asegúrese de:
HELIOS CONSULTING S.A.S debe implementar las medidas necesarias de protección frente al riesgo de utilización de equipos y comunicación móvil. Se prestará especial cuidado para asegurar que no se compromete la información del negocio, teniendo en cuenta los riesgos que conlleva el trabajar con el equipo móvil en entornos desprotegidos.
La utilización de los servicios móviles conectados a las redes, debe tener una protección idónea. El acceso remoto a la información del negocio a través de redes públicas usando servicios de computación móvil sólo debería tener lugar después de la identificación y autenticación exitosa y con el establecimiento de los mecanismos adecuados de control del acceso.
Correo electrónico: Según la necesidad del cargo, a cada trabajador le será asignada una cuenta de correo corporativa. La empresa podrá en cualquier momento denegar el acceso a los servicios de correo electrónico, inspeccionar, monitorear y/o dar de baja un buzón de correo electrónico.
En consecuencia, al aceptar el buzón otorgado por la organización, el usuario acepta:
La empresa aplica una política de aviso legal (disclaimer) en todos los mensajes enviados hacia fuera de la organización. El aviso legal aprobado es:
Este mensaje y sus archivos adjuntos van dirigidos exclusivamente a su destinatario pudiendo contener información confidencial sometida a secreto profesional. No está permitida su reproducción o distribución sin la autorización expresa de HELIOS CONSULTINS S.A.S. Si usted no es el destinatario final por favor elimínelo e infórmenos por esta vía. De acuerdo con la Ley Estatutaria 1581 de 2012 de Protección de Datos y sus normas reglamentarias, el Titular presta su consentimiento para que sus datos, facilitados voluntariamente, pasen a formar parte de una base de datos, cuyo responsable es HELIOS CONSULTINS S.A.S..
Puede usted ejercitar los derechos de acceso, corrección, supresión, revocación o reclamo por infracción sobre sus datos, mediante escrito dirigido a HELIOS CONSULTINS S.A.S. a la dirección de correo electrónico info@heliosconsulting.com.co, indicando en el asunto el derecho que desea ejercitar.
Navegación en Internet: Según la necesidad del cargo, a cada trabajador le será permitido el acceso a los servicios de navegación en internet. La empresa podrá en cualquier momento denegar el acceso a dicho servicio, inspeccionar y/o monitorear su uso.
En consecuencia, al aceptar el acceso al servicio de navegación en internet otorgado por la empresa, el usuario acepta:
Uso de herramientas que comprometen la seguridad: Hacer o intentar hacer, sin autorización del propietario o del anfitrión del sistema, o de la Dirección TIC, cualquiera de los siguientes actos:
Recursos compartidos: El uso de carpetas compartidas en los equipos de cómputo de los usuarios es una práctica que, aunque puede ser una herramienta útil de trabajo, tiene implícitos algunos riesgos que pueden afectar los principios de confidencialidad, integridad y disponibilidad de la información, por lo tanto su uso y aplicación debe ser controlado. Con este propósito la organización define los siguientes lineamientos para su uso seguro:
Sitios web en la intranet para compartir documentos:
Computación en nube: Ninguna información de HELIOS CONSULTING S.A.S. podrá utilizar tecnologías de computación en nube si no está previamente autorizado por la misma.
HELIOS CONSULTING S.A.S. debe proveer medidas de seguridad en sistemas de información desde la fase de requerimientos, y deben ser incorporados en las etapas de desarrollo, implementación y mantenimiento.
Seguridad de las aplicaciones del sistema: Se deben desarrollar estándares que indiquen cómo se deben asegurar los diferentes sistemas, aplicaciones y desarrollos, para minimizar la aparición de errores, pérdidas y modificaciones no autorizadas o usos indebidos en la información de las aplicaciones.
Se deben diseñar controles adecuados en las aplicaciones, para garantizar un correcto procesamiento. Se debe incluir la validación de los datos introducidos, el procesamiento interno y los datos resultantes.
Las aplicaciones que se desarrollen en HELIOS CONSULTING S.A.S. deben cumplir unos requerimientos mínimos de seguridad, conforme a las buenas prácticas en seguridad de la información y a esta política de seguridad. El diseño y operación de los sistemas debe obedecer a estándares de seguridad comúnmente aceptados y la normatividad vigente.
Seguridad de los sistemas de archivos: Se debe controlar el acceso al sistema de archivos y al código fuente de los programas. La actualización del software aplicativo, las aplicaciones y las librerías sólo deben ser llevadas a cabo por los administradores del sistema.
Seguridad de los procesos de desarrollo y soporte: Se requiere de un control estricto en la implementación de cambios. Los procedimientos de control de cambios deben validar que los procesos de seguridad y control no estén comprometidos; igualmente deben cerciorarse de que los programadores de apoyo posean acceso sólo a las partes en el sistema necesarias para desarrollar su trabajo, que dichos cambios sean aprobados con un procedimiento adecuado y con la documentación correspondiente.
HELIOS CONSULTING S.A.S., es responsable de analizar los riesgos en seguridad de la información, con base en los objetivos de negocio y de acuerdo con la Política de Gestión de Riesgos.
Periódicamente se debe realizar una valoración del riesgo para contemplar los cambios en los requisitos de seguridad y la situación de riesgo, tales como cambio en los activos, las amenazas, las vulnerabilidades y los impactos. Se debe decidir cuándo un riesgo es aceptable, ya sea por motivos de objetivos de negocio o por costes no rentables.
Los posibles tratamientos a los riesgos identificados incluyen: