fbpx

POLÍTICAS DE PRIVACIDAD

Clic Aquí

AVISO DE PRIVACIDAD

Clic Aquí

POLÍTICAS PARA EL TRATAMIENTO DE DATOS PERSONALES

Clic Aquí

MANUAL DE POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN

El Manual de Políticas de Seguridad de la Información establece los lineamientos y políticas administrativas, técnicas y legales, las cuales deben ser adoptadas por todos los trabajadores, contratistas, proveedores, y todo personal externo que utilice o acceda a los servicios promocionados por la empresa SUS FINANZAS SAS.

Las políticas de seguridad descritas, se encuentran enfocadas al cumplimiento de la normatividad legal colombiana vigente y a las buenas prácticas de seguridad de la información, fundadas en el modelo de seguridad y privacidad de la información de la empresa SUS FINANZAS SAS.

El objetivo del presente documento es establecer las políticas en seguridad de la información de la empresa SUS FINANZAS SAS, con el fin de regular la gestión de la seguridad de la información, asegurando el cumplimiento de los principios de confidencialidad, integridad, disponibilidad, legalidad, confiabilidad y no repudio de la información.

Comprende el cumplimiento de los estándares de seguridad bajo las normas de sistema de gestión establecidos por la legislación vigente.

Las Políticas de Seguridad de la Información son aplicables para todos los aspectos administrativos y de control que deben ser cumplidos por los directivos, trabajadores, contratistas y proveedores que presten sus servicios o tengan algún tipo de vinculación con la empresa SUS FINANZAS SAS, para el adecuado cumplimiento de sus funciones y para conseguir un adecuado nivel de seguridad y protección de los activos de información. Debe ser conocida y de obligatorio cumplimiento por parte de sus trabajadores, contratistas y terceros que acceden al uso de las redes sociales, páginas y servicios que preste la compañía.

Activo:

Se refiere a cualquier información o elemento relacionado con el tratamiento de la misma (sistemas, soportes, edificios, personas…) que tenga valor para la empresa.

Amenaza:

Situaciones que desencadenan en un incidente en la empresa, realizando un daño material o pérdidas inmateriales de sus activos de información y sistemas.

Análisis de riesgos:

Proceso para comprender la naturaleza del riesgo y determinar el nivel de riesgo.

Áreas seguras:

Lugares donde se encuentra localizada la información crítica para la empresa, éstas estarán protegidas por un perímetro de seguridad y por los controles de acceso pertinentes.

Back-up (copia de respaldo):

Copia de seguridad de los archivos, bases de datos disponibles en un soporte magnético (generalmente discos o CDS), con el fin de poder recuperar la información en caso de un daño, borrado accidental o un accidente imprevisto.

Base de datos:

Conjunto de archivos de datos recopilados, definidos, estructurados y organizados con el objeto de brindar información.

Confidencialidad:

Propiedad que determina que la información no esté disponible ni sea revelada a personal, entidades o procesos no autorizados.

Cortafuegos: (firewall en inglés)

Es una parte de un sistema o una red que está diseñada para bloquear el acceso no autorizado, permitiendo al mismo tiempo comunicaciones autorizadas.

Contraseña:

Cadena de caracteres que permite validar la autenticidad de una cuenta de usuario.

Control preventivo:

Control que evita que se produzca un riesgo, error, omisión o acto deliberado. Impide que una amenaza llegue siquiera a materializarse.

Cuenta de Usuario:

Credencial que identifica a un usuario para autenticarse sobre una plataforma tecnológica.

Disponibilidad:

Propiedad de que la información sea accesible y utilizable por solicitud de una entidad autorizada.

Evaluación del riesgo:

Proceso de comparar el riesgo estimado contra criterios de riesgo dados, para determinar la importancia del riesgo.

Evento de seguridad de la información:

Presencia identificada de una condición de un sistema, servicio o red, que indica una posible violación de la política de seguridad de la información o la falla de las salvaguardas, o una situación desconocida previamente que puede ser pertinente a la seguridad.

Gestión del riesgo:

Actividades coordinadas para dirigir y controlar una organización en relación con el riesgo.

Incidente de seguridad de la información:

Un evento o serie de eventos de seguridad de la información no deseados o inesperados, que tienen una probabilidad significativa de comprometer las operaciones del negocio y amenazar la seguridad de la información.

Integridad:

Propiedad de salvaguardar la exactitud y estado completo de los activos.

Logs:

Registro oficial de eventos, durante un rango de tiempo en particular, en donde se almacena toda actividad que se hace en el equipo monitoreado.

Niveles de respaldo de información:

Hace referencia a los diferentes ambientes en los cuales la copia de seguridad se guarda de manera oportuna con el fin de tener varios niveles de recuperación de la información en caso de desastre.

No repudio:

El no repudio o irrenunciabilidad es un servicio de seguridad que permite probar la participación de las partes en una comunicación.

Parche:

Actualizaciones que se aplican a un programa de software para corregir o mejorar su funcionalidad.

Plan de Contingencia:

Procedimientos alternativos de una Entidad cuyo fin es permitir el normal funcionamiento de esta y/o garantizar la continuidad de las operaciones, aun cuando algunas de sus funciones se vean afectadas por un accidente interno o externo.

Plan de Pruebas de Recuperación:

Pruebas de recuperación de copias de respaldo programadas con el fin de verificar la consistencia e integridad de las copias de respaldo.

Plataforma Tecnológica:

Una plataforma tecnológica es una agrupación de equipamientos técnicos y humanos destinados a ofrecer unos recursos tecnológicos para la realización de las tareas de los usuarios.

Riesgo:

Posibilidad de que una amenaza concreta pueda explotar una vulnerabilidad para causar una pérdida o daño en un activo de información. Suele considerarse como una combinación de la probabilidad de un evento y sus consecuencias.

Riesgo residual:

Nivel restante de riesgo después del tratamiento del riesgo.

Seguridad de la información:

Preservación de la confidencialidad, la integridad y la disponibilidad de la información; además, puede involucrar otras propiedades tales como: autenticidad, trazabilidad (Accountability), no repudio y fiabilidad.

Servicios de Servidores:

Son todas aquellas herramientas o aplicaciones de software que están disponibles para apoyar la gestión de la empresa.

Sistema de gestión de la seguridad de la información:

Conjunto de elementos interrelacionados o interactuantes (estructura organizativa, políticas, planificación de actividades, responsabilidades, procesos, procedimientos y recursos) que utiliza una organización para establecer una política y unos objetivos de seguridad de la información y alcanzar dichos objetivos, basándose en un enfoque de gestión del riesgo y de mejora continua.

Sistema Operativo:

Es el software básico de un computador que provee una interface entre el resto de programas, los dispositivos de hardware y el usuario.

Software Antivirus:

Herramienta cuyo objetivo es detectar y eliminar virus informáticos.

Tratamiento del riesgo:

Proceso de selección e implementación de medidas para modificar el riesgo.

Trazabilidad:

Cualidad que permite que todas las acciones realizadas sobre la información o un sistema de tratamiento de la información sean asociadas de modo inequívoco a un individuo o entidad.

Valoración del riesgo:

Proceso global de análisis y evaluación del riesgo.

Virus:

Son programas creados para infectar sistemas y otros programas creándoles modificaciones y daños que hacen que estos funcionen incorrectamente.

Vulnerabilidad:

Debilidad de un activo o grupo de activos, que puede ser aprovechada por una o más amenazas. Potencialidad o la posibilidad de que se materialice una amenaza sobre el activo de información.

La información de la empresa se considera como uno de los principales activos, y como tal, debe ser protegida adecuadamente con controles administrativos, técnicos y legales de forma que se evite que persona o medio físico no autorizado pueda acceder, operar, distribuir la información, que atente contra la integridad, confidencialidad y disponibilidad de los activos de información. La empresa SUS FINANZAS SAS orienta sus esfuerzos a la preservación de la confidencialidad, integridad, disponibilidad, a la continuidad de las operaciones, la administración y/o gestión de riesgos, la creación de cultura y conciencia de seguridad en los trabajadores, contratistas, proveedores y personas que hagan uso de los servicios y de los activos de información de la empresa, tomando como base que la efectividad de esta política depende finalmente del comportamiento de los usuarios y del cumplimiento de los controles establecidos en las políticas de seguridad descritas en el presente documento, fundamentados en la normatividad vigente.

6.1.   Políticas Generales.

  • El comité de seguridad está encargado de aprobar las modificaciones que se realicen al manual de seguridad de la información y aquellos documentos de alto impacto relacionados con la seguridad de la información, además, se revisara una vez al año o cuando existan cambios en el objetivo del negocio o en el entorno del riesgo.
  • El manejo de la información y los servicios en la nube están autorizados siempre y cuando se cumpla con los acuerdos de confidencialidad, integridad y disponibilidad, además, que exista un contrato de servicio o laboral y el proveedor cumpla con los requerimientos de las normas y legislaciones vigentes.
  • Los datos que se extraigan de las bases de datos y que corresponda a información de los clientes a través de diferentes medios removibles, deben quedar cifrada y bajo custodia en condiciones de seguridad.
  • Para el formato de Perfil de seguridad se identifica por cargos dentro de la empresa para ejercer los controles de acceso, el software autorizado, los permisos de los productos corporativos y no corporativos, el nivel de acceso a internet, los permisos sobre medios removibles, acceso a los tipos de información y acceso múltiple factor de autenticación.
  • Se retira y se da de baja aquellos equipos (servidores, desktop o portátiles) que por sus características técnicas, software base, han cumplido su vida útil y son punto vulnerable de seguridad.
  • Se posee implementado el documento “Seguridad y privacidad de la información” que contiene las políticas y procedimientos que dan cumplimiento a las leyes 1581 del 2012 y 1266 del 2008 para tratamiento de datos.
  • Para los accesos de carpeta compartida, se diligencia el formato de “permisos de acceso” a través de la herramienta de gestión, dirigido al oficial de seguridad para su aprobación.
  • Se tiene implementado en el directorio activo una política de escritorio, que aplica para todos los servidores, computadores y portátiles de la empresa.
  • Por parte del área de seguridad de la información se realizará auditorias en los activos de criticidad alta cada 8 meses.

6.2.   Políticas de Firewall.

  • Al realizar cambios o actualizaciones en el firewall se realiza un backup en un medio externo con el fin de garantizar la integridad e inmediato retorno a un escenario funcional.
  • Se registra en la bitácora de firewall todo cambio realizado en la consola de control perimetral.
  • El intercambio de información con entidades se hace a través de una conexión VPN, punto a punto cumpliendo con los requerimientos de cifrado, y seguridad que exige la norma y legislación vigente.
  • Para todos los equipos de escritorio de la empresa se tiene habilitado el servicio de firewall local.
  • Para todo firewall nuevo que se conecte a la plataforma tecnológica se incluye en los diagramas de red, guías de hardening y configuración.
  • Por parte del área de seguridad de la información se realizará auditorias en los activos de criticidad alta cada 8 meses.

6.3.   Políticas de Internet.

  • El uso de internet es únicamente para actividades relacionadas con las funciones asignadas, manteniéndose las restricciones de seguridad establecidas por la
  • El uso de servicios de mensajería instantánea solo se utilizará para actividades de la empresa y el acceso a las redes sociales estará autorizado solo para actividades de la empresa SUS FINANZAS SAS.
  • Solo se permite el acceso a la red de internet corporativa a los equipos que están en el inventario de activos.
  • Para clientes, visitantes como aliados estratégicos, consultores, freelance y proveedores, se le habilitará el acceso de internet mediante una solicitud escrita.
  • No se permite el uso de los recursos de internet corporativo para la descarga, distribución y/o reproducción de música, videos y similares.

6.4.   Políticas de Áreas Seguras.

  • Se establece como áreas seguras aquellas ubicaciones sobre las cuales existen mecanismos de control que garanticen la seguridad de la información solo a personal Estas son:

    Oficina principal ubicada en la CRA 19 B 82-46 OFICINA 702 Bogotá – Colombia.

  • Para el caso de ingreso por parte de proveedores, clientes o visitantes se tramita por el responsable de la actividad mediante una solicitud al oficial de seguridad para la autorización de ingreso, donde se especifica el nombre de la persona, número de cédula, fecha, hora, duración y actividad a realizar por parte del responsable de la actividad, además de los requisitos establecidos como registro de los protocolos de bioseguridad.

6.5.   Políticas Base de Datos.

  • La información de los clientes que se maneja en la plataforma tecnológica se tiene en línea los últimos cinco años desde la adquisición de producto y/o servicio.

6.6.   Políticas de BACKUP.

  • Los trabajadores son responsables de realizar y actualizar los respaldos de la información que tiene en el equipo asignado mínimo cada 30 días.
  • Para los cargos de la alta dirección, se realizará los backup de manera automática.
  • Una vez al mes se realiza la restauración del backup full de las bases de datos de producción y de los servidores definidos como críticos.
  • Bajo ninguna eventualidad ni solicitud se entregará copia de las bases de datos y servidores en dispositivos como discos duros externos, USB, CD, DVD. Salvo requerimiento judicial o por la solicitud escrita del cliente y por la aprobación del oficial de seguridad.
  • Se garantiza los respaldos de información y de recuperación de desastres definidos en los acuerdos contractuales.
  • Se realiza un backup diario full de las bases de datos en la herramienta de backup de la
  • El backup generado de las bases de datos críticas, se almacena en una unidad externa de almacenamiento debidamente cifrado.
  • Para el retiro de un trabajador de la empresa se realiza un backup de la información tan pronto se reciba el equipo asignado por la empresa. Además, se realiza la cancelación de la cuenta.

6.7.   Política Trabajadores.

  • En los puestos de trabajo no se tiene documentos clasificados como privado, confidencial o secreto.
  • Se debe retirar inmediatamente cualquier documento enviado a las impresoras que contenga información sensible, secreta o confidencial.
  • Los documentos electrónicos o físicos que contienen información sensible, secreta, privada o confidencial, se guarda en condiciones de seguridad y con acceso de lectura por personal
  • Los trabajadores de la empresa son responsables del cumplimiento de las políticas de seguridad, de acuerdo con el alcance que se define en este documento.

6.8  Política Gestión del Incidente.

  • Se define roles y responsabilidades dentro de la empresa para evaluar los riesgos y así mantener la operación, la continuidad y la disponibilidad del Gestionar los eventos de seguridad de la información, para detectar e identificar si es necesario o no clasificarlos como incidentes de seguridad de la información.
  • Definir de manera oportuna los eventos de seguridad de la información para ser evaluados y dar respuesta de la manera más eficiente y adecuada.
  • Asegurar las lecciones aprendidas que dejan los incidentes de seguridad de la información y su gestión para aprender rápidamente. Con el fin de mejorar el esquema global de la gestión de incidentes de seguridad de la información.
  • Definir los mecanismos que permitan cuantificar y monitorear los tipos, volúmenes y costos de los incidentes de seguridad de la información, a través de una base de conocimiento y registro de incidentes y a través de los indicadores del sistema de gestión de seguridad de la información.
  • Definir los procedimientos formales de reporte y escalada de los incidentes de
  • Establecer variables de posible riesgo, en efecto, es la posible valoración de aspectos sensibles en los sistemas de información
  • Informar de forma completa e inmediata de la existencia de un potencial incidente de seguridad informática que afecte a activos de información críticos de la empresa.

6.9. Política Gestión del Riesgo.

  • Se deben identificar riesgos para todos los procesos y activos que conforman la empresa.
  • Se debe realizar la verificación y actualización de los riesgos identificados, por lo menos una vez al año, cada vez que se identifique un nuevo riesgo o al presentarse un accidente fatal o grave.
  • Es responsabilidad del área administrativa, así como de su personal a cargo realizar la identificación y verificación de riesgos con el apoyo de las áreas de seguridad y de aseguramiento de la información.
  • Teniendo en cuenta la identificación y priorización de riesgos realizada, se debe gestionar primero los riesgos en nivel alto, seguidos del nivel medio y Nivel bajo.
  • Para los riesgos identificados con nivel alto, seguidos del nivel medio la decisión de mitigar, aceptar o transferir el riesgo estará a cargo de la Gerencia de la compañía.

El Comité de Seguridad de la Información solicitará la publicación de las Políticas de Seguridad de la Información, socializará su contenido y hará cumplir su alcance. El desconocimiento de la política de seguridad de la información de la empresa SUS FINANZAS SAS, por parte de trabajadores, contratistas y terceros puede generar acciones disciplinarias. Las investigaciones disciplinarias y las respectivas sanciones les corresponden a Recursos Humanos de la empresa.

Actuaciones que conllevan a la violación de la seguridad de la información establecida por la empresa SUS FINANZAS SAS.

  • No reportar los incidentes de seguridad o las violaciones a las políticas de seguridad, cuando se tenga conocimiento de ello.
  • No actualizar la información de los activos de información a su cargo.
  • Clasificar y registrar de manera inadecuada la información, desconociendo los estándares establecidos para este fin.
  • No guardar de forma segura la información cuando se ausenta de su puesto de trabajo o al terminar la jornada laboral, de documentos impresos que contengan información pública reservada, información pública clasificada (privada o semiprivada).
  • Dejar información pública reservada, en carpetas compartidas o en lugares distintos al servidor de archivos, obviando las medidas de seguridad.
  • Dejar las gavetas abiertas o con las llaves puestas en los escritorios.
  • Dejar los computadores encendidos en horas no laborales.
  • Permitir que personas ajenas a la empresa, deambulen sin acompañamiento, al interior de las instalaciones, en áreas no destinadas al público.
  • Almacenar la información de la empresa en dispositivos personales.
  • Realizar cambio de contraseña, sin la debida autorización del titular o su jefe inmediato.
  • Hacer uso de la red de datos de la empresa, para obtener, mantener o difundir material pornográfico u ofensivo, cadenas de correos y correos masivos no autorizados.
  • Utilización o descargue de software no relacionados con la actividad laboral y que pueda degradar el desempeño de las plataformas tecnologícas de la Información de la Empresa.
  • Enviar información pública reservada o información pública clasificada por correo, copia impresa o electrónica.
  • Usar dispositivos de almacenamiento externo en los computadores.
  • Negligencia en el cuidado de los equipos, dispositivos portátiles o móviles entregados para actividades propias de la empresa.
  • No cumplir con las actividades designadas para la protección de los activos de información de la empresa.
  • Descuidar documentación con información crítica, reservada o clasificada de la empresa sin las medidas apropiadas de seguridad que garanticen su protección.
  • Almacenar información crítica reservada o clasificada, en cualquier dispositivo de almacenamiento que no permanezca en la empresa o conectar computadores portátiles u otros sistemas eléctricos o electrónicos personales a la red de datos de la empresa sin la debida autorización.
  • Promoción o mantenimiento de negocios personales, o utilización de los recursos tecnológicos de la empresa para beneficio personal.
  • El que destruya, dañe, borre, deteriore o suprima datos informáticos o un sistema de tratamiento de información de la empresa.
  • El que modifique, altere, suprima, sustraiga datos personales de las bases de datos de la empresa sin la debida autorización.
  • No mantener la confidencialidad de las contraseñas de acceso a la red de datos, los recursos tecnológicos o los sistemas de información de la empresa o permitir que otras personas accedan con el usuario y clave del titular a éstos.
  • Permitir el acceso u otorgar privilegios de acceso a las redes de datos a personas no autorizadas.
  • Llevar a cabo actividades fraudulentas o ilegales, o intentar acceso no autorizado a la infraestructura de tecnologías de la Información de la empresa.
  • Sustraer de las instalaciones de la empresa, documentos con información calificada como información pública reservada o clasificada, o abandonarlos en lugares públicos o de fácil acceso.
  • Entregar, enseñar y divulgar información calificada como información pública reservada y clasificada a personas no autorizadas.
  • Ejecución de cualquier acción que pretenda difamar, abusar, afectar la reputación o presentar una mala imagen de empresa, trabajadores o contratistas.

Todos los trabajadores y contratistas deben firmar la cláusula y/o acuerdo de confidencialidad que deberá ser parte integral de los contratos laborales y de prestación de servicios utilizando términos legalmente ejecutables y contemplando factores como responsabilidades, y acciones de los firmantes para evitar la divulgación de información no autorizada. Este requerimiento también se aplicará para los casos de contratación temporal o cuando se permita el acceso a información y/o a los recursos a personas.

CONOCE TUS OPORTUNIDADES DE AHORRO

ESTUDIO GRATIS