POLÍTICA DE PROTECCIÓN DE LA INFORMACIÓN
Política de seguridad para nuestros Clientes
1. OBJETIVO
Establecer un marco de medidas y controles destinados a proteger la información contra la divulgación no autorizada, modificación o eliminación de la misma, mediante la implementación de medidas preventivas que garanticen su accesibilidad cuando sea necesario.
2. ALCANCE
Esta política se aplica a toda la información y activos de información de la organización, independientemente de su formato o medio, que incluyen, pero no se limitan a, información en formato electrónico, impreso o verbal. Abarca a todos los empleados, contratistas, proveedores y cualquier otra persona o entidad que tenga acceso a la información de la organización.
3. DEFINICIONES
∙ Acceso Remoto: Capacidad de conectarse a un sistema o red desde una ubicación distinta a la del sistema, generalmente a través de una conexión segura como una VPN
∙ Activos de Información: Recursos valiosos de una organización, incluyendo datos, hardware, software y cualquier información esencial para la operatividad y el cumplimiento de objetivos
∙ Actualización de Parches: Proceso de aplicar correcciones y mejoras a software y sistemas operativos para resolver vulnerabilidades de seguridad y mejorar su funcionalidad
∙ Antivirus: Software diseñado para detectar, prevenir y eliminar malware, incluyendo virus, gusanos y troyanos, de dispositivos informáticos
∙ Auditoría: Proceso de revisión y evaluación sistemática de las actividades y controles de una organización para asegurar el cumplimiento de políticas, procedimientos y regulaciones
∙ Autenticación: Proceso de verificación de la identidad de un usuario o dispositivo, generalmente mediante contraseñas, tokens, biometría o autenticación multifactor
∙ Autenticación Multifactor (MFA): Método de verificación que requiere más de un factor de autenticación independiente (como contraseñas, tokens, y biometría) para conceder acceso a un sistema
∙ Ciberseguridad: Práctica de proteger sistemas, redes y programas contra ataques digitales que buscan acceder, cambiar o destruir información sensible.
∙ Cifrado: Técnica de seguridad que convierte datos legibles en un formato codificado, accesible solo para aquellos con la clave de descifrado correspondiente
∙ Confidencialidad: Principio de seguridad que asegura que la información solo sea accesible a personas autorizadas
∙ Criptografía: Ciencia y técnica de cifrar y descifrar información para asegurar su protección y confidencialidad durante la transmisión y almacenamiento
∙ Disponibilidad: Garantía de que la información y los sistemas estén accesibles y operativos cuando sean necesarios
∙ Enmascarado de Datos: Técnica que altera datos sensibles para que no puedan ser identificados, protegiéndolos en entornos de prueba y desarrollo
∙ Etiquetado de la Información: Proceso de marcar datos y documentos con etiquetas de clasificación para indicar su nivel de sensibilidad y las medidas de protección requeridas
∙ Integridad: Propiedad que asegura que la información es precisa, completa y no ha sido alterada de manera no autorizada
∙ Seguridad Física: Protección de los activos de información contra accesos, daños o interferencias físicas no autorizadas
∙ Sistema de Gestión de Seguridad de la Información (SGSI): Conjunto de políticas, procedimientos y controles establecidos para gestionar y proteger los activos de información de una organización
∙ VPN (Red Privada Virtual): Tecnología que crea una conexión segura y encriptada sobre una red pública, como Internet, para proteger la privacidad y seguridad de los datos transmitidos
∙ Vulnerabilidad: Debilidad en un sistema o proceso que puede ser explotada por amenazas para causar daño o pérdida de información
4. POLÍTICA DE PROTECCIÓN DE LA INFORMACIÓN
Se establecen medidas para proteger la información contra divulgación no autorizada, modificación o eliminación, así como para garantizar su accesibilidad cuando sea necesario. Abarca todas las medidas destinadas a proteger confidencialidad, integridad y disponibilidad de los activos. Esto incluye la clasificación de la información según su sensibilidad, la protección de registros y las buenas prácticas a la hora de intercambiar información.
5. CUMPLIMIENTO
5.1 Control A.5.12 Clasificación de la información
∙ Toda la información dentro de la organización deberá ser clasificada de acuerdo a su nivel de sensibilidad y criticidad, con el fin de identificar y proteger los activos de información
∙ Revisar y actualizar la clasificación de la información, asegurando que refleje adecuadamente cualquier cambio en la sensibilidad, criticidad o valor de la información. Este proceso se llevará a cabo al menos una vez al año o cuando se produzcan cambios significativos en el entorno de la organización o en la naturaleza de los activos de información.
5.2 Control A.5.13 Etiquetado de la información
∙ Toda la información debe ser etiquetada claramente según su nivel de sensibilidad. Las etiquetas deben indicar clasificaciones como Público, Interno, Confidencial y Restringido, asegurando un manejo adecuado y protegiendo contra divulgaciones no autorizadas, modificaciones o eliminaciones.
5.3 Control A.5.14 Intercambio de la información
∙ La información interna solo debe compartirse con las personas que tengan una necesidad legítima de conocerla, utilizando canales seguros, como correo electrónico autorizados por la organización y en ningún caso deberá compartirse en redes sociales o plataformas públicas, salvo autorización previa.
∙ Celebrar un acuerdo de confidencialidad tanto con empleados como con proveedores, para identificar sus responsabilidades en caso de existir algún tipo de fuga de información.
∙ El intercambio de información electrónica deberá contar con niveles fuertes de autenticación como el doble factor y contraseñas robustas.
∙ La organización implementará procedimientos de verificación y auditoría de transferencias electrónicas de información sensible, para asegurar el cumplimiento de los protocolos de seguridad y la protección continua de los datos.
5.4 Control A.5.33 Protección de registros
∙ Se deben utilizar mecanismos de protección, como el cifrado y las firmas digitales, para asegurar la integridad de los registros, previniendo modificaciones no autorizadas y garantizando que los registros sean precisos y confiables.
∙ La organización implementará procedimientos para la retención y eliminación segura de registros, asegurando que se mantengan el tiempo necesario y se eliminen sin dejar información residual recuperable.
5.5 Control A.6.7 Trabajo remoto
∙ Los empleados que trabajen de forma remota deben utilizar únicamente dispositivos aprobados y gestionados por la organización, equipados con las medidas de seguridad adecuadas, como cifrado de disco y software antivirus, para proteger los datos corporativos contra pérdidas o ataques.
∙ Todo acceso remoto a la red corporativa debe realizarse a través de canales seguros, como redes privadas virtuales (VPN) y autenticación multifactor (MFA), para proteger contra accesos no autorizados y garantizar la seguridad de la información transmitida.
∙ La información sensible debe recibir la misma protección fuera de la oficina que dentro, asegurando la protección contra accesos no autorizados y configurando pantallas y dispositivos para que se bloqueen automáticamente cuando no estén en uso.
5.6 Control A.8.1 Dispositivos terminales de usuario
∙ Solo se permitirán dispositivos autorizados para el acceso y manejo de información corporativa. Estos dispositivos deben estar registrados y gestionados dentro del inventario empresarial y tener las placas de registro respectivas.
∙ Todos los dispositivos terminales de usuario deben tener instalado y actualizado un software de protección contra malware. Además, deben realizarse escaneos regulares para detectar y eliminar cualquier amenaza, garantizando la integridad de la información y la seguridad del dispositivo.
∙ Todos los dispositivos deben mantenerse actualizados con los últimos parches de seguridad y actualizaciones del sistema operativo y del software utilizado.
∙ Cualquier incidente de seguridad, pérdida o robo de un dispositivo terminal debe ser reportado inmediatamente a la organización, con el fin de tomar medidas rápidas para proteger la información y minimizar el impacto.
5.7 Control A.8.10 Borrado de información
∙ Se utilizarán únicamente herramientas de borrado aprobadas y efectivas que cumplan con los estándares de seguridad reconocidos, para asegurar que la información eliminada no pueda ser recuperada mediante métodos convencionales.
∙ Todos los procesos de borrado seguro de información deberán ser documentados y registrados adecuadamente, incluyendo los dispositivos afectados, las fechas de eliminación y los resultados de las auditorías. Esta documentación servirá como evidencia de conformidad y permitirá la trazabilidad de las acciones realizadas
∙ La organización establecerá procedimientos formales y seguros para el borrado de información en dispositivos de almacenamiento, tales como discos duros, unidades USB y dispositivos móviles.
5.8 Control A.8.11 Enmascarado de datos
∙ Se utilizarán herramientas de enmascaramiento de datos aprobadas y efectivas, supervisadas por el equipo de seguridad de la información, para proteger la información sensible durante su procesamiento y almacenamiento en entornos de prueba.
∙ Todo el personal involucrado en datos sensibles en entornos de prueba recibirá formación sobre prácticas seguras de enmascaramiento, asegurando la comprensión de los riesgos asociados.
5.9 Control A.8.12 Prevención de filtración de datos
∙ Se establecerán sistemas de monitoreo continuo para detectar actividades anómalas que puedan indicar intentos de filtración de datos sensibles. Estos sistemas analizarán el tráfico de red, los registros de auditoría y otros indicadores de actividad sospechosa, para identificar y responder rápidamente a posibles brechas de seguridad.
∙ Todos los dispositivos y medios de almacenamiento que contengan datos sensibles deben estar protegidos contra pérdida, robo o acceso no autorizado, mediante el uso de cifrado, contraseñas robustas y políticas de seguridad física.
∙ En caso de contar con correo electrónico corporativo, se restringirá su acceso cuando el funcionario se encuentre dentro de su periodo de vacaciones, y se restablecerá sus servicios, previa solicitud realizadas por la mesa de ayuda.
5.10 Control A.8.33 Información de prueba
∙ La organización establecerá un proceso formal para la gestión de datos de prueba, asegurando que se utilicen versiones ficticias de datos sensibles para pruebas de sistemas y aplicaciones. Estos datos de prueba se manejarán de manera segura y solo serán accesibles por personal autorizado para evitar la exposición involuntaria de información confidencial.
∙ La información será protegida en las sesiones de prueba, contra accesos no autorizados y se garantizará su integridad durante todo el ciclo de vida del desarrollo y las pruebas de sistemas.
∙ Los datos de prueba se retendrán solo el tiempo necesario para los propósitos de prueba y desarrollo, según las necesidades operativas. Una vez finalizado su uso, se eliminarán de manera segura para prevenir la exposición no autorizada de información sensible.
5.11 Control A.8.34 Protección de sistemas de información durante pruebas de auditoría
∙ Durante las pruebas de auditoría, se implementarán controles específicos para proteger los datos sensibles y confidenciales que puedan ser accesibles o utilizados, asegurando su confidencialidad e integridad. Esto incluye el enmascaramiento de datos sensibles y la limitación del acceso solo a personal autorizado.
∙ Se establecerá una segregación adecuada de entornos de prueba y producción, así como de datos utilizados durante las pruebas de auditoría, para prevenir la contaminación accidental o la interferencia con sistemas en producción.
∙ Durante las pruebas de auditoría, se implementarán sistemas de monitoreo continuo para detectar y responder rápidamente a cualquier anomalía o actividad inusual que pueda indicar un riesgo para la seguridad de la información.
∙ Se realizará un reporte detallado y una evaluación de los resultados de las pruebas de auditoría de sistemas de información, asegurando que se documenten adecuadamente las vulnerabilidades identificadas y las recomendaciones para mejorar la seguridad.
6. VIGENCIA DE LA POLÍTICA
Esta política tendrá una vigencia indefinida y podrá ser modificada o actualizada por la administración en el momento que se considere conveniente, conforme a la normatividad legal vigente, la revisión será al menos una vez al año.
7. VERIFICACIÓN DEL CUMPLIMIENTO DE LA POLÍTICA
Le corresponde al Comité de Tecnologías de la Información y las Comunicaciones TIC realizar la revisión de la implementación del sistema de gestión de seguridad de la información, de acuerdo a las evaluaciones realizadas en los procesos de auditoría interna, liderada por el oficial de seguridad de la información.