Política de Seguridad de la Información
1. OBJETO
Establecer las directrices y los lineamientos relacionados con el manejo seguro de la información, enmarcado en estándares internacionales de seguridad (v gr. ISO 27001) y en normas de entes reguladores, SIC - Ley 1581 de 2012 y sus decretos reglamentarios o posteriores que las deroguen o modifiquen).
La presente Política de Seguridad de la Información y ciberseguridad es una declaración de las políticas, responsabilidades y de la conducta aceptada para proteger la Información de Central de Cobranzas S.A.S.
1.1 OBJETIVO GENERAL
El principal objetivo de la Política de Seguridad de la Información y ciberseguridad en Central de Cobranzas S.A.S., es proteger la organización frente a situaciones que representen riesgo para la Confidencialidad, Integridad, Disponibilidad y Privacidad de la información, donde se establezcan los servicios propios y de terceros de la compañía. Además de dictar los principios de gobernanza y las reglas comunes formalizadas en las políticas que garantizan la protección efectiva de la información y la coherencia del sistema de gestión de seguridad de la información, así mismo La Alta Dirección de Central de Cobranzas S.A.S, entendiendo la importancia de una adecuada gestión de la información, se ha comprometido con la implementación y mejora continua de un sistema de gestión de seguridad de la información.
1.2 OBJETIVOS ESPECIFICOS
Los objetivos específicos que persigue La Política de Seguridad de la Información y ciberseguridad son: a. Definir la conducta a seguir en lo relacionado con el acceso, uso, manejo y administración de los recursos de información. b. Administrar los riesgos en seguridad de la información y ciberseguridad. c. Establecer los canales de comunicación que le permitan conocer los resultados del Sistema de Gestión de Seguridad de la Información. d. Proteger la imagen, los intereses y el buen nombre de Central de Cobranzas S.A.S. e. Fortalecer la cultura de seguridad de la información en los colaboradores y terceros de la empresa. f. Asegurar el cumplimiento de los requisitos legales y normativos en materia de seguridad de la información.
2. ALCANCE
Esta Política de Seguridad de la Información y Ciberseguridad aplica para todos los niveles de la organización: Usuarios (que incluye empleados y accionistas), Clientes, Terceros (que incluye proveedores y contratistas), Entes de Control y Entidades Relacionadas; que acceden, ya sea interna o externamente, a cualquier activo de información independiente de su ubicación.
Adicionalmente, la presente Política aplica a la información creada, producida, modificada, procesada o utilizada por la compañía.
3. DEFINICIONES
→ Colaboradores: Son los usuarios de la información de la compañía.
→ Confiabilidad: La información debe ser la apropiada para la administración de la Compañía y el cumplimiento de obligaciones.
→ Controles: Salvaguardas basadas en dispositivos o mecanismos que se requieren para cumplir con los requisitos de una política.
→ Efectividad: La información relevante debe ser pertinente y su entrega oportuna, correcta y consistente.
→ Eficiencia: El procesamiento y suministro de información debe hacerse utilizando de la mejor manera posible los recursos.
→ Información o Información de la Compañía: Es toda aquella que, sin importar su presentación, medio o formato, en el que sea creada o utilizada, sirve de soporte a las actividades de la compañía y la toma de decisiones.
→ Internet: Es la conexión lógica de múltiples redes de comunicaciones, las cuales utilizan como estándar el protocolo TCP/IP para comunicarse y compartir datos entre dichas redes.
→ Miembro de la Comunidad: Un individuo que tiene autoridad limitada y específica del responsable de información para ver, modificar, adicionar, divulgar o eliminar información.
→ Modelo de Seguridad de la Información y ciberseguridad: Se refiere al conjunto de políticas, procedimientos, estándares, normas de seguridad, elementos de seguridad y topologías que garantizan la protección de la información de la Compañía que se encuentre alojada en la infraestructura tecnológica y el ciberespacio donde se establezcan los servicios de la entidad y/o los prestados a través de terceros.
→ Norma: Conjunto de reglas requeridas para implantar las políticas. Las normas hacen mención específica de tecnologías, metodologías, procedimientos de aplicación y otros factores involucrados y son de obligatorio cumplimiento.
→ Organización de Seguridad de la Información y ciberseguridad: Estructura organizacional que soporta la Seguridad de la Información y ciberseguridad, donde se definen roles y responsabilidades de cada uno de sus integrantes.
→ Perímetros o áreas seguras: Un área o agrupación dentro de la cual un conjunto definido de políticas de seguridad y medidas se aplica, para lograr un nivel específico de seguridad. Las áreas o zonas son utilizadas para agrupar activos de información con requisitos de seguridad y niveles de riesgo similares, para asegurar que cada zona se separa adecuadamente de las otras.
→ Política: Es un conjunto de ordenamientos y lineamientos enmarcados, en los diferentes instrumentos jurídicos y administrativos que rigen una función, en este caso la Seguridad de la Información y ciberseguridad.
→ Política de Seguridad de la Información y ciberseguridad: Documento donde se establecen las directrices y los lineamientos relacionados con el manejo seguro de la información, que se encuentre alojada en la infraestructura tecnológica y elciberespacio donde se establezcan los servicios de la entidad y/o los prestados a través de terceros.
→ Procedimiento: Pasos operacionales específicos que los individuos deben tomar para lograr las metas definidas en las políticas.
→ Recursos de información: Dispositivos o elementos que almacenan datos, tales como: registros, archivos, Bases de Datos, equipos y el software propietario o licenciado por Central de Cobranzas S.A.S.
→ Responsable de la información: Un individuo o unidad organizacional que tiene responsabilidad por clasificar y tomar decisiones de control con respecto al uso de su información.
→ Riesgo: La probabilidad de que ocurra un evento en seguridad de la información, que cause pérdida a Central de Cobranzas S.A.S.
→ Seguridad de la información: Protección de la información contra el acceso no autorizado accidental o intencional, su modificación, destrucción o publicación.
→ Seguridad física: Protección de los equipos de procesamiento de la información de daños físicos, destrucción o hurto; asimismo, se protege al personal de situaciones potencialmente dañinas.
→ NTC-ISO/IEC 27001: Técnicas de seguridad. Sistema de gestión de la seguridad de la información (SGSI). Requisitos
→ NIST 800-53: Proporciona un catálogo de controles de seguridad para todos los Sistemas federales de información de los Estados Unidos. Referenciado por la CE 007 de 2018 como uno de los marcos de referencia a tener en cuenta para la gestión de riesgos de ciberseguridad.
→ Ciberseguridad: Es el conjunto de políticas, conceptos de seguridad, recursos, salvaguardas de seguridad, directrices, métodos de gestión del riesgo, acciones, investigación y desarrollo, formación, prácticas idóneas, seguros y tecnologías que pueden utilizarse para prevenir el acceso, obstaculización, interceptación, daño, violación de datos, uso de software malicioso, hurto de medios y la transferencia no consentida de activos informáticos, con el fin de proteger a los consumidores financieros y los activos de la entidad en el ciberespacio.
→ Ciberespacio: Corresponde a un ambiente complejo resultante de la interacción de personas, software y servicios en Internet, soportado en dispositivos tecnológicos y redes conectadas a la red mundial, propiedad de múltiples dueños con diferentes requisitos operativos y regulatorios.
Nota: Para el presente documento, se entenderá ciberespacio como el entorno donde se establezcan los servicios de la compañía y los prestados a través de terceros.
→ Ciber-amenaza o amenaza cibernética: Aparición de una situación potencial o actual donde un agente tiene la capacidad de generar un ciberataque contra la población, el territorio y la organización política del Estado.
→ Cibernética: Ciencia o disciplina que estudia los mecanismos automáticos de comunicación y de control o técnicas de funcionamiento de las conexiones de los seres vivos y de las máquinas.
→ Ciberataque o ataque cibernético: Acción organizada o premeditada de uno o más agentes para causar daño o problemas a un sistema a través del ciberespacio.
→ Ciber-riesgo o riesgo cibernético: Posibles resultados negativos asociados a los ataques cibernéticos.
→ Evento de ciberseguridad: Ocurrencia identificada del estado de un sistema, servicio o red, indicando una posible violación de la política de seguridad de la información o falla en las salvaguardas o una situación previamente desconocida que puede ser relevante para la seguridad.
→ SIEM (Security Information and Event Management): Sistema de información que proporciona análisis en tiempo real de las alertas de seguridad generadas por las aplicaciones, dispositivos de seguridad y los elementos de red. Suelen ser sistemas de centralización de logs.
→ SOC (Security Operation Center): Entidad o dependencia, donde los sistemas de información empresarial (sitios web, aplicaciones, bases de datos, centros de datos, servidores, redes, escritorios y otros dispositivos) son monitoreados, evaluados y defendidos.
→ Vulnerabilidad: Debilidad de un activo o control que puede ser explotado por una amenaza. Se tienen en cuenta todas aquellas amenazas que surgen por la interacción de los sistemas en el ciberespacio.
→ Información en reposo: Datos guardados en dispositivos de almacenamiento persistente (por ejemplo, bases de datos, almacenes de datos, hojas de cálculo, archivos, cintas, copias de seguridad externas, dispositivos móviles, discos duros, entre otros).
→ Información en tránsito: Información que fluye a través de la red pública o que no es de confianza, como Internet y los datos que viajan en una red privada, como una red de área local (LAN) corporativa o empresarial.
→ Terceros críticos: Terceros con quien se vincula la entidad y que pueden tener incidencia directa en la seguridad de su información.
4. CONDICIONES GENERALES
El propósito de este documento es dar a conocer a los colaboradores de Central de Cobranzas S.A.S., la Política de Seguridad de la Información y Ciberseguridad establecida para la protección de la información. En el presente documento se incluyen los aspectos que deben tenerse en cuenta por parte de todos los colaboradores para que la información sea accedida sólo por aquellos que tienen una necesidad legítima para la realización de sus funciones de la Compañía (Confidencialidad); que esté protegida contra modificaciones no autorizadas, realizadas con o sin intención (Integridad), que esté disponible cuando sea requerida (Disponibilidad), que sea utilizada para los propósitos que fue obtenida (Privacidad). Por lo tanto, los colaboradores deben actuar teniendo en cuenta los lineamientos consignados en este documento y los que se desarrollen en los procedimientos, guías y manuales que soportan la implementación de la Política de Seguridad de la Información y Ciberseguridad; en el entendido que la alta gerencia tiene el firme propósito de apoyar todas las actividades necesarias para alcanzar las metas y principios de seguridad de la información, de acuerdo con las responsabilidades asignadas dentro de la organización en relación con este tema.
4.1 PRINCIPIOS
Central de Cobranzas S.A.S., ha establecido como fundamentales los siguientes principios que soportan la Política de Seguridad de la Información y Ciberseguridad: a. La Información es uno de los activos más importantes de Central de Cobranzas S.A.S. y por lo tanto debe ser utilizada acorde con los requerimientos de la Compañía y conservando criterios de calidad (Efectividad, Eficiencia y Confiabilidad). b. La confidencialidad de la Información de la Compañía, así como aquella perteneciente a terceros, debe ser mantenida, independientemente del medio o formato donde se encuentre. c. La Información de la Compañía debe ser preservada en su integridad, independientemente de su residencia temporal o permanente, o la forma en que sea transmitida. d. La Información de la Compañía debe estar disponible cuando sea requerida y por quienes tengan autorización de utilizarla; asimismo, presentarse de forma oportuna cuando por requisitos legales y reglamentarios así se requiera. e. La privacidad de la información de Central de Cobranzas S.A.S. debe ser preservada.
4.2 ORGANIZACIÓN DEL DOCUMENTO
El documento está organizado fundamentalmente en dos partes: En la primera, se describe el objetivo general de la Política de Seguridad de la Información y Ciberseguridad, sus características, los responsables y la forma en que debe ser desarrollada, aplicada y mantenida. En la segunda, se definen las Políticas individuales, para el manejo de la información y las acciones que deben ser tomadas para lograr los objetivos de la presente.
4.3 ORGANIZACIÓN Y RESPONSABILIDADES
La administración de esta Política será responsabilidad de quienes al interior de Central de Cobranzas S.A.S. desempeñen los roles que componen la Organización de Seguridad de la Información y Ciberseguridad.
4.3.1 Oficial de seguridad
El oficial de Seguridad de Central de Cobranzas S.A.S. está a cargo de la implementación del Sistema de Gestión de Seguridad de la Información y su mantenimiento en condiciones operativas dentro de su respectivo alcance. Como parte de su deber, sus misiones son:
• Hacer cumplir la implementación de las Políticas de SGSI
• Manejar las vigencias de las Políticas de SGSI de su alcance
• Garantizar que se sigan las buenas prácticas de seguridad
• Definir campañas específicas de formación y sensibilización
• Generar informes de seguridad, analizar indicadores de seguridad y presentarlos a la Dirección y al Comité de Seguridad de la Información y Ciberseguridad
• Coordinar acciones de seguridad de la Información
• Contribuir con todas las áreas de la Organización, al entendimiento y aplicación de las políticas operativas y procedimientos técnicos
• Atender, asesorar y monitorear auditorías locales de seguridad de la información
• Participar en las reuniones del comité de cambios de los sistemas de información que afecten su alcance • Asegurar el mantenimiento en condiciones operativas del proceso de gestión de incidentes de seguridad; • Asegurar el mantenimiento en condiciones operativas del Plan de Continuidad de Negocio en los temas de Seguridad de la Información.
• Recibir las auditorías externas en términos de seguridad de la información y ciberseguridad de clientes y entes externos.
4.3.2 Comité de Seguridad de la Información y Ciberseguridad
Responsable por asegurar la planeación, implementación y mantenimiento de La Política de Seguridad de la información y Ciberseguridad; al igual que de la ejecución de las acciones requeridas para mantener los niveles de seguridad establecidos.
4.3.3 Colaboradores (Usuarios de la Información)
Son los demás funcionarios que utilizan la información y son responsables de proteger los activos de información de Central de Cobranzas S.A.S. por medio del cumplimiento de la Política de Seguridad de la Información y Ciberseguridad. Así mismo, deben estar alerta para identificar y reportar cualquier incumplimiento o falta de las normas o procedimientos establecidos. Central de Cobranzas S.A.S. definirá los roles y responsabilidades requeridos para completar la definición de la Organización de Seguridad de la Información y Ciberseguridad, propendiendo siempre por la segregación de tareas como método para reducir los riesgos en el mal uso de la información.
4.4 CUMPLIMIENTO Y MANEJO DE VIOLACIONES A LA POLÍTICA
El cumplimiento de la Política de Seguridad de la Información y Ciberseguridad con sus respectivas normas es obligatorio para los Colaboradores. Cada Colaborador debe entender su rol, conocer y asumir su responsabilidad respecto a los riesgos en Seguridad de la Información y Ciberseguridad y la protección de los activos de información de Central de Cobranzas S.A.S. Cualquier incumplimiento de esta Política que comprometa la Confidencialidad, Integridad, Disponibilidad y Privacidad de la información, puede resultar en una acción disciplinaria que puede llegar hasta la terminación del contrato de trabajo y a un posible establecimiento de un proceso judicial bajo las leyes nacionales o internacionales que apliquen. La Política de Seguridad de la Información y Ciberseguridad está basada en las mejores prácticas en Seguridad de la Información y Ciberseguridad y está acorde con la legislación nacional e internacional y por ende tomará los pasos necesarios, incluyendo las medidas disciplinarias y/o legales aplicables, para proteger sus activos y el uso de ellos.
4.5 ADMINISTRACIÓN DE LA POLÍTICA Y PROCEDIMIENTOS DE CAMBIO
4.6 EXCEPCIONES A LA POLÍTICA
4.7 IMPLEMENTACIÓN Y PROGRAMACIÓN DE LA POLÍTICA
5. CONTENIDO
5.1 POLÍTICAS INDIVIDUALES
5.1.1 Seguridad de la Información en la Gestión de Proyectos
5.1.2 SEGURIDAD DE LA INFORMACIÓN Y CIBERSEGURIDAD
5.1.3 ACCESO REMOTO
5.1.4 GESTIÓN DE ACCESOS
5.1.5 CLASIFICACIÓN DE LA INFORMACIÓN
5.1.6 CONTINUIDAD DE NEGOCIO
5.1.7 SEGURIDAD FÍSICA
5.1.8 ADMINISTRACIÓN DE ALERTAS – REGISTRO DE EVENTOS (TRAZABILIDAD)
5.1.9 SEGURIDAD EN LAS REDES
5.1.10 GESTION DE DISPOSITIVOS MOVILES
5.1.11 SEGURIDAD DE INFORMACIÓN Y CIBERSEGURIDAD EN OPERACIONES DE SISTEMAS
5.1.12 POLITICA DESARROLLO Y MANTENIMIENTO DE APLICACIONES
5.1.13 GESTIÓN DE PROVEEDORES
5.1.14 GESTION DE ACTIVOS
5.1.15 GESTION DE INCIDENTES DE SEGURIDAD
5.1.16 POLITICA DE ESCRITORIO LIMPIO
5.1.17 POLÍTICA DE GESTIÓN DE MEDIOS REMOVIBLES
5.1.18 POLÍTICA SOBRE EL USO DE CONTROLES CRIPTOGRÁFICOS
5.1.19 POLÍTICA INSTALACIÓN DE SOFTWARE EN SISTEMAS OPERATIVOS
5.1.20 POLÍTICA DE GESTIÓN DE VULNERABILIDADES TÉCNICAS
5.1.21 POLITICA GESTIÓN DE CAPACIDAD
5.1.22 POLITICA SEPARACIÓN DE AMBIENTES DE DESARROLLO
5.1.23 POLITICA GESTIÓN DE CODIGO MALICIOSO
5.1.24 POLITICA COPIAS DE SEGURIDAD
5.1.25 POLITICA DE SINCRONIZACIÓN DE RELOJES
5.1.26 POLITICA TRANSFERENCIA DE INFORMACIÓN
5.1.27 POLITICA DE ENMASCARAMIENTO DE DATOS
5.1.28 POLITICA DE GESTIÓN DE BASE DE DATOS
6. DOCUMENTOS ASOCIADOS
7. CONTROL DE CAMBIOS
FECHA | VERSÓN | DESCRIPCIÓN | AUTOR | REVISIÓN | APROBACIÓN |
---|---|---|---|---|---|