Establecer las medidas organizacionales, técnicas, físicas y legales, necesarias para proteger los
activos de información contra acceso no autorizado, divulgación, duplicación, interrupción de
sistemas, modificación, destrucción, pérdida, robo, o mal uso, que se pueda producir en forma
intencional o accidental.
ALCANCE
Nota:
Esta Política es aplicable a todos los colaboradores, consultores, contratistas, terceras partes, que
usen activos de información que sean propiedad de la organización
LÍNEA BASE DE LA POLÍTICA
RESPONSABILIDAD
Nota:
Es responsabilidad de la Dirección de Gestión de Tecnología hacer uso de la Política de Seguridad
de la Información, como parte de sus herramientas de gobierno y de gestión, de definir los
estándares, procedimientos y lineamientos que garanticen su cumplimiento.
CUMPLIMIENTO
Nota:
El cumplimiento de la Política de Seguridad de la Información es obligatorio. Si los colaboradores,
consultores, contratistas, terceras partes violan estas políticas, la organización se reserva el derecho
de tomar las medidas correspondientes.
EXCEPCIONES
Nota:
Las excepciones a cualquier cumplimiento de Política de Seguridad de la Información deben ser
aprobadas por la Dirección de Gestión de Tecnología, la cual puede requerir autorización de la
Gerencia de Arquitectura Organizacional, la Vicepresidencia de Desarrollo Corporativo y Nuevos
Negocios, del Comité de Asuntos Corporativos o de la Presidencia de la compañía. Todas las
excepciones a la Política deben ser formalmente documentadas, registradas y revisadas.
ADMINISTRACIÓN DE LAS POLÍTICAS
Nota:
Las modificaciones o adiciones de la Política de Seguridad de la Información serán propuestas por
la Presidencia de la compañía, la Vicepresidencia de Desarrollo Corporativo y Nuevos Negocios, por
medio de la Gerencia de Arquitectura Organizacional y serán aprobadas por el Comité de Asuntos
Corporativos de Celsia. Estas políticas deben ser revisadas como mínimo una vez al año o cuando
sea necesario.
DESCRIPCIÓN DE LAS POLÍTICAS Y ESTÁNDARES
Generalidades
Nota:
La información es un activo que la compañía considera esencial para las actividades de la empresa
y debe ser protegida de acuerdo con los principios de confidencialidad, integridad y disponibilidad.
A través de esta Política se difunden los objetivos de seguridad de la información de la compañía,
que se consiguen a través de la aplicación de controles de seguridad, para gestionar un nivel de
riesgo aceptable. Este documento tiene el objetivo de garantizar la continuidad de los servicios,
minimizar la probabilidad de explotar las amenazas, y asegurar el eficiente cumplimiento de los
objetivos de negocio y de las obligaciones legales conforme al ordenamiento jurídico vigente y los
requisitos de seguridad destinados a impedir infracciones y violaciones de seguridad en Celsia.
ORGANIZACIÓN DE
SEGURIDAD
ORGANIZACIONDE LA ORGANIZACION DE LA SEGURIDAD
ESTANDARES DE LA POLITICA
RESPONSABILIDADES PARA LA SEGURIDAD D ELA INFORMACION
REVISION INDEPENDIENTE DE AL SEGURIDAD DE LA INFORMACION
CONTACTO CON AUTORIDADES Y GRUPOS DE INTERES
SEGURIDAD EN LOS ACCESOS POR TERCEROS
USO ACEPTABLE DE LOS ACTIVOS Y
RECURSOS
Política de Uso Aceptable de los Activos y Recursos de información
Uso de los sistemas y equipos de cómputo
Correo electrónico.
Navegación en Internet
Uso de herramientas que comprometen la seguridad.
Recursos compartidos.
Sitios Web para compartir documentos.
Computación en nube.
Uso equipos portátiles y dispositivos móviles.
Acceso de equipos distintos a los asignados.
Estándares para el uso aceptable de los activos de información
TRATAMIENTO Y GESTIÓN DEL RIESGO EN SEGURIDAD DE LA
INFORMACIÓN
Política del Tratamiento y Gestión del Riesgo en Seguridad de la Información
Estándares de la Política del Tratamiento y Gestión del Riesgo en Seguridad de la Información
Nota:
Evitar el riesgo.
Disminuir la probabilidad de ocurrencia.
Disminuir el impacto.
Transferir los riesgos.
Retener los riesgos.
SEGURIDAD DEL PERSONAL
Política de Responsabilidad del Personal
Estándares de la Política de Seguridad del Personal
Seguridad previa a la contratación del personal.
Seguridad durante el contrato.
Finalización o cambio de puesto.
SEGURIDAD FÍSICA Y DEL
ENTORNO
Política de Seguridad Física y del Entorno
Estándares de la Política de Seguridad Física y del Entorno
Controles de acceso físico.
Escritorio limpio.
Seguridad de los equipos.
Retiro de equipos.
GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA
INFORMACIÓN
Política de Gestión de incidentes de Seguridad de la Información
Estándares de la Política de Gestión de Incidentes de Seguridad de la Información
Notificación de eventos y debilidades de seguridad de la información.
Gestión de incidentes de seguridad de la información.
GESTIÓN DE SEGURIDAD PARA TELECOMUNICACIONES E INFRAESTRUCTURA DE
TIC
Política de Gestión de Telecomunicaciones e Infraestructura de TIC
Estándares de la Política de la Política de Gestión de Telecomunicaciones e Infraestructura de TIC
Procedimientos y responsabilidades de operación
Gestión del Cambio.
Segregación de funciones.
Separación de Ambientes
Planificación y Aceptación.
Protección contra el código malicioso
Copias de seguridad.
GESTIÓN DE SEGURIDAD PARA LA ADQUISICIÓN, DESARROLLO Y
MANTENIMIENTO DE SISTEMAS
Política de Adquisición, Desarrollo y Mantenimiento de sistemas
Estándares de la Política de Adquisición, Desarrollo y Mantenimiento de Sistemas
Requerimientos de seguridad de los sistemas.
Seguridad de las aplicaciones del sistema.
Seguridad de los sistemas de archivos.
Seguridad de los procesos de desarrollo y soporte.
CUMPLIMIENTO Y NORMATIVIDAD
LEGAL
Política para el Cumplimiento y Normatividad Legal
Estándares de la Política para el Cumplimiento y Normatividad Legal
Cumplimiento legal.
Propiedad intelectual.
Protección de datos.
Cumplimiento de políticas y normas de seguridad
Cumplimiento técnico
CONTROL DE ACCESO A LA
INFORMACIÓN
Política de Control de Acceso a la Información
Estándares de Política de Control de Acceso a la Información
Gestión de acceso a usuarios.
Registro de usuarios.
Control de acceso a la red.
Control de acceso a las aplicaciones.
CLASIFICACION Y CONTROL DE ACTIVOS DE LA INFORMACION
POLITICA PARA LA CLASIFICACION Y CONTROL DE ACTIVOS DE LA INFORMACION
ESTANDARES DE LA POLITICA DE CLASIFICACION Y
CONTROL DE ACTIVOS DE LA INFORMACION
RESPONSABILIDAD SOBRE LOS ACTIVOS
METODOLOGIA DE CLASIFICACION DE ACTIVOS
DOCUMENTACIÓN RELACIONADA
Nota:
Código de Buen Gobierno Corporativo.
Sistema de Gestión de la Calidad y Política Ambiental de la organización.
Política de Gestión Humana.
Política de Gestión de Riesgos
Política de tecnología de información y comunicación
DEFINICIONES
Nota:
Activo: cualquier cosa que tenga valor para la empresa.
Amenaza: causa potencial de un incidente no deseado, que puede ocasionar daño a un
sistema o a la empresa.
Confidencialidad: propiedad que determina que la información no esté disponible ni sea
revelada a individuos, entidades o procesos no autorizados.
Comité de Seguridad de la Información: el Comité de Seguridad de la Información debe
establecer los criterios de dirección y control, que permitan implantar los mecanismos más
apropiados de protección de la información de Celsia, aplicando los principios de
confidencialidad, integridad y disponibilidad de la misma y de los recursos informáticos o de
otra índole que la soportan, acorde con la planeación estratégica de la empresa.
Desastre o contingencia: interrupción de la capacidad de acceso a información y
procesamiento de la misma a través de computadoras u otros medios necesarios para la
operación normal de un negocio.
Disponibilidad: propiedad de que la información sea accesible y utilizable por solicitud de
una entidad autorizada.
Estándares de seguridad: son productos, procedimientos y métricas aprobadas, que
definen en detalle como las políticas de seguridad serán implementadas para un ambiente
en particular, teniendo en cuenta las fortalezas y debilidades de las características de
seguridad disponibles. Deben estar reflejadas en un documento que describe la implantación
de una guía para un componente específico de hardware, software o infraestructura.
Política Seguridad de la información
Celsia S.A. E.S.P.
http://www.celsia.com
Página 22
Evaluación del riesgo: proceso de comparar el riesgo estimado contra criterios de riesgo
dados, para determinar la importancia del riesgo.
Evento de seguridad de la información: presencia identificada de una condición de un
sistema, servicio o red, que indica una posible violación de la política de seguridad de la
información o la falla de las salvaguardas, o una situación desconocida previamente que
puede ser pertinente a la seguridad.
Integridad: propiedad de salvaguardar la exactitud y el estado completo de los activos.
Impacto: la consecuencia que al interior de la empresa se produce al materializarse una
amenaza.
Organización de seguridad: es una función que busca definir y establecer un balance entre
las responsabilidades y los requerimientos de los roles asociados con la administración de
seguridad de la información.
Políticas: toda intención y directriz expresada formalmente por la dirección.
Procesos: se define un proceso de negocio como cada conjunto de actividades que reciben
una o más entradas para crear un producto de valor para el cliente o para la propia empresa
(concepto de cliente interno de calidad). Típicamente una actividad empresarial cuenta con
múltiples procesos de negocio que sirven para el desarrollo de la actividad en sí misma.
Procedimientos: los procedimientos son los pasos operacionales que los funcionarios deben
realizar para alcanzar ciertos objetivos.
Riesgo: combinación de la probabilidad de un evento y sus consecuencias.
Seguridad de la información: preservación de la confidencialidad, integridad y
disponibilidad de la información, además puede involucrar otras propiedades tales como:
autenticidad, trazabilidad (accountability), no repudio y fiabilidad.
TI: se refiere a tecnologías de la información
TIC: se refiere a tecnologías de la información y comunicaciones
Vulnerabilidad: debilidad de un activo o grupo de activos, que puede ser aprovechada por
una o más amenazas.
CONTROL DE CAMBIOS
Nota:
VERSION 1 FECHA 12/05/2014 JUSTIFICACIÓN DE LA VERSIÓN
Creación del documento