manual de polÍtica de seguridad de la ......características de calidad y seguridad de la...
TRANSCRIPT
![Page 1: MANUAL DE POLÍTICA DE SEGURIDAD DE LA ......características de calidad y seguridad de la información, aportando con su participación en la toma de medidas preventivas y correctivas,](https://reader035.vdocumento.com/reader035/viewer/2022071514/6136b28b0ad5d2067648304c/html5/thumbnails/1.jpg)
MANUAL DE POLÍTICA DE SEGURIDAD DE
LA INFORMACIÓN
DISTRIALFA DEL PACIFICO S.A.S.
![Page 2: MANUAL DE POLÍTICA DE SEGURIDAD DE LA ......características de calidad y seguridad de la información, aportando con su participación en la toma de medidas preventivas y correctivas,](https://reader035.vdocumento.com/reader035/viewer/2022071514/6136b28b0ad5d2067648304c/html5/thumbnails/2.jpg)
DISTRIALFA DEL PACIFICO S.A.S. Política de Seguridad Información
CONTENIDO
1. OBJETIVO 3
2. ALCANCE 3
3. POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN 3
3.1. Políticas de seguridad de la información 3
3.2. Política de clasificación de la información 4
3.3. Políticas de seguridad para los recursos humanos 5
3.4. Políticas específicas para usuarios de DISTRIALFA DEL PACIFICO S.A.S. 6
3.5. Políticas específicas para funcionarios y contratistas del Área o Proveedor de
Tecnología 7
3.6. Política de Tercerización u Outsourcing. 9
3.7. Política de retención y archivo de datos. 10
3.8. Política de disposición de información, medios y equipos 10
3.9. Política de respaldo y restauración de información 11
3.10. Política de gestión de activos de información. 12
3.11. Política de uso de los activos 12
3.12. Política de uso de Internet 14
3.13. Política de uso de mensajería instantánea y redes sociales 14
3.14. Política de uso de discos de red o carpetas virtuales. 15
3.15. Política de uso de impresoras y del servicio de Impresión 16
3.16. Política de escritorio y pantalla limpia 16
3.17. Política de uso de correo electrónico 17
3.18. Política de control de acceso 18
3.19. Política de establecimiento, uso y protección de claves de acceso. 19
3.20. Política para realización de copias en estaciones de trabajo de usuario final. 20
4. PROCEDIMIENTOS QUE APOYAN LA POLÍTICA DE SEGURIDAD 21
4.1. Procedimiento de control de documentos 21
4.2. Procedimiento de control de registros 21
4.3. Procedimiento de acción correctiva 22
4.4. Procedimiento de acción preventiva 22
4.5. Gestión de la Continuidad del Negocio 22
5. GESTIÓN DE LOS INCIDENTES DE LA SEGURIDAD DE LA INFORMACIÓN 23
5.1. Preparación 23
5.1.1. Preparación - Comunicación 24
5.2. Detección, Evaluación y Análisis 24
5.2.1. Detección 24
5.2.2. Análisis 25
5.2.3. Evaluación 25
5.2.4. Clasificación 26
5.2.5. Priorización 26
5.2.6. Tiempos de Respuesta 26
5.3. Contención Erradicación Y Recuperación 27
5.4. Actividades Post-Incidente 27
6. PROCESO DISCIPLINARIO 28
![Page 3: MANUAL DE POLÍTICA DE SEGURIDAD DE LA ......características de calidad y seguridad de la información, aportando con su participación en la toma de medidas preventivas y correctivas,](https://reader035.vdocumento.com/reader035/viewer/2022071514/6136b28b0ad5d2067648304c/html5/thumbnails/3.jpg)
DISTRIALFA DEL PACIFICO S.A.S. Política de Seguridad Información
1. OBJETIVO
Presentar en forma clara y coherente los elementos que conforman la política de seguridad que
deben conocer y cumplir todos los directivos, empleados y terceros que presten sus servicios o
tengan algún tipo de relación con DISTRIALFA DEL PACIFICO S.A.S, con el fin de proteger todos
los datos almacenados y especialmente de los datos sensibles en los cuales DISTRIALFA DEL
PACIFICO S.A.S es el responsable.
2. ALCANCE
Las Políticas de Seguridad de la Información son aplicables para todos los aspectos administrativos
y de control que deben ser cumplidos por los directivos, empleados y terceros que presten sus
servicios o tengan algún tipo de relación con DISTRIALFA DEL PACIFICO S.A.S., para el adecuado
cumplimiento de sus funciones y para conseguir un adecuado nivel de protección de las
características de calidad y seguridad de la información, aportando con su participación en la toma
de medidas preventivas y correctivas, siendo un punto clave para el logro del objetivo y la finalidad
del presente manual. Los usuarios tienen la obligación de dar cumplimiento a las presentes políticas
emitidas y aprobadas por la Dirección Administrativa.
3. POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN
3.1. Políticas de seguridad de la información
Las Políticas de Seguridad de la Información, surgen como una herramienta para sensibilizar a cada
uno de los directivos, empleados y terceros que presten sus servicios o tengan algún tipo de relación
con DISTRIALFA DEL PACIFICO S.A.S. sobre la importancia y sensibilidad de la información y
servicios críticos, de tal forma que le permitan desarrollar adecuadamente sus labores y cumplir con
su propósito misional.
Objetivo:
Definir las pautas de propósito general para asegurar una adecuada protección de la información de
DISTRIALFA DEL PACIFICO S.A.S.
Brindar apoyo y orientación a la dirección con respecto a la seguridad de la información, de acuerdo
con los requisitos del negocio y los reglamentos y las leyes pertinentes.
Aplicabilidad:
Estas son políticas que aplican a todos los usuarios de la información que cumplan con los propósitos
generales de DISTRIALFA DEL PACIFICO S.A.S.
Directrices:
• Se debe verificar que se definan, implementen, revisen y actualicen las políticas de
seguridad de la información.
![Page 4: MANUAL DE POLÍTICA DE SEGURIDAD DE LA ......características de calidad y seguridad de la información, aportando con su participación en la toma de medidas preventivas y correctivas,](https://reader035.vdocumento.com/reader035/viewer/2022071514/6136b28b0ad5d2067648304c/html5/thumbnails/4.jpg)
DISTRIALFA DEL PACIFICO S.A.S. Política de Seguridad Información
• DISTRIALFA DEL PACIFICO S.A.S. debe contar con un firewall o dispositivo de seguridad
perimetral para la conexión a Internet o cuando sea inevitable para la conexión a otras redes
en outsourcing o de terceros.
• La conexión remota a la red de área local de DISTRIALFA DEL PACIFICO S.A.S. debe
realizarse a través de una conexión VPN segura suministrada por la entidad, la cual debe
ser aprobada, registrada y auditada, a excepción de los casos que autorice el Área o
Proveedor de Tecnología y Dirección Administrativa.
• Los jefes de área o dependencia deben asegurarse que todos los procedimientos de
seguridad de la información dentro de su área de responsabilidad, se realizan correctamente
para lograr el cumplimiento de las políticas y estándares de seguridad de la información de
DISTRIALFA DEL PACIFICO S.A.S.
• DISTRIALFA DEL PACIFICO S.A.S. en caso de tener un servicio de transferencia de
archivos deberá realizarlo empleando protocolos seguros. Cuando el origen sea
DISTRIALFA DEL PACIFICO S.A.S. hacia entidades externas, DISTRIALFA DEL
PACIFICO S.A.S. establecerá los controles necesarios para preservar la seguridad de la
información; cuando el origen de la transferencia sea una entidad externa, se acordarán las
políticas y controles de seguridad de la información con esa entidad; en todo caso se deben
revisar y proponer controles en concordancia con las políticas de seguridad de la información
de DISTRIALFA DEL PACIFICO S.A.S.; los resultados de la revisión de requerimientos de
seguridad se documentarán y preservarán para futuras referencias o para demostrar el
cumplimiento con las políticas y con los controles de seguridad de DISTRIALFA DEL
PACIFICO S.A.S.
• La Dirección Administrativa en conjunto con el Área o Proveedor de Tecnología de
DISTRIALFA DEL PACIFICO S.A.S. definirá de acuerdo a la clasificación de la información,
que datos deben ser cifrados o tener un grado de seguridad mayor y dará las directrices
necesarias para la implementación de los respectivos controles (dispositivos a emplear,
mecanismos de administración de claves, políticas de uso de sistemas de cifrado de datos).
3.2. Política de clasificación de la información
Objetivo:
Asegurar que la información recibe el nivel de protección apropiado de acuerdo al tipo de clasificación
establecido por la ley y DISTRIALFA DEL PACIFICO S.A.S.
Aplicabilidad:
Estas son políticas que aplican a todos los usuarios de la información que cumplan con los propósitos
generales de DISTRIALFA DEL PACIFICO S.A.S.
Directrices:
![Page 5: MANUAL DE POLÍTICA DE SEGURIDAD DE LA ......características de calidad y seguridad de la información, aportando con su participación en la toma de medidas preventivas y correctivas,](https://reader035.vdocumento.com/reader035/viewer/2022071514/6136b28b0ad5d2067648304c/html5/thumbnails/5.jpg)
DISTRIALFA DEL PACIFICO S.A.S. Política de Seguridad Información
Se considera información toda forma de comunicación o representación de conocimiento o datos
digitales, escritos en cualquier medio, ya sea magnético, papel, visual u otro que genere
DISTRIALFA DEL PACIFICO S.A.S. como, por ejemplo:
− Formularios / comprobantes propios, de usuarios o de terceros.
− Información en los sistemas, equipos informáticos, medios magnéticos/electrónicos o
medios físicos como papel.
− Otros soportes magnéticos/electrónicos removibles, móviles o fijos.
− Información transmitida vía oral o por cualquier otro medio de comunicación.
Los usuarios responsables de la información de DISTRIALFA DEL PACIFICO S.A.S., deben
identificar los riesgos a los que está expuesta la información de sus áreas, teniendo en cuenta que
la información pueda ser copiada, divulgada, modificada o destruida física o digitalmente por
personal interno o externo.
Un activo de información es un elemento definible e identificable que almacena registros, datos o
información en cualquier tipo de medio y que es reconocida como “Valiosa” para DISTRIALFA DEL
PACIFICO S.A.S.; Independiente del tipo de activo, se deben considerar las siguientes
características.
1) El activo de información es reconocido como valioso para DISTRIALFA DEL PACIFICO
S.A.S.
2) No es fácilmente reemplazable sin incurrir en costos, habilidades especiales, tiempo,
recursos o la combinación de los anteriores.
3) Forma parte de la identidad de la organización y sin el cual DISTRIALFA DEL PACIFICO
S.A.S. puede estar en algún nivel de riesgo.
4) Los niveles de clasificación de la información que se ha establecido son: información pública
o uso interno, reservada o restringida.
3.3. Políticas de seguridad para los recursos humanos
Objetivo:
Asegurar que los funcionarios, contratistas y demás colaboradores de DISTRIALFA DEL PACIFICO
S.A.S., entiendan sus responsabilidades y las funciones de sus roles y usuarios, con el fin de reducir
el riesgo de hurto, fraude, filtraciones o uso inadecuado de la información y de las instalaciones.
Aplicabilidad:
Estas son políticas que aplican a todos los usuarios de la información que cumplan con los propósitos
generales de DISTRIALFA DEL PACIFICO S.A.S.
Directrices:
![Page 6: MANUAL DE POLÍTICA DE SEGURIDAD DE LA ......características de calidad y seguridad de la información, aportando con su participación en la toma de medidas preventivas y correctivas,](https://reader035.vdocumento.com/reader035/viewer/2022071514/6136b28b0ad5d2067648304c/html5/thumbnails/6.jpg)
DISTRIALFA DEL PACIFICO S.A.S. Política de Seguridad Información
• Se debe asegurar que los empleados, contratistas y demás colaboradores de DISTRIALFA
DEL PACIFICO S.A.S., entiendan sus responsabilidades en relación con las políticas de
seguridad de la información de DISTRIALFA DEL PACIFICO S.A.S. y actúen de manera
consistente frente a las mismas, con el fin de reducir el riesgo de hurto, fraude, filtraciones o
uso inadecuado de la información o los equipos empleados para el tratamiento de la
información.
3.4. Políticas específicas para usuarios de DISTRIALFA DEL PACIFICO S.A.S.
Objetivo:
Definir las pautas generales para asegurar una adecuada protección de la información de
DISTRIALFA DEL PACIFICO S.A.S. por parte de los usuarios de la entidad.
Aplicabilidad:
Estas son políticas que aplican a todos los usuarios de la información que cumplan con los propósitos
generales de DISTRIALFA DEL PACIFICO S.A.S.
Directrices:
• Todo el software usado en la plataforma tecnológica de DISTRIALFA DEL PACIFICO S.A.S.
debe tener su respectiva licencia y acorde con los derechos de autor. El uso de programas
sin su respectiva licencia y autorización de DISTRIALFA DEL PACIFICO S.A.S. (imágenes,
vídeos, software o música), obtenidos a partir de otras fuentes (internet, dispositivos de
almacenamiento externo), puede implicar amenazas legales y de seguridad de la
información para la entidad, por lo que ésta práctica no está autorizada.
• DISTRIALFA DEL PACIFICO S.A.S. no se hace responsable por las copias no autorizadas
de programas instalados o ejecutados en los equipos asignados a sus contratistas.
• El uso de dispositivos de almacenamiento externo (dispositivos móviles, DVD, CD, memorias
USB, agendas electrónicas, celulares, etc.) puede ocasionalmente generar riesgos para la
entidad al ser conectados a los computadores, ya que son susceptibles de transmisión de
virus informáticos o pueden ser utilizados para la extracción de información no autorizada.
Para utilizar dispositivos de almacenamiento externo se debe obtener aprobación formal e
individual de la Dirección Administrativa de DISTRIALFA DEL PACIFICO S.A.S.
• Los programas instalados en los equipos, son de propiedad de DISTRIALFA DEL PACIFICO
S.A.S., la copia no autorizada de programas o de su documentación, implica una violación
a la política general de DISTRIALFA DEL PACIFICO S.A.S. Aquellos funcionarios,
contratistas o demás colaboradores que utilicen copias no autorizadas de programas o su
respectiva documentación, quedarán sujetos a las acciones disciplinarias establecidas por
DISTRIALFA DEL PACIFICO S.A.S. o las sanciones que especifique la ley.
• Los recursos tecnológicos y de software asignados a los funcionarios de DISTRIALFA DEL
PACIFICO S.A.S. son responsabilidad de cada funcionario.
![Page 7: MANUAL DE POLÍTICA DE SEGURIDAD DE LA ......características de calidad y seguridad de la información, aportando con su participación en la toma de medidas preventivas y correctivas,](https://reader035.vdocumento.com/reader035/viewer/2022071514/6136b28b0ad5d2067648304c/html5/thumbnails/7.jpg)
DISTRIALFA DEL PACIFICO S.A.S. Política de Seguridad Información
• Los usuarios son los responsables de la información que administran en sus equipos y deben
abstenerse de almacenar en ellos información no empresarial.
• Los usuarios solo tendrán acceso a los datos y recursos autorizados por DISTRIALFA DEL
PACIFICO S.A.S., y serán responsables disciplinaria y legalmente de la divulgación no
autorizada de esta información.
• Es responsabilidad de cada usuario proteger la información que está contenida en
documentos, formatos, listados, etc., los cuales son el resultado de los procesos
informáticos; adicionalmente se deben proteger los datos de entrada de estos procesos.
• Los dispositivos electrónicos (computadores, impresoras, fotocopiadoras, escáner, etc.) solo
deben utilizarse para los fines autorizados por la entidad.
• Cualquier evento o posible incidente que afecte la seguridad de la información, debe ser
reportado inmediatamente a la Dirección Administrativa de DISTRIALFA DEL PACIFICO
S.A.S.
• Los jefes de las diferentes áreas del DISTRIALFA DEL PACIFICO S.A.S., en conjunto con
el Comité de Seguridad Informática y de Sistemas propiciarán actividades para concienciar
al personal sobre las precauciones necesarias que deben realizar los usuarios finales, para
evitar revelar información confidencial cuando se hace una llamada telefónica, que pueda
ser interceptada mediante acceso físico a la línea o al auricular o ser escuchada por
personas que se encuentren cerca. Lo anterior debe aplicar también cuando el funcionario,
contratista o colaborador se encuentre en sitios públicos como restaurantes, transporte
público, ascensores, etc.
• Los datos de los sistemas de información y aplicaciones no deben intercambiarse utilizando
archivos compartidos en los computadores, discos virtuales, CD, DVD, medios removibles;
deben usarse los mismos servicios del sistema de información, los cuales están controlados
y auditados.
3.5. Políticas específicas para funcionarios y contratistas del Área o Proveedor de
Tecnología
Objetivo:
Definir las pautas generales para asegurar una adecuada protección de la información del
DISTRIALFA DEL PACIFICO S.A.S. por parte de los funcionarios y contratistas de TI de la entidad.
Aplicabilidad:
Estas políticas aplican a los funcionarios, contratistas, colaboradores de DISTRIALFA DEL
PACIFICO S.A.S. actuales o por ingresar y a terceros que estén encargados de cualquier sistema
de información.
Directrices:
![Page 8: MANUAL DE POLÍTICA DE SEGURIDAD DE LA ......características de calidad y seguridad de la información, aportando con su participación en la toma de medidas preventivas y correctivas,](https://reader035.vdocumento.com/reader035/viewer/2022071514/6136b28b0ad5d2067648304c/html5/thumbnails/8.jpg)
DISTRIALFA DEL PACIFICO S.A.S. Política de Seguridad Información
• El personal del Área o Proveedor de Tecnología no debe dar a conocer su clave de usuario
a terceros sin previa autorización de la Dirección Administrativa.
• Los usuarios y claves de los administradores de sistemas y del personal del Área o
Proveedor de Tecnología son de uso personal e intransferible.
• El personal del Área o Proveedor de Tecnología debe emplear obligatoriamente las claves
o contraseñas con un alto nivel de complejidad y utilizar los servicios de autenticación fuerte
que posee la entidad de acuerdo al rol asignado.
• Los administradores de los sistemas de información deben seguir las políticas de cambio de
clave y utilizar procedimiento de salvaguarda o custodia de las claves o contraseñas en un
sitio seguro. A este lugar solo debe tener acceso el Área o Proveedor de Tecnología.
• Los documentos y en general la información de procedimientos, seriales, software etc. deben
mantenerse custodiados en todo momento para evitar el acceso a personas no autorizadas.
• Para el cambio o retiro de equipos de funcionarios, se deben seguir políticas de
saneamiento, es decir llevar a cabo mejores prácticas para la eliminación de la información
de acuerdo al software disponible en la entidad. Ej: Formateo seguro, destrucción total de
documentos o borrado seguro de equipos electrónicos.
• Los funcionarios encargados de realizar la instalación o distribución de software, sólo
instalarán productos con licencia y software autorizado.
• Los funcionarios del Área o Proveedor de Tecnología se obligan a no revelar a terceras
personas, la información a la que tengan acceso en el ejercicio de sus funciones. En
consecuencia, se obligan a mantenerla de manera confidencial y privada y a protegerla para
evitar su divulgación.
• Los funcionarios del Área o Proveedor de Tecnología no utilizarán la información para fines
comerciales o diferentes al ejercicio de sus funciones.
• Toda licencia de software o aplicativo informático y sus medios, se deben guardar y
relacionar de tal forma que asegure su protección y disposición en un futuro.
• Las copias licenciadas y registradas del software adquirido, deben ser únicamente instaladas
en los equipos y servidores de la entidad. Se deben hacer copias de seguridad en
concordancia con las políticas del proveedor y de la entidad.
• La copia de programas o documentación, requiere tener la aprobación escrita de
DISTRIALFA DEL PACIFICO S.A.S. y del proveedor si éste lo exige.
• Por defecto deben ser bloqueados, todos los protocolos y servicios que no se requieran en
los servidores; no se debe permitir ninguno de ellos, a menos que sea solicitado y aprobado
oficialmente por la entidad a través el Área o Proveedor de Tecnología y Dirección
Administrativa.
![Page 9: MANUAL DE POLÍTICA DE SEGURIDAD DE LA ......características de calidad y seguridad de la información, aportando con su participación en la toma de medidas preventivas y correctivas,](https://reader035.vdocumento.com/reader035/viewer/2022071514/6136b28b0ad5d2067648304c/html5/thumbnails/9.jpg)
DISTRIALFA DEL PACIFICO S.A.S. Política de Seguridad Información
• Aquellos servicios y actividades que no son esenciales para el normal funcionamiento de los
sistemas de información, deben ser aprobados oficialmente por DISTRIALFA DEL
PACIFICO S.A.S., a través de reunión con Dirección Administrativa y deben ser asegurados
mediante controles que permitan la preservación de la seguridad de la información.
• El acceso a cualquier servicio, servidor o sistema de información debe ser autenticado y
autorizado.
• Todos los servidores deben ser configurados con el mínimo de servicios necesarios y
obligatorios para desarrollar las funciones designadas.
• Las pruebas de laboratorio o piloto deben ser autorizadas por el Área o Proveedor de
Tecnología y Dirección Administrativa, para sistemas de información, de software tipo
freeware o shareware o de sistemas que necesiten conexión a internet; estas deben ser
realizadas sin conexión a la red LAN de la entidad y con una conexión separada de internet
o en su defecto con una dirección IP diferente a las direcciones públicas de producción.
3.6. Política de Tercerización u Outsourcing.
Objetivo:
Mantener la seguridad de la información y los servicios de procesamiento de información, a los
cuales tienen acceso terceras partes, entidades externas o que son procesados, comunicados o
dirigidos por estas.
Aplicabilidad:
Estas son políticas que aplican a contratistas, proveedores de outsourcing, consultores y contratistas
externos, personal temporal y en general a todos los usuarios de la información que realicen estas
tareas en DISTRIALFA DEL PACIFICO S.A.S.
Directrices:
Selección de outsourcing
• Se deben establecer criterios de selección que contemplen la historia y reputación de
terceras partes, certificaciones y recomendaciones de otros clientes, estabilidad financiera
de la compañía, seguimiento de estándares de gestión de calidad y de seguridad y otros
criterios que resulten de un análisis de riesgos de la selección y los criterios establecidos por
la entidad.
Análisis de riesgos
• Se deben identificar los riesgos para la información y los servicios de procesamiento de
información que involucren partes externas a DISTRIALFA DEL PACIFICO S.A.S. El
resultado del análisis de riesgos será la base para el establecimiento de los controles y debe
ser presentado a Dirección Administrativa antes de firmar el contrato de outsourcing.
![Page 10: MANUAL DE POLÍTICA DE SEGURIDAD DE LA ......características de calidad y seguridad de la información, aportando con su participación en la toma de medidas preventivas y correctivas,](https://reader035.vdocumento.com/reader035/viewer/2022071514/6136b28b0ad5d2067648304c/html5/thumbnails/10.jpg)
DISTRIALFA DEL PACIFICO S.A.S. Política de Seguridad Información
Acuerdos con terceras partes
• Con el fin de proteger la información de ambas partes, se debe formalizar un acuerdo de
confidencialidad. El acuerdo deberá definir claramente el tipo de información que
intercambiarán las partes, los medios, la frecuencia y los procedimientos a seguir.
• Si la información intercambiada lo amerita, se debe preparar y legalizar un acuerdo de
confidencialidad entre la entidad y el outsourcing de acuerdo al objetivo y al alcance del
contrato; el cual debe quedar firmado por ambas partes. En todos los casos deben firmarse
acuerdos de niveles de servicio que permitan cumplir con las políticas de seguridad de la
información y con los objetivos de la entidad.
3.7. Política de retención y archivo de datos.
Objetivo:
Mantener la integridad y disponibilidad de la información y de los servicios de procesamiento de
información.
Aplicabilidad:
Estas son políticas que aplican a todos los usuarios de la información que cumplan con los propósitos
generales de DISTRIALFA DEL PACIFICO S.A.S.
Directrices:
• La política de retención de archivos debe establecer cuánto tiempo se deben mantener
almacenados los archivos en DISTRIALFA DEL PACIFICO S.A.S. de acuerdo a las tablas
de retención documental.
• Las reglas y los principios generales que regulan la función archivística de DISTRIALFA
DEL PACIFICO S.A.S., se encuentran definidos por la Ley, la cual es aplicable en sus
diferentes niveles producidos en función de su misión y naturaleza.
• La ley prevé el uso de las tecnologías de la información y las comunicaciones en la
administración, conservación de archivos y en la elaboración e implantación de programas
de gestión de documentos.
3.8. Política de disposición de información, medios y equipos
Objetivo:
Contrarrestar las interrupciones en las actividades del negocio y proteger sus procesos críticos contra
los efectos de fallas importantes en los sistemas de información o contra desastres y propender por
su recuperación oportuna.
Aplicabilidad:
![Page 11: MANUAL DE POLÍTICA DE SEGURIDAD DE LA ......características de calidad y seguridad de la información, aportando con su participación en la toma de medidas preventivas y correctivas,](https://reader035.vdocumento.com/reader035/viewer/2022071514/6136b28b0ad5d2067648304c/html5/thumbnails/11.jpg)
DISTRIALFA DEL PACIFICO S.A.S. Política de Seguridad Información
Estas son políticas que aplican a todos los usuarios de la información que cumplan con los propósitos
generales de DISTRIALFA DEL PACIFICO S.A.S.
Directrices:
• Los medios y equipos donde se almacena, procesa o comunica la información, deben
mantenerse con las medidas de protección físicas y lógicas, que permitan su monitoreo y
correcto estado de funcionamiento; para ello se debe realizar los mantenimientos
preventivos y correctivos que se requieran.
3.9. Política de respaldo y restauración de información
Objetivo:
Proporcionar medios de respaldo adecuados para asegurar que toda la información esencial y el
software, se pueda recuperar después de una falla.
Aplicabilidad:
Estas son políticas que aplican a todos los usuarios de la información que cumplan con los propósitos
generales de DISTRIALFA DEL PACIFICO S.A.S.
Directrices:
• La información de cada sistema debe ser respaldada regularmente sobre un medio de
almacenamiento como cinta, cartucho, CD, DVD, etc.
• Los administradores de los servidores, los sistemas de información o los equipos de
comunicaciones, son los responsables de definir la frecuencia de respaldo y los
requerimientos de seguridad de la información (codificación) y son los responsables de
realizar los respaldos periódicos.
• Todas las copias de información crítica deben ser almacenadas en un área adecuada y con
control de acceso.
• Las copias de respaldo se guardarán únicamente con el objetivo de restaurar el sistema
luego de un virus informático, defectos en los discos de almacenamiento, problemas de los
servidores o computadores, materialización de amenazas, catástrofes y por requerimiento
legal.
• Un plan de emergencia debe ser desarrollado para todas las aplicaciones que manejen
información crítica; el dueño de la información debe asegurar que el plan es adecuado,
frecuentemente actualizado y periódicamente probado y revisado.
• Ningún tipo de información empresarial puede ser almacenada en forma exclusiva en los
discos duros de las estaciones de trabajo; por lo tanto, es obligación de los usuarios finales
realizar las copias en las carpetas destinadas para este fin.
![Page 12: MANUAL DE POLÍTICA DE SEGURIDAD DE LA ......características de calidad y seguridad de la información, aportando con su participación en la toma de medidas preventivas y correctivas,](https://reader035.vdocumento.com/reader035/viewer/2022071514/6136b28b0ad5d2067648304c/html5/thumbnails/12.jpg)
DISTRIALFA DEL PACIFICO S.A.S. Política de Seguridad Información
• Debe existir al menos una copia de la información de los discos de red, la cual deberá
permanecer fuera de las instalaciones de DISTRIALFA DEL PACIFICO S.A.S.
• La restauración de copias de respaldo en ambientes de producción debe estar debidamente
aprobada por el propietario de la información.
• Semanalmente los administradores de los servidores, los sistemas de información o los
equipos de comunicaciones de DISTRIALFA DEL PACIFICO S.A.S., verificarán la correcta
ejecución de los procesos de backup.
3.10. Política de gestión de activos de información.
Objetivo:
Establece la forma en que se logra y mantiene la protección adecuada de los activos de información.
Aplicabilidad:
Estas son políticas que aplican a la Alta Dirección, Ministros Consejeros, Consejeros Presidenciales,
Directores, Secretarios, Jefes de Oficina, Jefes de Área, funcionarios, contratistas, y en general a
todos los usuarios de la información que cumplan con los propósitos generales del DISTRIALFA
DEL PACIFICO S.A.S.
Directrices:
• Inventario de activos de información: DISTRIALFA DEL PACIFICO S.A.S. mantendrá un
inventario o registro actualizado de sus activos de información, bajo la responsabilidad de
cada propietario de información y centralizado por el Área de Tecnología y Sistemas de
Información.
• Propietarios de los activos de información: DISTRIALFA DEL PACIFICO S.A.S. es
propietario de los activos de información y los administradores de estos activos son los
funcionarios, contratistas o demás colaboradores del DISTRIALFA DEL PACIFICO S.A.S.
(denominados “usuarios”) que estén autorizados y sean responsables por la información de
los procesos a su cargo, de los sistemas de información o aplicaciones informáticas,
hardware o infraestructura de tecnología de información y comunicaciones (TIC).
3.11. Política de uso de los activos
Objetivo:
Lograr y mantener la protección adecuada de los activos de información mediante la asignación de
estos a los usuarios finales que deban administrarlos de acuerdo a sus roles y funciones.
Aplicabilidad:
Estas son políticas que aplican a todos los usuarios de la información que cumplan con los propósitos
generales de DISTRIALFA DEL PACIFICO S.A.S.
![Page 13: MANUAL DE POLÍTICA DE SEGURIDAD DE LA ......características de calidad y seguridad de la información, aportando con su participación en la toma de medidas preventivas y correctivas,](https://reader035.vdocumento.com/reader035/viewer/2022071514/6136b28b0ad5d2067648304c/html5/thumbnails/13.jpg)
DISTRIALFA DEL PACIFICO S.A.S. Política de Seguridad Información
Directrices:
• DISTRIALFA DEL PACIFICO S.A.S. mantendrá un inventario o registro actualizado de sus
activos de información, bajo la responsabilidad de cada propietario de información y
centralizado por el Área o Proveedor de Tecnología.
• Los activos de información pertenecen a DISTRIALFA DEL PACIFICO S.A.S. y el uso de
los mismos debe emplearse exclusivamente con propósitos laborales.
• Los usuarios deberán utilizar únicamente los programas y equipos autorizados por la
Dirección Administrativa
• DISTRIALFA DEL PACIFICO S.A.S. proporcionará al usuario los equipos informáticos y los
programas instalados en ellos; los datos/información creados, almacenados y recibidos,
serán propiedad de DISTRIALFA DEL PACIFICO S.A.S., los funcionarios solo podrán
realizar backup de sus archivos personales o de información pública, para copiar cualquier
tipo de información clasificada o reservada debe pedir autorización a su jefe inmediato, de
acuerdo a las normas sobre clasificación de la información de acuerdo a los niveles de
seguridad establecidos por DISTRIALFA DEL PACIFICO S.A.S. Su copia, sustracción, daño
intencional o utilización para fines distintos a las labores propias de la empresa, serán
sancionadas de acuerdo con las normas y legislación vigentes.
• Los recursos informáticos de DISTRIALFA DEL PACIFICO S.A.S. no podrán ser utilizados,
sin previa autorización para divulgar, propagar o almacenar contenido personal o comercial
de publicidad, promociones, ofertas, programas destructivos (virus), propaganda política,
material religioso o cualquier otro uso que no esté autorizado.
• Los usuarios no deben realizar intencionalmente actos que impliquen un mal uso de los
recursos tecnológicos. Estos actos incluyen, pero no se limitan a: envió de correo electrónico
masivo con fines no empresariales y práctica de juegos en línea.
• Los usuarios no podrán efectuar ninguna de las siguientes labores sin previa autorización
del Área o Proveedor de Tecnología:
o Instalar software en cualquier equipo de DISTRIALFA DEL PACIFICO S.A.S.
o Bajar o descargar software de Internet u otro servicio en línea en cualquier equipo
de DISTRIALFA DEL PACIFICO S.A.S.
o Modificar, revisar, transformar o adaptar cualquier software propiedad de
DISTRIALFA DEL PACIFICO S.A.S.
o Descompilar o realizar ingeniería inversa en cualquier software de propiedad de
DISTRIALFA DEL PACIFICO S.A.S.
o Copiar o distribuir cualquier software de propiedad de DISTRIALFA DEL PACIFICO
S.A.S.
• El usuario deberá informar al Jefe Inmediato de cualquier violación de las políticas de
seguridad o uso indebido que tenga conocimiento.
![Page 14: MANUAL DE POLÍTICA DE SEGURIDAD DE LA ......características de calidad y seguridad de la información, aportando con su participación en la toma de medidas preventivas y correctivas,](https://reader035.vdocumento.com/reader035/viewer/2022071514/6136b28b0ad5d2067648304c/html5/thumbnails/14.jpg)
DISTRIALFA DEL PACIFICO S.A.S. Política de Seguridad Información
• El usuario será responsable de todas las transacciones o acciones efectuadas con su
“cuenta de usuario”.
• Ningún usuario deberá acceder a la red o a los servicios de DISTRIALFA DEL PACIFICO
S.A.S., utilizando una cuenta de usuario o clave de otro usuario.
• Cada usuario es responsable de asegurar que el uso de redes externas, tal como Internet,
no comprometa la seguridad de los recursos informáticos
• La información de DISTRIALFA DEL PACIFICO S.A.S. debe ser respaldada de forma
frecuente, debe ser almacenada en lugares apropiados en los cuales se pueda garantizar
que la información este segura y podrá ser recuperada en caso de un desastre o de
incidentes con los equipos de procesamiento.
3.12. Política de uso de Internet
Objetivo:
Establecer unos lineamientos que garanticen la navegación segura y el uso adecuado de la red por
parte de los usuarios finales, evitando errores, pérdidas, modificaciones no autorizadas o uso
inadecuado de la información en las aplicaciones WEB.
Aplicabilidad:
Estas son políticas que aplican a todos los usuarios de la información que cumplan con los propósitos
generales de DISTRIALFA DEL PACIFICO S.A.S.
Directrices:
• La navegación en Internet debe realizarse de forma razonable y con propósitos laborales.
• No se permite la navegación a sitios con contenidos contrarios a la ley o a las políticas de
DISTRIALFA DEL PACIFICO S.A.S. o que representen peligro para la entidad como:
pornografía, terrorismo, hacktivismo, segregación racial u otras fuentes definidas por
DISTRIALFA DEL PACIFICO S.A.S.
• La descarga de archivos de Internet debe ser con propósitos laborales y de forma razonable
para no afectar el servicio de Internet, en forma específica el usuario debe cumplir los
requerimientos de la política de uso de internet descrita en este manual.
3.13. Política de uso de mensajería instantánea y redes sociales
Objetivo:
Definir las pautas generales para asegurar una adecuada protección de la información de
DISTRIALFA DEL PACIFICO S.A.S., en el uso del servicio de mensajería instantánea y de las redes
sociales, por parte de los usuarios autorizados.
![Page 15: MANUAL DE POLÍTICA DE SEGURIDAD DE LA ......características de calidad y seguridad de la información, aportando con su participación en la toma de medidas preventivas y correctivas,](https://reader035.vdocumento.com/reader035/viewer/2022071514/6136b28b0ad5d2067648304c/html5/thumbnails/15.jpg)
DISTRIALFA DEL PACIFICO S.A.S. Política de Seguridad Información
Aplicabilidad:
Estas son políticas que aplican a todos los usuarios de la información que cumplan con los propósitos
generales de DISTRIALFA DEL PACIFICO S.A.S.
Directrices:
• No se permite el envío de mensajes con contenido que atente contra la integridad de las
personas o empresarial o cualquier contenido que represente riesgo de código malicioso.
3.14. Política de uso de discos de red o carpetas virtuales.
Objetivo:
Asegurar la operación correcta y segura de la red o carpetas virtuales.
Aplicabilidad:
Estas son políticas que aplican a todos los usuarios de la información que cumplan con los propósitos
generales de DISTRIALFA DEL PACIFICO S.A.S.
Directrices:
• Para que los usuarios tengan acceso a la información ubicada en la red, se debe solicitar
autorización especificando el acceso y permisos, correspondientes al rol y funciones a
desempeñar, a la Dirección Administrativa. Los usuarios tendrán permisos de escritura,
lectura o modificación de información en la red, dependiendo de sus funciones y su rol.
• La información institucional que se trabaje en los computadores de cada usuario debe ser
trasladada periódicamente a la red por ser información corporativa.
• La información almacenada en la red debe ser de carácter corporativo.
• Está prohibido almacenar archivos con contenido que atente contra la moral y las buenas
costumbres de la entidad o las personas, como pornografía, propaganda racista, terrorista o
cualquier software ilegal o malicioso, ya sea en medios de almacenamiento de estaciones
de trabajo, computadores de escritorio o portátiles, tablets, celulares inteligentes, etc. o en
la red.
• Se prohíbe el uso de la información de la red con fines publicitarios, de imagen negativa,
lucrativa o comercial.
• La responsabilidad de generar las copias de respaldo de la información de la red, está a
cargo del Área o Proveedor de Tecnología.
• La responsabilidad de custodiar la información en copias de respaldo controladas, fuera de
las instalaciones de DISTRIALFA DEL PACIFICO S.A.S., estará a cargo del Área o
Proveedor de Tecnología.
![Page 16: MANUAL DE POLÍTICA DE SEGURIDAD DE LA ......características de calidad y seguridad de la información, aportando con su participación en la toma de medidas preventivas y correctivas,](https://reader035.vdocumento.com/reader035/viewer/2022071514/6136b28b0ad5d2067648304c/html5/thumbnails/16.jpg)
DISTRIALFA DEL PACIFICO S.A.S. Política de Seguridad Información
3.15. Política de uso de impresoras y del servicio de Impresión
Objetivo:
Asegurar la operación correcta y segura de las impresoras y del servicio de impresión.
Aplicabilidad:
Estas son políticas que aplican a todos los usuarios de la información que cumplan con los propósitos
generales de DISTRIALFA DEL PACIFICO S.A.S.
Directrices:
• Los documentos que se impriman en las impresoras de DISTRIALFA DEL PACIFICO S.A.S.
deben ser de carácter empresarial.
• La papelería reciclada que se utilice para imprimir, no podrá contener datos personales
(fotocopia de cédulas, datos de contacto, etc.).
• Es responsabilidad del usuario conocer el adecuado manejo de los equipos de impresión
(escáner y fotocopiado) para que no se afecte su correcto funcionamiento.
3.16. Política de escritorio y pantalla limpia
Objetivo:
Definir las pautas generales para reducir el riesgo de acceso no autorizado, pérdida y daño de la
información durante y fuera del horario de trabajo normal de los usuarios.
Aplicabilidad:
Estas son políticas que aplican a todos los usuarios de la información que cumplan con los propósitos
generales de DISTRIALFA DEL PACIFICO S.A.S.
Directrices:
• El personal de DISTRIALFA DEL PACIFICO S.A.S. debe bloquear la pantalla de su
computador con el protector de pantalla, en los momentos que no esté utilizando el
equipo o cuando por cualquier motivo deba dejar su puesto de trabajo.
• El personal de DISTRIALFA DEL PACIFICO S.A.S. debe salirse de programas que
contengan información de la empresa como correos electrónicos y programas contables,
bancos, plataformas de proveedores, plataformas para presentación de impuestos, y
seguridad social.
![Page 17: MANUAL DE POLÍTICA DE SEGURIDAD DE LA ......características de calidad y seguridad de la información, aportando con su participación en la toma de medidas preventivas y correctivas,](https://reader035.vdocumento.com/reader035/viewer/2022071514/6136b28b0ad5d2067648304c/html5/thumbnails/17.jpg)
DISTRIALFA DEL PACIFICO S.A.S. Política de Seguridad Información
• Al imprimir documentos de carácter confidencial, estos deben ser retirados de la
impresora en un tiempo prudente y no se deben dejar en el escritorio sin custodia.
• No se deben utilizar fotocopiadoras, escáneres, equipos de fax, cámaras digitales y en
general equipos tecnológicos que se encuentren desatendidos.
3.17. Política de uso de correo electrónico
Objetivo:
Definir las pautas generales para asegurar una adecuada protección de la información de
DISTRIALFA DEL PACIFICO S.A.S., en el uso del servicio de correo electrónico por parte de los
usuarios autorizados.
Aplicabilidad:
Estas son políticas que aplican a todos los usuarios de la información que cumplan con los propósitos
generales de DISTRIALFA DEL PACIFICO S.A.S.
Directrices:
• Los usuarios del correo electrónico corporativo son responsables de evitar prácticas o
usos del correo que puedan comprometer la seguridad de la información.
• Los servicios de correo electrónico corporativo se emplean para servir a una finalidad
operativa y administrativa en relación con la entidad. Todos los correos electrónicos
procesados por los sistemas, redes y demás infraestructura TIC del DISTRIALFA DEL
PACIFICO S.A.S. se consideran bajo el control de la entidad.
• Este servicio debe utilizarse exclusivamente para las tareas propias de la función
desarrollada en DISTRIALFA DEL PACIFICO S.A.S. y no debe utilizarse para ningún
otro fin.
• No está autorizado, el envío de correos con contenido que atenten contra la integridad y
dignidad de las personas y el buen nombre de la entidad.
• Condiciones de uso del servicio: Cuando un funcionario, contratista o colaborador al que
le haya sido autorizado el uso de una cuenta de correo electrónico, se retire de
DISTRIALFA DEL PACIFICO S.A.S, se cambiará la clave de acceso.
• Los correos electrónicos deben contener la siguiente nota respecto al manejo del
contenido: El contenido de este mensaje y sus anexos son propiedad del DISTRIALFA
DEL PACIFICO S.A.S., es únicamente para el uso del destinatario ya que puede
contener información pública reservada o información pública clasificada (privada o
semiprivada), las cuales no son de carácter público. Si usted no es el destinatario, se
informa que cualquier uso, difusión, distribución o copiado de esta comunicación está
prohibido. Cualquier revisión, retransmisión, diseminación o uso del mismo, así como
![Page 18: MANUAL DE POLÍTICA DE SEGURIDAD DE LA ......características de calidad y seguridad de la información, aportando con su participación en la toma de medidas preventivas y correctivas,](https://reader035.vdocumento.com/reader035/viewer/2022071514/6136b28b0ad5d2067648304c/html5/thumbnails/18.jpg)
DISTRIALFA DEL PACIFICO S.A.S. Política de Seguridad Información
cualquier acción que se tome respecto a la información contenida, por personas o
entidades diferentes al propósito original de la misma, es ilegal. Si usted es el
destinatario, le solicitamos dar un manejo adecuado a la información; de presentarse
cualquier suceso anómalo, por favor informarlo al correo [email protected]
• Las cuentas de correo electrónico son propiedad de DISTRIALFA DEL PACIFICO
S.A.S., las cuales son asignadas a personas que tengan algún tipo de vinculación laboral
con la entidad, ya sea como personal de planta, contratistas, consultores o personal
temporal, quienes deben utilizar este servicio única y exclusivamente para las tareas
propias de la función desarrollada en la Entidad y no debe utilizarse para ningún otro fin.
• Cada usuario es responsable del contenido del mensaje enviado y de cualquier otra
información adjunta al mismo, de acuerdo a la clasificación de la información establecida
por DISTRIALFA DEL PACIFICO S.A.S.
• Todos los mensajes pueden ser sujetos a análisis y conservación permanente por parte
de la Entidad.
• Todo usuario es responsable por la destrucción de los mensajes cuyo origen sea
desconocido y por lo tanto asumirá la responsabilidad y las consecuencias que puede
ocasionar la ejecución de cualquier archivo adjunto. En estos casos no se debe contestar
dichos mensajes, ni abrir los archivos adjuntos y se debe reenviar el correo a la cuenta
[email protected] con la frase “correo sospechoso” en el asunto.
• El único servicio de correo electrónico autorizado en la entidad es el asignado por el Área
de Tecnología y Sistemas de Información.
3.18. Política de control de acceso
Objetivo:
Definir las pautas generales para asegurar un acceso controlado, físico o lógico, a la información de
la plataforma informática de DISTRIALFA DEL PACIFICO S.A.S., así como el uso de medios de
computación móvil.
Aplicabilidad:
Estas son políticas que aplican a todos los usuarios de la información que cumplan con los propósitos
generales de DISTRIALFA DEL PACIFICO S.A.S.
Directrices:
• DISTRIALFA DEL PACIFICO S.A.S. proporcionará a los funcionarios y contratistas
(personas naturales) todos los recursos tecnológicos necesarios para que puedan
desempeñar las funciones para las cuales fueron contratados, por tal motivo no se
permite conectar a la red o instalar dispositivos fijos o móviles, tales como: computadores
portátiles, tablets, enrutadores, agendas electrónicas, celulares inteligentes, access
point, que no sean autorizados por el Área de Tecnología y Sistemas de Información.
![Page 19: MANUAL DE POLÍTICA DE SEGURIDAD DE LA ......características de calidad y seguridad de la información, aportando con su participación en la toma de medidas preventivas y correctivas,](https://reader035.vdocumento.com/reader035/viewer/2022071514/6136b28b0ad5d2067648304c/html5/thumbnails/19.jpg)
DISTRIALFA DEL PACIFICO S.A.S. Política de Seguridad Información
• DISTRIALFA DEL PACIFICO S.A.S. suministrará a los usuarios las claves respectivas
para el acceso a los servicios de red y sistemas de información a los que hayan sido
autorizados, las claves son de uso personal e intransferible. Es responsabilidad del
usuario el manejo que se les dé a las claves asignadas.
• Todo trabajo que utilice los servidores de DISTRIALFA DEL PACIFICO S.A.S. con
información de la entidad, sus funcionarios o contratistas, se debe realizar en sus
instalaciones, no se podrá realizar ninguna actividad de tipo remoto sin la debida
aprobación de DISTRIALFA DEL PACIFICO S.A.S.
• La conexión remota a la red de área local de DISTRIALFA DEL PACIFICO S.A.S. debe
ser hecha a través de una conexión VPN segura suministrada por la entidad, la cual
debe ser aprobada, registrada y auditada.
3.19. Política de establecimiento, uso y protección de claves de acceso.
Objetivo:
Controlar el acceso a la información.
Aplicabilidad:
Estas son políticas que aplican a todos los usuarios de la información que cumplan con los propósitos
generales de DISTRIALFA DEL PACIFICO S.A.S.
Directrices:
• Se debe concienciar y controlar que los usuarios sigan buenas prácticas de seguridad
en la selección, uso y protección de claves o contraseñas, las cuales constituyen un
medio de validación de la identidad de un usuario y consecuentemente un medio para
establecer derechos de acceso a las instalaciones, equipos o servicios informáticos.
• Los usuarios son responsables del uso de las claves o contraseñas de acceso que se le
asignen para la utilización de los equipos o servicios informáticos de la Entidad.
• Los usuarios deben terminar las sesiones activas cuando finalice, o asegurarlas con el
mecanismo de bloqueo cuando no estén en uso.
• Terminar las sesiones activas cuando finalice, o asegurarlas con el mecanismo de
bloqueo cuando no estén en uso.
• Las claves o contraseñas deben:
− Poseer algún grado de complejidad y no deben ser palabras comunes que se
puedan encontrar en diccionarios, ni tener información personal, por ejemplo: fechas
de cumpleaños, nombre de los hijos, placas de automóvil, etc.
![Page 20: MANUAL DE POLÍTICA DE SEGURIDAD DE LA ......características de calidad y seguridad de la información, aportando con su participación en la toma de medidas preventivas y correctivas,](https://reader035.vdocumento.com/reader035/viewer/2022071514/6136b28b0ad5d2067648304c/html5/thumbnails/20.jpg)
DISTRIALFA DEL PACIFICO S.A.S. Política de Seguridad Información
− Tener mínimo diez caracteres alfanuméricos.
− Cambiarse obligatoriamente la primera vez que el usuario ingrese al sistema.
− Cambiarse obligatoriamente cada 30 días en caso de bancos y máximo 60 días
correos electrónicos y otras plataformas.
− Cambiar la contraseña si ha estado bajo riesgo o se ha detectado anomalía en la
cuenta de usuario.
− No se deben usar caracteres idénticos consecutivos, ni que sean todos numéricos,
ni todos alfabéticos.
− No debe ser visible en la pantalla, al momento de ser ingresada o mostrarse o
compartirse.
− No ser reveladas a ninguna persona.
− No regístralas en papel, archivos digitales o dispositivos manuales, a menos que se
puedan almacenar de forma segura y el método de almacenamiento este aprobado.
3.20. Política para realización de copias en estaciones de trabajo de usuario final.
Objetivo:
Asegurar la operación de realización de copias de información en estaciones de trabajo de usuario
final.
Aplicabilidad:
Estas son políticas que aplican a la Alta Dirección, Altos Consejeros, Consejeros Presidenciales,
Directores, Secretarios, Jefes de Oficina, Jefes de Área, funcionarios, contratistas, y en general a
todos los usuarios de la información que cumplan con los propósitos generales del DISTRIALFA
DEL PACIFICO S.A.S.
Directrices:
• En el evento de retiro de un funcionario o traslado de dependencia, previa notificación
del Área de Talento Humano, el Área de Tecnología y Sistemas de Información generará
una copia de la información contenida en el equipo asignado al perfil del usuario
(C:\usuarios\nombre-usuario), a una unidad de almacenamiento.
• Una vez esta información se encuentre ubicada en la unidad de almacenamiento, se le
realiza copia de seguridad mensual en cinta magnética, la cual es enviada al custodio
de medios magnéticos, para conservar esta información en el tiempo.
![Page 21: MANUAL DE POLÍTICA DE SEGURIDAD DE LA ......características de calidad y seguridad de la información, aportando con su participación en la toma de medidas preventivas y correctivas,](https://reader035.vdocumento.com/reader035/viewer/2022071514/6136b28b0ad5d2067648304c/html5/thumbnails/21.jpg)
DISTRIALFA DEL PACIFICO S.A.S. Política de Seguridad Información
• Si el jefe de la dependencia de la cual se retira el usuario requiere copia de esta
información, debe realizar solicitud al Área de Tecnología y Sistemas de Información,
quien escalará la solicitud ante el Comité de Seguridad Informática quien evaluará la
pertinencia de la copia.
• Se debe seguir un procedimiento de borrado seguro para equipos final, a fin garantizar
la copia de la información para la entidad y la eliminación de la información almacenada
en el disco local.
• Ningún usuario final debe realizar copias de la información contenida en la estación de
trabajo a medios extraíbles de información, excepto aquellos que se encuentren
habilitados los privilegios de escritura por puertos USB y el cliente DLP instalado el cual
mantendrá un registro de los archivos copiados.
• En caso de presentarse alguna falla en los equipos de cómputo, se debe reportar a la
mesa de ayuda del Área de Tecnología y Sistemas de Información, en caso de requerirse
copia de la información, esta se realizará de manera temporal durante las diferentes
labores de reparación o mantenimiento.
4. PROCEDIMIENTOS QUE APOYAN LA POLÍTICA DE SEGURIDAD
Los procedimientos son uno de los elementos dentro de la documentación del Manual de la Política
de Seguridad para las Tecnologías de la Información y las comunicaciones. Un procedimiento
describe de forma más detallada lo que se hace en las actividades de un proceso, en él se especifica
cómo se deben desarrollar las actividades, cuáles son los recursos, el método y el objetivo que se
pretende lograr o el valor agregado que genera y caracteriza el proceso.
También es recomendable el uso de instructivos para detallar aún más las tareas y acciones
puntuales que se deben desarrollar dentro de un procedimiento, como son los instructivos de trabajo
y de operación; los primeros para la ejecución de la tarea por la persona y los segundos para la
manipulación o la operación de un equipo.
4.1. Procedimiento de control de documentos
Garantiza que la organización cuente con los documentos estrictamente necesarios a partir de su
perfil de actuación en cada momento y maneja la dinámica del mejoramiento, mostrando la realidad
que atraviesa la entidad en cada momento, porque incorpora la eficacia de las diferentes acciones,
a través de la revisión documental y del cumplimiento de los requisitos idénticos en los diferentes
modelos de gestión, sobre el control de documentos. Así mismo, busca garantizar que los
documentos en uso son confiables y también se pretende mantenerlos actualizados, una vez se
evidencia la eficacia de las acciones correctivas, preventivas y de mejora que hacen que los procesos
se ajusten y evolucionen y que los documentos existentes en el momento de la evaluación y
comprobación del cambio que se implementó como solución a un problema, riesgo o a una
oportunidad se conserven.
4.2. Procedimiento de control de registros
![Page 22: MANUAL DE POLÍTICA DE SEGURIDAD DE LA ......características de calidad y seguridad de la información, aportando con su participación en la toma de medidas preventivas y correctivas,](https://reader035.vdocumento.com/reader035/viewer/2022071514/6136b28b0ad5d2067648304c/html5/thumbnails/22.jpg)
DISTRIALFA DEL PACIFICO S.A.S. Política de Seguridad Información
Está definido para evidenciar las acciones realizadas y los resultados obtenidos en la ejecución de
las actividades, con el fin de analizar los datos, y lo que es más importante, para la toma de
decisiones, de tal forma que registro que no aporta valor o no lleva a una decisión de mejora o de
acción, no se debe tener en el sistema, ya que lo único que haría es desgastar a la organización y
generar residuos sólidos como papel mal utilizado.
4.3. Procedimiento de acción correctiva
El objetivo de este procedimiento es definir los lineamientos para eliminar la causa de no
conformidades asociadas con los requisitos de la política de seguridad del DISTRIALFA DEL
PACIFICO S.A.S., así como: definir los lineamientos para identificar, registrar, controlar, desarrollar,
implantar y dar seguimiento a las acciones correctivas necesarias para evitar que se repita la no
conformidad.
4.4. Procedimiento de acción preventiva
El objetivo de este procedimiento es definir los lineamientos para identificar, registrar, controlar,
desarrollar, implantar y dar seguimiento a las acciones preventivas generadas por la detección de
una no conformidad real o potencial en el sistema de gestión de seguridad de la información y
eliminar sus causas.
4.5. Gestión de la Continuidad del Negocio
Es el conjunto de procedimientos y estrategias definidos para contrarrestar las interrupciones en las
actividades misionales de la entidad, para proteger sus procesos críticos contra fallas mayores en
los sistemas de información o contra desastres y asegurar que las operaciones se recuperen
oportuna y ordenadamente, generando un impacto mínimo o nulo ante una contingencia.
Prevenir interrupciones en las actividades de la plataforma informática del DISTRIALFA DEL
PACIFICO S.A.S. que van en detrimento de los procesos críticos de TI afectados por situaciones no
previstas o desastres.
Se debe desarrollar e implantar un Plan de Continuidad para asegurar que los procesos misionales
de TI del DISTRIALFA DEL PACIFICO S.A.S. podrán ser restaurados dentro de escalas de tiempo
razonables.
El DISTRIALFA DEL PACIFICO S.A.S. deberá tener definido un plan de acción que permita
mantener la continuidad del negocio teniendo en cuenta los siguientes aspectos:
• Identificación y asignación de prioridades a los procesos críticos de TI del DISTRIALFA
DEL PACIFICO S.A.S. de acuerdo con su impacto en el cumplimiento de la misión de la
entidad.
• Documentación de la estrategia de continuidad del negocio.
• Documentación del plan de recuperación del negocio de acuerdo con la estrategia
definida anteriormente.
• Plan de pruebas de la estrategia de continuidad del negocio.
![Page 23: MANUAL DE POLÍTICA DE SEGURIDAD DE LA ......características de calidad y seguridad de la información, aportando con su participación en la toma de medidas preventivas y correctivas,](https://reader035.vdocumento.com/reader035/viewer/2022071514/6136b28b0ad5d2067648304c/html5/thumbnails/23.jpg)
DISTRIALFA DEL PACIFICO S.A.S. Política de Seguridad Información
La continuidad del negocio deberá ser gestionada por el área de sistemas del DISTRIALFA DEL
PACIFICO S.A.S.
La alta dirección del DISTRIALFA DEL PACIFICO S.A.S. será la responsable de velar por la
implantación de las medidas relativas a ésta. Igualmente, es responsable de desarrollar las tareas
necesarias para el mantenimiento de estas medidas.
La alta dirección del Departamento, se encargará de la definición y actualización de las normas,
políticas, procedimientos y estándares relacionados con la continuidad del negocio, igualmente
velará por la implantación y cumplimiento de las mismas.
5. GESTIÓN DE LOS INCIDENTES DE LA SEGURIDAD DE LA INFORMACIÓN
El objetivo principal del Modelo de Gestión de Incidentes de seguridad de la información es tener un
enfoque estructurado y bien planificado que permita manejar adecuadamente los incidentes de
seguridad de la información.
5.1. Preparación
Esta etapa dentro del ciclo de vida de respuesta a incidentes suele hacerse pensando no sólo en
crear un modelo que permita a DISTRIALFA DEL PACIFICO S.A.S. estar en capacidad de
responder ante estos, sino también en la forma como pueden ser detectados, evaluados y gestionar
las vulnerabilidades para prevenirse, asegurando que los sistemas, redes, y aplicaciones son lo
suficientemente seguros.
En esta etapa el grupo de gestión de incidentes o quien se designe para esta labor debe velar por la
disposición de los recursos de atención de incidentes y las herramientas necesarias para cubrir las
demás etapas del ciclo de vida del mismo, creando (si no existen) y validando (si existen) los
procedimientos necesarios y programas de capacitación.
La etapa de preparación debe ser apoyada por la dirección de tecnologías de la información o quien
haga sus veces, incluyendo las mejores prácticas para el aseguramiento de redes, sistemas, y
aplicaciones, por ejemplo:
• Gestión de Parches de Seguridad: La empresa debe contar con un programa de gestión
de vulnerabilidades (Sistemas Operativos, Bases de Datos, Aplicaciones, Otro Software
Instalado), este programa ayudará al Representante Legal en la identificación, adquisición,
prueba e instalación de los parches.
• Aseguramiento de plataforma: Se debe configurar la menor cantidad de servicios (principio
de menor privilegio) con el fin de proveer únicamente aquellos servicios necesarios tanto a
usuarios como a otros equipos. Se deben revisar configuraciones por default (usuarios,
contraseñas y archivos compartidos). Cada recurso que pueda ser accedido por externos e
incluso por usuarios internos debe desplegar alguna advertencia.
• Prevención de código malicioso: Todos los equipos de la infraestructura (servidores como
equipos de usuario) deben tener activo su antivirus, antimalware con las firmas de
actualización al día.
• Sensibilización y entrenamiento de usuarios: Usuarios de DISTRIALFA DEL PACIFICO
S.A.S. deben ser sensibilizados de acuerdo a las políticas y procedimientos existentes
![Page 24: MANUAL DE POLÍTICA DE SEGURIDAD DE LA ......características de calidad y seguridad de la información, aportando con su participación en la toma de medidas preventivas y correctivas,](https://reader035.vdocumento.com/reader035/viewer/2022071514/6136b28b0ad5d2067648304c/html5/thumbnails/24.jpg)
DISTRIALFA DEL PACIFICO S.A.S. Política de Seguridad Información
relacionados con el uso apropiado de redes, sistemas y aplicaciones en concordancia con
los estándares de seguridad de la empresa. El Representante Legal debe establecer las
necesidades de capacitación de las personas encargadas de la protección de los datos.
Las actividades descritas anteriormente buscan prevenir la ocurrencia de incidentes de seguridad de
la información, y adicionalmente es necesario realizar una evaluación periódica.
5.1.1. Preparación - Comunicación
En este numeral se pretende enunciar los elementos necesarios para la comunicación del equipo de
atención de incidentes dentro de la empresa.
Es responsabilidad de los funcionarios de DISTRIALFA DEL PACIFICO S.A.S. reportar cualquier
evento o incidente relacionado con la información y/o los recursos tecnológicos con la mayor
prontitud posible.
En caso de conocer la pérdida o divulgación no autorizada de información clasificada como uso
interno, reservada o restringida, los funcionarios deben notificarlo al Representante Legal para que
se registre y se le dé el trámite necesario.
Información de Escalamiento: Se debe contar con información de contacto para el escalamiento
de incidentes según la estructura de la empresa.
• Contacto con áreas interesadas o grupos de interés (CCP - Policía Nacional, Fiscalía, entre
otras).
• En el evento de que algún componente de la infraestructura tecnológica (sitios Web,
aplicaciones, servicios en línea, sistemas de información, entre otros) de la empresa, haya
sido vulnerado o comprometido, reportar en primera instancia al ColCERT (Grupo de
Respuesta a Emergencias Cibernéticas de Colombia) por medio de correo electrónico a:
[email protected] o al Teléfono: (+571) 2959897.
• Cuando se tenga evidencia de un incidente informático, DISTRIALFA DEL PACIFICO S.A.S.
se pondrá en contacto con el CAI Virtual de la Policía Nacional www.ccp.gov.co, Centro
Cibernético Policial de la Policía Nacional al teléfono 4266900 ext. 104092, para recibir
asesoría del caso en particular y posterior judicialización.
Política de Comunicación: DISTRIALFA DEL PACIFICO S.A.S. debe tener una política de
comunicación de los incidentes de seguridad para definir que incidente puede ser comunicado a los
medios y cual no.
5.2. Detección, Evaluación y Análisis
5.2.1. Detección
Los indicadores son los eventos que señalan que posiblemente un incidente ha ocurrido
generalmente algunos de estos elementos son:
• Alertas en sistemas de seguridad
• Caídas de servidores
![Page 25: MANUAL DE POLÍTICA DE SEGURIDAD DE LA ......características de calidad y seguridad de la información, aportando con su participación en la toma de medidas preventivas y correctivas,](https://reader035.vdocumento.com/reader035/viewer/2022071514/6136b28b0ad5d2067648304c/html5/thumbnails/25.jpg)
DISTRIALFA DEL PACIFICO S.A.S. Política de Seguridad Información
• Reportes de usuarios
• Software antivirus dando informes
• Otros funcionamientos fuera de lo normal del sistema
La identificación y gestión de elementos que alertan sobre un incidente proveen información que
puede alertar sobre la futura ocurrencia de este y preparar procedimientos para minimizar su
impacto. Algunos de estos elementos pueden ser:
• Logs de servidores
• Logs de aplicaciones
• Logs de herramientas de seguridad
• Cualquier otra herramienta que permita la identificación de un incidente de seguridad
En DISTRIALFA DEL PACIFICO S.A.S. debe existir un listado de fuentes generadoras de eventos
que permitan la identificación de un incidente de seguridad de la información.
5.2.2. Análisis
Las actividades de análisis del incidente involucran otra serie de componentes, es recomendable
tener en cuenta los siguientes:
• Tener conocimientos de las características normales a nivel de red y de los sistemas.
• El Representante Legal debe tener conocimiento total sobre los comportamientos de la
Infraestructura que está administrando.
• Toda información que permita realizar análisis al incidente, debe estar centralizada (Logs de
servidores, redes, aplicaciones).
• Es importante efectuar correlación de eventos, ya que por medio de este proceso se pueden
descubrir patrones de comportamiento anormal y poder identificar de manera más fácil la
causa del incidente.
• Para un correcto análisis de un incidente debe existir una única fuente de tiempo
(Sincronización de Relojes) ya que esto facilita la correlación de eventos y el análisis de
información.
• Se debe mantener y usar una base de conocimiento con información relacionada sobre
nuevas vulnerabilidades, información de los servicios habilitados, y experiencias con
incidentes anteriores.
• Crear matrices de diagnóstico e información.
5.2.3. Evaluación
Para realizar la evaluación de un incidente de seguridad se debe tener en cuenta los niveles de
impacto con base en los insumos entregados por el análisis de riesgos y la clasificación de activos
de información de la empresa.
La severidad del incidente puede ser:
• Alto Impacto: El incidente de seguridad afecta a activos de información considerados de
impacto catastrófico y mayor que influyen directamente a los objetivos misionales del
![Page 26: MANUAL DE POLÍTICA DE SEGURIDAD DE LA ......características de calidad y seguridad de la información, aportando con su participación en la toma de medidas preventivas y correctivas,](https://reader035.vdocumento.com/reader035/viewer/2022071514/6136b28b0ad5d2067648304c/html5/thumbnails/26.jpg)
DISTRIALFA DEL PACIFICO S.A.S. Política de Seguridad Información
Instituto. Se incluyen en esta categoría aquellos incidentes que afecten la reputación y el
buen nombre o involucren aspectos legales. Estos incidentes deben tener respuesta
inmediata.
• Medio Impacto: El incidente de seguridad afecta a activos de información considerados de
impacto moderado que influyen directamente a los objetivos de un proceso determinado.
• Bajo Impacto: El incidente de seguridad afecta a activos de información considerados de
impacto menor e insignificante, que no influyen en ningún objetivo. Estos incidentes deben
ser monitoreados con el fin de evitar un cambio en el impacto.
5.2.4. Clasificación
Algunos ejemplos de clasificación de incidentes son:
• Acceso no autorizado: Es un incidente que involucra a una persona, sistema o código
malicioso que obtiene acceso lógico o físico sin autorización adecuada del dueño a un
sistema, aplicación, información o un activo de información.
• Modificación de recursos no autorizado: Un incidente que involucra a una persona, sistema
o código malicioso que afecta la integridad de la información o de un sistema de
procesamiento.
• Uso inapropiado de recursos: Un incidente que involucra a una persona que viola alguna
política de uso de recursos.
• No disponibilidad de los recursos: Un incidente que involucra a una persona, sistema o
código malicioso que impide el uso autorizado de un activo de información.
• Multicomponente: Un incidente que involucra más de una categoría anteriormente
mencionada.
• Otros: Un incidente que no puede clasificarse en alguna de las categorías anteriores. Este
tipo de incidentes debe monitorearse con el fin de identificar la necesidad de crear nuevas
categorías.
5.2.5. Priorización
Con el fin de permitir una atención adecuada a los incidentes (análisis, contención y erradicación) se
debe determinar el nivel de prioridad del mismo, y de esta manera atenderlos adecuadamente según
la necesidad.
A manera de ejemplo se definen una serie de variables que podrán ser utilizadas para realizar la
evaluación de los incidentes:
• Prioridad
• Criticidad de impacto
• Impacto Actual
• Impacto Futuro
5.2.6. Tiempos de Respuesta
![Page 27: MANUAL DE POLÍTICA DE SEGURIDAD DE LA ......características de calidad y seguridad de la información, aportando con su participación en la toma de medidas preventivas y correctivas,](https://reader035.vdocumento.com/reader035/viewer/2022071514/6136b28b0ad5d2067648304c/html5/thumbnails/27.jpg)
DISTRIALFA DEL PACIFICO S.A.S. Política de Seguridad Información
Para el caso de la atención de incidentes de seguridad DISTRIALFA DEL PACIFICO S.A.S.
establecerá tiempos máximos de atención de los mismos, con el fin de atender adecuadamente los
incidentes de acuerdo a su criticidad e impacto.
5.3. Contención Erradicación Y Recuperación
Es importante para DISTRIALFA DEL PACIFICO S.A.S. implementar una estrategia que permita
tomar decisiones oportunamente para evitar la propagación del incidente y así disminuir los daños a
los recursos de TI y la pérdida de la confidencialidad, integridad y disponibilidad de la información.
Esta fase se descompone claramente de los siguientes componentes:
Contención: esta actividad busca la detección del incidente con el fin de que no se propague y
pueda generar más daños a la información o a la arquitectura de TI, para facilitar esta tarea la
empresa debe poseer una estrategia de contención previamente definida para poder tomar
decisiones por ejemplo: apagar sistema, desconectar red, deshabilitar servicios.
La estrategia de contención varía según el tipo de incidente y los criterios deben estar bien
documentados para facilitar la rápida y eficaz toma de decisiones. Algunos criterios que pueden ser
tomados como base son:
• Criterios Forenses
• Daño potencial y hurto de activos
• Necesidades para la preservación de evidencia
• Disponibilidad del servicio
• Tiempo y recursos para implementar la estrategia
• Efectividad de la estrategia para contener el incidente (parcial o total)
• Duración de la solución
Erradicación y Recuperación: Después de que el incidente ha sido contenido se debe realizar una
erradicación y eliminación de cualquier rastro dejado por el incidente como código malicioso y
posteriormente se procede a la recuperación a través de la restauración de los sistemas y/o servicios
afectados para lo cual el Representante Legal debe restablecer la funcionalidad de los sistemas
afectados, y realizar un endurecimiento del sistema que permita prevenir incidentes similares en el
futuro.
5.4. Actividades Post-Incidente
Las actividades Post-Incidente básicamente se componen del reporte apropiado del Incidente, de la
generación de lecciones aprendidas, del establecimiento de medidas tecnológicas, disciplinarias y
penales de ser necesarias, así como el registro en la base de conocimiento para alimentar los
indicadores.
Una de las partes más importantes de un plan de respuesta a incidentes de TI es la de aprender y
mejorar. Mantener un adecuado registro de lecciones aprendidas permite conocer:
![Page 28: MANUAL DE POLÍTICA DE SEGURIDAD DE LA ......características de calidad y seguridad de la información, aportando con su participación en la toma de medidas preventivas y correctivas,](https://reader035.vdocumento.com/reader035/viewer/2022071514/6136b28b0ad5d2067648304c/html5/thumbnails/28.jpg)
DISTRIALFA DEL PACIFICO S.A.S. Política de Seguridad Información
• Exactamente lo que sucedió, en qué momento y cómo el personal gestionó el incidente.
• Los procedimientos documentados.
• Si se tomaron las medidas o acciones que podrían haber impedido la recuperación.
• Cuál sería la gestión de personal y que debería hacerse la próxima vez que ocurra un
incidente similar.
• Acciones correctivas pueden prevenir incidentes similares en el futuro.
• Cuales herramientas o recursos adicionales son necesarios para detectar, analizar y mitigar
los incidentes en el futuro.
El proceso de lecciones aprendidas puede poner de manifiesto la falta de un paso o una inexactitud
en un procedimiento y son un punto de partida para el cambio, y es precisamente debido a la
naturaleza cambiante de la tecnología de la información y los cambios en el personal, que el equipo
de respuesta a incidentes debe revisar toda la documentación y los procedimientos para el manejo
de incidentes en determinados intervalos.
6. PROCESO DISCIPLINARIO
Actuaciones que conllevan a la violación de la seguridad de la información establecidas por
DISTRIALFA DEL PACIFICO S.A.S.:
• No firmar los acuerdos de confidencialidad o de entrega de información o de activos de
información.
• No reportar los incidentes de seguridad o las violaciones a las políticas de seguridad, cuando
se tenga conocimiento de ello.
• No guardar de forma segura la información cuando se ausenta de su puesto de trabajo o al
terminar la jornada laboral, de documentos impresos que contengan información de uso
interno, reservada o restringida.
• No guardar la información digital, producto del procesamiento de la información
perteneciente a DISTRIALFA DEL PACIFICO S.A.S.
• Dejar las gavetas abiertas o con las llaves puestas en los escritorios.
• Dejar los computadores encendidos en horas no laborables.
• Hacer uso de la red de datos de la empresa, para obtener, mantener o difundir en los equipos
de sistemas, material pornográfico u ofensivo, cadenas de correos y correos masivos no
autorizados.
• Enviar información de uso interno, reservada o restringida por correo, copia impresa o
electrónica sin la debida autorización y sin la utilización de los protocolos establecidos para
la divulgación.
• No cumplir con las actividades designadas para la protección de los activos de información
de DISTRIALFA DEL PACIFICO S.A.S.
• Destruir o desechar de forma incorrecta la documentación empresarial.
• Descuidar documentación con información pública reservada o clasificada de la empresa,
sin las medidas apropiadas de seguridad que garanticen su protección.
• Registrar información pública reservada o clasificada, en pos-it, apuntes, agendas, libretas,
etc. Sin el debido cuidado.
• El que distribuya, envíe, introduzca software malicioso u otros programas de computación
de efectos dañinos en la plataforma tecnológica de DISTRIALFA DEL PACIFICO S.A.S.
![Page 29: MANUAL DE POLÍTICA DE SEGURIDAD DE LA ......características de calidad y seguridad de la información, aportando con su participación en la toma de medidas preventivas y correctivas,](https://reader035.vdocumento.com/reader035/viewer/2022071514/6136b28b0ad5d2067648304c/html5/thumbnails/29.jpg)
DISTRIALFA DEL PACIFICO S.A.S. Política de Seguridad Información
• El que viole datos personales de las bases de datos de DISTRIALFA DEL PACIFICO S.A.S.
• No mantener la confidencialidad de las contraseñas de acceso a la red de datos, los recursos
tecnológicos o los sistemas de información de DISTRIALFA DEL PACIFICO S.A.S. o
permitir que otras personas accedan con el usuario y clave del titular a éstos.
• Llevar a cabo actividades fraudulentas o ilegales, o intentar acceso no autorizado a cualquier
computador de DISTRIALFA DEL PACIFICO S.A.S.
• Acceder, almacenar o distribuir pornografía infantil.