Políticas de Manejos de información y seguridad

MUNDIAL DE MODAS SAS

Esta política es aplicable a todos los empleados, contratistas, consultores, eventuales y otros empleados de La Empresa MUNDIAL DE MODAS SAS
Es de carácter obligatorio para todo el personal (Fijo, Contratado), la notificación inmediata de algún problema o violación de la seguridad, del cual fuere testigo; esta notificación debe realizarse por escrito vía correo electrónico a La Gerencia, quienes están en la obligación de realizar las gestiones pertinentes al caso y de ser cierta la sospecha tomar las medidas adecuadas para solucionar el incidente.


Es responsabilidad de todo empleado que maneje datos o información a través de accesos debidamente autorizados, el cumplimiento de las políticas de control de acceso, puesto que estas descansan en el establecimiento de responsabilidades donde se incurra en alguna violación en materia de seguridad acarreando sanciones a quien las haya causado, puesto que esto ocasionaría perjuicios económicos a empresa de diversa consideración.

Es por ello que las personas relacionadas de cualquier forma con los procesos tecnológicos deben ser conscientes y asumir que la seguridad es asunto de todos y, por tanto, se debe conocer y respetar las Políticas de Seguridad.


Está fundamentado como una exigencia que el personal de la organización conozca sus responsabilidades, sanciones y medidas a tomar al momento de incurrir en alguna violación o falta, escrita en las Políticas de Seguridad firmado por el empleado o proveedor o cualquier empresa del grupo. Por esta razón se entenderá que sólo una adecuada política de seguridad tecnológica apoyará la concientización para obtener la colaboración de los empleados, haciéndoles conscientes de los riesgos que podemos correr y de la importancia del cumplimiento de las normas.


Términos y definiciones Para los propósitos de estandarizar y precisar los aspectos que intervienen en el presente documento, se establecen los siguientes términos y definiciones:

 

  • Activo: cualquier cosa que tenga valor para la organización (información)
  • Confidencialidad: la propiedad que un activo esté disponible y no sea divulgado a personas, entidades o procesos no autorizados.
  • Integridad: propiedad de salvaguardar la exactitud e integridad de los activos
  • Disponibilidad: la propiedad de un activo de estar disponible y utilizable cuando lo requiera una persona, entidad o proceso autorizados
  • Seguridad de la información: preservación de la confidencialidad, integridad y disponibilidad de la información.
  • Política: arte o traza con que se conduce un asunto o se emplean los medios para alcanzar un fin determinado. Declaración de los principios que presenta la posición de la administración para un área de control definida.
  • Evento de seguridad de la información: una ocurrencia identificada del estado de un sistema, servicio o red indicando una posible violación de la política de seguridad de la información o falla en las salvaguardas, o una situación previamente desconocida que puede ser relevante para la seguridad.
  • Incidente de seguridad de la información: un solo, o una serie, de eventos de seguridad de la información no deseados o inesperados que tienen una significativa probabilidad de comprometer los procesos y amenazan la seguridad de la información.
  • Usuario: persona que usa una cosa con cierta limitación.
  • Cuenta de usuario: una instancia que permite identificar al usuario de un sistema informático para hacer uso del mismo
  • Servidor: Unidad informática que proporciona diversos servicios a computadoras conectadas con ella a través de una red.
  • Sitio web: conjunto de páginas relacionadas y comunes a un dominio


Objetivos
Objetivo general

  • Definir prácticas mediante las cuales se preserve la seguridad de la información
  • Objetivos específicos
  • Concienciar a los usuarios sobre la necesidad e importancia de comprender los riesgos de seguridad informática
  • Adoptar y ejecutar un conjunto de lineamientos para establecer buenas prácticas de uso de la infraestructura tecnológica con el que se minimice la probabilidad de ocurrencia de incidentes informáticos (control del riesgo informático), vulneración de claves y fugas de información.



Lineamientos generales
Principios
Los principios que dirigen la definición de las políticas de seguridad, y que son transversales a la aplicación de las mismas, son la implementación de las directrices de la OCDE y la normativa Colombiana vigente para la seguridad de sistemas y redes de información.

  • Concienciación: los usuarios de los servidores deberán ser conscientes de la necesidad de contar con un sistema seguro y conocer los modos de mejorar la seguridad.
  • Responsabilidad: todos los usuarios son responsables de la seguridad.
  • Respuesta: los usuarios deben actuar de manera adecuada y conjunta para prevenir, detectar y solucionar incidentes de seguridad de la información.
  • Ética: los usuarios deben respetar los intereses legítimos de terceros. Es decir, reconocer que sus acciones o la falta de ellas ocasionan daños a terceros.
  • Gestión de la seguridad: los usuarios deben adoptar una visión integral de la administración de la seguridad informática en aras de crear un sistema coherente de seguridad.
  • Reevaluación: los usuarios deben revisar, reevaluar y realizar las modificaciones adecuadas sobre políticas, prácticas, medidas y procedimientos de seguridad.
  • Centralización: La información, usuarios y contraseñas estarán concentradas en el mínimo de usuarios posibles, cada uno con clave diferenciada, personal e intransferible.
  • El uso de las herramientas estará centralizada únicamente en el mínimo de equipos necesarios. Cada usuario con su equipo asignado y especifico.


Acceso lógico
Gestión de cuentas de usuario

  • Perfiles de usuario:  se clasificarán las cuentas de usuario, con los privilegios adecuados  y sin llegar a ser sobredimensionados, de acuerdo a la responsabilidad, actividades laborales y dependencia a la que pertenezca el usuario
  •  Administración de cuentas de usuario: es responsabilidad  únicamente del gerente general administrar los usuarios y creará, asignará, mantendrá y eliminará las cuentas de usuario, con el perfil adecuado
  •  Nombres de cuentas de usuario: la asignación de los nombres de cuentas de usuario no debe ser arbitraria, será asignada por el proveedor del servicio o en caso de estar a libre albedrio deberá identificar plenamente al usuario.

Acceso Físico
Los usuarios podrán ingresar únicamente desde los equipos asignados por la empresa para dicho fin.
Los equipos deben contar con contraseña de inicio.


Seguridad de accesos remotos o no autorizados:
La red interna de la empresa se  encuentra protegido por un dispositivo MICKROTIC que permite acceso a la red solo de direcciones IP previamente autorizadas.


Infraestructura: Las dependencias se encuentran monitoreadas por sistema de cámaras y  cableado estructurado  seguro El resguardo de los equipos de cómputo está bajo supervisión directa de la gerencia contando con un control de los equipos que permita conocer siempre la ubicación física de los mismos.
El prestador de servicio de internet es MILICOM UNE TIGO, se cuenta con un sistema GPON, con los estándares de seguridad que ofrece el proveedor.

Los correos corporativos se manejan mediante plataforma de MILICOM UNE TIGO y cuenta con el máximo nivel de seguridad que ofrece el proveedor.


Antivirus: Los equipos cuentan con licencia de antivirus AVG.

Gestión de contraseñas


 1. Asignación de contraseñas: se fijarán contraseñas a las cuentas de usuario que se asignen por primera vez a un usuario particular, quien deberá cambiarla posteriormente. Si el proveedor del servicio cuenta con proceso de asignación de contraseña se debe cumplir a cabalidad y con los parámetros que este determine.


 2. Responsabilidad de las credenciales de acceso: cada usuario es responsable de sus credenciales de acceso, es decir, del usuario y contraseña necesarios para acceder a la información e infraestructura tecnológica.


 3. Confidencialidad de las credenciales de acceso: las credenciales de acceso son personales e intransferibles, no se deben prestar a otras personas para que accedan a los sitios o servidores web.


4. Confiabilidad de las contraseñas: al momento de cambiar o asignar una contraseña, ésta debe reunir las siguientes cualidades:

a. La cantidad mínima de caracteres que debe contener la contraseña es ocho (8).

b. La contraseña debe contener al menos un carácter de cada uno de los siguientes tipos: letra minúscula, letra mayúscula, número y símbolo.

5. Cambio de contraseñas: la frecuencia con la que se deben cambiar las contraseñas, asociadas a cada cuenta de usuario, debe ser semestral máximo. Esto aplica salvo que el proveedor del servicio cuente con políticas específicas en la materia y en cuyo caso deberán cumplirse a cabalidad.


6. Contraseñas de cuentas de usuario de bases de datos: las contraseñas de las cuentas de usuario de base de datos deben ser diferentes para cada una y cumplir las políticas de confiabilidad y cambio de contraseñas.


Recomendaciones

 

  1. A continuación se hacen algunas recomendaciones sobre la gestión de contraseñas:
  2.  La contraseña no debe contener, explícitamente, información del usuario ni de la cuenta de usuario, como nombres, apellidos, fechas, funciones, entre otra.
  3.  Al momento de cambiar una contraseña, comprobar que la nueva contraseña no se parece a las contraseñas anteriormente asociadas a una misma cuenta de usuario.
  4. Las credenciales de acceso deben ser memorizadas, no escritas en papel y no guardadas en medios magnéticos.
  5. los usuarios deberán mantener sus equipos de cómputo con controles de acceso como contraseñas y protectores de pantalla, como una medida de seguridad cuando el usuario se ausente temporalmente.
  6. Se debe evitar utilizar la misma contraseña siempre en todos los sistemas o servicios. Por ejemplo, si se utilizan varias cuentas de correo, se debe recurrir a contraseñas distintas para cada una de las cuentas.
  7.  No utilizar información personal en la contraseña: nombre del usuario o de sus familiares, ni sus apellidos, ni su fecha de nacimiento. Y, por supuesto, en ninguna ocasión utilizar datos como el DNI o número de teléfono. Instituto Nacional de Tecnologías de la Comunicación Política de contraseñas y seguridad de la información Página 6 de 7 Observatorio de la Seguridad de la Información
  8. Hay que evitar utilizar secuencias básicas de teclado (por ejemplo: ”qwerty”, “asdf” o las típicas en numeración: “1234” ó “98765”) 4. No repetir los mismos caracteres en la misma contraseña. (ej.: “111222”).
  9. hay que evitar también utilizar solamente números, letras mayúsculas o minúsculas en la contraseña.
  10. No se debe utilizar como contraseña, ni contener, el nombre de usuario asociado a la contraseña.
  11. No utilizar datos relacionados con el usuario que sean fácilmente deducibles, o derivados de estos. (ej: no poner como contraseña apodos, el nombre del actor o de un personaje de ficción preferido, etc.).
  12. No escribir ni reflejar la contraseña en un papel o documento donde quede constancia de la misma. Tampoco se deben guardar en documentos de texto dentro del propio ordenador o dispositivo (ej: no guardar las contraseñas de las tarjetas de débito/crédito en el móvil o las contraseñas de los correos en documentos de texto dentro del ordenador),
  13.  No enviar nunca la contraseña por correo electrónico o en un sms. Tampoco se debe facilitar ni mencionar en una conversación o comunicación de cualquier tipo.
  14.  Si se trata de una contraseña para acceder a un sistema delicado hay que procurar limitar el número de intentos de acceso, como sucede en una tarjeta de crédito y cajeros, y que el sistema se bloquee si se excede el número de intentos fallidos permitidos. En este caso debe existir un sistema de recarga de la contraseña o “vuelta atrás”.
  15. No utilizar en ningún caso contraseñas que se ofrezcan en los ejemplos explicativos de construcción de contraseñas robustas.
  16. No escribir las contraseñas en ordenadores de los que se desconozca su nivel de seguridad y puedan estar monitorizados, o en ordenadores de uso público (bibliotecas, cibercafés, telecentros, etc.)
  17. Cambiar las contraseñas por defecto proporcionadas por desarrolladores/fabricantes

Mantenimiento de políticas Auditorías

 

  1. Auditorías internas: una vez implementada la presente política se debe llevar a cabo al menos una auditoría semestralmente la cual evaluará el cumplimiento de lo dispuesto en el presente documento.


Prohibiciones expresas:
Bajo ninguna circunstancia se usara equipos diferentes a los asignados.
Bajo ninguna circunstancia se instalaran aplicaciones o software diferente al autorizado por la empresa.
Bajo ninguna circunstancia se enviaran las claves por mecanismos no seguros ni aprobados por le empresa.
Bajo ninguna circunstancia se suministraran los datos de acceso en encuestas o correos de dudosa procedencia.

Clausulas laborales:
Todo contrato laboral de la empresa cuenta con:
Cláusula de confidencialidad de la información.
Cláusula de terminación de contrato por justa causa en caso de incumplimiento de las presentes políticas.


Para constancia se firma por


CESAR UGUSTO CANDAMIL GOMEZ
19.317.013
Gerente General


GLADYS EUGENIA GOMEZ
43.435.586
REPRESENTANTE LEGAL

domingo,lunes,martes,miércoles,jueves,viernes,sábado
enero,febrero,marzo,abril,mayo,junio,julio,agosto,septiembre,octubre,noviembre,diciembre
No hay suficientes ítems disponibles. Solo quedan [max].
Agregar a favoritosRevisar favoritosRemover favoritos
Carrito de compras

Tu carrito de compras está vacío.

SEGUIR COMPRANDO

Agregar notas a la orden Editar notas de la orden
Agregar un cupón

Agregar un cupón

Tu código de cupón se aplicará en el checkout