1. Justificación
Los activos de información y los equipos informáticos son recursos importantes y vitales de la compañía y por tal razón tenemos el deber de preservarlos, utilizarlos bien y mantenerlos actualizados. Esto significa que se deben tomar acciones apropiadas para asegurar que la información y los sistemas informáticos estén debidamente protegidos contra muchas clases de amenazas y riesgos como fraude, espionaje industrial, violación de la privacidad, intrusos, interrupción de servicio, accidentes y desastres naturales. Debe hacerse hincapié en que la seguridad informática es una actividad vital para la Compañía. La finalidad de las políticas de seguridad que se describen a continuación es proporcionar directrices sobre cómo mantener más seguros tanto los computadores de la compañía, como la información guardada en ellos. La violación de dichas políticas puede acarrear medidas disciplinarias.
2. Responsabilidades
Los siguientes son los responsables, en distintos grados, de la seguridad en la Compañía: La Directora Administrativa y Financiera, en apoyo con la Coordinación Administrativa son responsables de implantar y velar por el cumplimento de las políticas, normas, pautas, y procedimientos de seguridad a lo largo de toda la organización. También son responsables de evaluar, adquirir e implantar productos de seguridad informática, y realizar las demás actividades necesarias para garantizar un ambiente informático seguro y para esto presupuesta el hardware y software necesario y lo implementa de acuerdo con las capacidades y recursos que el negocio le proporcione. Además, debe ocuparse de proporcionar apoyo técnico y administrativo en todos los asuntos relacionados con la seguridad.
La Coordinación Administrativa es responsable de dirigir las investigaciones sobre incidentes y problemas relacionados con la seguridad, así como recomendar las medidas pertinentes, de igual manera coordina con el Proveedor de Tecnología para establecer los controles de acceso apropiados para cada usuario, supervisar el uso de los recursos informáticos y de llevar a cabo las tareas de seguridad relativas a los sistemas que administran, como, por ejemplo, aplicar los parches correctivos proporcionados por los fabricantes y proveedores de software.
Los usuarios son responsables de cumplir con todas las políticas de la compañía relativas a la seguridad informática y en particular:
• Conocer y aplicar las políticas y procedimientos apropiados en relación con el manejo de la información y de los sistemas informáticos.
• No divulgar información confidencial de la compañía a personas no autorizadas.
• No permitir y no facilitar el uso de los sistemas informáticos de la compañía a personas no autorizadas.
• No utilizar los recursos informáticos (hardware, software o datos) y de telecomunicaciones para otras actividades que no estén directamente relacionadas con el trabajo en la compañía (ejemplo: uso personal).
• Proteger meticulosamente su contraseña y evitar que sea vista y/o conocida por otros en forma inadvertida.
• Reportar inmediatamente cualquier evento que pueda comprometer la seguridad de la compañía y sus recursos informáticos, como por ejemplo contagio de virus, intrusos, modificación o pérdida de datos y otras actividades poco usuales.
Políticas de uso de computadores
Ingreso y Retiro Equipos de Cómputo: Para retirar el computador de las instalaciones, se debe solicitar autorización por email a la Coordinación Administrativa. Esta autorización será validada con los vigilantes en portería.
«Para Ingresar equipos de cómputo personales temporalmente a las oficinas, se debe reportar los datos personales y del equipo en portería, ya que estos mismos datos serán cotejados para el retiro del equipo.
Instalación o desinstalación de Software o programas: En los equipos de cómputo de la compañía NO está permitido la instalación ni desinstalación de software diferente al que realiza el personal de soporte técnico de OXIDER S.A.S. y que es necesario para el cumplimiento de las labores asignadas según el cargo y funciones. La instalación de software no autorizado o la desinstalación de los asignados por parte del empleado, están considerado falta grave por constituir un acto violatorio de las políticas de seguridad de tecnología de la Compañía y por tanto constituye causa justa de terminación del contrato laboral.
Copia de respaldo de datos de usuario: Cada empleado es responsable de hacer copia de sus datos de trabajo según su propio criterio de frecuencia y criticidad. Si requiere medios físicos como DISCOS, DVD o USB debe solicitarlos en el pedido de soporte técnico le explica cómo hacer copia de los datos y realiza la apertura de puertos USB que deben estar bloqueados. Soporte técnico se encarga de la copia de datos corporativos, como la nómina, fórmulas, ERP, datos de ventas, clientes, y demás información que esté en las bases de datos centrales y servidores.
Préstamo del equipo de Cómputo: El equipo de cómputo asignado es personal e intransferible, a menos que se haya asignado para compartir. Esto significa que el uso que se haga de dicho equipo y de la información que en él hay o se accede a través de él, es responsabilidad de quien lo tiene asignado.
Cantidad y tipo de información almacenada en equipos de Cómputo: El computador es una herramienta de trabajo que le fue asignada para su uso y cuidado, al igual que el correo electrónico, el teléfono, el celular corporativo y las demás que sea entregadas para el desarrollo de su labor. Como el computador es una herramienta de trabajo, debe tratarse como tal y no destinarse para otros fines. Por tal motivo, en el computador NO debe haber almacenada información personal que pueda llenar el disco duro y entrar a competir con el espacio para almacenar los archivos de trabajo u ocasionar lentitud en su funcionamiento En el computador asignado y los servidores de la compañía, no se puede guardar archivos de fotos, videos ni archivos o música personales.
El personal de soporte técnico monitoreará periódicamente la cantidad de espacio ocupado por sus archivos y en virtud de las actividades de mantenimiento preventivo o correctivo a los que los equipos de cómputo se vean sujetos para garantizar su normal funcionamiento, se procederá a revisar la existencia de archivos personales que no deban estar almacenados en los equipos.
Si durante un mantenimiento preventivo o correctivo a un equipo de cómputo, se llega a detectar la existencia de archivos no permitidos como fotos o videos de pornografía o archivos de música personales, se procederá de la siguiente manera: En la primera ocurrencia, se borrarán inmediatamente dichos archivos si se puede hacer, se enviará un correo de notificación al usuario de la violación de la política de la compañía y el usuario contará con 1 día hábil máximo para ajustarse a ella. Si el usuario es reincidente en el cumplimiento de la norma por segunda vez en un futuro, o si pasado el día hábil máximo para ajustarse a ella no ha realizado los ajustes necesarios, se enviará notificación vía correo electrónico con copia a su jefe inmediato. A la tercera ocurrencia, se considerará la conducta como falta grave por constituir un acto violatorio de las políticas de seguridad de tecnología de la Compañía y por tanto constituye causa justa de terminación del contrato laboral.
Uso adecuado del Internet y redes sociales: El empleado debe hacer un uso racional y para el desarrollo de sus funciones como empleado de la compañía, del acceso a internet y redes sociales que se le ha permitido (como Instagram, Facebook, Twitter, entre otros).
Pérdida o robo de un equipo de cómputo corporativo: «El empleado debe colocar el denuncio ante las autoridades respectivas en el siguiente día hábil como máximo y traer copia del denuncio a la Coordinación Administrativa quien realizará el reclamo a la compañía de seguros. Si la pérdida o robo se debió a descuido o mal trato del empleado, el empleado deberá reponer el equipo en iguales condiciones a las que se le entregaron o en su defecto pagar el valor de reposición de dicho equipo o traer un equipo equivalente en configuración.
En caso de que el equipo tenga un tiempo de uso en el cual el equipo comprado se haya depreciado completamente, el valor a cobrar será $ 0 o en su defecto, se cobrará el valor pendiente por depreciar.
Daño parcial o total de un equipo de cómputo corporativo: «El empleado deberá enviar correo a su jefe inmediato el siguiente día hábil al evento como máximo y con copia a la Coordinación Administrativa, quien se encargará de coordinar la evaluación del daño y su reposición si es necesario. Si el daño del equipo está amparado en pólizas de seguros, el empleado no deberá pagar ningún dinero, pero si el daño sufrido no está amparado y fue ocasionado por descuido o mal trato del empleado, el empleado asumirá los costos de revisión y reparación o cambio del equipo y/o partes, en que se incurra.
En caso de que el equipo que sufrió el daño total tenga un tiempo de uso en el cual el equipo comprado se haya depreciado completamente, el valor a cobrar será proporcional al tiempo de uso del equipo.
Políticas de Seguridad para sistemas de comunicación.
Los sistemas de comunicación de la Compañía sólo deben usarse para actividades de trabajo. El uso personal en forma ocasional es permisible siempre y cuando consuma una cantidad mínima de tiempo y recursos, y además no interfiera con la productividad del empleado ni con las actividades de la compañía.
Se prohíbe el uso de los sistemas de comunicación para actividades comerciales privadas o para propósitos de entretenimiento y diversión personales que vayan en contra de las actividades de la compañía.
La navegación en Internet para fines personales no debe hacerse a expensas del tiempo y los recursos de la compañía y en tal sentido deben usarse las horas no laborables.
Los empleados y funcionarios de la compañía no deben interceptar las comunicaciones o divulgar su contenido. Tampoco deben ayudar a otros para que lo hagan. La compañía se compromete a respetar los derechos de sus empleados, incluyendo su privacidad.
Es política de la compañía no monitorear regularmente las comunicaciones. Sin embargo, el uso y el contenido de las comunicaciones pueden ocasionalmente ser supervisado en caso de ser necesario para actividades de seguridad o auditoría. Puede ocurrir que el personal de T.I. vea el contenido de un mensaje de un empleado individual durante el curso de resolución de un problema.
Políticas de seguridad para redes.
La solicitud de una nueva cuenta o el cambio de privilegios deben ser hecha a través de un requerimiento a la Gerencia y debe ser debidamente autorizada.
No debe concederse una cuenta a personas que no sean empleados de la compañía a menos que estén debidamente autorizados. Esto incluye la NO asignación de correo electrónico corporativo.
No se podrán usar memorias USB o medios de almacenamiento externo, a menos que se autoricen expresamente mediante una solicitud a la Coordinación Administrativa autorizada por la Gerencia.
Los accesos a las carpetas compartidas en servidores están determinados solo para las personas que pertenezcan a la dirección o área de dicha carpeta. Es decir que, por naturaleza, por ejemplo, una persona de Financiera no debe tener acceso a las carpetas de Talento humano y viceversa. Si alguien necesita acceso a una carpeta de otra dirección o área, debe ser solicitado a través de un correo a la Coordinación administrativa con la autorización del dueño de la carpeta. La Coordinación administrativa debe generar un ticket al proveedor de soporte tenido para realizar los cambios respectivos.
Cuando un empleado es despedido o renuncia a la compañía, debe cambiarse la contraseña inmediatamente y desactivar los demás sistemas de información que sea necesario (ejemplo: ERP).
Los usuarios deberán cambiar su contraseña periódicamente obligatoriamente y este tendrá una vida mínima definida.
La contraseña vence cada 90 días y debe ser alfanumérica de 8 caracteres mínimo, conteniendo letras, números y 1 carácter especial (ejemplo: * , . + -). Tampoco puede contener el nombre del usuario ni ser igual a una de las 3 anteriores.
Para el acceso remoto a los equipos de la compañía se accede a través de una VPN (red privada virtual) configurada en los equipos de los usuarios y cuyos permisos deben ser solicitados de ser necesarios a la Gerencia.
Los usuarios no deben intentar violar los sistemas de seguridad y de control de acceso. Acciones de esta naturaleza se consideran violaciones graves de las políticas de la compañía y provocan acciones disciplinarias.
Políticas de asignación de usuarios y nombre de máquinas del dominio.
Las cuentas de correo se crean con el nombre del cargo y se le asigna una contraseña que deberá ser cambiada de manera inmediata por el usuario.
Las solicitudes deben ser dirigidas a la Coordinación Administrativa para que allí se revisen en conjunto con la Gerencia.
Procedimientos de seguridad física
Los equipos informáticos son recursos importantes y vitales de la compañía y por tal razón tenemos el deber de preservarlos y garantizar un uso adecuado que evite pérdidas de información o patrimoniales.
Las siguientes son las áreas en las que se definen los niveles básicos de operación y administración:
Ingreso de personas y equipos a las instalaciones.
El ingreso de personas debe tener un punto único de control, que es la portería. No se permitirá el ingreso de personas o equipos de cómputo a las oficinas sin registro en la portería, donde se toma el dato de la cédula, nombre y serial del equipo a ingresar.
Se debe anunciar el visitante a quien lo va a recibir. De no encontrarse la persona, el ingreso no será autorizado o en su defecto ser recibido por otra persona autorizada.
Retiro de equipos de las instalaciones.
El retiro de equipos de cómputo de las instalaciones de OXIDER S.A.S. será autorizado por la Coordinación Administrativa.
Rack de servidores
El ingreso al Rack está restringido y solo tiene acceso la Coordinación Administrativa y la Secretaria.
El acceso no autorizado al Rack está considerado como falta grave por constituir un acto violatorio de las políticas de seguridad de tecnología de la Compañía y por tanto constituye causa justa de terminación del contrato laboral.
El Rack cuenta con circuitos eléctricos independientes, UPS, 1 cámara de seguridad, 1 sensor de humo.
Sistemas eléctricos para equipos de cómputo críticos
Todo equipo de cómputo debe estar conectado a un sistema regulado e independiente y si es de alta importancia conectado a una UPS.
Uso de equipos de cómputo de la compañía
Todo equipo de cómputo debe ser usado solo por la persona a quien fue asignada. Ninguna otra persona puede usar un equipo de cómputo sin permiso de aquella a quien le fue asignada.
Estrategias de Backup de la Información
El backup en la nube lo realiza el proveedor de manera diaria y este es el responsable de informar capacidades y necesidades de liberación de espacio
Se cuenta con disco externo como contingencia, con el cual se realizan copias de seguridad todos los jueves en las noches.
Cordialmente,
________________________________
ADRIANA MARULANDA VELÁSQUEZ
R.L. OXIGENADOS Y DERIVADOS S.A.S.
