POLTICA DE SEGURIDAD INFORMTICA

Tabla de contenido
1. Objetivo
................................................................................................................................................ 2
2. Alcance
......................................................................................................................................................... 2
2.1. Los Empleados
...............................................................................................................................................................
.............................. 2
2.2. Los Sistemas de Informacin
...............................................................................................................................................................
.............................. 2
2.3. Cumplimiento
...............................................................................................................................................................
.............................. 2
2.4. Excepciones
...............................................................................................................................................................
.............................. 3
2.5. Aplicabilidad
...............................................................................................................................................................
.............................. 3
2.6. Publicacin
...............................................................................................................................................................
.............................. 3
3. Definicin de Trminos
...............................................................................................................................................................
............. 3
4. Polticas de Seguridad Organizacional
...............................................................................................................................................................
............. 8
4.1. Roles y Responsabilidades
...............................................................................................................................................................
.............................. 8
4.1.1. Administracin de la seguridad
...............................................................................................................................................................
.............................. 8
4.1.2. De los Empleados
...............................................................................................................................................................
.............................. 8
4.1.3. De la Gerencia General
...............................................................................................................................................................
.............................. 9
4.1.4. Jefe del Departamento
...............................................................................................................................................................
.............................. 9
4.1.5. Auditorias
...............................................................................................................................................................
.............................. 10
4.1.6. Evaluacin de Riesgos
...............................................................................................................................................................
.............................. 10
5. Politicas Informaticas
...............................................................................................................................................................

.............................. 10
5.1. Administradores Activos
...............................................................................................................................................................
.............................. 12
5.1.2. Los usuarios
...............................................................................................................................................................
. 14
5.1.3 Control de Terceros
...............................................................................................................................................................
. 14
5.1.4. Requerimiento de informacin de terceros
...............................................................................................................................................................
. 15
6. Seguridad de la informacin
...............................................................................................................................................................
. 15
7. Seguridad Fisica
...............................................................................................................................................................
. 16
7.1. Seguriadad en los centros de computo
.....................................................................................................................................
........ 16

1. Objetivo
El objetivo de la poltica de seguridad informtica es definir la normatividad que a
nivel organizacional regir para velar por el cumplimiento de las provisiones
contenidas en el documento Declaracin de intencin para la seguridad de la
informacin en INGISA CONSTRUCTORES. La poltica de seguridad proporciona
la base para la implementacin y ejecucin efectiva de controles que velen por la
seguridad de la informacin reduciendo el nivel de riesgo a la cual sta puede
estar expuesta, clarifica las responsabilidades de los usuarios y las medidas que
debe adoptar INGISA CONSTRUCTORES para proteger la informacin. La
poltica de seguridad es una herramienta de apoyo a la organizacin como
evidencia en litigios, negociaciones contractuales, ofertas de adquisicin de bienes
y servicios y negocios en general.

Sobre la asignacin y el uso de los recursos

1. El coordinador en conjunto con el rea de sistemas asigna a cada
empleado un equipo de cmputo al cual debe ingresar con un usuario y
contrasea.
2. El personal debe hacer uso adecuado de los recursos informticos (PC,
impresoras, programas, correo, etc.) y el personal de sistemas debe
monitorear que se cumpla esta poltica. Adems, todo el personal deber
informar a sistemas sobre cualquier falla, desperfecto o mal uso del equipo
de cmputo, para su adecuado seguimiento.
3. Todo el personal tendrn una cuenta de correo electrnico interno, que les
permite recibir y enviar informacin indispensable para sus actividades.
Estas cuentas de correo, slo son para uso interno, no tienen la capacidad
de enviar correos pblicos.
4. El uso de internet queda reservado solo para las actividades de trabajo que
as lo requieran. En general se restringe el acceso mediante el uso de
contrasea en el administrador de contenidos de Internet Explorer.
5. El ingreso de equipos de cmputo que son propiedad de empleados
directos o terceros, debe ser previamente autorizado por el supervisor de
contrato bajo el esquema de personal tercerizado o por el jefe del empleado
para el caso de directos, Gerencia de IT, Seguridad Informtica.
Estos equipos deben cumplir con los siguientes lineamientos:
Acceso Fsico: debe ser autorizado y aprobado por la Gerencia IT de
accesos fsicos, donde deber detallar las caractersticas del mismo y las
sedes a las cuales va a ingresar.
Control de Hardware: El dueo del equipo (empleado directo o tercerizado)
ser el responsable del mismo aun estando dentro de las instalaciones de
INGISA CONSTRUCTORES. En caso de prdida parcial o total, dao, robo
o cualquier otro evento, este ser responsabilidad del empleado y no ser
imputado a INGISA CONSTRUCTORES.
Cualquier soporte tcnico que se requiera, estar a cargo del empleado por ser
equipo que no se encuentra dentro del inventario de la compaa.
Acta de Responsabilidad: La persona duea del equipo deber firmar el acta de
responsabilidad, donde se el funcionario se compromete a cumplir a cabalidad con
los lineamientos dados por la compaa en los siguientes aspectos
Informacin: La informacin manejada en el equipo ser propiedad de
INGISA CONSTRUCTORES y podr ser extrada y auditada en cualquier
momento a potestad de la Compaa.
La informacin ser almacenada en discos de red para garantizar la seguridad de
la misma, para el caso de correo electrnico, este ser almacenado localmente

pero deber contener una contrasea de ingreso la cual ser configurada cuando
la Gerencia de IT haga el ingreso del equipo a la red.
Software: El funcionario debe garantizar que el equipo que va a ingresar
tenga el software bsico requerido (Windows XP o Windows 7
Professional, Office, Antivirus) por la compaa para funcionar en ambiente
de red y deber garantizar que est debidamente licenciado, con parches
de seguridad a la fecha y con el antivirus actualizado.
Accesos Lgicos: Cualquier acceso no autorizado efectuado desde este
equipo hacia las plataformas de la Compaa sern responsabilidad del
empleado y correr con las sanciones disciplinarias a que d lugar.

La gerencia de TI debe garantizar que el equipo sea restringido para que

no se conecte a la Red de rea Local, cualquier conexin a sistemas y
plataformas de la compaa se realizar por conexin VPN y a travs de
una mquina virtual que deber ser configurada en el momento de ingresar
el equipo por primera vez.
Cumplimiento: El equipo deber cumplir todas las polticas de la compaa
a nivel de hardware, software e informacin.
5.1. Administradores de Activos
El Administrador de los Activos de Informacin, es responsable de establecer y
mantener los controles de seguridad y continuidad adecuados al nivel de
proteccin requerido por los Dueos de procesos. Son responsabilidades del
Administrador:
No permitir el acceso pblico a los activos de informacin, salvo
excepciones autorizadas por el Dueo de proceso.
Implementar los controles que velen por proteger los activos de informacin
segn los niveles de riesgo que les hayan sido identificados.
Establecer y mantener los controles requeridos por el Dueo de proceso.
Controlar los accesos de los usuarios autorizados por el Dueo de proceso.
Comunicar al Dueo de proceso los nuevos controles tcnicos que estn
disponibles y cualquier desviacin o anomala detectada en los existentes.
Informar a los usuarios sobre los controles establecidos.
Detallar y documentar las transacciones permitidas por cada uno de los
perfiles creados en las plataformas que administran. Si se generan cambios
en la configuracin de perfiles, estos debern ser plasmados,
documentados e informados al rea de Seguridad Informtica.
Establecer los controles necesarios para impedir la instalacin de productos

sin licencia no autorizados por el fabricante.

Realizar y coordinar el plan de recuperacin y sus pruebas peridicas.
Identificar los recursos que son esenciales asociados al activo de
informacin a su cargo que le permitan mantener disponibles los procesos
de negocio segn los planes de continuidad de INGISA
CONSTRUCTORES.
Apoyar a la Direccin organizacional en las investigaciones para los
accesos no autorizados.

Generar de forma peridica los registros de auditoria de cada una de los

elementos de la infraestructura tecnolgica o tecnologa de apoyo.
Cumplir con las reglas definidas para la configuracin de contraseas
definidas del presente documento.
Tener disponibles las matrices de accesos lgicos y/o fsicos actualizadas
para cada uno de los activos bajo su administracin.
Cumplimiento de los procedimientos definidos para las altas y bajas de
personal interno y externo de la compaa.
Reportar las actividades no autorizadas en los activos de informacin.
Reportar cualquier incidente de seguridad o sospecha que exista y que
pueda generar algn fraude, fuga de informacin o anomala.
Generar las acciones autorizadas dentro de su plataforma, que tengan
soporte suficiente para el cumplimiento de los controles.
No generar aprovisionamientos y des aprovisionamientos que no hayan
sido autorizados por el Area de Direccion Organizacional.
5.1.2. Los Usuarios
Los usuarios son responsables de conocer y respetar el nivel de proteccin
estipulado por la poltica de seguridad general y/o especifica de los activos de
informacin. Son responsabilidades de los usuarios:

No divulgar informacin clasificada sin autorizacin del Dueo de proceso.

No intentar transgredir ningn control de proteccin establecido.
Utilizar los activos slo para actividades de negocio de la empresa.
No utilizar los activos de informacin para beneficio personal.
Informar al Dueo de proceso y/o al administrador de cualquier anomala de
seguridad detectada; no introducir personalmente ni utilizar ningn producto
sin la correspondiente licencia o autorizacin del fabricante.
Para los empleados directos o tercerizados que tengan asociado tokens de
seguridad para conexin con las plataformas de la compaa, no podrn ni
compartir ni prestar su clave de acceso. Esto se entender como un
incumplimiento a la Poltica de Seguridad y conllevar a sanciones
disciplinarias.

5.1.3 Control de terceros

Directivas para mantener la seguridad de los activos de informacin a los que
tienen acceso terceras partes. Se deben considerar estos tipos de acceso: acceso
fsico (acceso a oficinas, centro de cmputo, cinto tecas, etc.) y acceso Lgico
(acceso a la red corporativa, a bases de datos o sistemas de informacin).
a) Los contratistas, proveedores o terceros debern acogerse a las polticas de la
compaa.
b) La Informacin etiquetada como confidencial debe ser protegida contra el
acceso de terceros.
c) El acceso a la informacin de la compaa por parte de terceros puede ser
permitida si se demuestra que la informacin requerida es consecuente y
necesaria para el cumplimiento de sus funciones y que existe un control de acceso
otorgado y controlado por INGISA CONSTRUCTORES.
d) Cualquier irregularidad presentada debe ser informada al rea de Seguridad
Informtica por medio del supervisor de contrato.
e) Cualquier anomala generada por medio de un tercero que afecte los intereses
de la compaa, podr ser sancionada.

5.1.4. Requerimiento de informacin de terceros

a) A menos que un empleado haya sido autorizado por el responsable de la
informacin, no podr divulgar pblicamente informacin.
b) Todos los requerimientos y procedimientos referentes a la divulgacin de la
informacin de INGISA CONSTRUTORES debern ser comunicados a los lderes
de comunicaciones externas y/o internas de la compaa.
c) Esta poltica acoge todos los requerimientos que contemplen informes
financieros, documentos de polticas internas, procedimientos, exmenes y
entrevistas con el personal cubierto por este documento, entre otros.
d) Esta poltica no aplica con respecto a productos y/o servicios de organizaciones
de terceros que deseen enviar informacin sensible a un empleado que acte en
nombre de INGISA CONSTRUCTORES.

6. seguridad de la informacin
Diariamente se realizan backups automticos a la base de datos segn los
mecanismos establecidos y se realizan a cada hora.
Los equipos debern contar con salvapantallas protegido por contrasea

con un tiempo de espera de 1 minuto para evitar accesos no autorizados.

Todos los accesos a los programas principales estarn protegidos
mediante un mecanismo de usuario y contrasea as como permisos de
acceso. De igual forma, las sesiones de Windows personales estarn
protegidas con contrasea.
Los usuarios debern abstenerse de divulgar o compartir sus datos de
acceso a los programas y sesiones de Windows.
Coordinacin o sistemas designarn peridicamente nuevas contraseas
tanto para el acceso a las sesiones Windows como para el acceso a los
programas.
Todos los archivos que viajen por correo y que contengan informacin
sensible debern estar comprimidos con contrasea de uso interno como
medida de seguridad de informacin.
Todos los equipos asignados a los conectores/gestores tendrn
deshabilitados los accesos a puertos USB, CD o Diskettes. Esta medida
tiene 3 objetivos:
Evitar ataques de virus en los equipos y el servidor.
Evitar extracciones no autorizadas.
Evitar la carga de archivos ajenos a la labor de gestin.
Los equipos autorizados para el uso de dispositivos de almacenamiento
externos estn supervisados por coordinacin y por el rea de sistemas,
para la entrada y salida de informacin.
A todos los equipos se les realizar una revisin de virus por lo menos cada
mes, que incluye las siguientes actividades.
Actualizar su base de firmas de virus (actualizacin de la lista de
amenazas)
Bsqueda de virus (anlisis del equipo)
Eliminacin de virus si fue detectado.

En caso autorizado de memorias USB y discos, es responsabilidad del

usuario hacer uso del antivirus antes de copiar o ejecutar archivos para que
los equipos no sean infectados. Adems los usuarios pueden pedir apoyo al
departamento de sistemas para el uso de antivirus.
7. Seguridad Fsica
Estrategias para el control del acceso fsico a las instalaciones de INGISA
CONSTRUCTORES y el cuidado de los equipos y/o recursos de procesamiento de
datos disponibles en la organizacin. El principal objetivo ser el de mitigar riesgos
potenciales relacionados con la prdida, el robo o el dao accidental o intencional
de los activos de informacin de la empresa, lo que podra ocasionar la
interrupcin, total o parcial de las actividades del negocio. As mismo definir las
directivas para la proteccin fsica de las instalaciones donde estn situados este

tipo de recursos.

7.1. Seguridad en los centros de cmputo

Los edificios o instalaciones donde estn o vayan a estar ubicados los sistemas de
informacin requieren caractersticas adicionales de proteccin fsica que deben
ser consideradas, teniendo en cuenta:
a) Los centros de cmputo, cuartos de cableado y comunicaciones deben
protegerse contra amenazas ambientales (fuego, humedad, inundaciones, calor o
fro) y accesos no autorizados, como mnimo se incluyen sistemas de control de
acceso, UPS para el suministro controlado de energa elctrica, extintores, control
de temperatura y limpieza.
b) Se debe utilizar elementos que permitan limitar el acceso y el rea del centro de
computo (puertas, paredes, suelos, etc.), adicionalmente cada uno de estos
elementos deben cumplir el mnimo nivel de proteccin exigido por las normas
bsicas de edificacin.
c) Tienen que disponer de canalizaciones adecuadas para la conduccin del
cableado de comunicaciones y electricidad, para evitar ataques (sabotaje, fuego,
roedores), interceptacin o perturbaciones por fuentes de emisin prximas (radio,
elctricas, calor, etc.).
d) El personal de contratistas o terceros que ingresen deben dejar las
instalaciones en orden y aseo como las encontraron, de ninguna manera deben
tomar como bodega o almacenaje las reas donde se ubiquen servidores, Racks o
equipos de red

SEGURIDAD DE LOS EQUIPOS

Todos los equipos debern presentar las ltimas actualizaciones de
Windows, parches de seguridad y antivirus instalado.
Los equipos de toda la agencia debern de estar conectados a un
regulador de corriente, como medida de prevencin de variaciones
de electricidad.
Si se presentara una suspensin de servicio elctrico y el servidor
solo se sostuviera con el no-break, se tendrn que apagar primero
todos los equipos de la agencia y posteriormente el servidor.
El servidor y la mquina principal del rea administrativa debern
conectarse a un equipo no-break para evitar la prdida de
informacin en los equipos por variaciones o fallas de energas.
Una vez al ao se realizara una revisin en la red para detectar
desperfectos y dar as mantenimiento a la agencia.

 Peridicamente, por espacio de 4 meses, se realizar una limpieza

fsica a toda la infraestructura de equipo de cmputo por parte del
personal de sistemas.
Toda actividad elaborada por el equipo de sistemas deber de estar
debidamente documentada para darle seguimiento y que sirva como
evidencia en los procesos de auditora interna.
Los equipos y la informacin contenida en ellos no se pueden retirar
de las instalaciones de la empresa sin una autorizacin apropiada.
La autorizacin est a cargo del CIO.
Se debe mantener un registro auditable de todos los ingresos y
salidas de computadores porttiles.
Los equipos de cmputo y los sistemas de informacin de INGISA
CONSTRUCTORES sern empleados solamente para el desempeo
nico y exclusivo de las funciones de negocio de la compaa.
Solo se permite instalar software catalogado como autorizado y que
est licenciado por los proveedores de tecnologa. Existe software
autorizado que solo puede ser usado por algunas dependencias y no
es de libre manejo para todo el personal dentro de la compaa. Si
se instala software no autorizado esto aplicar a sanciones a las que
haya lugar. No todo el software es compatible con los esquemas de
seguridad, integridad y accesibilidad definidos en INGISA
CONSTRUCTORES, es decir, el software no autorizado puede
corromper los archivos o los directorios existentes, inutilizar los datos
o mal utilizar los recursos lgicos.
No est permitido llevar al sitio de trabajo computadores personales
y en caso de ser necesario se requiere solicitar la autorizacin
correspondiente.
Los sistemas de informacin de INGISA CONSTRUCTORES no
deben utilizarse de manera daina, inmoral o que provoque
trastornos a terceros.
Todos los recursos de tecnologa de informacin (computadores,
software, sistemas de comunicaciones) utilizados por los
trabajadores para el tratamiento de la informacin y/o las
comunicaciones,
se
consideran
propiedad
de
INGISA
CONSTRUCTORES y son administrados exclusivamente por el rea
de Tecnologia. An ms, nicamente pueden ser utilizados por el
personal de INGISA CONSTRUCTORES en el desempeo de sus
funciones laborales, esto es, no deben ser utilizados con fines
personales o de distinta naturaleza al negocio de INGISA
CONSTRUCTORES.
Se permite el ingreso de equipos externos por parte de personal
outsourcing o tercerizado para ser utilizados en la red corporativa de
INGISA CONSTRUCTORES solamente para el desempeo

exclusivo de las funciones definidas en el contrato, para tal fin el

supervisor de contrato debe formalizar la respectiva autorizacin con
el rea de Tecnologa garantizando el cumplimiento de las
recomendaciones bsicas de seguridad establecidas. INGISA
CONSTRUCTORES se reserva el derecho de realizar auditoras de
cumplimiento en los equipos de cmputo de externos.
Est prohibido la instalacin y la ejecucin de software de juegos en
los equipos de cmputo de INGISA CONSTRUCTORES.
Est prohibido el uso de los sistemas de informacin de la compaa
para enviar y/o transmitir solicitudes de cadenas o para la descarga
de material inapropiado o no consecuente con los procesos de
negocio de INGISA CONSTRUCTORES.
Las directivas de INGISA CONSTRUCTORES se reservan los
derechos de monitoreo e inspeccin en cualquier momento a los
sistemas de informacin de la organizacin. Estas inspecciones
pueden ser realizadas con o sin el consentimiento y presencia de los
trabajadores implicados. Los sistemas de informacin que estarn
sujetos a tal inspeccin incluyen los registros de actividad de los
usuarios, archivos en el disco duro y correos electrnicos. Sin
embargo, documentos impresos y recursos como cajones pueden
tambin estar sujetos a inspeccin. Las inspecciones se deben
realizar solamente despus de obtener la aprobacin de la Direccin
Organizacional y en presencia del funcionario.
Las directivas se reservan el derecho de retener cualquier material
ofensivo o informacin que se considere ilegal.
Est prohibido la instalacin y la ejecucin total o parcial de software
tipo PSP en los equipos de cmputo de INGISA
CONSTRUCTORES.
El uso de esquemas de bypass (fsicos o lgicos), que eviten los
controles de trfico, seguridad o accesos fsicos a sitios prohibidos
en la red de INGISA CONSTRUCTORES, est completamente
prohibido.

Aceptaciones
Las siguientes firmas significan la aprobacin por parte de Colombia Mvil del
presente documento:
ELABORADO POR

CARGO

FIRMA

FECHA

REVISADO POR

CARGO

FIRMA

FECHA

APROVADO POR

CARGO

FIRMA

FECHA

Lo ms importante es que no pierdan sentido y que en todos los casos la

actuacin del personal est guiada hacia el cumplimiento de dichas polticas.