INTRODUCCIÓN El Grupo Chaidneme a través del proceso de Tecnologías de Información ha dispuesto la infraestructura de tecnología que permite facilitar la operación y gestión de las diferentes actividades en cada una de las empresas, tecnología que continuamente se está renovando y actualizando para cumplir con los objetivos de los procesos del negocio. La protección de los sistemas de información es cada día más compleja, ya no solo se trata de antivirus sino de detección de intrusos, seguridad en redes sociales, fijación adecuada de normas de seguridad informática, y mecanismos de respaldo y recuperación, situaciones que el Grupo Chaidneme busca minimizar tomando medidas de protección efectivas que permitan mantener los sistemas de información de forma segura y confiable. Por tal razón, el Grupo Chaidneme requiere que sus colaboradores tomen una posición consciente y vigilante del uso y limitaciones de los recursos y servicios informáticos.
ALCANCE DE ÉSTA POLÍTICA Forman parte de la Tecnología de Información: • La información y datos, como esencia de los negocios y que es generada, procesada o administrada a través de los recursos de TI, en resultado de las operaciones comerciales, contables y demás actividades propias en cada una de las empresas. • Servidores, computadores de escritorio, equipos portátiles, iPads, equipos de comunicaciones y dispositivos de almacenamiento como memorias USB, discos externos, CD-DVD/R-RW, teléfonos inteligentes, módems móviles USB, etc.
• Software operacional, software base licenciado y no licenciado, software colaborativo, software de seguridad y todas las herramientas que soportan las actividades del negocio y que se encuentran registradas en el documento “C-PL-02-M-OO1 Set Tecnológico”. • Las aplicaciones para el manejo de la información en cada uno de los procesos del negocio. • Los procesos y procedimientos del negocio. • Herramientas para trabajo en grupo, como correo electrónico, flujo de trabajo de procesos y manejo de documentos, mensajería instantánea, Intranet, y todos los registrados en el set tecnológico, que se han instalado y que continuamente se incorporen por el crecimiento y necesidades de las empresas, o por el mejoramiento tecnológico, como apoyo a cada uno de los procesos. • Esta norma se establece para ser aplicada por todos los funcionarios del Grupo Chaidneme.
OBJETIVOS
DE LA POLÍTICA DE SEGURIDAD INFORMÁTICA Establecer un direccionamiento y un marco claro de acción con respecto a seguridad informática y de la información al interior del Grupo Chaidneme, dirigido a los funcionarios de las empresas, para proporcionar unas directrices que soporten y orienten el proceso de seguridad de la información y de los recursos informáticos, de forma eficiente, efectiva y segura.
POLÍTICA DE SEGURIDAD INFORMÁTICA El Grupo Chaidneme define la siguiente Política de Seguridad Informática: “Mantener y garantizar una gestión efectiva de los recursos de información críticos, así como el resguardo de los activos de Tecnología y de Información de las empresas con el compromiso de todos, buscando en forma permanente los mecanismos y técnicas para gestionar el uso de la tecnología y de la información de una manera segura y óptima, dando cumplimiento a los principios de Seguridad de la Información que comprende la confidencialidad, integridad y disponibilidad como valor esencial de los negocios”
PRINCIPIOS DE LA POLÍTICA
Para el uso de los sistemas informáticos y de la información del Grupo Chaidneme, se establecen responsabilidades y deberes a todos los funcionarios de las diferentes empresas y su uso está determinado por las definiciones administrativas y Corporativas. La utilización de los recursos, obliga a actuar de manera ética y a mostrar moderación en el consumo y uso de los activos informáticos e información respetando el marco legal de cada país y los mecanismos de seguridad definidos a nivel interno. Los principios son los siguientes: 1. PRINCIPIO DE RESPONSABILIDAD: Los colaboradores, clientes, proveedores y demás partes interesadas son responsables por las acciones u omisiones en el uso de la tecnología asignada por el Grupo Chaidneme y deben velar por la seguridad de la información bajo su cargo, y responder por todas las actividades que se realicen en los diferentes sistemas y recursos de TI, a través de su código de usuario y contraseña.
2. PRINCIPIO DE CUMPLIMIENTO: Se deben cumplir las políticas, procedimientos, instructivos y formatos establecidos por el Grupo Chaidneme, para el uso de sus tecnologías de información. 3. ÉTICA: Se deben utilizar los recursos de tecnología de información evitando incurrir en acciones que atenten contra la moral y las buenas costumbres en las personas y actividades del negocio y en el intercambio de información, respetando las leyes relacionadas con la propiedad intelectual y la seguridad en el manejo de la información del negocio; así como también de los mecanismos de seguridad instalados. 4. PRINCIPIO DE PROPIEDAD: El Grupo Chaidneme es propietario de todos los activos de tecnología de información que se han entregado a los funcionarios y terceros para su uso en el desarrollo de las actividades del negocio. 5. DERECHO DE VIGILANCIA: El Grupo Chaidneme se reserva el derecho de vigilar el uso de los recursos informáticos, de restringir su uso, de acceder a toda la información incluida en éstos, y de retener o deshacerse de ellos si lo considera necesario. Cualquier información almacenada en los equipos y activos de Tecnología de Información, puede ser revelada ante las autoridades cuando éstas la requieran o según actividades de seguimiento por los procesos de control del Grupo Chaidnme ó por solicitud directa de la administración 6. RESTRICCIÓN A LA INFORMACIÓN CONFIDENCIAL: La información considerada como confidencial sólo debe ser revelada a aquellos empleados autorizados que necesiten conocerla para el desempeño de sus funciones. Cuando la información confidencial es enviada por medios electrónicos, son responsables de su seguridad tanto la persona que la envía como el que la recibe, quienes deben utilizar los medios más seguros asignados por la compañía para garantizar su integridad y confidencialidad. La información definida como confidencial no puede ser ni copiada ni extraída a ningún computador, solamente en un servidor con acceso definido ACTIVOS INFORMÁTICOS DEL NEGOCIO ( Ver ANEXO I )
REGLAMENTACIÓN BÁSICA DE LA POLÍTICA DE SEGURIDAD.
El Grupo Chaidneme establece unos elementos mínimos que define en primera instancia los deberes de los funcionarios con respecto a la información y recursos de Tecnología de Información a los que tiene acceso para el cumplimiento, y son:
ASPECTOS BÁSICOS Nos comprometemos a: 1. El uso de los recursos deben ser destinados a ejecutar actividades del negocio y los autorizados por el Grupo Chaidneme. 2. Atender y cumplir con las políticas, procedimientos, instructivos, recomendaciones y documentos adicionales establecidos por el Grupo Chaidneme y que rigen el uso de los recursos de Tecnología de información autorizados. 3. Hacerse responsable de sus datos, programas y demás recursos asignados. 4. Hacer uso específicamente del software autorizado y asignado por el Grupo Chaidneme. 5. Hacer buen uso de los recursos informáticos que le han sido asignados como herramienta para su trabajo.
6. Proteger el código de usuario y su contraseña, no prestarlos ni divulgarlos. En caso que el usuario detecte que su clave ha sido vista o es conocida por terceros, debe proceder de inmediato a cambiarla a través del Administrador de TI. 7. Mantener la confidencialidad y reserva de la información a su cargo, no divulgándola a personas ajenas al área ó proceso y/o extrañas al Grupo Chaidneme. 8. No recargar la red y los computadores con datos innecesarios, como videos, música y demás programas de entretenimiento o ajenos al negocio. 9. Respetar las leyes de derechos de autor y sus modificaciones. Los funcionarios de Tecnología de Información son los únicos autorizados para instalar programas de computador. 10. Ceder a la empresa los derechos patrimoniales de todo aquello que desarrolle o cree durante la vinculación laboral. 11. Respetar y cumplir a cabalidad con las medidas de seguridad de los sistemas y de la red del Grupo Chaidneme. 12. Utilizar responsablemente los equipos, elementos de oficina, archivos y registros, solo y con ocasión del desempeño de las funciones asignadas. Igualmente, proteger y devolver en óptimas condiciones los activos de informática asignados cuando exista desvinculación de la compañía. 13. Abstenerse de realizar modificaciones a la configuración de los computadores, ya que pueden ocasionar su mal funcionamiento. Esto incluye las redes y sus periféricos. 14. No trasladar los computadores y sus componentes asignados, sin la autorización y coordinación del administrador de TI. 15. No se debe cambiar, copiar, borrar, leer o acceder a archivos o software sin obtener el permiso del administrador del sistema.
ASPECTOS DE INTERNET
La política de seguridad informática respecto al uso de Internet define: 1. Acceder sólo a los sitios autorizados. Está prohibida la utilización de los recursos de tecnología informática del Grupo Chaidneme, para acceder a páginas pornográficas, sitios terroristas, proxenetas, de juegos y en especial, aquellos que atenten contra la libertad del individuo o que ponen en riesgo la infraestructura de TI. 2. Está prohibido descargar de Internet, cualquier tipo de software que previamente no haya sido reglamentado por el Grupo y autorizado por Seguridad Informática, aún cuando dicho software sea de libre uso y/o distribución.
3. Al conectarse a Internet, hacerlo mediante la utilización de las instrucciones y los canales autorizados por el Grupo Chaidneme. 4. Proteger su contraseña para el acceso a la intranet, esta es personal e intransferible y debe mantenerse con la debida seguridad. 5. No es recomendable enviar información confidencial del Grupo Chaidneme, o de sus empleados a través de la red Internet ó de correos personales, sin la debida seguridad y mucho menos, si no está autorizado para hacerlo. 6. La conexión de los equipos a Internet a través de otros dispositivos de comunicaciones (Ejemplo, teléfonos celulares, módems móviles), ajenos a la red normal; está limitada a aquellos dispositivos autorizados y/o propios de la empresa. 7. En caso de contingencia se deben usar los recursos dispuestos por la empresa y definidos en el plan de contingencia de la empresa.
ASPECTOS DEL CORREO ELECTRÓNICO CORPORATIVO La política de Seguridad Informática respecto al correo corporativo especifica: 1. El funcionario a quien se le entrega la respectiva cuenta de correo es el responsable de todas las actividades realizadas con su buzón de correo, tanto del contenido de los mensajes como de los destinatarios de los correos enviados, exonerando a la empresa de cualquier situación legal. 2. Se debe evitar la propagación de los virus, por medio del correo electrónico, eliminando los mensajes de remitentes desconocidos o de dudosa procedencia o aquellos que usted sospeche que puedan contener virus. 3. Utilizar el correo como una herramienta para el intercambio de información entre las personas, no para la difusión masiva e indiscriminada de datos innecesarios, imágenes, envío de spam, correos de cadenas; música y videos y en especial, aquellos que atenten contra la libertad del individuo o que ponen en riesgo la infraestructura de tecnología. 4. No utilizarlo para acosar a las demás personas con fines ofensivos relacionados con la sexualidad, la edad, la etnia, la religión, afinidad política o apariencia. 5. No utilizar el correo en actividades ilegales y/o inmorales, en perjuicio de la empresa, de los clientes, los proveedores y de los funcionarios. El envío de imágenes, artículos o comentarios obscenos o vulgares es prohibido.
ASPECTOS LEGALES La Política de Seguridad Informática hace referencia a la legislación informática en Colombia y específicamente obliga a los funcionarios de todas las empresas de Grupo Chaidneme al cumplimiento de la “Ley 603 de 2000 sobre Derechos de Autor” y a lo establecido en el código penal Ley 1273 de 2009, en donde se establece el orden jurídico “de la protección de la información y de los datos” y se preservan integralmente los sistemas que utilicen las tecnologías de la información y las comunicaciones, entre otras disposiciones.
VIOLACIÓN A ÉSTA POLÍTICA
El Grupo Chaidneme los invita al cumplimiento, mejoramiento y respeto de estas normas, ya que son los gestores de los negocios y de sus procesos productivos, y a velar por la protección de la información, de la infraestructura tecnológica, y de los procesos para minimizar la presencia de riesgos informáticos en el negocio. También los invita a denunciar y/o abstenerse de participar con todo aquel que incumpla tanto con estos lineamientos, como con las demás políticas de Seguridad de la Información, instructivos, procedimientos y demás normas actuales y/o aquellos que establezca el Grupo Chaidneme, utilizando los canales o mecanismos dispuestos para tal fin. Por lo anterior, la realización de cualquier actividad o acción que viole la POLÍTICA, acarreará las sanciones contempladas en el reglamento interno de trabajo y en el contrato laboral, conforme a las normas del Régimen Laboral.
Me comprometo a divulgar y cumplir la presente política Fecha: Empresa: Funcionario: Correo:
Firma
ANEXO I
ACTIVOS INFORMÁTICOS DEL NEGOCIO
La Política de seguridad de la información aplica a todos los activos informáticos del negocio. Como activos informáticos del Grupo Chaidneme se definen los datos o la información, el software (o programas de computador), el hardware (o computadores y demás componentes y dispositivos electrónicos y móviles), los sistemas y dispositivos de comunicaciones, los lugares físicos, donde se ubican estos activos o bienes que integran la infraestructura tecnológica instalada para su operación.
INFORMACIÓN Para todas las empresas del Grupo Chaidneme, se define la información como: 1. Todo el conjunto de datos, que están representados en los diferentes medios de almacenamiento, como bases de datos, archivos de procesadores de palabra, hojas de cálculo, archivos de diseño gráfico, y demás datos utilizados en las operaciones del negocio. 2. Todo el conjunto de datos reflejados en los documentos, reportes, cartillas, manuales, boletines, entre otros; es decir, todos los medios físicos de transmisión y almacenamiento y de presentación de información. 3. Los mensajes intercambiados, a través del correo electrónico, la herramienta de mensajería, y cualquier otro medio de transmisión de información. 4. La información obtenida desde sitios de Internet a los que se accede como parte de las actividades necesarias en su rol, y que está archivada en los equipos de cómputo y dispositivos de almacenamiento asignados para el desarrollo de estas actividades. 5. Toda la información histórica de las transacciones del negocio, generadas por cada uno de los procesos del negocio que esté almacenada en el ambiente de producción, en los ambientes de prueba, en medios magnéticos o en cualquier otro medio. 6. Toda la información suministrada por los funcionarios, clientes, proveedores y demás terceros como resultado de las operaciones del negocio. 7. Y por último, es todo el conocimiento adquirido de los clientes, proveedores, funcionarios y demás terceros, mientras se ha tenido algún vínculo con cualquier empresa del Grupo Chaidneme.
EL SOFTWARE El Software está conformado por los siguientes programas de computador, que hacen posible la ejecución de las diferentes tareas en forma electrónica y automática y de herramientas que permiten consolidar y presentar la información para las decisiones del negocio: 1. Los de aplicación: Se considera el software que soporta las actividades del negocio en los diferentes procesos del negocio. . 2. Los de oficina: Son los programas de computador utilizados para la presentación de la información de una manera ágil. como procesadores de palabra, hojas de cálculo, etc. 3. Los desarrollos internos: Que corresponden a los nuevos y antiguos programas para el manejo de información creado por el proceso de TI y avalados por los procesos del negocio. 4. Los sistemas operativos: Son los programas que permiten el funcionamiento de los diferentes computadores instalados en el Grupo; este software está instalado en los servidores de red, de datos, de comunicaciones y demás computadores de propiedad del Grupo Chaidneme. 5. Los de diseño: que corresponden a los programas graficadores, de diseño, de desarrollo de producto y de ingeniería del negocio. 6. Las herramientas colaborativas: Que sirven para integrar electrónicamente las diferentes operaciones y procesos del negocio, como es el caso del correo electrónico, de ejecución de flujos de proceso y los de ejecución de foros. 7. Los programas de seguridad, son los que permiten la protección y administración de los activos de tecnología y de la información de una manera segura minimizando el impacto ante una situación de riesgo, que tienen los activos debido a la materialización de las amenazas.
EL HARDWARE El hardware en el Grupo Chaidneme, incluye los siguientes elementos: 1. Todos los equipos soporte para el procesamiento de los datos, como son los computadores de escritorio, portátiles, iPads, los servidores de red (que permiten controlar la utilización de los diferentes servicios de red, de correo electrónico, de datos y de impresión), los firewalls y demás dispositivos que permiten la administración de la seguridad de la red. 2. Las impresoras, faxes, teléfonos, antenas de comunicación y los scanner.
3. Los elementos que permiten conectar las redes, como los módems, routers, puntos de acceso inalámbricos (access point), modem´s móviles, tarjetas, el cableado y los switches, entre otros. 4. Además, incluyen las partes de los computadores como memorias, teclados, monitores, mouse, los elementos de almacenamiento temporal (Ej. CD’s, DvD’s, memorias USB, discos externos, etc), tarjetas y demás dispositivos de almacenamiento que existan. 5. Toda clase de dispositivos o módems móviles que permitan la conexión a internet, al igual que los teléfonos celulares autorizados y descritos en los documentos del Set Tecnológico. 6. Y todos los demás componentes electrónicos que forman parte de la estructura de hardware en los que se destacan: las UPS (unidades ininterrumpidas de potencia), baterías, estabilizadores, unidades de backup y plantas telefónicas.
GRUPOS DE INTERÉS Para el Grupo Chaidneme y con objeto de aplicar la seguridad de la información y demás recursos de tecnología invita a todos sus colaborares en su implementación, aplicación y sostenimiento de la Política, también se invita a los clientes, proveedores y demás terceros en su conocimiento y aplicación
LUGARES FÍSICOS Los lugares físicos incluyen: 1. Las instalaciones: las oficinas, salas del centro de cómputo; es decir las instalaciones en cualquier ubicación geográfica del país en donde exista la representación del Grupo de Chaidneme 2. Los sistemas de control de acceso físico a las diferentes instalaciones del Grupo Chaidneme. 3. Los sistemas de detección y de protección contra fuego, agua y temperatura, instalados como mecanismos preventivos. 4. Los centros de almacenamiento de información magnética e impresa que el Grupo Chaidneme ha dispuesto. 5. Toda la estructura física dispuesta para el almacenamiento o ubicación de los equipos de procesamiento, en los que se destacan: los computadores, las UPS, unidades de copia de información, impresoras y equipos de comunicaciones.