Zusammenfassung der Ressource
POLITICA DE SEGURIDAD CELSIA
- OBJETIVO
Anmerkungen:
- Establecer las medidas organizacionales, técnicas, físicas y legales, necesarias para proteger los
activos de información contra acceso no autorizado, divulgación, duplicación, interrupción de
sistemas, modificación, destrucción, pérdida, robo, o mal uso, que se pueda producir en forma
intencional o accidental.
- ALCANCE
Anmerkungen:
- Esta Política es aplicable a todos los colaboradores, consultores, contratistas, terceras partes, que
usen activos de información que sean propiedad de la organización
- LÍNEA BASE DE LA POLÍTICA
- RESPONSABILIDAD
Anmerkungen:
- Es responsabilidad de la Dirección de Gestión de Tecnología hacer uso de la Política de Seguridad
de la Información, como parte de sus herramientas de gobierno y de gestión, de definir los
estándares, procedimientos y lineamientos que garanticen su cumplimiento.
- CUMPLIMIENTO
Anmerkungen:
- El cumplimiento de la Política de Seguridad de la Información es obligatorio. Si los colaboradores,
consultores, contratistas, terceras partes violan estas políticas, la organización se reserva el derecho
de tomar las medidas correspondientes.
- EXCEPCIONES
Anmerkungen:
- Las excepciones a cualquier cumplimiento de Política de Seguridad de la Información deben ser
aprobadas por la Dirección de Gestión de Tecnología, la cual puede requerir autorización de la
Gerencia de Arquitectura Organizacional, la Vicepresidencia de Desarrollo Corporativo y Nuevos
Negocios, del Comité de Asuntos Corporativos o de la Presidencia de la compañía. Todas las
excepciones a la Política deben ser formalmente documentadas, registradas y revisadas.
- ADMINISTRACIÓN DE LAS POLÍTICAS
Anmerkungen:
- Las modificaciones o adiciones de la Política de Seguridad de la Información serán propuestas por
la Presidencia de la compañía, la Vicepresidencia de Desarrollo Corporativo y Nuevos Negocios, por
medio de la Gerencia de Arquitectura Organizacional y serán aprobadas por el Comité de Asuntos
Corporativos de Celsia. Estas políticas deben ser revisadas como mínimo una vez al año o cuando
sea necesario.
- DESCRIPCIÓN DE LAS POLÍTICAS Y ESTÁNDARES
- Generalidades
Anmerkungen:
- La información es un activo que la compañía considera esencial para las actividades de la empresa
y debe ser protegida de acuerdo con los principios de confidencialidad, integridad y disponibilidad.
A través de esta Política se difunden los objetivos de seguridad de la información de la compañía,
que se consiguen a través de la aplicación de controles de seguridad, para gestionar un nivel de
riesgo aceptable. Este documento tiene el objetivo de garantizar la continuidad de los servicios,
minimizar la probabilidad de explotar las amenazas, y asegurar el eficiente cumplimiento de los
objetivos de negocio y de las obligaciones legales conforme al ordenamiento jurídico vigente y los
requisitos de seguridad destinados a impedir infracciones y violaciones de seguridad en Celsia.
- ORGANIZACIÓN DE
SEGURIDAD
- ORGANIZACIONDE LA ORGANIZACION DE LA SEGURIDAD
- ESTANDARES DE LA POLITICA
- RESPONSABILIDADES PARA LA SEGURIDAD D ELA INFORMACION
- REVISION INDEPENDIENTE DE AL SEGURIDAD DE LA INFORMACION
- CONTACTO CON AUTORIDADES Y GRUPOS DE INTERES
- SEGURIDAD EN LOS ACCESOS POR TERCEROS
- USO ACEPTABLE DE LOS ACTIVOS Y
RECURSOS
- Política de Uso Aceptable de los Activos y Recursos de información
- Uso de los sistemas y equipos de cómputo
- Correo electrónico.
- Navegación en Internet
- Uso de herramientas que comprometen la seguridad.
- Recursos compartidos.
- Sitios Web para compartir documentos.
- Computación en nube.
- Uso equipos portátiles y dispositivos móviles.
- Acceso de equipos distintos a los asignados.
- Estándares para el uso aceptable de los activos de información
- TRATAMIENTO Y GESTIÓN DEL RIESGO EN SEGURIDAD DE LA
INFORMACIÓN
- Política del Tratamiento y Gestión del Riesgo en Seguridad de la Información
- Estándares de la Política del Tratamiento y Gestión del Riesgo en Seguridad de la Información
Anmerkungen:
- Evitar el riesgo.
Disminuir la probabilidad de ocurrencia.
Disminuir el impacto.
Transferir los riesgos.
Retener los riesgos.
- SEGURIDAD DEL PERSONAL
- Política de Responsabilidad del Personal
- Estándares de la Política de Seguridad del Personal
- Seguridad previa a la contratación del personal.
- Seguridad durante el contrato.
- Finalización o cambio de puesto.
- SEGURIDAD FÍSICA Y DEL
ENTORNO
- Política de Seguridad Física y del Entorno
- Estándares de la Política de Seguridad Física y del Entorno
- Controles de acceso físico.
- Escritorio limpio.
- Seguridad de los equipos.
- Retiro de equipos.
- GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA
INFORMACIÓN
- Política de Gestión de incidentes de Seguridad de la Información
- Estándares de la Política de Gestión de Incidentes de Seguridad de la Información
- Notificación de eventos y debilidades de seguridad de la información.
- Gestión de incidentes de seguridad de la información.
- GESTIÓN DE SEGURIDAD PARA TELECOMUNICACIONES E INFRAESTRUCTURA DE
TIC
- Política de Gestión de Telecomunicaciones e Infraestructura de TIC
- Estándares de la Política de la Política de Gestión de Telecomunicaciones e Infraestructura de TIC
- Procedimientos y responsabilidades de operación
- Gestión del Cambio.
- Segregación de funciones.
- Separación de Ambientes
- Planificación y Aceptación.
- Protección contra el código malicioso
- Copias de seguridad.
- GESTIÓN DE SEGURIDAD PARA LA ADQUISICIÓN, DESARROLLO Y
MANTENIMIENTO DE SISTEMAS
- Política de Adquisición, Desarrollo y Mantenimiento de sistemas
- Estándares de la Política de Adquisición, Desarrollo y Mantenimiento de Sistemas
- Requerimientos de seguridad de los sistemas.
- Seguridad de las aplicaciones del sistema.
- Seguridad de los sistemas de archivos.
- Seguridad de los procesos de desarrollo y soporte.
- CUMPLIMIENTO Y NORMATIVIDAD
LEGAL
- Política para el Cumplimiento y Normatividad Legal
- Estándares de la Política para el Cumplimiento y Normatividad Legal
- Cumplimiento legal.
- Propiedad intelectual.
- Protección de datos.
- Cumplimiento de políticas y normas de seguridad
- Cumplimiento técnico
- CONTROL DE ACCESO A LA
INFORMACIÓN
- Política de Control de Acceso a la Información
- Estándares de Política de Control de Acceso a la Información
- Gestión de acceso a usuarios.
- Registro de usuarios.
- Control de acceso a la red.
- Control de acceso a las aplicaciones.
- CLASIFICACION Y CONTROL DE ACTIVOS DE LA INFORMACION
- POLITICA PARA LA CLASIFICACION Y CONTROL DE ACTIVOS DE LA INFORMACION
- ESTANDARES DE LA POLITICA DE CLASIFICACION Y
CONTROL DE ACTIVOS DE LA INFORMACION
- RESPONSABILIDAD SOBRE LOS ACTIVOS
- METODOLOGIA DE CLASIFICACION DE ACTIVOS
- DOCUMENTACIÓN RELACIONADA
Anmerkungen:
- Código de Buen Gobierno Corporativo.
Sistema de Gestión de la Calidad y Política Ambiental de la organización.
Política de Gestión Humana.
Política de Gestión de Riesgos
Política de tecnología de información y comunicación
- DEFINICIONES
Anmerkungen:
- Activo: cualquier cosa que tenga valor para la empresa.
Amenaza: causa potencial de un incidente no deseado, que puede ocasionar daño a un
sistema o a la empresa.
Confidencialidad: propiedad que determina que la información no esté disponible ni sea
revelada a individuos, entidades o procesos no autorizados.
Comité de Seguridad de la Información: el Comité de Seguridad de la Información debe
establecer los criterios de dirección y control, que permitan implantar los mecanismos más
apropiados de protección de la información de Celsia, aplicando los principios de
confidencialidad, integridad y disponibilidad de la misma y de los recursos informáticos o de
otra índole que la soportan, acorde con la planeación estratégica de la empresa.
Desastre o contingencia: interrupción de la capacidad de acceso a información y
procesamiento de la misma a través de computadoras u otros medios necesarios para la
operación normal de un negocio.
Disponibilidad: propiedad de que la información sea accesible y utilizable por solicitud de
una entidad autorizada.
Estándares de seguridad: son productos, procedimientos y métricas aprobadas, que
definen en detalle como las políticas de seguridad serán implementadas para un ambiente
en particular, teniendo en cuenta las fortalezas y debilidades de las características de
seguridad disponibles. Deben estar reflejadas en un documento que describe la implantación
de una guía para un componente específico de hardware, software o infraestructura.
Política Seguridad de la información
Celsia S.A. E.S.P.
http://www.celsia.com
Página 22
Evaluación del riesgo: proceso de comparar el riesgo estimado contra criterios de riesgo
dados, para determinar la importancia del riesgo.
Evento de seguridad de la información: presencia identificada de una condición de un
sistema, servicio o red, que indica una posible violación de la política de seguridad de la
información o la falla de las salvaguardas, o una situación desconocida previamente que
puede ser pertinente a la seguridad.
Integridad: propiedad de salvaguardar la exactitud y el estado completo de los activos.
Impacto: la consecuencia que al interior de la empresa se produce al materializarse una
amenaza.
Organización de seguridad: es una función que busca definir y establecer un balance entre
las responsabilidades y los requerimientos de los roles asociados con la administración de
seguridad de la información.
Políticas: toda intención y directriz expresada formalmente por la dirección.
Procesos: se define un proceso de negocio como cada conjunto de actividades que reciben
una o más entradas para crear un producto de valor para el cliente o para la propia empresa
(concepto de cliente interno de calidad). Típicamente una actividad empresarial cuenta con
múltiples procesos de negocio que sirven para el desarrollo de la actividad en sí misma.
Procedimientos: los procedimientos son los pasos operacionales que los funcionarios deben
realizar para alcanzar ciertos objetivos.
Riesgo: combinación de la probabilidad de un evento y sus consecuencias.
Seguridad de la información: preservación de la confidencialidad, integridad y
disponibilidad de la información, además puede involucrar otras propiedades tales como:
autenticidad, trazabilidad (accountability), no repudio y fiabilidad.
TI: se refiere a tecnologías de la información
TIC: se refiere a tecnologías de la información y comunicaciones
Vulnerabilidad: debilidad de un activo o grupo de activos, que puede ser aprovechada por
una o más amenazas.
- CONTROL DE CAMBIOS
Anmerkungen:
- VERSION 1 FECHA 12/05/2014 JUSTIFICACIÓN DE LA VERSIÓN
Creación del documento