Escríbenos por Whatsapp o Llámanos: +57 324 872 5587
Política de seguridad de la información
La Política de Seguridad de la Información persigue la adopción de un conjunto de medidas destinadas a preservar la confidencialidad, integridad y disponibilidad de la información, que constituyen los tres componentes básicos de la seguridad de la información, y tiene como objetivo establecer los requisitos para proteger la información, los equipos y servicios tecnológicos que sirven de soporte para la mayoría de los procesos de negocio de Grupo Oblicua SAS (en adelante Oblicua).
En la actualidad, las tecnologías de la información se enfrentan a un creciente número de amenazas, lo cual requiere de un esfuerzo constante por adaptarse y gestionar los riesgos introducidos por estas. El objetivo principal de la presente Política es definir los principios y las reglas básicas para la gestión de la seguridad de la información. Busca lograr que Oblicua garantice la seguridad de la información y minimice los riesgos de naturaleza no financiera derivados de un impacto provocado por una gestión ineficaz de los sistemas de gestión y almacenamiento de la información propia o de terceros. La seguridad de la información empieza con la transparencia hacia todos nuestros stakeholders, es por ello que esta política siempre estará publicada y actualizada en nuestro sitio web www.oblicua.co
La presente Política responde a las recomendaciones de las mejores prácticas de Seguridad de la Información recogidas en el Estándar Internacional ISO/IEC 27001 con ánimo de una certificación futura, así como al cumplimiento de la legislación vigente en materia de protección de datos personales y de las normativas que, en el ámbito de la Seguridad de la Información, puedan afectar a Oblicua.
Además, Oblicua establece los siguientes principios básicos como directrices fundamentales de seguridad de la información que han de tenerse siempre presentes en cualquier actividad relacionada con el tratamiento de información:
-
La seguridad de la información deberá contar con el compromiso y apoyo de todos los niveles directivos de la empresa de forma que pueda estar coordinada e integrada con el resto de las iniciativas estratégicas para conformar un marco de trabajo completamente coherente y eficaz.
-
La seguridad de la información se entenderá como un proceso integral constituido por elementos técnicos, humanos, materiales y organizativos, evitando, salvo casos de urgencia o necesidad, cualquier actuación puntual o tratamiento coyuntural. La seguridad de la información deberá considerarse como parte de la operativa habitual, estando presente y aplicándose durante todo el proceso de diseño, desarrollo y mantenimiento de los sistemas de información
-
El establecimiento de medidas de protección, detección y recuperación deberá ser proporcional a los potenciales riesgos y a la criticidad y valor de la información y de los servicios afectados.
-
Las medidas de seguridad se evaluarán y actualizarán periódicamente para adecuar su eficacia a la constante evolución de los riesgos y sistemas de protección. La seguridad de la información será atendida, revisada y auditada por personal cualificado.
-
Los sistemas deberán diseñarse y configurarse de forma que garanticen un grado suficiente de seguridad por defecto. Oblicua considera que las funciones de Seguridad de la Información deberán quedar integradas en todos los niveles jerárquicos de su personal. Puesto que la Seguridad de la Información incumbe a todo el personal de Oblicua, esta Política deberá ser conocida, comprendida y asumida por todos sus stakeholders.
RESPONSABILIDADES. Oblicua se compromete a velar por la Seguridad de todos los activos bajo su responsabilidad mediante las medidas que sean necesarias, siempre garantizando el cumplimiento de las distintas normativas y leyes aplicables. Oblicua nombra al líder de desarrollo de la compañía como figura responsable de definir, implementar y monitorear las medidas de ciberseguridad y seguridad de la información. Esta figura deberá establecerse desde un entorno de gobierno y gestión, será independiente de cualquier área organizativa reportando al órgano de gobierno o en su defecto a su comisión de auditoría y tendrá entre sus funciones y responsabilidades el aplicar principios de segregación de funciones y el contacto con las autoridades y grupos de interés especiales en materia de seguridad de la información. Será su responsabilidad desarrollar y mantener la Política, asegurándose que ésta sea adecuada y oportuna según evolucione la organización y la regulación vigente. Oblicua deberá asegurar que todo el personal reciba un nivel de formación y concienciación adecuado en materia de Seguridad de la Información en los plazos que exija la normativa vigente, especialmente en materia de confidencialidad y prevención de fugas de información.
Asimismo, los empleados o contratistas deberán ser informados de las actualizaciones de las políticas y procedimientos de seguridad en los que se vean afectados y de las amenazas existentes, de manera que pueda garantizarse el cumplimiento de esta Política. Por otro lado, los empleados o contratistas tienen la obligación de obrar con diligencia con respecto a la información, debiéndose asegurar que dicha información no caiga en poder de empleados, contratistas o terceros no autorizados.
CLEAN DESKS. Se establecen los siguientes requisitos con el objetivo de mantener la seguridad en los puestos de trabajo in situ y remotos:
-
Se deberá bloquear la sesión de los equipos cuando el empleado o contratista deje el puesto, tanto por medios manuales (bloqueo por parte del usuario), como de forma automatizada mediante la configuración del bloqueo de pantalla.
-
Se deberá dejar recogido el entorno de trabajo al finalizar la jornada. Esto incluye la necesidad de que todo documento o soporte de información quede fuera de la vista.
-
Se deberá mantener ordenado el puesto de trabajo y despejado de documentos o soportes de información que puedan ser vistos o accesibles por otras personas.
GESTIÓN DE ACTIVOS. Se deberán tener identificados e inventariados los activos de información necesarios para la prestación de los procesos de negocio de Oblicua.. Adicionalmente, se deberá mantener actualizado el inventario de activos.
Se deberá asignar un responsable encargado de realizar la gestión propia de los activos de información durante todo el ciclo de vida. El responsable deberá mantener un registro formal de los usuarios con acceso autorizado a dicho activo. Además, para cada activo o elemento de información deberá existir un responsable o propietario, el cual tendrá la responsabilidad de asegurar que el activo esté inventariado, correctamente clasificado y adecuadamente protegido.
Se deberán actualizar de manera periódica las configuraciones de los activos para permitir el seguimiento de estos y facilitar una correcta actualización de la información.
BRING YOUR OWN DEVICE. Oblicua permitirá la política conocida como BYOD (Bring Your Own Device), que permite a los empleados y contratistas utilizar sus recursos o dispositivos móviles personales para acceder a recursos o información de la organización.
Se deberán aplicar las mismas medidas y configuraciones de seguridad a los dispositivos BYOD que tratan información igual que al resto de dispositivos de Oblicua. Cada usuario será responsable de los equipos BYOD. Los usuarios deberán mantener actualizado el dispositivo BYOD personal donde traten información de cualquier tipo de Oblicua. Los empleados y contratistas deberán recibir autorización de su responsable de área para utilizar dispositivos BYOD, los cuales serán registrados por escrito por medio de correo electrónico. Cualquier incidencia que pueda afectar a la confidencialidad, integridad o disponibilidad de estos dispositivos debe ser reportada al responsable de seguridad.
CICLO DE VIDA DE LA INFORMACIÓN Y SU GESTIÓN. Oblicua deberá gestionar adecuadamente el ciclo de vida de la información, de manera que se puedan evitar usos incorrectos durante cualquiera de las fases.
El ciclo de vida de un activo de información consta de las siguientes fases:
1. Creación o recolección: esta fase se ocupa de los registros en su punto de origen. Esto podría incluir su creación por un miembro de la organización o la recepción de información desde una fuente externa. Incluye correspondencia, formularios, informes, dibujos, entrada/salida del ordenador u otras fuentes.
2. Distribución: es el proceso de gestión de la información una vez que se ha creado o recibido. Esto incluye tanto la distribución interna como externa, ya que la información que sale de Oblicua se convierte en un registro de una transacción con terceros.
3. Uso o acceso: se lleva a cabo después de que la información se distribuya internamente, y puede generar decisiones de negocio, generar nueva información, o servir para otros fines. El uso de esta información debe estar limitado solo a los usuarios que les corresponda para la ejecución de los procesos de negocio de Oblicua.
4. Almacenamiento: es el proceso de organizar la información en una secuencia predeterminada y la creación de un sistema de gestión para garantizar su utilidad dentro de Oblicua. Si no se establece un método de almacenamiento para la presentación de información, su recuperación y uso resultaría casi imposible. Se define La nube de Google como único destino de almacenamiento y mantenimiento de información. El almacenamiento de información de caracter local en los equipos de cada empleado o contratista se permite hasta 90 días después de su origen, tiempo después del cual debe ser almacenada en la nube según las directrices de cada área.
5. Destrucción: establece las prácticas para la eliminación de la información que ha cumplido los periodos de retención definidos y la información que ha dejado de ser útil para Oblicua. Los periodos de conservación de la información deberán estar basados en los requisitos normativos, legales y jurídicos que afectan a Oblicua. También deberán tenerse en cuenta las necesidades de negocio. Si ninguno de estos requisitos exige que la información sea conservada, deberá ser desechada mediante medios que garanticen su confidencialidad durante el proceso de destrucción, por ejemplo información relacionada a la planeación o ideación de proyectos. La información correspondiente a entregables acordados con clientes dentro de documentos contractuales, se almacenará hasta por 3 años después de su creación. Al momento de su eliminación se realizará un respaldo de los datos y se entregará por medio magnético a su correspondiente propietario (cliente).
El proceso de destrucción de información se regirá por el siguiente procedimiento, ya sea por tiempo de vigencia o por solicitud explícita de un tercero:
-
Validación de vigencia o necesidad de la información para uno o varios procesos de negocio de Oblicua.
-
Validación de propiedad de la información, se pasará al momento 3 si o solo si la información corresponde a un tercero, por ejemplo a un cliente.
-
Respaldo de la información y entrega correspondiente en medio magnético, por ejemplo un disco duro o USB.
-
Aviso a todos los usuarios con permiso de acceso a la información, dando 3 días de plazo para generar cualquier objeción al borrado.
-
Eliminación de la nube y equipos locales.
Oblicua y su líder de desarrollo deberán identificar medidas de seguridad de acuerdo con la presente Política para asegurar la correcta gestión del ciclo de vida de los activos.
PRIVACIDAD DE LA INFORMACIÓN Y DATOS PERSONALES. Respecto a la protección e datos personales de terceras personas, la gestión se realizará según lo consignado en nuestra política de uso de datos personales vigente y publicada en el sitio web www.oblicua.co
PREVENCIÓN DE FUGA DE INFORMACIÓN. Se deberá asegurar la formación y capacitación de todos los empleados y contratistas en torno a buenas prácticas para la prevención de fugas de información. Especialmente se deberán tener en cuenta, al menos, los siguientes aspectos:
-
Uso adecuado de dispositivos extraíbles como USBs,discos duros CD/DVDs o similares
-
Uso del correo electrónico
-
Transmisión de información de forma oral
-
Impresión de documentación
-
Salida de documentación y su autorización
-
Uso de dispositivos móviles propios y corporativos.
-
Escritorios limpios y ordenados (véase el apartado CLEAN DESKS)
-
Equipos desatendidos
DESARROLLO DE SISTEMAS Y SOFTWARE. Toda la adquisición, desarrollo y mantenimiento de los sistemas deberá contar con unos requisitos mínimos de seguridad necesarios para el desarrollo de software, los sistemas y los datos acorde con las buenas prácticas del sector. Además, deberá realizarse una gestión de las pruebas, el seguimiento de los cambios, y el inventario del software. Cada nueva implementación debe cumplir con la presente política de seguridad de la información antes de su puesta en marcha.
GESTIÓN DE INCIDENTES. Todos los empleados y contratistas de Oblicua tienen la obligación y responsabilidad de la identificación y notificación al Líder de desarrollo de cualquier incidente o delito que pudiera comprometer la seguridad de sus activos de información. Los esfuerzos deben siempre estar dirigidos a la prevención, con acciones como evaluación de riesgos, actualización de parches a sistemas propios y solicitud de la acción de actualización a proveedores en nube, prevención y análisis de presencia de Malware y campañas de sensibilización a todos los stakeholders sobre la seguridad de la informacion. Asimismo, se implementa un procedimientos para la correcta gestión de los incidentes detectados con las siguientes fases:
-
Criterio para identificar un incidente: Un incidente se hace real cuando hay un hecho que afecta directamente la disponibilidad, integridad o confidencialidad de la información, de nuestros servicios o sistemas por un acceso indebido.
-
Contención: Documentar las pruebas como primera medida sin excluir ninguna. Ningun activo involucrado en el incidente puede ser modificado o eliminado sin aprobación del Líder de desarrollo. Si las pruebas contienen información confidencial, estas deben ser encriptadas. Resolver la causa raíz y por ultimo identificar si otros equipos, sistemas o áreas de Oblicua están expuestas de un modo similar al identificado.
-
Después del incidente: Reuniones extraordinarias para repasar aprendizajes y preparar la gestión de futuros incidentes. Si la intervención del incidente actual funcionó, debe documentarse en la base de conocimiento de la empresa, alojada en la Nube de Google según ha dispuesto la gerencia.
GESTIÓN DE VULNERABILIDADES. Para los sistemas propios o de nuestros clientes, evaluamos rigurosamente los recursos probando e identificando las vulnerabilidades mediante escaneos y pruebas de penetración periódicas, según la sensibilidad y nivel de información que contengan. Para los sistemas propios, tenemos un calendario de verificación de vulnerabilidades. Para los sistemas de clientes, como sitios web, software contratado o a la medida, creamos un calendario de común acuerdo según las condiciones contractuales vigentes con cada uno. Además, nuestros clientes son libres de realizar pruebas a sus sistemas de forma abierta y transparente, los cuales en caso de encontrar alguna vulnerabilidad, deberán notificar por escrito a nuestro correo electrónico soporte@oblicua.co.
REVISIÓN DE LA POLÍTICA. La aprobación de esta Política implica que su implantación contará con el apoyo de la GERENCIA para lograr todos los objetivos establecidos en la misma, como también para cumplir con todos sus requisitos. La presente Política de Seguridad de la Información, será revisada y aprobada anualmente por la gerencia. No obstante, si tuvieran lugar cambios relevantes en la sociedad o se identificaran cambios significativos en el entorno de amenazas y riesgos, ya sean estos de tipo operativo, legal, regulatorio o contractual, se procederá a su revisión siempre que se considere necesario, asegurando así que la Política permanece adaptada en todo momento a la realidad de Oblicua.
Ûltima revisión y aprobación de esta política: junio 2 de 2024