Política de Seguridad de la Información

Home Política de Seguridad de la Información

POLÍTICA PARA LA SEGURIDAD DE LA INFORMACIÓN

 

En virtud del fuerte compromiso de AUTOMOTORES COMAGRO S.A.S. con el adecuado tratamiento de datos personales, garantizando además de la salvaguarda y seguridad de la información, en ejercicio del Habeas Data, la empresa establece las presentes Políticas aplicables para la seguridad de la información en la organización.

 

 

  1. OBJETIVO

 

La presente Política establece las directrices generales para la Seguridad de la Información al interior de AUTOMOTORES COMAGRO S.A.S., con el objetivo de brindar las condiciones de seguridad necesarias que impidan la adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento a la información que es tratada por AUTOMOTORES COMAGRO S.A.S.

 

 

  1. ALCANCE

 

Esta Política de Seguridad de la Información será aplicada en todos los aspectos administrativos, de gestión, logísticos y de control fijados por la empresa, que deben ser cumplidos por los directivos, funcionarios, contratistas, terceros que presten sus servicios, empleados de terceros, proveedores que estén regulados por términos contractuales, y en general todas aquellas personas que tengan algún tipo de relación con la manipulación de información en AUTOMOTORES COMAGRO S.A.S.

 

 

  1. POLÍTICAS ESPECÍFICAS PARA EL TRATAMIENTO DE DATOS PERSONALES.

 

  • INSTALACIÓN DE SOFTWARE

 

Propósito

Minimizar el riesgo de exposición y de infección por malware, evitando a su vez posibles sanciones por el uso de software sin licenciar.

 

Política

 

Los trabajadores no deben instalar software en los dispositivos de la compañía. Las peticiones de instalación de software deben ser aprobadas por el administrador de la red y el proceso de instalación debe ser realizado por personal calificado de la compañía.

 

Todo software que sea instalado debe tener licenciamiento comercial, ser de licenciamiento libre (Open Source, Free, Trial), o en su defecto la licencia debe provenir del Departamento de Sistemas.

 

 

  • USO DE DISPOSITIVOS DE ALMACENAMIENTO EXTERNO

 

Propósito

 

Minimizar el riesgo de exposición de información de la empresa o de infección por malware contenido en dispositivos externos de almacenamiento (Discos Duros externos, USBs, CDs, Diskettes, Teléfonos Celulares, Reproductores Multimedia, etc.).

 

 

Política

 

Está prohibido el uso de dispositivos de almacenamiento personales dentro de la infraestructura tecnológica de la compañía. En caso de requerirse alguno de estos dispositivos, se deben solicitar a modo de préstamo a los jefes de área correspondientes.

 

Una vez se termine de realizar la labor requerida con el dispositivo se debe eliminar toda la información contenida en el mismo, realizar una limpieza con un software de antivirus y retornarse al encargado.

 

 

  • USO DEL INTERNET EMPRESARIAL Y POLÍTICA DE MONITOREO

 

Propósito

 

El propósito de esta política es definir los estándares para el monitoreo y limitación de la navegación por Internet desde cualquier dispositivo en la red empresarial. Estos estándares están diseñados para asegurar que los empleados utilicen el Internet de forma segura y responsable.

 

Política

 

La Gerencia está en potestad de monitorear todas las comunicaciones entrantes y salientes dentro de la red de la organización. Esto incluye conocer la IP de origen, la fecha, la hora, el protocolo, el servidor o dirección de destino y los datos comunicados.

 

La Gerencia puede bloquear los sitios de Internet que se consideren inapropiados para el ambiente empresarial. Se considera una falta disciplinaria bajo cualquier circunstancia el acceso a páginas y sitios web de contenido sexual explícito, sitios de juegos o apuestas, sitios relacionados con sustancias ilícitas, sitios de citas y redes sociales, sitios de fraude, contenidos SPAM o en relación a delitos tipificados por la ley colombiana, contenido racista o de alguna forma ofensivo y discriminatorio, contenido violento, y todo contenido que no esté relacionado con el desarrollo de las finalidades de la empresa sin que medie previa autorización.

 

El acceso al internet dentro de Automotores Comagro se encuentra restringido y los permisos de navegación son otorgados de acuerdo al usuario del dominio el cual está clasificado dentro de un grupo de navegación y de acuerdo a éste el firewall le permite consultar ciertas páginas necesarias para desarrollar sus funciones de acuerdo al cargo. Dentro de la red corporativa se encuentran restringidos los accesos a correos personales los cuales no están autorizados, mensajería instantánea, telefonía a través de internet, descargas peer to peer, descargas de streaming, redes botnet, juegos y escritorios remotos basados en web.

 

Así mismo está totalmente prohibido el uso de la infraestructura empresarial para realizar ataques informáticos o similares. Además, está prohibido el uso del Internet en horas no autorizadas para acceder a contenido multimedia no asociado a la labor del empleado.

 

Cualquier intento por evadir los controles técnicos impuestos, será considerado en sí mismo una falta disciplinaria.

 

 

  • USO DE CORREO ELECTRÓNICO Y COMUNICACIONES PERSONALES

 

Propósito

 

Prevenir daños y perjuicios en la imagen o el nombre de la organización por el manejo incorrecto de los servicios de comunicación.

 

Política

 

Los diferentes medios de comunicación a disposición de los trabajadores no deben ser utilizados para la distribución de mensajes con contenido ofensivo, racista, discriminatorio, pornográfico, sexual, político, etc. Los empleados que reciban comunicaciones con este contenido deben eliminarlo inmediatamente y reportar el incidente si es de origen interno.

 

Utilizar los correos empresariales para comunicaciones personales está prohibido. En especial si es para la distribución de mensajes cadena, spam o de alguna forma comercial.

 

Los empleados no deben esperar privacidad alguna en contenido que almacenen o envíen como parte de los servicios de comunicación de la compañía. El no cumplimiento de las condiciones mencionadas anteriormente es considerado una falta disciplinaria y puede ser objeto de sanción.

 

Cada equipo de cómputo tiene asignado un usuario y una contraseña para poder acceder a la información de éste, así mismo, al estar unido a un dominio de red, este usuario tiene algunos privilegios de acceso a la red y los recursos de la misma. El correo electrónico de cada funcionario está configurado en el computador asignado y solo puede ser consultado si inicia sesión en su equipo y con el usuario y contraseña de dominio asignada.

 

 

  • COPIAS DE SEGURIDAD

 

Propósito

 

Evitar la pérdida de información de la empresa.

 

Política

 

Las copias de seguridad de la información se tomarán de forma automática diaria directamente desde el motor de base de datos. Las dos copias de respaldo se almacenarán en el servidor y luego serán comprimidas por el administrador de sistemas y/o profesional de redes y software y/o profesional de redes y software, copiadas a un disco externo el día inmediatamente siguiente, Automáticamente se están realizando copias completas del servidor a un servidor NASS de forma semanal.

 

Los funcionarios responsables de la gestión del almacenamiento y respaldo de la información deberán proveer los recursos necesarios para garantizar el correcto tratamiento de la misma.

 

Los dueños o responsables de los activos de información tecnológica y recursos informáticos deben definir las estrategias para la correcta y adecuada generación, retención, y rotación de las copias de respaldo y velar por el cumplimiento de los procedimientos de respaldo.

 

 

 

  • MANEJO DE CLAVES

 

Propósito

 

El propósito de esta política es establecer un estándar de generación de contraseñas seguras, la protección de dichas contraseñas y su frecuencia de cambio.

 

 

Política

 

Todas las contraseñas de nivel de sistema (Root, administrador, usuarios de Windows, etc., bases de datos), deben ser cambiadas al menos cada seis meses.

 

Todas las contraseñas de nivel de usuario (correo, cuentas personales), deben ser cambiadas al menos cada seis meses.

 

Todas las contraseñas utilizadas deben seguir las condiciones descritas a continuación: Contener al menos tres de los siguientes caracteres: Minúsculas, Mayúsculas, Números, Caracteres especiales (ej. #$%&/(“!.;), la longitud de la contraseña debe ser de al menos 8 caracteres, la contraseña no debe estar compuesta únicamente de palabras de diccionario, se deben evitar contraseñas tradicionales como password, 123456, qwerty, asdfg, etc.

 

Como base del correcto manejo de claves y contraseñas se presentan una serie de recomendaciones para el manejo correcto de las mismas:

 

    • Siempre utilice contraseñas diferentes para los servicios de la compañía y sus cuentas personales no relacionadas al ámbito laboral.
    • No comparta sus contraseñas con ningún tercero, incluso si este pertenece a la organización.
    • Las contraseñas nunca deben estar escritas en texto plano (jamás archivos llamados claves.txt y en el escritorio).
    • No revele las contraseñas por medios de comunicación desprotegidos como correo, mensajería instantánea, SMS, etc.
    • Evite utilizar la opción de recordar contraseña en navegadores y programas internos.

 

 

  • REGISTRO DE ACTIVIDAD Y SUPERVISIÓN

 

Propósito

 

Registrar eventos y generar evidencia.

 

 

Política

 

Se producirán revisiones regulares y cuidadosas a los registros de eventos que se graban de las actividades del usuario, excepciones, fallas y eventos de seguridad de la información.

 

Los registros de información se protegerán contra la manipulación y el acceso no autorizado. Las actividades del administrador del sistema y de la red serán registradas.

 

 

Estos registros serán protegidos y regularmente revisados.

 

Los relojes de todos los sistemas de informática relevantes serán sincronizados a una fuente de tiempo de referencia única.

 

 

  • LA SEGURIDAD FÍSICA Y AMBIENTAL

 

Propósito

 

Evitar el acceso físico no autorizado, daños e interferencia para la información de la organización y las instalaciones de procesamiento de información.

 

 

Política

 

Los equipos de cómputo deben estar situados y protegidos para reducir los riesgos de las amenazas ambientales y los riesgos y las oportunidades de acceso no autorizado.

El equipo deberá estar protegido contra fallas de energía y otras interrupciones causadas por fallas en el soporte de los servicios públicos. El cableado que transporta datos, energía y telecomunicaciones o el soporte de los servicios de información debe estar protegido contra la intercepción, interferencia o daños. Los equipos de cómputo deben tener un correcto mantenimiento para asegurar su continua disponibilidad e integridad.

 

Los equipos, la información o el software no se sacarán de las instalaciones de la empresa sin la previa autorización. Se aplicará seguridad a los activos fuera de las instalaciones, teniendo en cuenta los diferentes riesgos de trabajar fuera de las instalaciones de la organización. Solo los gerentes o directores tienen la autorización para sacar los equipos de la compañía, solo para fines laborales, en este caso no se deben transportar en vehículos públicos y los equipos deben guardarse en el baúl del vehículo; adicionalmente no deben permitir el acceso al computador por parte de terceros (familiares, amigos, conocidos, etc.) y velar por su correcta preservación.

 

Todos los elementos del equipo que contienen los medios de almacenamiento deberán ser verificados para garantizar que los datos sensibles y el software con licencia se han eliminado o sobrescrito de forma segura antes de su eliminación o reutilización.

 

Los usuarios deberán asegurarse de que el equipo que no cuenta con vigilancia tenga la protección adecuada.

 

Los puestos de trabajo deben estar limpios de papeles, soportes de almacenamiento extraíbles y cuando un computador este desatendido deberá bloquearse la pantalla.

 

Cuando sea apropiado, papeles y medios de información deben estar asegurados en armarios especiales, especialmente en horas fuera de las normales de trabajo.

 

 

  • REQUISITOS PARA EL CONTROL DE ACCESO

 

 

Propósito

 

Limitar el acceso de la información y a las instalaciones de procesamiento de la información.

 

 

Política

 

Los trabajadores tienen la obligación de vigilar y garantizar que se cumplan las siguientes medidas de seguridad:

 

    • El acceso a áreas seguras donde se procesa o almacena información confidencial y restringida, es limitado únicamente a personas autorizadas.
    • El acceso a áreas seguras, requieren esquemas de control de acceso, como tarjetas, llaves o candados.
    • El responsable de un área segura debe asegurar que no ingresen cámaras fotográficas, videos, teléfonos móviles con cámaras, salvo se tenga una autorización expresa.
    • Se restringe el acceso físico a dispositivos como: puntos de acceso inalámbricos, puertas de enlace a redes y terminales de red que estén ubicadas en las áreas seguras.
    • Para los casos de Teletrabajo se debe verificar que el equipo este apagado en el momento del desplazamiento y transportado en su respectivo maletín.

 

 

  • ACCESO A DATOS SENSIBLES DE LOS EMPLEADOS, relacionados con el estado de salud de la persona, estrato, información de familiares menores de 18 años y nivel de escolaridad.

 

Propósito

 

Garantizar que los datos sensibles relacionados con los datos de la salud, creencias religiosas, políticas, sexuales, entre otros de los trabajadores, estrato, información de familiares menores de 18 años, nivel de escolaridad, solo puedan ser conocidos por el personal competente y pertinente en virtud de sus funciones, teniendo en cuenta el principio de Acceso Restringido.

 

Política

 

Las finalidades para las que son tratados los datos sensibles en la empresa, son limitadas y especificadas en las respectivas autorizaciones otorgadas por el titular de la información.

 

De forma general, el tratamiento de datos sensibles en la empresa, estará limitado únicamente a las divisiones de Talento Humano, HSEQ y Financiera atendiendo las finalidades particulares autorizadas por el titular.

 

La empresa de forma particular y en los respectivos manuales de funciones según el cargo, determinará aquellos cargos particulares que podrán tener acceso a datos de carácter sensible, sin que ese acceso signifique una violación a la política de seguridad de acceso restringido.

 

Igualmente, aplican los mecanismos de seguridad identificados previamente como de acceso restringido a los datos personales.

 

 

  • SEGURIDAD DE LA INFORMACIÓN EN TORNO AL TALENTO HUMANO

 

En tratamiento de los datos personales, antes, durante y después de la relación laboral, se regirá según el procedimiento de T.HUMANO P01 P. DE SELECCIÓN CONTRATACION CAPACITACION Y EV. DE PERSONAL

 

 

  • CONFIDENCIALIDAD CON TERCEROS

 

Propósito

 

Establecer los requerimientos de confidencialidad en las relaciones con proveedores, contratistas, en particular con empleados y los terceros en general.

 

 

Política

 

Para el desarrollo de las relaciones contractuales, comerciales y laborales, se debe exigir a los terceros la aceptación de los acuerdos de confidencialidad definidos por la organización. En dichos acuerdos se debe establecer el compromiso de salvaguardar la información, velar por su correcto uso, impedir el uso no autorizado de dicha información y guardar reserva. Se debe estipular a su vez la información que es objeto de protección dentro del acuerdo y su temporalidad.

 

Los acuerdos deben incluirse dentro de los contratos celebrados entre la organización y terceros, como parte integral del contrato o firmarse como un acuerdo independiente. La aceptación de las condiciones de confidencialidad es indispensable para conceder al tercero el acceso a la información protegida.

 

 

  • SELECCIÓN DE       ENCARGADOS         PARA  TRANSMISIÓN         DE       DATOS PERSONALES

 

Propósito

 

Garantizar que en los eventos en los que se realicen transmisiones de datos personales, se elija el encargado teniendo en cuenta las prerrogativas que trata la normativa sobre protección de datos personales.

 

 

Política

 

AUTOMOTORES COMAGRO S.A.S., como responsable del tratamiento de datos personales, realice Transmisión de datos personales, es de imperativo cumplimiento por parte de la empresa, seguir los siguientes lineamientos:

 

    • Determinar cuál será el alcance del tratamiento que se permitirá realizar al Encargado.
    • Evaluar la competencia y capacidad del Encargado para realizar el tratamiento que se le encomendará.
    • Revisar el manual de políticas de tratamiento de datos personales propias del Encargado.
    • Examinar las medidas de seguridad implementadas por el Encargado para el tratamiento de los datos personales, y su compatibilidad con los estándares determinados por AUTOMOTORES COMAGRO S.A.S.
    • Suscribir un contrato de transmisión de datos personales.
    • Realizar auditorías para medir el nivel de protección de los datos personales en la ejecución del contrato de transmisión.

 

 

  • REVISIONES DE LA SEGURIDAD DE LA INFORMACIÓN

 

Propósito

 

Garantizar que la seguridad informática sea implementada y aplicada de acuerdo con las políticas y procedimientos de la organización.

 

 

Política

 

Los sistemas de información son revisados regularmente a través de Auditorias para cerciorarse que se da cumplimiento a las políticas y normas de seguridad de la información de la entidad.

 

 

  1. PROCESO PARA LA ATENCIÓN DE INCIDENTES

 

Toda vez que se presente algún incidente con la seguridad de la información tratada por AUTOMOTORES COMAGRO S.A.S, deberá adelantarse el siguiente procedimiento:

 

Reporte del Incidente: Ocurrido el incidente de seguridad, la primera persona que tenga conocimiento del mismo, deberá inmediatamente dirigirlo al área o persona encargada de la seguridad de la información, área de peticiones, quejas y reclamos, así como en el menor tiempo posible presentar un informe detallado sobre los hechos que del mismo se conocen.

 

Comunicación del Incidente ante la SIC: Todo incidente de seguridad de la información, deberá ser reportado ante la Superintendencia de Industria y Comercio, específicamente ante el Registro Nacional de Bases de Datos – RNBD-. El reporte de los incidentes es una obligación de AUTOMOTORES COMAGRO S.A.S, quien deberá realizarlo una vez haya sido notificados de la ocurrencia del mismo por parte de cualquier área de la compañía.

 

Reunión del comité de Habeas Data: El área o persona encargada de la seguridad de la información, Área de Sistemas, convocará de forma extraordinaria la reunión del Comité de la seguridad de la información, en el cual se desarrollarán los siguientes ítems.

 

    • Emisión del concepto técnico: Evaluados los Hechos del caso se deberá dar un concepto técnico que determina todas las contingencias surgidas en el caso en concreto.
    • Identificación de la falencia: Como resultado del concepto técnico, se deberá identificar plenamente la falencia que dio pasó al incidente de seguridad de la información.
    • Toma de Medidas: El comité deberá tomar las medias y los correctivos necesarios para evitar futuros incidentes.

 

 

  1. MODIFICACIÓN DE LAS POLÍTICAS

 

AUTOMOTORES COMAGRO S.A.S., se reserva el derecho de modificar la presente Política de Seguridad de la información en cualquier momento, comunicando de forma oportuna a todas aquellas personas que estén relacionadas o que participen en la manipulación de la información de la empresa para su correcta implementación.

 

 

  1. VIGENCIA

 

La presente Política rige a partir del 01 de Julio de 2017.

 

 

  1. PROCEDIMIENTOS ESPECÍFICOS PARA PROTEGER LA INFORMACIÓN

 

    • Todos los empleados de la compañía que sean notificados por un cliente, manifestando que no quieren ser contactados o quieren hacerlo por otro medio, deben enviar un correo a data@comagro.com.co con los datos del cliente, cédula y nombre; sistemas actualiza el ERP con esta información y mercadeo se encarga de no contactarlo o cambiar el medio de contacto con los proveedores de publicidad y de notificarle al asesor.

 

    • Las bases de datos pueden ser solicitadas por el líder de proceso, mediante correo electrónico al área de sistemas con las finalidades específicas de uso, se enviarán con niveles de seguridad considerados por sistemas; mercadeo es el único autorizado para distribuir las bases de datos con proveedores de contacto, call center o publicidad, si contacto al cliente por correo electrónico debe tener aviso de confidencialidad.

 

    • Procedimiento retiro de personal, todos los jefes deben reportar al área de sistemas el retiro del personal para realizar el back up al equipo y asegurarse de la entregar de todos los equipos asignados; Talento Humano debe solicitar el paz y salvo firmado por todos los jefes. La persona que no responda en un periodo de 24 horas posteriores al envío del correo se tomará como hecho el paz y salvo.

 

    • Las cámaras se deben revisar solo en caso de seguridad, no deben estar en las oficinas expuestas a que cualquier persona observe a los empleados, clientes, proveedores sin ninguna finalidad específica.

 

    • Las hojas de vida deben ser enviadas al correo electrónico seleccion@comagro.com.co, con el fin de recibir el aviso legal automático y proteger la información de las personas postulantes. Este es administrado por el personal de Talento Humano y debe estar establecido en todos los medios y plataformas para encontrar talentos como: computrabajo, sinergia, etc…

 

    • En caso robo o pérdida del aparato móvil y línea corporativa, el empleado debe reportar inmediatamente al proveedor de la línea (claro, movistar, tigo) y solicitar el bloqueo tanto de la línea telefónica como del aparato móvil, de igual forma proceder con el bloqueo del aparato telefónico y reportarlo a la policía nacional; el certificado de este reporte debe ser enviado al área Financiero para generar una nueva línea para el empleado.

 

 




SERGIO IGNACIO VALDERRAMA VERGARA

Gerente General

AUTOMOTORES COMAGRO S.A.S.

Style Selector

Primary Color

Color 1

Body Color

Light Color

Button Background

Button Background Hover

Color Custom 1

Color Custom 2