SEGURIDAD DE LA INFORMACIÓN

El contenido del presente artículo es privado y es considerado un documento interno de trabajo. 

NO ES AUTORIZADA NINGUNA DIFUSIÓN, COPIA O REPRODUCCIÓN POR NINGÚN MEDIO O MECANISMO SIN LA DEBIDA AUTORIZACIÓN Y CONTROL DE JKTIC SOLUCIONES SAS.

INTRODUCCIÓN

En la actualidad JKTIC Soluciones S.A.S reconoce la información como un activo valioso y con la continua evolución de los sistemas de información que apoyan los procesos de misión crítica, se requiere contar con estrategias de alto nivel que permitan el control y administración efectiva de los datos. Nuestra institución, clientes, los sistemas y la red de información enfrentan diversas amenazas de seguridad como el fraude computacional e informático, sabotaje, espionaje, vandalismo y robo. La probabilidad de daño y pérdida de la información por causa de código malicioso, mal uso o ataque DoS (ataques  de denegación  de servicio); son cada vez más comunes. 

Con la promulgación de la presente Política de Seguridad de la Información, JKTIC Soluciones S.A.S formaliza su compromiso con el proceso de gestión responsable de información que tiene como objetivo garantizar la integridad, confidencialidad y disponibilidad de este importante activo.

TÉRMINOS Y DEFINICIOES

1. Información: Toda forma de conocimiento objetivo con representación física o lógica explícita.
2. Activo de Información: Datos o información propiedad de JKTIC que se almacena en cualquier tipo de medio y que es considerada por la misma como sensitiva o crítica para el cumplimiento de los objetivos misionales.
3. Sistema de Información: Conjunto ordenado de elementos cuyas propiedades se relacionan e interaccionan permitiendo la recopilación, procesamiento, mantenimiento, transmisión y difusión de información utilizando diferentes medios y mecanismos.
4. Propietario de Activos de Información: En el contexto de la norma NTC 27001, un propietario de activos de información es cualquier persona o entidad a la cual se le asigna la responsabilidad formal de custodiar y asegurar un activo de información o un conjunto de ellos. 
5. Tecnología de la Información: Conjunto de hardware y software operados por la entidad o por un tercero en su nombre, que componen la plataforma necesaria para procesar y administrar la información que requiere la entidad para llevar a cabo sus funciones.
6. La comisión técnica Seguridad de la Información: La comisión técnica Seguridad de la Información, es un cuerpo integrado por diferentes representantes de JKTIC, destinado a garantizar el apoyo manifiesto de las directivas a las iniciativas de seguridad. Su función principal es definir, estructurar, recomendar, hacer seguimiento y mejorar el Sistema de Gestión de Seguridad de la Información (SGSI).
7. Responsable de Seguridad Informática: Coordinador general del Comité de Seguridad de la Información. Su función principal es  supervisar el cumplimiento de la presente Política y los lineamientos del SGSI. 
8. Grupo responsable de Seguridad Informática: Grupos de apoyo creado en dependencias de JKTIC que manejan información sensible o crítica y que se encargan de velar por la operación del SGSI.  
9. Cadena de custodia: Es la aplicación de una serie de normas y procedimientos tendientes a asegurar, depositar y proteger cada activo de información para evitar la pérdida de integridad, disponibilidad o confidencialidad.

ACERCA DE LA SEGURIDAD DE LA INFORMACIÓN

La seguridad de la información se entiende como la preservación, aseguramiento y cumplimiento de las siguientes características de la información:

1. Confidencialidad: La información será protegida para que no sea divulgada sin consentimiento del cliente o persona a cargo y solo puedan ser accedidos y/o custodiados por quienes tengan permisos para ello.
2. Integridad: El contenido de los activos de información debe permanecer inalterado y completo. Se lleva un control de registros de las modificaciones realizadas.
3. Disponibilidad: La información será accesible por Internet y su frecuencia de uso lo determina cada compañía.

Para ello es necesario considerar aspectos tales como:

1. Autenticidad: Los activos de información los crean, editan y custodian usuarios reconocidos quienes validan su contenido.
2. Posibilidad de Auditoría: Se mantienen evidencias de todas las actividades y acciones que afectan a los activos de información.
3. No repudio: Los autores, propietarios y usuarios de los activos de información se pueden identificar plenamente.
4. Legalidad: Los activos de información cumplen los parámetros legales, normativos y estatutarios de la institución.
5. Confiabilidad de la Información: Es fiable el contenido de los activos de información que conserven la confidencialidad, integridad, disponibilidad, autenticidad y legalidad. Datos o información propiedad de la entidad. 

ORGANIZACIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN

JKTIC Soluciones S.A.S garantiza el apoyo al proceso de implementación, operación, seguimiento, revisión, mantenimiento y mejora del Sistema de Gestión de la Seguridad de la Información que hace parte integral la presente política,  por  medio de la creación de una comisión técnica Seguridad de la Información cuya composición y funciones serán reglamentadas por una mesa de trabajo compuesta por:

1. Gerente General
2. Ejecutivo Comercial
3. Director de Proyectos

En todo caso, dicha comisión deberá revisar y actualizar anualmente esta política  presentando propuestas a las directivas de JKTIC Soluciones para su aprobación mediante Política de Seguridad de la Información. Los jefes de cada departamento hacen parte del grupo responsable de Seguridad de la Información y por tanto deben seguir los lineamientos de gestión enmarcados en esta política y en los estándares, normas, guías y procedimientos recomendados por la comisión técnica Seguridad de la Información y aprobados por cada directiva.

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

Generalidades

La información es un recurso que como el resto de los activos, tiene valor para institución y por consiguiente  debe ser debidamente protegida. El establecimiento, seguimiento, mejora continua y aplicación de la Política de Seguridad de la Información garantiza un compromiso ineludible de protección a la misma frente a una gran variedad de amenazas. Además se contribuye a minimizar los riesgos asociados a daño, asegurando el eficiente cumplimiento de las funciones sustantivas de la entidad apoyadas en un correcto sistema de información.; y establecer mecanismos para respaldar el estudio, desarrollo, difusión, actualización y consolidación de la presente política como de los demás componentes del Sistema de Gestión de la Seguridad de la Información.

Alcance

Esta política es de aplicación en el conjunto de los departamentos que componen la institución, a sus recursos, a la totalidad de los procesos internos o externos vinculados a JKTIC a través de contratos o acuerdos con terceros y a todo el personal de JKTIC Soluciones S.A.S, cualquiera sea su situación contractual, la dependencia a la cual se encuentre adscrito y el nivel de las tareas que desempeñe.

Objetivos

1. Proteger, preservar y administrar objetivamente la información de JKTIC Soluciones S.A.S  junto con las tecnologías utilizadas en sus procesos; frente a amenazas internas y/o externas, deliberadas o accidentales, con el fin de segurar el cumplimiento de las características de confidencialidad, integridad, disponibilidad, legalidad, confiabilidad y no repudio de la información.
2. Velar que la Política de la Seguridad de la Información se encuentre: actualizada, vigente, operativa y auditada dentro del marco determinado por los riesgos globales y específicos de JKTIC para asegurar su permanencia y nivel de eficacia.
3. Definir las directrices de JKTIC Soluciones S.A.S para la correcta valoración, análisis y evaluación de los riesgos de seguridad asociados a la información y su impacto. Además identificar y evaluar diferentes opciones para su tratamiento con el fin de garantizar la continuidad e integridad de los sistemas de información. 

Responsabilidad

La Política de Seguridad de la Información es de aplicación obligatoria para todo el personal de JKTIC Soluciones S.A.S. Las directivas que aprueban esta Política, son responsables de la autorización de sus modificaciones. La comisión técnica Seguridad de la Información es responsable de revisar y proponer a las directivas institucionales para su aprobación, el texto de la Política de Seguridad de la Información, las funciones generales en materia de seguridad de la información y la estructuración, recomendación, seguimiento y mejora del Sistema de Gestión de Seguridad de la institución. Es responsabilidad de dicho comité definir las estrategias de capacitación en materia de seguridad de la información al interior de JKTIC. El Coordinador de la comisión técnica Seguridad de la Información será el responsable de coordinar las acciones de comisión técnica Seguridad de la Información y de impulsar la  implementación y cumplimiento de la presente Política. 

El grupo responsable de Seguridad Informática será responsable de cumplir funciones relativas a la seguridad de los sistemas de información de la entidad y clientes. El nivel de supervisión que pueda realizar cada grupo responsable de seguridad, está relacionado con el talento humano que lo conforma y en todo caso deberá ser aprobado por la comisión técnica Seguridad de la Información. Los propietarios de activos de información (ver su definición en el glosario) son responsables de la clasificación, mantenimiento y actualización de la misma; así como de documentar y mantener actualizada la clasificación efectuada, definiendo qué usuarios deben tener permisos de acceso a la información de acuerdo a sus funciones, competencias y módulos adquiridos por la compañía. En general, tienen la responsabilidad de mantener íntegro, confidencial y disponible el activo de información mientras que es desarrollado, producido, mantenido y utilizado.

El Director Recursos Humanos cumplirá la función de notificar a todo el personal que se vincula contractualmente con la JKTIC, de las obligaciones respecto del cumplimiento de la Política de Seguridad de la Información y de todos los estándares, procesos, procedimientos, prácticas y guías que surjan del Sistema de Gestión de la Seguridad de la Información. De igual forma, será responsable de la notificación de la presente Política y de los cambios que en ella se produzcan a todo el personal, a través de la suscripción de los Compromisos de Confidencialidad y de tareas de capacitación continua en materia de seguridad según lineamientos dictados por la comisión técnica Seguridad de la Información.

El Coordinador de Calidad verificará el cumplimiento de la presente Política en la gestión de todos los contratos, acuerdos u otra documentación de la entidad con empleados y con terceros. Asimismo, asesorará en materia legal a la entidad en lo que se refiere a la seguridad de la información. Los usuarios de la información y de los sistemas utilizados para su procesamiento son responsables de conocer y cumplir la Política de Seguridad de la Información vigente. La Oficina de Control Interno es responsable de practicar auditorías periódicas sobre los sistemas y actividades vinculadas con la gestión de activos de información y la tecnología de información. Es su responsabilidad informar sobre el cumplimiento de las especificaciones y medidas de seguridad de la información establecidas por esta Política y por las normas, procedimientos y prácticas que de ella surjan.

Todo el personal de JKTIC Soluciones S.A.S. debe seguir los lineamientos de la presente política y cumplir los requerimientos que en materia de seguridad informática se establezcan para la operación, administración, comunicación y mantenimiento de los sistemas de información y los recursos de tecnología de la entidad. Si algun funcionario identifica alguna anomalía es su obligación notificarla a la institución.

IDENTIFICACIÓN, CLASIFICACIÓN Y VALORACIÓN DE ACTIVOS DE INFORMACIÓN

Cada departamento bajo supervisión de la comisión técnica Seguridad de la Información, debe elaborar e ingresar los activos de información que poseen (procesada y producida). Las características de los activos de información donde se incorpore la clasificación, valoración, ubicación y acceso de la información, las especifica la comisión técnica Seguridad de la Información, correspondiendo a brindar herramientas que permitan la administración del inventario por cada departamento, garantizando la disponibilidad, integridad y confidencialidad de los datos que lo componen.

SEGURIDAD DE LA INFORMACIÓN EN EL RECURSO HUMANO

Todo el personal de JKTIC Soluciones S.A.S sea cualquiera su situación contractual, el departamento al cual se encuentre adscrito y el nivel de las tareas que desempeñe debe tener asociado un perfil de uso de los recursos de información, incluyendo el hardware y software asociado. La comisión técnica Seguridad de la Información determina cuales son los atributos que deben definirse para los diferentes perfiles. Además dicha comisión debe elaborar, mantener, actualizar, mejorar y difundir el manual de “Responsabilidades Personales para la Seguridad de la Información”.

Responsabilidades del personal de JKTIC

Todo el personal de JKTIC Soluciones S.A.S, cualquiera sea su situación contractual, la dependencia a la cual se encuentre adscrito y las tareas que desempeñe debe firmar un acuerdo que contenga los términos y condiciones que regulan el uso de recursos de TI y las reglas y perfiles que autorizan el uso de la información institucional. El departamento de Recursos Humanos junto con el departamento de Sistemas se encargarán de crear, actualizar, mantener y ejecutar un plan de capacitación en seguridad de la información que propenda por el crecimiento continuo de la conciencia individual y colectiva en temas de seguridad de la información. El departamento de Sistemas encargarán de crear y mantener un centro documental en el sistema Condor Suite, con acceso a información relacionada con temas de seguridad de la información tales como responsabilidad en la administración de archivos, buenas prácticas, amenazas de seguridad, entre otros.

Responsabilidades de Usuarios Externos

Todos los usuarios externos deben estar autorizados por una Política de Seguridad de la Información, ya sea por un miembro de JKTIC o por el representante del cliente quien será responsable del control y vigilancia del uso adecuado de la información y los recursos de TI institucionales. Estos usuarios tendrán acceso siempre y cuando:

1. Laboren en la empresa que adquirió el software.
2. Realicen algún tipo de asesoramiento.
3. Entrenamiento de personal.

En cualquier caso la responsabilidad de acceso de usuarios a los sistemas del cliente es responsabilidad única y exclusiva de este, por lo cual JKTIC Soluciones no es responsable en estos procesos.

SEGURIDAD FÍSICA Y DEL ENTORNO

El acceso debe ser controlado y restringido a los servidores, y ambientes de las diferentes compañías usuarias del algún sistema habilitado por JKTIC. Los servidores que contengan información y servicios institucional deben ser mantenidos en un ambiente seguro y protegido por los menos con:

1. Controles de acceso y seguridad física.
2. Detección de incendio y sistemas de extinción de conflagraciones.
3. Controles de humedad y temperatura.
4. Bajo riesgo de inundación.
5. Sistemas eléctricos regulados y respaldados por fuentes de potencia ininterrumpida (UPS).

No se permite el alojamiento de información institucional en servidores externos sin que medie una aprobación de la comisión técnica Seguridad de la Información. Además la comisión técnica Seguridad de la Información debe asegurar que la infraestructura de servicios de TI este cubierta por mantenimiento y soporte adecuados de hardware y software. Los medios que alojan copias de seguridad deben ser conservados de forma correcta de acuerdo a las políticas y estándares que para tal efecto elabore y mantenga.

ADMINISTRACIÓN DE LAS COMUNICACIONES Y OPERACIONES

Reporte e investigación de incidentes de seguridad

El personal de JKTIC debe reportar con diligencia, prontitud y responsabilidad; presuntas violaciones de seguridad a través de su jefe de departamento. La comisión técnica Seguridad de la Información debe preparar, mantener y difundir las normas, procesos y guías para el reporte e investigación de incidentes de seguridad. También mantendrá procedimientos escritos para la operación de sistemas cuya no disponibilidad suponga un impacto alto en el desarrollo normal de actividades. A dichos sistemas se debe realizar seguimiento continuo del desempeño para asegurar la confiabilidad del servicio que prestan.

Protección contra software malicioso y hacking

Todos los sistemas informáticos deben ser protegidos teniendo en cuenta un enfoque multinivel que involucre controles humanos, físicos técnicos y administrativos. La comisión técnica Seguridad de la Información elaborará y mantendrá un conjunto de políticas, normas, estándares, procedimientos y guías que garanticen la mitigación de riesgos asociados a amenazas de software malicioso y técnicas de hacking. 

Copias de Seguridad

Las copias de seguridad se realizaran con una frecuencia de 24 horas, todos los datos relevantes para la organización deben tener su respectivo respaldo, el equipo de JKTIC velara porque el procedimiento de respaldo sea realizado correctamente y la información tenga al menos 1 respaldo actualizado

Intercambio de Información con Organizaciones Externas

Las peticiones de información por parte de entes externos de control deben ser aprobadas por las directivas de JKTIC.

Internet y Correo Electrónico

Las normas de uso de Internet y de los servicios de correo electrónico serán elaboradas, mantenidas y actualizadas por la comisión técnica Seguridad de la Información y en todo caso este comité debe velar por el cumplimiento del código de ética institucional y el manejo responsable de los recursos de tecnologías de la información. 

Instalación de Software

Todas las instalaciones de software que se realicen sobre sistemas de JKTIC deben ser aprobados por el Ejecutivo de Cuenta y/o Gerente de proyectos (según aplique el tipo de software), de acuerdo a los procedimientos elaborados para tal fin por dichas dependencias. No se permite la instalación de software que viole las leyes de propiedad intelectual y derechos de autor en especial la ley 23 de 1982 y relacionadas.

CONTROL DE ACCESO

Categorías de Acceso

El acceso a los recursos de tecnologías de información institucionales deben estar restringidos según los perfiles de usuario definidos por la comisión técnica Seguridad de la Información. Política de Seguridad de la Información.

Control de Claves y Nombres de Usuario

El acceso a información restringida debe estar controlado. Se recomienda el uso de los módulos que pertenecen al software distribuido por JKTIC que permite: Elaborar, mantener y publicar los documentos y procedimientos de la institución a su personal y/o terceros (si aplica). El control de las contraseñas de acceso a los ambientes y uso de equipos es responsabilidad de cada usuario. Dichas contraseñas son encriptadas y almacenadas de forma segura. Las claves de administrador de los sistemas deben ser controladas por el departamento de sistemas y/o proyectos. Como requisito para la terminación de relación contractual o laboral del personal de JKTIC o una compañía (cliente), se debe expedir un certificado de cancelación de las cuentas de usuario asignadas.             

Auditoria y Seguimiento

Todo uso que se haga de los recursos de tecnologías de la información en JKTIC deben ser seguidos y auditados de acuerdo con los lineamientos del Código de Ética y del Código de Uso de Recursos de Tecnologías de la Información, el cual debe ser elaborado por la comisión técnica Seguridad de la Información.

Acceso Remoto

El acceso remoto a servicios de red ofrecidos por JKTIC debe estar sujeto a medidas de control definidas por el departamento de sistemas, las cuales deben incluir acuerdos escritos de seguridad de la información. 

ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS SOFTWARE

Para apoyar los procesos operativos y estratégicos JKTIC debe hacer uso intensivo de las TIC (Tecnologías de la Información y las Comunicaciones). Los sistemas de software utilizados pueden ser adquiridos a través de terceras partes o desarrollados por personal propio. El departamento de Sistemas debe elegir, elaborar, mantener y difundir el “Método de Desarrollo de Sistemas Software en JKTIC Soluciones S.A.S.” que incluya lineamientos, procesos, buenas prácticas, plantillas y demás artefactos que sirvan para regular los desarrollos de software internos en un ambiente de mitigación del riesgo y aseguramiento de la calidad. JKTIC no debe emprender procesos de desarrollo o mantenimiento de sistemas software que tengan asociados riesgos altos no mitigados.

ADMINISTRACIÓN DE CONTINUIDAD DEL NEGOCIO

La Administración de Continuidad del Negocio debe ser parte integral del Plan de Administración de Riesgo de JKTIC. 

REFERENCIAS

1. ISO 27001:2005. Sistemas de gestión de Seguridad en la Información– Requerimientos .
2. ISO/IEC  13335­1:2004.  Tecnología   de   la   información   –   Técnicas   de   seguridad   –   Gestión   de seguridad en tecnología de información y comunicaciones – Parte 1: Conceptos y modelos para la gestión de seguridad en la tecnología de la información y comunicaciones.
3. ISO/IEC TR 13335­3:1998. Lineamientos para la Gestión de Seguridad TI – Parte 3: Técnicas para la gestión de la seguridad TI .
4. ISO/IEC 13335­4:2000. Lineamientos para la Gestión de la Seguridad TI – Parte 4: Selección de salvaguardas. 
5. ISO 14001:2004. Sistemas de gestión ambiental – Requerimientos con lineamiento para su uso 
6. ISO/IEC   TR   18044:2004.Tecnología   de   la   información   –   Técnicas   de  seguridad   –   Gestión   de incidentes en la seguridad de la información .
7. ISO/IEC   19011:2002.  Lineamientos   para   la   auditoría   de   sistemas   de   auditoría   y/o   gestión ambiental 
8. ISO/IEC Guía 62:1996. Requerimientos generales para los organismos que operan la evaluación y certificación/registro de sistemas de calidad. 
9. ISO/IEC   Guía   73:2002.  Gestión   de   riesgo   –Vocabulario   –   Lineamientos   para   el   uso   en estándares .
10. NIST SP 800­30. Guía de Gestión de Riesgo para los Sistemas de Tecnología de la Información. 
11. ISO 9001:2000. Sistemas de gestión de calidad – Requerimientos .