En Malena Engineering, la información es un activo fundamental para la prestación de sus servicios y la toma de decisiones eficientes, razón por la cual existe un compromiso expreso de protección de sus activos más significativos, como parte de una estrategia orientada a la continuidad del negocio, la administración de riesgos y la consolidación de una cultura de seguridad.
Consciente de sus necesidades actuales, Malena Engineering implementa un modelo de
gestión de seguridad de la información como herramienta que permita identificar y minimizar los riesgos a los cuales se expone la información, ayuda a la reducción de costes operativos y financieros, estableciendo una cultura de seguridad y garantizando el cumplimiento de los requerimientos legales, contractuales, regulatorios y de negocio vigentes.
El proceso de análisis de riesgos de los activos de información es el soporte para el desarrollo de las Políticas de Seguridad de la Información, así como de los controles y objetivos de control
seleccionados para obtener los niveles de protección esperados en Malena Engineering; este proceso será liderado de manera permanente por el Responsable de Seguridad.
Esta política será revisada con regularidad como parte del proceso de revisión por la dirección, o cuando se identifiquen cambios significativos en el negocio, su estructura, sus objetivos o alguna condición que afecten la política, para asegurar que sigue siendo adecuada y ajustada a los requerimientos identificados.
Políticas generales de Seguridad de la Información
Malena Engineering ha establecido las siguientes directrices en su Política General de
Seguridad de la Información, las cuales representan la visión de la Organización en cuanto a la protección de sus activos de Información:
- Existirá un Comité de Gestión, que será el responsable del mantenimiento, revisión y
mejora del Sistema de Gestión de Seguridad de la Información de Malena Engineering. - Los activos de información de Malena Engineering, serán identificados y clasificados
para establecer los mecanismos de protección necesarios. - Malena Engineering definirá e implantará controles para proteger la información contra violaciones de autenticidad, accesos no autorizados y pérdida de integridad, que
garanticen la disponibilidad de los servicios ofrecidos por Malena Engineering y requeridos por los clientes y usuarios. - Todos los empleados y/o contratistas serán responsables de proteger la información a la cual accedan y procesen, para evitar su pérdida, alteración, destrucción o uso
indebido. - Se realizarán auditorías y controles periódicos sobre el modelo de gestión de
Seguridad de la Información de Malena Engineering. - Únicamente se permitirá el uso de software autorizado, que haya sido adquirido
legalmente por la Organización. - Es responsabilidad de todos los empleados y contratistas de Malena Engineering
informar de los Incidentes de Seguridad, eventos sospechosos o mal uso de los
recursos que pudieran identificarse. - Las violaciones de la Política y Controles de Seguridad de la Información serán
informadas, registradas y monitorizadas. - Malena Engineering contará con un Plan de Continuidad del Negocio que asegure la
continuidad de las operaciones, ante la ocurrencia de eventos no previstos o desastres naturales. Adicionalmente Malena Engineering cuenta con políticas específicas y un
conjunto de estándares y procedimientos que soportan la política corporativa.
Acuerdos de Confidencialidad
Todos los empleados de Malena Engineering y/o terceros deben aceptar los acuerdos de confidencialidad definidos por la Organización, los cuales reflejan los compromisos de protección y buen uso de la información, de acuerdo con los criterios establecidos por ella.
En el caso de contratistas y personas o entidades externas, los respectivos contratos deben incluir una cláusula de confidencialidad que regule el acceso a la información y/o a los recursos de Malena Engineering.
Estos acuerdos deben aceptarse por cada uno de ellos como parte del proceso de contratación, razón por la cual dicha cláusula y/o acuerdo de confidencialidad hace parte integral de cada uno de los contratos.
Riesgos relacionados con terceros
Malena Engineering identifica los posibles riesgos que se pueden generar durante el acceso, procesamiento, comunicación o gestión de la información y la infraestructura para su procesamiento por parte de los terceros, con el fin de establecer los mecanismos de control necesarios para que la seguridad se mantenga.
Los controles que se establezcan como necesarios a partir del análisis de riesgos, deben ser comunicados y aceptados por el tercero mediante la firma de acuerdos, como paso previo a la entrega de los accesos requeridos.
Uso adecuado de los activos
El acceso a los documentos físicos y digitales estará determinado por las normas relacionadas con el acceso y restricciones a los documentos públicos, a la competencia de cada área y a los permisos y niveles de acceso de los empleados y contratistas determinadas por los Jefes de Área.
Para la consulta de documentos cargados en el gestor documental corporativo se establecerán privilegios de acceso a los empleados y/o contratistas de acuerdo con el desarrollo de sus funciones y competencias. Dichos privilegios serán establecidos por el Jefe o Director del Área, quien comunicará al área técnica el listado con los empleados y sus privilegios.
Todos los empleados y terceros que manipulen información en el desarrollo de sus funciones deberán firmar un “acuerdo de confidencialidad de la información”, donde individualmente se comprometan a no divulgar, usar indebidamente o explotar la información confidencial a la que tengan acceso, respetando los niveles establecidos para la clasificación de la información; y que cualquier violación a lo establecido en este parágrafo será considerada como un “incidente de seguridad”. Puede ser aplicable el proceso disciplinario definido en el Estatuto de los Trabajadores en su Campítulo IV, Faltas y sanciones de los trabajadores, en caso de violaciones intencionadas de la seguridad.
Acceso a Internet/Correo electrónico/Recursos tecnológicos
Los usuarios con acceso a Internet, deben esforzarse en hacer y promover un uso eficiente de las redes a fin de evitar tráfico innecesario en la red y generar interferencias en el trabajo de otros usuarios o con otras redes asociadas, así como con los servicios que éstas ofrecen.
El uso del sistema informático de Malena Engineering para acceder a redes privadas o públicas, se limitará a los aspectos directamente relacionados con la actividad y los cometidos del puesto de trabajo del usuario. Se hará un uso responsable del correo electrónico, así como de la información transmitida a través de este medio, preservando su confidencialidad e integridad. Sólo está permitido conectarse a servicios que dispongan de conexión cifrada extremo a extremo (https).
Cualquier fichero introducido en la red o en el terminal del usuario a través de mensajes de correo electrónico que provengan de redes externas, deberá cumplir los requisitos establecidos en estas normas y, en especial, las referidas a propiedad intelectual e industrial y a control de virus o cualquier tipo de código malicioso.
Está permitida la utilización de la información a la que se tenga acceso en Malena Engineering únicamente en la forma exigida para el desempeño de sus funciones en la organización y no puede disponer de ella de ninguna otra forma o para otra finalidad diferente.
La salida de soportes informáticos y dispositivos móviles fuera de la organización precisa autorización. Dicha autorización deberá ser otorgada por consentimiento de su responsable directo.
Se protegerán los registros (contables, facturas, contratos,…) frente a la pérdida, destrucción, falsificación, revelación o acceso no autorizado de acuerdo a la normativa vigente.
Se prohíben expresamente las siguientes actividades:
- No está permitido instalar “motu propio” ningún tipo de código (tanto paquetes de software comercial como de desarrollo propio) en el sistema de información de Malena Engineering. Todas aquellas aplicaciones necesarias para el desempeño de su trabajo serán instaladas únicamente por personal debidamente autorizado de la organización.
- Intentar distorsionar, modificar o borrar los registros (LOGs) del sistema
- Intentar leer, borrar, copiar o modificar los mensajes de correo electrónico o archivos de otros usuarios. (Esta actividad puede constituir un delito de interceptación de las telecomunicaciones, previsto en el artículo 197 del Código Penal).
- Utilizar el sistema para intentar acceder a áreas restringidas de los sistemas informáticos, tanto corporativos como de terceros.
- Intentar aumentar sin autorización el nivel de privilegios de un usuario en el sistema.
- Destruir, alterar, inutilizar o, de cualquier otra forma, dañar los datos, programas o documentos electrónicos de Malena Engineering o de terceros. (Estos actos pueden constituir un delito de daños, previsto en el artículo 264.2 del Código Penal).
- Obstaculizar voluntariamente el acceso de otros usuarios a la red mediante el consumo masivo de los recursos informáticos y telemáticos de la empresa, así como realizar acciones que dañen, interrumpan o generen errores en dichos sistemas.
- Enviar mensajes de correo electrónico de forma masiva o con fines comerciales o publicitarios sin el consentimiento de Malena Engineering, así como enviar o reenviar mensajes en cadena o de tipo piramidal
- Introducir voluntariamente programas, virus, macros, applets o cualquier otro dispositivo lógico o secuencia de caracteres que causen o sean susceptibles de causar cualquier tipo de alteración en los sistemas informáticos de la entidad o de terceros.
- El usuario tendrá la obligación de utilizar los programas antivirus y sus actualizaciones para prevenir la entrada en el sistema de cualquier elemento destinado a destruir o corromper los datos informáticos.
- Introducir o descargar de Internet, reproducir, utilizar o distribuir programas informáticos no autorizados expresamente por Malena Engineering, o cualquier otro tipo de obra o material cuyos derechos de propiedad intelectual o industrial pertenezcan a terceros, cuando no se disponga de autorización para ello.
- Instalar copias ilegales de cualquier programa, incluidos los corporativos.
- Borrar cualquiera de los programas instalados legalmente sin autorización de Malena Engineering
- Utilizar los recursos telemáticos de Malena Engineering, incluido el acceso a Internet, para actividades que no se hallen directamente relacionadas con el puesto de trabajo del usuario.
- Queda prohibido utilizar los recursos del sistema de información a los que tenga acceso para uso privado o para cualquier otra finalidad diferente de las estrictamente laborales.
- Queda terminantemente prohibido facilitar a persona alguna ajena a Malena Engineering,ningún soporte conteniendo datos, a los que haya tenido acceso en el desempeño de sus funciones, sin la debida autorización.
- Queda terminantemente prohibido utilizar ninguna información que hubiese podido obtener por su condición de empleado de Malena Engineering, y que no sea necesario para el desempeño de sus funciones.
- No podrán divulgar ni utilizar directamente, ni a través de terceras personas o empresas, los datos, documentos, metodologías, claves, análisis, programas y demás información a la que tengan acceso durante su relación laboral con Malena Engineering, tanto en soporte material como electrónico. Todos los compromisos anteriores deben mantenerse, incluso después de extinguida la relación laboral con Malena Engineering.
- En el caso de que, por motivos directamente relacionados con el puesto de trabajo, el empleado entre en posesión de información confidencial bajo cualquier tipo de soporte, deberá entenderse que dicha posesión es estrictamente temporal, con obligación de secreto y sin que ello le irrogue derecho alguno de posesión, o titularidad o copia sobre la referida información. Asimismo, el trabajador deberá devolver dichos materiales a Malena Engineering inmediatamente después de la finalización de las tareas que han originado el uso temporal de los mismos y, en cualquier caso, a la finalización de la relación laboral. La utilización continuada de la información en cualquier formato o soporte de forma distinta a la pactada y sin conocimiento de la empresa, no supondrá, en ningún caso, una modificación de esta cláusula. El incumplimiento de esta obligación puede constituir un delito de revelación de secretos, previsto en el artículo 197 y siguientes del Código Penal y dará derecho a Malena Engineering a exigir al usuario una indemnización económica. Asimismo, se recuerda que el trabajador será responsable frente a la organización y frente a terceros de cualquier daño que pudiera derivarse para unos u otros del incumplimiento de los compromisos anteriores y resarcirá a Malena Engineering las indemnizaciones, sanciones o reclamaciones que ésta se vea obligada a satisfacer como consecuencia de dicho incumplimiento.
- Introducir contenidos obscenos, inmorales u ofensivos y, en general, carentes de utilidad para las finalidades propias de la empresa, en la red corporativa del mismo.
- Queda terminantemente prohibido la creación o modificación de Documentación implicada en el alcance o de nuevos ficheros por parte de los usuarios no autorizados.
Malena Engineering se reserva el derecho de revisar, con previo aviso, los mensajes de correo electrónico de los usuarios de la red y los archivos LOG del servidor, con el fin de comprobar el cumplimiento de estas normas y prevenir actividades que puedan afectar a la organización como responsable civil subsidiario.
La documentación en soporte papel deberá ser guardada y custodiada en sus archivos correspondientes.
Respecto a documentación impresa, el usuario será responsable de su recogida, que deberá efectuarse con carácter inmediato, evitando el acceso a la documentación por usuarios no autorizados.
La documentación que no sea de utilidad para el usuario deberá ser destruida utilizando para ello las destructoras de papel existentes (dependiendo de la naturaleza de la información que haya en esos documentos).
Protección y ubicación de los equipos
Los equipos que forman parte de la infraestructura tecnológica de Malena Engineering, tales como servidores, equipos de comunicaciones y seguridad electrónica, centros de cableado, equipos de climatización, así como estaciones de trabajo y dispositivos de almacenamiento y/o comunicación móvil que contengan y/o brinden servicios de soporte a la información crítica de las dependencias, deben ser ubicados y protegidos adecuadamente para prevenir la pérdida, daño, robo o acceso no autorizado de los mismos. De igual manera, se debe adoptar los controles necesarios para mantener los equipos alejados de sitios que puedan tener riesgo de amenazas potenciales como fuego, explosivos, agua, polvo, vibración, interferencia electromagnética y vandalismo, entre otros.
Los empleados y terceros, incluyendo sus empleados o subcontratistas, que tengan acceso a los equipos que componen la infraestructura tecnológica de Malena Engineering no pueden fumar, beber o consumir algún tipo de alimento cerca de los equipos. Malena Engineering mediante mecanismos adecuados monitorizará las condiciones ambientales de las zonas donde se encuentren los equipos.
Segregación de funciones
Toda tarea en la cual los empleados tengan acceso a la infraestructura tecnológica y a los sistemas de información debe contar con una definición clara de los roles y responsabilidades, así como del nivel de acceso y los privilegios correspondientes, con el fin de reducir y evitar el uso no autorizado o modificación sobre los activos de información de la organización.
Copias de respaldo (Backup)
Malena Engineering debe asegurar que la información con cierto nivel de clasificación (definido por el Comité de Gestión), contenida en la infraestructura tecnológica de la Organización, como servidores, dispositivos de red para almacenamiento de información, entre otros, sea periódicamente resguardada mediante mecanismos y controles adecuados que garanticen su identificación, protección, integridad y disponibilidad. Adicionalmente, se deberá establecer un plan de restauración de copias de seguridad que serán probados a intervalos regulares con el fin de asegurar que son confiables en caso de emergencia y retenidas por un periodo de tiempo determinado. Todo ello alineado con el procedimiento 06-04 Procedimiento de mantenimiento de servicios informáticos.
Intercambio de información
Malena Engineering firmará acuerdos de confidencialidad con los empleados, clientes y terceros que por diferentes razones requieran conocer o intercambiar información restringida o confidencial de la Organización. En estos acuerdos quedarán especificadas las responsabilidades para el intercambio de la información para cada una de las partes y deberán ser ratificados mediante rúbrica antes de permitir el acceso o uso de dicha información.
Todo empleado de Malena Engineering es responsable de proteger la confidencialidad e integridad de la información a la que accede, y debe tener especial cuidado en el uso de los diferentes medios para el intercambio de información que puedan generar una divulgación o modificación no autorizada.
Los propietarios de la información que requiere intercambio son responsables de definir los niveles y perfiles de autorización para el acceso, modificación y eliminación de la misma y los custodios de esta información son responsables de implementar los controles que garanticen el cumplimiento de los criterios de confidencialidad, integridad, disponibilidad requeridos.
Control de acceso físico
Malena Engineering tomará las medidas de seguridad necesarias para evitar pérdidas, daños, robos o circunstancias que pongan en peligro los activos o que puedan provocar la interrupción de sus actividades, para lo cual se prevendrá todo tipo de acceso físico no autorizado, daños o intromisiones en las instalaciones.
Para ello, el perímetro de las instalaciones de Malena Engineering está protegido mediante alarma.
La oficina se encuentra protegida mediante puerta de acceso con llave. Dentro de ella existen estancias cerradas con llave donde se encuentran los sistemas más importantes de Malena Engineering, así como la documentación en papel.
El control de accesos físico para prevenir accesos no autorizados a la oficina se realiza mediante cerraduras electrónicas. El acceso a los sistemas informáticos es gestionado por el responsable de sistemas.
Las zonas donde pueda haber acceso de terceros (clientes, proveedores, visitas) estarán especialmente vigiladas por el personal interno, no dejando sistemas ni información libres de supervisión y con posibilidad de robo o acceso no autorizado.
Cuando la naturaleza del proyecto o los requisitos del cliente especifiquen que el trabajo debe realizarse en un área segura separada del resto de empleados, se habilitará una sala independiente con acceso restringido y controlado por cerradura electrónica.
Hay Sistemas de detección y extinción de incendios distribuidos por la oficina e identificados adecuadamente. El cableado es estructurado y cumple las normativas vigentes de seguridad. Se evita que en zonas de tránsito de personas existan cables que pongan en peligro sistemas y personas.
En los armarios o cajones donde se archive documentación relevante o de carácter identificativo, no se dejarán puestas ningún tipo de llave. Los ordenadores portátiles serán custodiados en todo momento por la persona asignada al uso del mismo. En caso de que el portátil permanezca en la oficina, la custodia viene realizada por el control de accesos que realiza el personal contratado por el edificio.
En caso de realizar teletrabajo, el empleado se asegurará de disponer de un entorno de trabajo adecuado y proteger los sistemas de los que es responsable.
Se garantizará el acceso de usuarios autorizados y se prevendrá el acceso de usuarios no autorizados a los sistemas de información de Malena Engineering, por tanto, el acceso a dichos Sistemas será controlado.
Se usarán métodos seguros de autenticación para conexiones internas y externas por parte de usuario autorizados. Los grupos de servicios de información, usuarios y sistemas de información deberán estar segregados en la red. La información transmitida a través de redes de telecomunicaciones se hará de forma segura.
Control de acceso lógico
El acceso a plataformas, aplicaciones, servicios y en general cualquier recurso de información de Malena Engineering debe ser asignado de acuerdo a la identificación previa de requerimientos de seguridad y del negocio que se definan por las diferentes áreas de la Organización, así como normas legales o leyes aplicables a la protección de acceso a la información presente en los sistemas de información.
Los responsables de la administración de la infraestructura TI de Malena Engineering asignan los accesos a plataformas y usuarios de acuerdo con procesos formales de autorización, los cuales deben ser revisados de manera periódica por el Comité de Gestión de Malena Engineering.
La autorización de acceso a los sistemas de información debe ser definida y aprobada por el área propietaria de la información, o quien ésta defina, y se debe otorgar de acuerdo con el nivel de clasificación de la información identificada, según el cual se deben determinar los controles y privilegios de acceso que se pueden otorgar a los empleados y terceros e implementada por la Dirección.
Gestión de contraseñas
Se procederá según lo dispuesto en la instrucción 06-04-002 Política de contraseñas.
SEGURIDAD EN DISPOSITIVOS MÓVILES. Instalación y configuración de aplicaciones.
El aseguramiento de la administración de los recursos de los dispositivos móviles, pertenecientes a Malena Engineering será administrado por personal especializado, designado por la Dirección de Malena Engineering.
La Dirección de Malena Engineering elaborará y mantendrá vigente un control del proceso de instalación y Configuración de las aplicaciones de los dispositivos móviles, el cual define todas las actividades y responsabilidades que desempeña el personal de Malena Engineering, así como el personal usuario y terceros respecto del uso correcto, administración, configuración de seguridad, respaldo y soporte de los dispositivos móviles de la corporación.
El proceso de instalación y configuración de las aplicaciones de los dispositivos móviles será difundido a todas las áreas usuarias de Malena Engineering para su aplicación.
El proceso de instalación y configuración de las aplicaciones de los dispositivos móviles define una estructura organizacional con responsabilidades definidas al personal, incluyendo casos se suplencia y escalamiento.
Malena Engineering brindará sensibilización y capacitación periódica al personal de las áreas usuarias, respecto de la ejecución del Proceso de instalación y configuración de las aplicaciones de los dispositivos móviles más sensibles de Malena Engineering.
Los perfiles de usuarios y las características en las capacidades de los equipos serán definidos en función de la importancia de la información procesada o almacenada en cada tipo de usuario que utiliza un dispositivo móvil de la Organización.
Malena Engineering a través del departamento técnico, mantendrá una administración centralizada de las características de los equipos y las aplicaciones de dispositivos móviles de Malena Engineering que procesan o almacena información crítica.
La ejecución y efectividad de la presente política, así como el plan y el proceso requerido, serán revisadas de manera semestral por la Dirección de Malena Engineering, lo cual permitirá garantizar su efectividad.
SEGURIDAD EN DISPOSITIVOS MÓVILES. Controles físicos
El personal protegerá sus equipos móviles de manera similar a una tarjeta de crédito, no debiendo entregarlos a otra persona, en particular en aquellos dispositivos inteligentes que almacenan información sensible de la Organización. En estos casos, incluso los mensajes recibidos de números o remitentes desconocidos deben ser denegados y borrados sin ser abiertos.
SEGURIDAD EN DISPOSITIVOS MÓVILES. Autenticación y acceso
Se protegerá el acceso a los dispositivos móviles según los privilegios de cada perfil de usuario. Las capacidades del equipo respecto del control de acceso serán definidas en función de la importancia de la información que se almacena o se protege en cada equipo.
SEGURIDAD EN DISPOSITIVOS MÓVILES. Seguridad del sistema operativo
En el caso de dispositivos inteligentes que almacenan información sensible, Malena Engineering concienciara y sensibilizara a todos los usuarios para el uso adecuado de estos dispositivos.
La política de seguridad de configuración de los equipos, servidores y ordenadores de escritorio o laptops de la Corporación, restringirán y asegurarán la autenticidad y confidencialidad en las conexiones con equipos móviles.
SEGURIDAD EN DISPOSITIVOS MÓVILES. Parches y actualización
Todos los usuarios de dispositivos móviles que contengan información altamente confidencial o crítica de la Corporación utilizarán la última o la más segura versión de las aplicaciones.
Los parches serán obtenidos de manera formal, provenientes del fabricante. Asimismo, contarán con servicios de soporte del fabricante
Protección de la información
La información contenida en los equipos será identificada y clasificada según su importancia para Malena Engineering, de acuerdo con su sensibilidad (confidencialidad) y a su criticidad (disponibilidad).
La información sensible será protegida contra lectura o modificación no autorizada.
La información crítica será protegida y mantenida en Malena Engineering, incluso luego de la remoción de acceso del personal. La información altamente crítica debe ser respaldada con periodicidad.
Responsabilidades
La Dirección de Malena Engineering es responsable de gestionar la implementación y velar por el cumplimiento de la presente política, así como de su revisión periódica, actualización, difusión, concientización y capacitación del personal y terceros para su adecuado cumplimiento.
El Responsable de Personal es el encargado de establecer sanciones y llamadas de atención por incumplimientos de la presente política.
Conformidad
Este documento ha sido aprobado por la Dirección de Malena Engineering, y cualquier incumplimiento de las partes mencionadas en el alcance de este documento, será comunicado al Responsable de Relaciones Laborales para la ejecución de las sanciones respectivas.
Versión del documento: 1.1
Fecha del documento: 31/01/2024