| |
Código: POL-0070 | Versión: 00 |
- OBJETIVO
Dar a conocer las directrices que deben cumplirse por parte de los Colaboradores(as) y terceros de Grupo Procaps, para garantizar la integridad, confidencialidad y disponibilidad de la información y los recursos de tecnología.
- ALCANCE
Esta Política es de aplicación para todos los Colaboradores(as) y terceros de Grupo Procaps y empresas asociadas, que requieren del uso de activos de información y de los recursos informáticos corporativos.
- RESPONSABILIDADES
Esta política de Seguridad de la Información es de obligatorio cumplimiento para todos los Colaboradores(as) del Grupo Procaps y empresas asociadas, cualquiera sea su situación contractual, a los terceros y accionistas.
- LINEAMIENTOS
La política de seguridad de la información de Grupo Procaps y empresas asociadas, busca promover a través de una gestión de riesgos, la adopción de controles, por parte de todos los Colaboradores(as) y terceros, sobre las fuentes de información operativas, tácticas y/o estratégicas que se utilicen para el logro de los objetivos del negocio, con el propósito de preservar las ventajas competitivas del Grupo Procaps. Esta Política está orientada a preservar la confidencialidad, integridad y disponibilidad de la información, a través de los lineamientos y controles que se adoptan en cumplimiento a los requisitos exigidos por las buenas prácticas y que, con su adopción desde la Alta Dirección, se establece el cumplimiento a éstas para la seguridad y privacidad de los activos de información, con el propósito de minimizar posibles impactos no deseados que puedan comprometer los principios esenciales de la Seguridad de la Información.
- Lineamientos Generales
- El Comité de Seguridad de la Información de Procaps, será el responsable del mantenimiento, revisión y mejora del Sistema de Gestión de Seguridad de la Información para el Grupo Procaps.
- Todo colaborador del Grupo Procaps debe asegurar los activos de información bajo su gestión.
- Está restringido el acceso a personal no autorizado a la información y a los medios para su procesamiento manual o automatizado.
- Todo usuario es responsable de aplicar los controles de gobierno de información a los datos generados de forma manual y/o automática, para preservar la confidencialidad, integridad y disponibilidad.
- Tecnología de la Información apoyará la gestión de aseguramiento de la información durante todo su ciclo de vida utilizando herramientas tecnológicas especializadas en el tema.
- Es requerido definir acuerdos de interacción con terceros para preservar la confidencialidad, integridad y disponibilidad de la información compartida y/o transmitida.
- Tecnología de la Información debe mantener actualizada la respuesta a incidentes y el plan de continuidad del negocio ante la ocurrencia de eventos no previstos o desastres naturales, incorporando lecciones aprendidas.
- Los colaboradores del Grupo Procaps y/o contratistas serán los directamente responsables de proteger la información a la cual accedan y procesen, para evitar su pérdida, alteración, destrucción o uso indebido.
- El Grupo Procaps, solo permitirá el uso de software autorizado que haya sido adquirido legalmente por la compañía o autorizado explícitamente por el área de Tecnología de la Información.
- Los colaboradores del Grupo Procaps y contratistas de la empresa deben reportar con diligencia, prontitud y responsabilidad presuntas violaciones de seguridad, eventos sospechosos y el mal uso de los recursos de información o comunicaciones.
- Se mantendrá acceso controlado y restringido a los cuartos de servidores principales y a los cuartos de comunicaciones.
- Todos los colaboradores del Grupo Procaps, cualquiera que sea su situación contractual, independiente del área a la cual pertenezca y las tareas o funciones que desempeñe, deben firmar un acuerdo de confidencialidad.
- Se deben implementar lineamientos de desarrollo seguro para las aplicaciones que hacen parte o que interactúan con la infraestructura critica de TI.
- Se deben tener documentadas e implementadas las líneas base de seguridad de los activos de información que hacen parte de la infraestructura crítica.
- Se debe contar con un inventario de la infraestructura crítica del grupo Procaps.
- Se debe contar con un inventario de los sistemas de información (aplicaciones) relacionados con infraestructura crítica y gestionados por tecnología de la información del grupo Procaps.
- El incumpliendo o violación de la Política de Seguridad de la Información será sancionado según el reglamento interno de trabajo del Grupo Procaps y/o sus empresas asociadas.
- Anualmente se debe actualizar la matriz integral de riesgos, con los riesgos y/o controles asociados a seguridad de la información.
- Se debe realizar análisis de vulnerabilidad y/o Ethical Hacking anualmente a la infraestructura crítica del grupo Procaps para mitigar los riesgos asociados.
- Todo acceso remoto de un colaborador y/o contratista a la infraestructura del grupo Procaps debe ser debidamente autorizado para asegurar la confidencialidad de la información, teniendo en cuenta los principios de mínimo privilegio y la segregación de funciones.
- Se debe contar con segmentación de redes para minimizar los riesgos de seguridad de la información.
- Se debe mantener un programa de concientización de seguridad de la información para todos los colaboradores del grupo Procaps y sus empresas asociadas.
- Se deben mantener prácticas de mejora continua para la gestión de seguridad de la información.
- Todo sistema de información crítico debe contar con gestión de accesos, incorporando el principio de menor privilegio.
- Todo equipo corporativo debe contar con un antivirus debidamente instalado y actualizado.
- Se debe reportar con diligencia, prontitud y responsabilidad presuntas violaciones a la privacidad de datos personales al director Corporativo de cumplimiento Legal.
- Las redes sociales del grupo Procaps son manejadas por el área corporativa de Comunicaciones.
- Uso de los equipos de computo
Los bienes y recursos TIC del Grupo Procaps, son herramientas de apoyo a las labores y a las responsabilidades de los colaboradores, por ello, sin perjuicio de la responsabilidad penal, administrativa o disciplinaria a que haya lugar, los usuarios al utilizar los equipos de cómputo, deben cumplir las siguientes directrices de uso:
- Los bienes y recursos TIC corporativos se emplearán de manera exclusiva por el usuario al cual han sido asignados y únicamente para el correcto desempeño de su cargo o función, por lo tanto, no deben ser utilizados con fines personales o por terceros no autorizados.
- Durante la jornada laboral y en todo tiempo de uso, corresponde al usuario prestar la debida custodia y cuidado a los equipos de cómputo asignados, así como impedir su sustracción, destrucción, ocultamiento o utilización indebida.
- Las credenciales de acceso a los servicios TIC (nombre de usuario y contraseña) son de carácter estrictamente personal e intransferible, por lo tanto, los usuarios no deben revelarlas a terceros ni utilizar credenciales ajenas a las asignadas.
- Todo usuario debe verificar que los equipos de cómputo asignados se encuentren debidamente conectados a fuentes de corriente reguladas.
- Los usuarios deben bloquear su computador cuando no están utilizando el equipo o no está presente en su puesto de trabajo. Se recomienda usar la siguiente combinación de teclas WIN + L, de lo contrario se expone la información a acceso de terceros, daño, alteración o uso indebido, así como a la suplantación del usuario original.
- Los únicos autorizados para realizar modificaciones a la configuración original de los equipos, así como para destapar, agregar, desconectar, retirar, revisar y/o reparar sus componentes, son los funcionarios de Tecnología de la Información y/o las personas por ellos autorizadas.
- No está permitido introducir en los equipos de cómputo elementos ajenos a su naturaleza o funcionalidad, así como ningún tipo de unidad de almacenamiento de información portátil personal como memorias USB o discos duros portátiles, a excepción de aquellos que explícitamente hayan sido autorizados por Tecnología de la Información.
- Los únicos autorizados para trasladar los equipos de cómputo de un puesto a otro son los funcionarios de Tecnología de la Información y/o las personas por ellos autorizadas. Lo anterior, con el fin de llevar el control de los inventarios. En virtud de lo anterior, toda reasignación de equipos deberá ajustarse a los procedimientos establecidos para tal fin.
- Toda pérdida de equipos de cómputo o de alguno de sus componentes debe ser informada de inmediato a la mesa de servicios tecnológicos o a su área de TI Local según los procedimientos establecidos.
- Todos los equipos de cómputo se deben apagar correctamente en ausencias prolongadas y en lo posible al final de la jornada laboral. No se debe dejar hibernando el equipo por un periodo prolongado de tiempo, se debe reiniciar para que se realicen las actualizaciones de seguridad.
- Los recursos TIC son asignados al cargo no a los usuarios, por lo cual cuando se presenten traslados de cargos nacionales o internacionales, el usuario deberá devolver a la mesa de servicios tecnológicos o a su área de TI local los elementos TIC asignados.
- Todo problema de orden técnico con los equipos de cómputo o con el software que en ellos se ejecuta, debe ser reportado a la mesa de servicios tecnológicos o área de TI local a la mayor brevedad posible a través de los medios disponibles.
- Información contenida en los equipos de computo
La información contenida en los equipos de cómputo es considerada un activo valioso para el Grupo Procaps, por ello, sin perjuicio de la responsabilidad penal, administrativa o disciplinaria a que haya lugar, los usuarios al utilizar los equipos de cómputo, deben cumplir y respetar las siguientes directrices respecto al acceso a la información contenida en los mismos:
- Mantendrán en reserva la documentación e información que, por razón de su cargo o función, conserven bajo su cuidado o a la cual tengan acceso. Evitarán su sustracción, destrucción, ocultamiento o utilización indebida, se abstendrán de alterarla, falsificarla, ocultarla o borrarla, e impedirán que terceros no autorizados ejecuten tales acciones sobre la misma.
- Tecnología de la Información realiza copias de seguridad sobre los datos que se encuentran alojados en los repositorios centralizados (buzones de correo, bases de datos, servidores, etc.) para evitar pérdida de información. La información en los computadores corporativos debe almacenarse en las carpetas que están sincronizadas con servicios de nube (OneDrive, SharePoint) o en un directorio compartido del servidor de archivos para garantizar su gestión y respaldo.
- En los sitios de almacenamiento centralizado (SharePoint – OneDrive, servidores), únicamente debe almacenarse información de orden corporativa vigente y/o necesaria para el correcto desempeño del cargo o función del usuario respectivo. No está permitido guardar información personal en los equipos corporativos.
- Todo usuario es responsable de los registros y/o modificaciones de información que se hagan con sus credenciales de acceso a los servicios TIC, toda vez que estas son de carácter personal e intransferible y no pueden ser divulgadas a terceros.
- No se debe compartir archivos ni directorios en las unidades de red del Grupo Procaps. En caso de ser necesario intercambiar información con otros usuarios, se dispone de un servicio para almacenamiento centralizado de archivos los cuales pueden ser compartidos de manera segura (SharePoint – OneDrive, servidores.
- La información que no sea estrictamente necesaria para el desarrollo de las tareas del usuario no debe almacenarse en los equipos corporativos. Si se accede a la información desde varios dispositivos, esta tiene que estar sincronizada para evitar duplicidades y errores en las versiones.
- Uso, instalación y desinstalación de software y hardware El uso, instalación y desinstalación de software y hardware en los bienes y recursos TIC del Grupo Procaps, representa riesgos asociados a penas y/o multas por el incumplimiento de leyes relacionadas con los derechos de autor y propiedad intelectual, pérdidas económicas por daños de los equipos de cómputo, entre otros, por ello, sin perjuicio de la responsabilidad penal, administrativa o disciplinaria a que haya lugar, los usuarios al utilizar los bienes y recursos TIC, deben cumplir las siguientes directrices respecto al uso, instalación y desinstalación de software y hardware:
- Solamente está permitido el uso de software licenciado que sea autorizado expresamente por Tecnología de la Información.
- Los únicos autorizados para instalar o desinstalar software y hardware en los equipos de cómputo del Grupo Procaps son los agentes de la mesa de servicios tecnológicos o el área de TI Local.
- Está prohibido en los equipos de cómputo que se conecten a la red corporativa de voz y/o datos del Grupo Procaps, instalar, guardar, ejecutar y/o utilizar programas, herramientas de software, archivos o hardware que:
- Adivinen las contraseñas de usuarios de equipos locales o remotos, de programas, correo corporativo, etc.
- Monitoreen la actividad de los sistemas informáticos de equipos locales o remotos. Se excluye de esta prohibición las herramientas de software y hardware que utilice Tecnología de la Información con el único propósito de administrar la funcionalidad y la seguridad de los recursos TIC corporativos.
- Rastreen vulnerabilidades en sistemas de cómputo (hardware o software). Se excluye de esta prohibición las herramientas que utilice Tecnología de la Información con el único propósito de evaluar la seguridad de los recursos TIC corporativos.
- Exploten alguna vulnerabilidad de un sistema informático para acceder así a privilegios que no han sido explícitamente otorgados por el administrador de la red o de un recurso informático en particular.
- Tengan un carácter de contenido inapropiado de acuerdo con las responsabilidades y cargo de los usuarios como son juegos, pornografía, maliciosos, entre otros.
- Permitan el intercambio de información entre equipos, tales como uTorrent, BitTorrent, Kazaa, Emule, We transfer, entre otros.
- Permitan evadir los controles definidos por la empresa para el acceso al contenido en internet (Proxy Avoid), modificación de direcciones de red, captura de información en la red, etc.
- Está prohibido realizar impresiones de libros o documentos de carácter personal.
- Es requerido el uso de un usuario y contraseña para imprimir, escanear o fotocopiar documentos
- El software y hardware instalado en los equipos de cómputo del Grupo Procaps no debe ser utilizado con propósitos ilegales, no autorizados, personales o ajenos a la misión de la Organización.
- Dentro de las instalaciones del Grupo Procaps, no se deben utilizar dispositivos que puedan interferir con las redes de datos y/o voz corporativa, que incluyen, pero no se limitan a: puntos de acceso inalámbricos, enrutadores de todo tipo, teléfonos celulares con capacidad de servir como puntos de acceso, etc. De igual manera, no se deben conectar los equipos de cómputo, a estos dispositivos dentro de las instalaciones.
- Tecnología de la Información es la única dependencia autorizada para realizar copia de seguridad del software licenciado por la organización, el cual no debe ser copiado o suministrado a terceros, salvo en aquellos casos en que sea estrictamente necesario para la prestación de los servicios TIC.
- Correo electrónico corporativo
El servicio de correo electrónico corporativo es una herramienta de apoyo a las funciones y responsabilidades de los usuarios del Grupo Procaps y en tal virtud, sin perjuicio de la responsabilidad penal, administrativa o disciplinaria a que haya lugar, deben cumplir las siguientes directrices:
- El servicio de correo electrónico del Grupo Procaps debe ser empleado únicamente para enviar y recibir mensajes de orden corporativo y relacionado con las funciones y responsabilidades del cargo del remitente. En consecuencia, no puede ser utilizado con fines personales, económicos, comerciales y/o cualquier otro ajeno a los propósitos de la organización, pues por ley un correo electrónico puede llegar a tener la misma validez de un documento físico.
- El contenido de los mensajes debe corresponderse con el Reglamento Interno de Trabajo de Procaps y cada una de las empresas del Grupo, y por las normas y comportamientos que rigen la moral y la ética de la compañía, por lo tanto, no debe ser insultante, ofensivo, amenazante, injurioso u obsceno.
- Al redactar mensajes de correo electrónico se deben respetar los derechos de terceros, evitar caer en el sarcasmo o la ironía y nunca comprometer la imagen, valores y/o principios corporativos.
- El envío de mensajes de correo electrónico debe hacerse únicamente a los destinatarios a los cuales el contenido le sea de su interés y sea necesario recibirlos.
- No se deben enviar mensajes de correo electrónico a todos los colaboradores o a grupos de estos, salvo que sea un asunto de interés general, que involucre a toda la organización o parte de esta. El único autorizado para enviar comunicados oficiales a toda la organización a través del correo electrónico es la Vicepresidencia de Asuntos Corporativos a través del área de comunicaciones.
- Para optimizar la capacidad de almacenamiento del buzón de correo, el usuario debe realizar una depuración de los correos realmente necesarios y no guardar información obsoleta o que no esté relacionada con sus responsabilidades y funciones en la Organización.
- Todo mensaje de correo electrónico sospechoso debe notificarse a la Mesa de Servicios tecnológicos, por los medios disponibles, para que se revise la procedencia del mensaje y en caso de confirmarse que es malicioso, realizar las acciones correspondientes (eliminación de correo, bloqueo de destinatario y/o IP de procedencia en caso de que aplique, etc.).
- La Cuenta de Correo Corporativa no debe ser revelada a páginas o sitios publicitarios o a cualquier otra página ajena a los fines del Grupo Procaps.
- El reenvío de mensajes sólo debe realizarse en casos estrictamente necesarios.
- Sólo deben imprimirse los mensajes importantes que así lo requieran, ya que una de las ventajas y fines del servicio de correo electrónico corporativo es la transmisión de información con ahorro de papel.
- La cuenta de correo no debe utilizarse para enviar o recibir música, programas, material pornográfico, fotos, videos o cualquier otro ajeno a los fines de la Organización.
- Se prohíbe el envío y/o reenvío de mensajes en cadena.
- Todo mensaje de correo, con información clasificada como restringida o confidencial deberá protegerse a través de la herramienta provista por Tecnologia de la Información.
NOTA: Al crear las cuentas de correo electrónico corporativo, Tecnología de la Información establecerá criterios de restricción, de acuerdo con las funciones o perfil del usuario, a efectos de racionalizar la capacidad del buzón, delimitar la posibilidad de enviar mensajes colectivos o a distintos grupos, orígenes o destinatarios, entre otras medidas.
- Uso de internet
El servicio de Internet es una herramienta de apoyo a las funciones y responsabilidades de los usuarios del Grupo Procaps, por tanto, sin perjuicio de la responsabilidad penal, administrativa o disciplinaria a que haya lugar, estos al utilizarlo, deben cumplir las siguientes directrices:
- El servicio de Internet Corporativo únicamente puede ser utilizado para el desarrollo de actividades directamente relacionadas con el cumplimiento de la misión de las empresas del Grupo Procaps y las funciones asignadas a sus colaboradores.
- No está permitido descargar música o videos que no estén relacionados con el trabajo.
- Este servicio no debe ser utilizado para:
- Visitar, enviar o recibir archivos de video, audio, texto, fotos, etc., con contenidos insultantes, ofensivos, injuriosos, obscenos o violatorios de los derechos de autor.
- Enviar o bajar archivos de video, audio, texto, fotos, etc., no propios del cumplimiento de los propósitos institucionales o de las funciones laborales.
- Bajar, instalar o ejecutar archivos o software de procedencia desconocida.
- Los sitios de almacenamiento virtual como Dropbox, Google Drive, etc., no deben ser utilizados para guardar archivos o compartir información.
- Se restringe a todos los niveles el acceso a sitios clasificados con el siguiente contenido: pornografía, desnudez, juegos en línea, racismo, violencia, sitios con potencial de infección (Spyware, Malware, etc.), tráfico de armas, drogas o cualquier comercio ilícito a través de Deep WEB o cualquier plataforma.
- La capacidad y posibilidad de conectarse a una dirección de Internet no implica en sí que esté autorizado para visitar ese sitio o utilizarlo usando recursos TIC del Grupo Procaps.
NOTA: Tecnología de la Información, podrá limitar el acceso a determinadas páginas de Internet, los horarios de conexión, los servicios ofrecidos por la red, la descarga de archivos y cualquier otro aspecto ajeno a los fines corporativos. El acceso a internet es permitido de acuerdo con las funciones de cada cargo.
- Servicio telefónico
El servicio telefónico es una herramienta de trabajo que facilita la comunicación entre los empleados y contratistas del Grupo Procaps, con los clientes, proveedores, socios comerciales, entidades de control y otros grupos de interés. Se debe garantizar que sea utilizado de manera adecuada y racional para las funciones propias del negocio, respetando los principios de confidencialidad, disponibilidad e integridad. Las llamadas a números internacionales y a celulares estarán restringidas y solo serán asignadas a aquellas personas que así lo requieran. Si recibe llamadas telefónicas que usted considera pueden ser intimidatorias, extorsivas, etc., debe informarlo a la Jefatura de Seguridad Física.
- Dispositivos móviles
Todo ingreso a las instalaciones de las empresas que conforman el Grupo Procaps (plantas, sedes administrativas, muelles, etc.) de equipos de cómputo que no sean propiedad del Grupo Procaps, deberán seguir el procedimiento estipulado para tal fin. Cuando se trate de contratistas, cada interventor de contrato que tenga bajo su responsabilidad servicios suministrados por terceras partes será el encargado de gestionar los ingresos de recursos TIC de los contratistas a través de la mesa de servicios tecnológicos o su área de TI Local solo si requiere tener acceso a recursos de la red corporativa. Todo equipo de contratista que se le habilite el acceso a la red corporativa debe tener un antivirus instalado. Los visitantes podrán ingresar los equipos de cómputo de su propiedad, previo registro en la recepción de la compañía, sin embargo, el responsable de la visita deberá acompañar en todo momento al visitante garantizando que se cumpla esta norma de seguridad en todo momento. Los dispositivos móviles corporativos (teléfonos inteligentes, tablets, portátiles), son herramientas de trabajo que se deben utilizar únicamente para el desarrollo de sus funciones. Con el fin de minimizar los riesgos de seguridad de la información que implica el uso de estos dispositivos se debe controlar la conexión de dispositivos móviles tales como Smartphone, tablets y computadores personales de los contratistas y/o colaboradores a la red corporativa, solo deben tener acceso a la red de visitantes con sus restricciones.
- Derechos de autor
- En presentaciones, documentos, informes, entre otros, que utilicen los colaboradores o contratistas para las labores de su cargo, asegúrese de mencionar la fuente de donde se extrajo la información, cuando así se requiera.
- Absténgase de reproducir copias parciales o totales de libros, artículos y otros documentos, que no estén permitidos por la ley de derecho de autor.
- La información de grupo Procaps es propiedad de esta Empresa y su uso es exclusivo para la ejecución de las labores correspondientes a su cargo. No puede ser usada como fuente de información para temas comerciales, entre otros.