Bienvenido a la sección Seguridad somos todos de Credifamilia


Te traemos varios consejos básicos de seguridad informática para que tengas en cuenta en tu vida cotidiana.
Ponemos en conocimiento el siguiente comunicado para alertar sobre un sitio fraudulento que está suplantando al Banco Davivienda, recomendamos verificar para este y todos los casos que la URL del sitio web sea la oficial. Estos sitios fraudulentos son utilizados para robar la información de acceso a los productos financieros.
Tenga en cuenta las siguientes recomendaciones al crear contraseñas seguras para el acceso a su equipo, mail o a las aplicaciones corporativas de la compañía:
ERROR
  • 83% de personas reutilizan contraseñas
  • Usuarios tienen una misma clave para varios productos
  • Eso facilita la labor de los delincuentes informáticos
DEBILIDAD
  • 81% de delitos informáticos no tuvieron dificultad, todo por el uso de contraseñas débiles que se pueden adivinar o hackear fácilmente
CONTRASEÑAS MAS USADAS
  • Fecha de cumpleaños
  • Teléfonos, nombres de familiares, películas, equipos
  • Peor aún: Series de números seguidos (1,2,3,4…)
RECOMENDACIÓN
  • Crear contraseñas seguras
  • Combinar letras mayúsculas, minúsculas, números y símbolos
  • Cambiarlas trimestralmente
CUIDADO
  • No descargue correos sospechosos, muchos traen programas que recolectan datos y contraseñas
Debido al auge en el envío de correos fraudulentos, recomendamos tener las siguientes precauciones antes de proceder con la apertura del contenido de uno de ellos:
DESCONFIE
  • No abra los archivos adjuntos que trae
  • Tampoco de clic en los enlaces que pueda incluir
  • No se apresure en responder estos mensajes
VERIFIQUE
  • Si los datos personales que se citan en el correo corresponden a los suyos
  • Si ve algo sospechoso en el contenido de la información
INSPECCIONE
  • Si la página web del remitente es la oficial
  • Si la URL es segura (HTTPS://)
  • Las entidades estatales por lo general manejan el dominio “.gov.co”
SENTIDO COMUN
  • Los bancos no piden por correo datos personales
  • Usted no puede tener foto multas de sitios donde no ha estado (puede verificar sus comparendos en la página www.simit.org.co)
  • Nadie gana premios para los que nunca concursó
¿QUE HACER?
  • Contacte a la entidad que figure como remitente
  • Verifique si ese correo electrónico es real
  • De ser un caso grave denuncie a las autoridades
  • Solicite asesoría a la mesa de ayuda de Tecnología

POLÍTICA GENERAL DE SEGURIDAD, PRIVACIDAD Y CIBERSEGURIDAD DE LA INFORMACIÓN

 

Credifamilia CF SA, como parte de su misión y atendiendo el compromiso de prestar servicios con calidad, ha enfocado esfuerzos para generar e implementar un sistema de gestión de seguridad de la información (SGSI) que represente el marco de gobierno de uso de las TIC’s a través de los principios, lineamientos, políticas, tratamiento de los riesgos e involucrando las tecnologías necesarias para fomentar una cultura de ciberseguridad, todo esto en la busque de generar confianza en sus funcionarios, proveedores, clientes y ciudadanía en general. El SGSI y esta política se han planteado atendiendo los pilares de seguridad de la información actuando en concordancia con las necesidades de integridad, confidencialidad y disponibilidad de la información como uno de los activos más importantes. La política contempla como parte de su alcance los servicios, áreas e involucrados que impactan o se ven impactados dentro del manejo de la información.

 

Glosario - Definiciones:

  • La compañía: cuando se use este término se hace referencia a CREDIFAMILIA CF SA.
  • GPO: Group Policy Object – directivas del dominio, son directrices obligatorias implementadas en las redes corporativas por el administrador de la infraestructura tecnológica.
  • SGSI: sistema de gestión de seguridad d la información.
  • Stakeholder: actor o involucrado que se ve impactado o influye sobre un sistema, proceso o proyecto.
  • Ciberseguridad: al conjunto de técnicas o procedimientos que velan por la seguridad de los usuarios que comparten información entre sistemas computables

 

Principios para la gestión de la seguridad de la información y la ciberseguridad

A continuación se establecen 11 principios de seguridad que soportan el SGSI y Ciberseguridad de Credifamilia CF SA:

  1. Las responsabilidades frente a la seguridad de la información serán definidas, compartidas, publicadas y aceptadas por cada uno de los empleados, proveedores, socios o terceros, en general cualquier stakeholder
  2. Credifamilia CF SA  promueve la adopción de un enfoque  que busca proteger la información generada, procesada o resguardada por los procesos de negocio, su infraestructura tecnológica y activos del riesgo que se genera de los accesos otorgados a terceros (ej.: proveedores o clientes), o como resultado de un servicio interno en outsourcing.
  3. Credifamilia CF SA promueve la adopción de un enfoque  que busca proteger la información creada, procesada, transmitida o resguardada por sus procesos de negocio, con el fin de minimizar impactos financieros, operativos o legales debido a un uso incorrecto de esta. Para ello es fundamental la aplicación de controles de acuerdo con la clasificación de la información de su propiedad o en custodia.
  4. CREDIFAMILIA CF SA  promueve la adopción de un enfoque  que busca proteger la información de las amenazas originadas por parte del personal.
  5. CREDIFAMILIA CF SA  promueve la adopción de un enfoque  que busca proteger las instalaciones de procesamiento y la infraestructura tecnológica que soporta sus procesos críticos.
  6. CREDIFAMILIA CF SA  promueve la adopción de un enfoque  que busca controlar la operación de sus procesos de negocio para garantizar la seguridad de los recursos tecnológicos y las redes de datos.
  7. CREDIFAMILIA CF SA  promueve la adopción de un enfoque  que busca controlar los niveles de acceso a la información, sistemas y recursos de red.
  8. CREDIFAMILIA CF SA  promueve la adopción de un enfoque  que busca garantizar que la seguridad sea parte integral del ciclo de vida de los sistemas de información.
  9. CREDIFAMILIA CF SA  promueve la adopción de un enfoque que busca garantizar a través de una adecuada gestión de los eventos de seguridad y las debilidades asociadas con los sistemas de información una mejora efectiva de su modelo de seguridad.
  10. CREDIFAMILIA CF SA  promueve la adopción de un enfoque que busca asegurar la disponibilidad de sus procesos de negocio y la continuidad de su operación basada en el impacto que pueden generar los eventos.
  11. CREDIFAMILIA CF SA  promueve la adopción de un enfoque que busca garantizar el cumplimiento de las obligaciones legales, regulatorias y contractuales establecidas.

La Política de Seguridad y Privacidad de la Información es parte del esfuerzo e interés de la administración de CREDIFAMILIA CF SA con respecto a la protección de los activos de información (los funcionarios, contratistas, terceros, la información, los procesos, las tecnologías de información incluido el hardware y el software), que soportan los procesos de la Entidad y apoyan la implementación del Sistema de Gestión de Seguridad de la Información, por medio de la generación y publicación de sus políticas, procedimientos e instructivos, así como de la asignación de responsabilidades generales y específicas para la gestión de la seguridad de la información.

CREDIFAMILIA CF SA, para asegurar la dirección estratégica de la Entidad, establece la compatibilidad de la política de seguridad de la información, ciberseguridad y los objetivos de seguridad de la información, estos últimos correspondientes a:

  • Minimizar el riesgo de los procesos misionales de la entidad.
  • Cumplir con los principios de seguridad de la información.
  • Cumplir con los principios de la función administrativa.
  • Generar confianza de los funcionarios, contratistas y terceros.
  • Apoyar la innovación tecnológica.
  • Generación y puesta en marcha  del sistema de gestión de seguridad de la información.
  • Proteger los activos de información.
  • Establecer las políticas, procedimientos e instructivos en materia de seguridad de la información.
  • Fortalecer la cultura de seguridad de la información en los funcionarios, terceros, aprendices, practicantes y clientes del CREDIFAMILIA CF SA
  • Garantizar la continuidad del negocio frente a incidentes.

Alcance/Aplicabilidad

  • Esta política aplica a toda la entidad, sus funcionarios, contratistas y terceros de CREDIFAMILIA CF SA   y la ciudadanía en general.

Nivel de cumplimiento

  • Responsabilidad: Es responsabilidad de la administración de CREDIFAMILIA CF SA formular, mantener actualizada y velar por el cumplimiento de la política donde se especifican los lineamientos para el gobierno de las TIC’s.
  • Cumplimiento: El cumplimiento de La Política de Seguridad, Privacidad de la Información y ciberseguridad es  obligatorio.  Si  los  colaboradores,  consultores,   contratistas,  terceras  partes   violan  estas  políticas,   CREDIFAMILIA CF SA se reserva el derecho a tomar las medidas correspondientes
  • Excepciones: Cualquier eventualidad que se presente como una necesidad de excepción debe ser aprobada por la vicepresidencia de Negocios mediante documentación formal de la solicitud.

La rigurosidad de algunas de las políticas es de estricto cumplimiento para los colaboradores vinculados a la compañía y terceros, exceptuando casos como directivos, accionistas, presidencia y miembros de junta directiva.

Administración de las políticas: las modificaciones a la política o al SGSI, serán propuestas por la Vicepresidencia de negocios, la dirección de tecnología o el comité de tecnología siendo este último el encargado de aprobarlas, en la eventualidad de una actualización se informará a los involucrados por los medios de comunicación autorizados teniendo en cuenta el plan de comunicaciones de la compañía.

A continuación, se describen en detalle cada una de las políticas formuladas por CREDIFAMILIA CF SA:

  1. Política de manejo de credenciales y gestión de contraseñas

Las credenciales de usuario para acceso a las redes y sistemas de cómputo son privadas e intransferibles, el uso inadecuado como el préstamo o uso de otra cuenta de la cual no sea titular está prohibido y será sancionado según la gravedad que la compañía determine, se considera un acceso no autorizado puesto que expone a la compañía y la información a modificaciones, alteraciones o divulgaciones no autorizadas.

La gestión de contraseñas es uno de los aspectos más delicados para asegurar el acceso a nuestros sistemas y a la información, por esta razón se debe cumplir con las siguientes directrices:

No utilizar las contraseñas por defecto. Los colaboradores tienen la obligación de cambiar las claves por defecto, es decir deben cambiar las contraseñas entregadas por el personal de tecnología, el propósito es que únicamente cada funcionario tenga el conocimiento de la mismas, si por alguna razón la contraseña es olvidada o se bloquea la cuenta por intentos fallidos de acceso, el personal de soporte brindará el apoyo necesario para restablecer las credenciales. Con esta medida evitamos el acceso no permitido, que sería posible si dejamos la contraseña por defecto por ser estas conocidas o que pueden encontrarse fácilmente en internet. Esto es especialmente importante para el acceso a la configuración de ciertos dispositivos como routers, switches, etc.

Obligaciones:

Está prohibido compartir o prestar credenciales o contraseñas. Si compartimos nuestras contraseñas están dejarán de ser secretas y por tanto perderán su utilidad

Está prohibido apuntar las contraseñas en papeles o post-it.

Está prohibido escribir las contraseñas en correos electrónicos ni en formularios web cuyo origen no sea confiable.

Recomendaciones de complejidad: Las contraseñas deben de ser robustas. Para que nuestras contraseñas sean fuertes, difíciles de adivinar o calculardebemos cumplir las siguientes directrices para cada sistema:

Sistema

Longitud mínima de caracteres

Combinación de mayúsculas, minúsculas

Caracteres especiales

Doble factor de autenticación

Directorio Activo

8

X

X

 

Correo electrónico

8

X

X

X

OpenKM

7

X

 

 

Salesforce

8

X

 

X

Abanks

8

X

X

 

 

Adicionalmente las contraseñas deben cumplir con las siguientes características:

  • No deben contener los siguientes tipos de palabras:
  1. palabras sencillas en cualquier idioma (palabras de diccionarios);
  2. nombres propios, fechas, lugares o datos de carácter personal;
  3. palabras que estén formadas por caracteres próximos en el teclado;
  4. palabras excesivamente cortas.
  • No se deben usar contraseñas formadas únicamente por elementos o palabras que puedan ser públicas o fácilmente adivinables (ej. nombre + fecha de nacimiento).
  • Las restricciones de complejidad y vigencia de las contraseñas son aplicadas por los diferentes sistemas así:

Sistema

Aplicación

Directorio Activo

De forma automática por el sistema

Correo electrónico

De forma automática por el sistema

OpenKM

De forma automática por el sistema

Salesforce

De forma automática por el sistema

Abanks

De forma automática por el sistema

 

Otras recomendaciones

  • Cambiar las contraseñas periódicamente. Para garantizar la confidencialidad de nuestras contraseñas estas deben ser cambiadas periódicamente. La periodicidad dependerá de la criticidad de la información a la que dan acceso. No deben utilizarse contraseñas que hayan sido usadas con anterioridad. Para las contraseñas de los equipos, se aplican las siguientes directivas para los diferentes sistemas críticos de la compañía:

 

Sistema

Vigencia

Directorio Activo

60 Días

Correo electrónico

90 Días

OpenKM

60 Días

Salesforce

30 Días

Abanks

90 Días

 

  • No hacer uso del recordatorio de contraseñas. No es recomendable el utilizar las funcionalidades de recordatorio de contraseñas, ya que pueden facilitar el acceso a personal no autorizado. Esto es especialmente frecuente en el uso de navegadores web.

 

  • No utilizar la misma contraseña para servicios diferentes. Nunca debemos utilizar la misma contraseña para diferentes servicios. Tampoco se debe utilizar las mismas contraseñas para uso profesional y doméstico. De esta forma se evita tener que cambiar todas nuestras contraseñas en el caso de que solo una haya sido comprometida.

 

  1. Política - Uso del correo electrónico corporativo

A continuación se incluyen una serie de controles para revisar el cumplimiento de la política de seguridad en lo relativo al uso del correo electrónico.

El alcance de estas políticas aplica de manera general para los funcionarios,

Normativa de uso de correo electrónico. Credifamilia CF SA dispone de una normativa referente al uso del correo electrónico que el empleado aceptará al incorporase a su puesto de trabajo. Se informará de la prohibición del uso del correo corporativo con fines personales que no tengan que ver con la empresa. El contenido del correo deberá cumplir con la normativa y su uso inadecuado podrá conllevar sanciones. El correo corporativo puede ser supervisado por la dirección de la empresa.

El correo electrónico de Credifamilia debe ser utilizado únicamente para propósitos del desempeño de sus obligaciones laborales.

Está prohibido utilizar cualquier sistema de correo diferente al entregado por Credifamilia, los sistemas de correo no aprobados, como Hotmail, Gmail, Yahoo, etc. son considerados una fuente de riesgo para la compañía y nunca deben ser utilizados para enviar o recibir información a nombre de Credifamilia.

Los usuarios no deben enviar información confidencial, sensible o crítica que pueda vulnerar la ley 1581 fuera de la Institución, a menos que haya sido autorizado por su Jefe directo.

El uso aceptable prohíbe los siguientes tipos de mensajes:

  • Ilegales y/o fraudulentos.
  • Difamatorios.
  • Ofensivos, obscenos, pornográficos, o de mal gusto.
  • Abusivos, bromistas o amenazantes.
  • Incitadores a infringir las Leyes.
  • Hostigamiento basado en sexo (acoso sexual), raza, nacionalidad, inhabilidades o cualquier otro.
  • Anónimos o mensajes repetidos diseñados para molestar o atormentar.
  • Se debe evitar escribir correos a clientes o proveedores con “contratos implícitos” o que comprometa a la compañía en algún negocio.
  • La responsabilidad del contenido de los mensajes de correo será del usuario remitente. El receptor no deberá alterar los mensajes sin la autorización del emisor.
  • Ningún usuario deberá permitir a otro enviar correos utilizando su cuenta, sin aclarar el remitente.
  • El correo electrónico no deberá usarse para enviar información con contenido discriminatorio. Se deben evitar los estereotipos de raza, género, religión, origen étnico, localización geográfica, orientación sexual, discapacidad, apariencia física o estrato social.
  • No se deberá utilizar el correo electrónico para enviar mensajes políticos, avisos clasificados, publicidad comercial o boletines cuya información no guarde relación directa con los intereses de la compañía.

Capacidad correo. Los sistemas de correo no pueden garantizar almacenamiento por tiempo indefinido o prolongado, La administración de cada buzón es responsabilidad de los usuarios. Los recursos para los buzones de correo son limitados. El límite del tamaño del buzón es de 2 GB para usuario estándar, al llegar al límite el usuario debe depurar información para garantizar la continuidad del servicio.

Reenvío de correos. El reenvío de correos corporativos a cuentas personales salvo casos excepcionales que deben ser autorizados por la dirección.

 

Recomendaciones

Los usuarios deben ofuscar las direcciones de correo electrónico, es decir deben emplear técnicas para evitar que las direcciones de correo de la compañía queden registradas como destinatarios de correo Spam. No se deben publicar las direcciones de correo corporativas en páginas web ni en redes sociales sin utilizar técnicas de ofuscación. Técnicas que no se deben utilizar:

Crea una imagen con la dirección de correo que quieras publicar y utiliza la imagen en lugar de introducir el correo como texto. Reemplazar ‘@’ y ‘.’ por texto; de esta forma, nombre@credifamilia.com se sustituiría por nombrearrobacredifamiliapuntocom.

 

Contraseña segura. Todas las cuentas deben utilizar contraseñas de acceso de acuerdo con la “Política de Gestión de contraseñas”, se recomienda:

Al acceder al correo a través desde una interfaz web nunca debe marcar la opción de recordar contraseña.

Correos sospechosos. Los empleados deben aprender a identificar correos fraudulentos y sospechar cuando:

  • El cuerpo del mensaje presente cambios de aspecto (logotipos, pie de firma, etc.) con respecto a los mensajes recibidos anteriormente por ese mismo remitente.
  • El mensaje contiene una «llamada a la acción» que nos urge, invita o solicita hacer algo no habitual.
  • Se soliciten credenciales de acceso a una web o aplicación (correo electrónico, cuenta bancaria, ERP, etc.).
  • Identificación del remitente. El empleado no abrirá un correo sin identificar el remitente. Si el remitente no es un contacto conocido habrá que prestar especial atención ya que puede tratarse de un nuevo cliente o de un correo malicioso.
  • Si el remitente es un contacto conocido pero por otros motivos (cuerpo del mensaje, archivos adjuntos, enlaces,…) sospecha que se ha podido suplantar su identidad, debe contactar con éste por otro medio para confirmar su identidad.
  • En caso de que un usuario tenga dudas sobre la autenticidad de un correo electrónico, debe informarlo a la mesa de ayuda de Tecnología, con el fin de que esta área se encargue de validar junto con el usuario el correo electrónico, y tomar las medidas correctivas del caso con el usuario y aplicar las restricciones en el servidor de correo electrónico en caso de que el mensaje sea fraudulento.

Análisis de adjuntos. Al recibir un mensaje con un adjunto, este se debe analizar cuidadosamente antes de abrirlo. Aunque el remitente sea conocido puede haber sido suplantado y no apercibirnos. La descarga de adjuntos maliciosos podría infectar los equipos con algún tipo de malware. Estas son algunas medidas para identificar un adjunto malicioso:

  • Tiene un nombre que nos incita a descargarlo, por ser habitual o porque creemos que tiene un contenido atractivo.
  • El icono no corresponde con el tipo de archivo (su extensión), se suelen ocultar ficheros ejecutables bajo iconos de aplicaciones como Word, PDF, Excel, etc.
  • Tiene una extensión familiar pero en realidad está seguida de muchos espacios para que no veamos la extensión real (ejecutable) en el explorador de ficheros, por ejemplo: pdf .exe.
  • Nos pide habilitar opciones deshabilitadas por defecto como el uso de macros.
  • No reconoces la extensión del adjunto y puede que se trate de un archivo ejecutable (hay muchas extensiones con las que no estamos familiarizados).
  • Es o encubre un archivo JavaScript (archivos con extensión .js).

Inspección de enlaces. Al recibir un mensaje con un enlace, antes de hacer clic el receptor debe revisar la URL, sitúate sobre el texto del enlace, para visualizar la dirección antes de hacer clic en él.

El usuario del sistema de correo debe identificar enlaces sospechosos que se parecen a enlaces legítimos prestando atención en detalles como:

Pueden tener letras o caracteres de más o de menos y pasarnos desapercibidas;

Podrían estar utilizando homógrafos, es decir caracteres que se parecen entres sí en determinadas tipografías (1 y l, O y 0).

Respuestas automáticas. Cuando un colaborador requiere ausentarse de la entidad por un período superior a 8 días, debe programar el correo electrónico para que automáticamente responda a los remitentes indicando fecha de llegada, nombre y dirección de correo electrónico de la persona encargada durante su ausencia.

El contenido de los mensajes de correo se considera confidencial y solo perderá este carácter en casos de investigaciones administrativas, judiciales o incidentes relacionados con seguridad informática, entendiendo por confidencial aquella información cuyo conocimiento por parte de personas no autorizadas pueda implicar riesgos para la compañía.

 

  1. Política - Manejo adecuado del servicio de internet, redes de datos y comunicaciones

Credifamilia cuenta con un canal de datos apto para la realización de las actividades y conexiones que permiten los múltiples accesos a las aplicaciones y servicios de la compañía para que respondan de una manera eficaz, por lo tanto se han implementado controles que a su vez contribuyen a mitigar la materialización del riesgo de fuga de información, la propagación de software de código malicioso de forma interna y externa los cuales pueden comprometer directamente la Seguridad de la Información y afectar los pilares fundamentales de confidencialidad disponibilidad e integridad; en atención a lo anterior se restringen los siguientes usos así:

La compañía ejerce un control de acceso a la red, por lo tanto los funcionarios no usarán conexiones distintas a las que provee el Departamento de TI, por lo anterior el uso de túneles VPN o conexiones TOR como complemento de los navegadores no están autorizados, y las conexiones que se generen y se evidencien en los sistemas de control adoptados por la Direccionan de Tecnología tendrán las sanciones a que haya lugar.

El acceso a redes sociales, paginas interactivas como chats se encuentra restringido por lo que solo se hará uso de las herramientas para tal fin que provee el Departamento de TI, en caso de ser necesario su uso para el cumplimiento de las funciones asignadas por el cargo o dependencia, debe ser solicitada previa justificación formalmente para su respectivo análisis por parte del Oficial de Seguridad de la Información.

El uso de canales de streaming está bloqueado o restringido, se permite a los usuarios que en cumplimiento de sus funciones lo requieren, ya que se debe dar prioridad al sostenimiento de las aplicaciones y sistemas de información de la compañía.

 

La descarga P2P o de archivos de páginas en donde se almacena contenido multimedia se debe controlar con el fin de evitar que sean descargados archivos maliciosos o que atenten contra la propiedad intelectual y derechos de autor.

Está prohibida la navegación en sitios de contenidos sexuales, o que tengan relación con información de carácter explícita en el cual se pueda materializar un delito informático.

Está prohibido el uso de servicios disponibles en internet que permitan establecer una conexión o intercambios no autorizados.

Está prohibido promover o mantener asuntos o negocios personales a través de la red o infraestructura tecnológica de Credifamilia CF SA.

Está prohibido el uso de emisoras de radio por Internet, debido al incremento en el uso de ancho de banda, que afecta la velocidad de navegación y de la compañía.

No se permite la descarga por Internet de archivos de video, música, etc., por afectar el rendimiento de la red y uso del enlace de Internet.

El departamento de TI ha enfocado esfuerzos para garantizar que todos los usuarios cuenten con una configuración estándar en el uso de los recursos de la compañía, y acceso Internet, con el propósito de asegurar que lo establecido en esta política se cumpla.

 

  1. Política - Manejo adecuado de equipos de cómputo

Los colaboradores que la compañía determine para el desempeño de sus funciones requieran operar un equipo de cómputo, contarán con este recurso en calidad de préstamo durante su vínculo laboral, los equipos son asignados por el personal de soporte junto con las credenciales de acceso a los sistemas, se entregan en estado funcional nuevos o usados mediante un procedimiento formal que permite la verificación de los mismos. El software instalado es original y licenciado por la compañía o de uso libre, la instalación de software adicional está controlada mediante perfiles restringidos de usuario y directivas del dominio, la compañía no se hace responsable por software instalado posterior a la asignación o modificaciones a los equipos no autorizadas por parte de los usuarios.

El usuario es responsable del equipo asignado por tanto debe vigilar y salvaguardar los equipos, muebles y bienes que le han sido encomendados, y cuidar que sean utilizados debida y racionalmente, de conformidad con los fines a los que han sido destinados.

Se deben utilizar los bienes y recursos informáticos asignados única y exclusivamente para el desempeño de su empleo, cargo y/o función. De la misma forma las facultades que le sean atribuidas, o la información reservada a que tenga acceso por razón de su función, deben ser utilizadas en forma exclusiva para fines institucionales de la entidad.

La fuga, pérdida, alteración y/o modificación de la información que sea manipulada a través del usuario del equipo, sea esta en forma intencional, negligente o con violación al deber objetivo de cuidado, será únicamente responsabilidad del funcionario a quien se le asignó el mismo, e implicaran las acciones correspondientes, así mismo se deberá tener en cuenta las recomendaciones dadas al momento de la asignación de usuario y términos de uso.

Los equipos de cómputo son ubicados y protegidos para reducir la exposición a riesgos ocasionados por amenazas ambientales y oportunidades de acceso no autorizado, los equipos de cómputo, se ubican de tal manera que se reduce el riesgo de visualización de la información por personas no autorizadas, durante su uso.

Sólo el personal de soporte autorizado puede llevar a cabo reparaciones y/o modificaciones en los equipos.

DISPOSICIÓN SEGURA O REUTILIZACIÓN DE EQUIPOS. Cuando el equipo se encuentra en óptimas condiciones y puede ser asignado a otro funcionario, antes de su reasignación y respecto a la destrucción de información digital, se realiza borrado seguro de la información (formateo en baja densidad). En escenarios de obsolescencia tecnológica  cuando los dispositivos cumplen el ciclo vida y se va a realizar disposición final se efectúa destrucción física del dispositivo de almacenamiento y se entrega junto con los equipos a un proveedor que presta servicios gratuitos de disposición final de equipos tecnológicos.

Respecto a la disposición de la información, la compañía ha dispuesto repositorios centralizados de información, adicionalmente cada equipo está configurado con apuntamientos en la carpeta de mis documentos hacia los repositorios centralizados. Estos repositorios centralizados tienen un nivel de redundancia y replicación de los datos, además de algunos backup´s desconectados que se encuentran en custodia del proveedor de gestión documental siguiendo la normativa ambiental.

EQUIPOS SIN SUPERVISIÓN DE LOS USUARIOS. Los usuarios deberán cerrar la sesión cuando hayan terminado de realizar los respectivos trabajos en la plataforma institucional, de igual forma los equipos de cómputo cuentan con un mecanismo de bloqueo automático como el de protector de pantalla después de cinco (5) minutos de inactividad.

OBLIGACIÓN DE BLOQUEO DE SESIÓN Y APAGADO DE EQUIPO. Para evitar el acceso indebido o por personal no autorizado al equipo del puesto de trabajo:

  • El empleado deberá bloquearlo cada vez que se ausente de su puesto.
  • El empleado apagará su equipo al finalizar la jornada laboral.

 

 

  1. Política - Manejo adecuado del software y licencias suministradas por el Departamento de TI

Credifamilia CF SA en cumplimiento de las obligaciones legales respecto al uso de licenciamiento de software, adquiere las licencias de uso necesarias para la operación de los equipos de cómputo en la compañía, cada equipo es asignado mediante un alistamiento por el personal de soporte, mediante el cual se busca garantizar el uso de software legal y licenciado, solo el personal de soporte técnico previa autorización del ingeniero de infraestructura y ciberseguridad, está autorizado para instalarlo en las estaciones de trabajo de la compañía.

La instalación de cualquier software adicional debe ser solicitada formalmente al ingeniero de infraestructura y ciberseguridad quien evaluará la viabilidad de la instalación y realizará la gestión necesaria para garantizar el uso de software legal y licenciado.

El software patentado es generalmente suministrado bajo un acuerdo de licencia, el cual limita el uso de dichos productos en equipos específicos, y puede limitar las copias únicamente a aquellas con el objetivo de mantener un respaldo de los medios. Los colaboradores, contratistas y terceros que trabajan para Credifamilia CF SA no deben copiar el software suministrado por la entidad en medios de almacenamiento, transferir dicho software a otros computadores o suministrar dicho software a terceras partes bajo ninguna circunstancia. Lo anterior aplica para el software desarrollado por la compañía.

El uso sin autorización, venta, y reproducción de software protegido bajo de derechos de autor, constituye un delito criminal, aplica para software de terceros o software desarrollado al interior de la compañía.

Credifamilia cuenta con la autoridad y autonomía para realizar auditorías periódicas sobre las estaciones de trabajo, previa autorización del jefe inmediato, para verificar el apropiado uso de software. Se mantendrán los registros de los hallazgos identificados.

El uso de utilitarios licenciados del sistema está restringido a usuarios administradores. Se estableció una política a través de los administradores de red para restringir la instalación de software y cambios de configuración del sistema, ningún usuario final, tiene privilegios de usuario administrador, no obstante está prohibida la instalación de cualquier software o modificación de las configuraciones de los equipos de cómputo por parte de los colaboradores.

Respecto al uso de elementos multimedia como imágenes, archivos de audio y video, que también están protegidos por la ley de derechos de autor, en la compañía ningún colaborador está autorizado para usar elementos descargados a través de Internet a beneficio propio o durante la operación para la que ha sido contratado, el uso de estos elementos está sujeto a autorización por parte del ingeniero de infraestructura y ciberseguridad previa solicitud formal.

 

  1. Política - Manejo adecuado de la información y datos de Credifamilia CF SA

Información sensible o confidencial

Se considera este tipo de información a cualquier información o datos personales o privados de terceros (clientes, proveedores, aliados), o propia de la compañía.

Responsabilidades

No abandonar documentación sensible en impresoras o escáneres. Para evitar que la información acabe en manos no deseadas el usuario debe:

  • Recoger inmediatamente aquellos documentos enviados a imprimir;
  • Guardar la documentación una vez escaneada en su equipo y eliminarla inmediatamente del servidor de escaneos.

Bloquear la sesión de los computadores personales cada vez que se retire del puesto de trabajo o si lo considera necesario para impedir que otro pueda acceder a la información, no obstante el protector de pantalla se activa en forma automática después de cinco (5) minutos de inactividad.

Está prohibido el envío de datos, archivos o información corporativa a través de sistemas de correo electrónico ya sea corporativo o públicos como Hotmail Gmail, etc.

Está prohibida la transferencia de datos archivos o información a través de redes o servicios de intercambio de datos como FTP, Dropbox y unidades virtuales en Cloud para evitar que los datos sean accedidos desde sitios externos a la compañía.

Está prohibida la copia, extracción de datos, o captura de archivos o información por medios digitales como dispositivos de almacenamiento USB, fotografías a través de cámaras, celulares y smartphones y medios físicos como impresiones.


 Compromiso con la confidencialidad o no divulgación
.

Credifamilia CF SA emplea mecanismos y procedimientos encaminados a garantizar el derecho al Habeas Data y cumple con la legislación vigente sobre protección de datos personales, con la implementación de procedimientos que permiten a los clientes, proveedores y funcionarios, conocer la información que la Institución tiene sobre ellos, actualizarla y solicitar sean eliminados, en los casos que sea pertinente hacerlo.

La compañía estableció un compromiso de confidencialidad el cual establece que los funcionarios se comprometen a utilizar la información solamente para el uso específico al que se ha destinado y a no comunicarla, difundirla o hacerla pública a un tercero, sin la autorización previa del dueño del activo. Así mismo, es de aclarar que todas las actividades en la plataforma tecnológica de Credifamilia, pueden ser monitoreadas y auditadas.

Información física:

Almacenar bajo llave, los documentos en papel y los dispositivos de almacenamiento removibles, en cajones y/u otro tipo de archivos seguro cuando no están siendo utilizados, especialmente fuera del horario laboral.

Obligación de notificar incidentes de seguridad y ciberseguridad.

El empleado debe advertir de cualquier incidente relacionado con su puesto de trabajo:

  • Alertas de virus/malware generadas por el antivirus;
  • Llamadas sospechosas recibidas pidiendo información sensible;
  • Correos electrónicos que contengan virus;
  • Pérdida de dispositivos móviles (portátiles, smartphones o tabletas) y dispositivos externos de almacenamiento (USB, CD/DVD, etc.);
  • Borrado accidental de información;
  • Alteración accidental de datos o registros en las aplicaciones con información crítica;
  • Comportamientos anómalos de los sistemas de información;
  • Hallazgo de información en ubicaciones no designadas para ello;
  • Evidencia o sospecha de acceso físico de personal no autorizado, a áreas de acceso restringido (Centros de datos, oficinas, almacenes,…);
  • Evidencia o sospecha de accesos no autorizados a sistemas informáticos o información confidencial por parte de terceros;
  • Cualquier actividad sospechosa que pueda detectar en su puesto de trabajo.

 

Integridad, confidencialidad y disponibilidad de la información

Se definen las siguientes variables  que garantizan la integridad, confidencialidad y disponibilidad de la información:

Integridad

  • Alta: Información para la toma de decisiones estratégicas, utilizada sólo por un grupo limitado de funcionarios o áreas. Su modificación no autorizada conlleva un daño grave (material) a la unidad de negocio o un daño serio a la reputación o estrategias de Credifamilia.
  • Media: Información en la cual se basan las decisiones de la operación diaria del negocio. Su modificación no autorizada prevé un impacto serio a una unidad de negocio o a la habilidad de la Entidad para satisfacer los objetivos y metas del negocio.  
  • Baja: La modificación no autorizada de esta información podría causar un daño leve o nulo para Credifamilia.

Disponibilidad

  • Misión Crítica: La no disponibilidad de esta información, después de un término de 2  horas, afectaría significativamente las operaciones, servicios y/o clientes de Credifamilia.
  • Critica: La no disponibilidad de esta información después de un término de 4 horas, afectaría operaciones, servicios y/o clientes individuales.
  • No Crítica: La información puede no estar disponible por un período de tiempo de más de 2 días, sin afectar la operación de Credifamilia.

Confidencialidad

  • Reservada: Esta información se considera altamente sensible o confidencial y es utilizada solo por un grupo limitado de empleados, áreas o procesos para la ejecución de sus funciones y no debe ser conocida por otros empleados o terceros sin autorización especial del Responsable de la información.
  • Uso interno: Esta información es utilizada por los empleados de la entidad para la ejecución de sus funciones y no puede ser conocida por terceros sin autorización del responsable del activo de información de Credifamilia.
  • Publica: Esta información es considerada de carácter público y puede ser divulgada a cualquier persona o entidad interna o externa a la Entidad, sin ninguna restricción.

 

Última revisión – Junio 2020