Politica interna de seguridad

  1. OBJETIVO

La presente política tiene como propósito dar a conocer cuáles son los requisitos básicos de seguridad de la información para establecer controles efectivos sobre todas las actividades que se desarrollan en FURIMA S.A.S., con el fin de que todos los involucrados en la operación o que prestan servicios garanticen el buen uso de los sistemas, herramientas, recursos e información a la que tienen acceso.

Así como, presentar los lineamientos de control para todos los empleados, terceros y entes que tengan acceso a la información de FURIMA S.A.S. para garantizar su seguridad a través de los principios de confidencialidad, integridad y disponibilidad, estableciendo las políticas de seguridad que se aplican a todos los sistemas de información, la red, así como, a todas las instalaciones en las que procesan, almacenan, o transmiten información.

Enmarcado en las buenas prácticas y disposiciones legales como son los estándares internacionales de seguridad (ISO 27001:2013), la Ley 1581 de 2012 y los aspectos establecidos por la Superintendencia de Industria y Comercio mediante la Guía de para la Implementación del Principio de Responsabilidad Demostrada (Accountability).

Lo anterior, teniendo en cuenta que la organización se enfrenta a amenazas relativas a la seguridad, en especial relacionados con el fraude asistido por computadores, como también a las acciones de personas, los cuales cada vez se han vuelto más comunes, ambiciosos y sofisticados. A continuación, se describen los principales objetivos específicos:

  1. Establecer y capacitar al personal de FURIMA S.A.S., en seguridad de la información, buscando el aumento en la cultura, así como en el compromiso con la adopción de buenas prácticas, el reporte de incidentes de seguridad y la identificación de riesgos.
  2. Minimizar los incidentes de seguridad de la información presentados en FURIMA S.A.S.
  3. Mantener los sistemas y los recursos tecnológicos adecuados, que fortalezcan la seguridad de la información.
  4. Establecer los fundamentos para el desarrollo y la implantación de un Modelo de Seguridad de la información.
  5. Definir la conducta a seguir en lo relacionado con el acceso, uso, manejo y administración de los recursos de información.
  6. Establecer y comunicar la responsabilidad en el uso de los activos de información, que soportan los procesos y sistemas del negocio.

 

  1. CLASIFICACIÓN DE LA INFORMACIÓN

 

Pública: Información que puede ser conocida por todos los miembros enmarcados en el alcance y el público en general. Son considerados datos públicos, entre otros, los datos relativos al estado civil de las personas, a su profesión u oficio y a su calidad de comerciante o de servidor público. Por su naturaleza, los datos públicos pueden estar contenidos, entre otros, en registros públicos, documentos públicos, gacetas y boletines oficiales y sentencias judiciales debidamente ejecutoriadas que no estén sometidas a reserva.

Interna: Información que requiere la organización para la ejecución de su objeto social y puede ser accedida por el personal de FURIMA S.A.S. para el cumplimiento de las actividades diarias, alineadas a las funciones y responsabilidades del cargo o de la prestación de servicios de terceros y su conocimiento es de carácter general. Su disponibilidad a terceros es únicamente mediante un acuerdo contractual que exprese la necesidad de su uso para efectos del cumplimiento del mismo y para lo cual se debe comprometer a no divulgarla.

Confidencial: Información propia que solo está disponible para los colaboradores de FURIMA S.A.S. en función de sus labores y que no puede ser conocida por otros empleados o terceros sin autorización del responsable de administrar la base de datos. También se refiere a un dato personal que por su naturaleza íntima o reservada solo interesa a su titular y para su tratamiento requiere de su autorización previa, informada y expresa. Bases de datos que contengan datos como Números telefónicos y correos electrónicos personales; datos laborales, sobre infracciones administrativas o penales, administrados por administraciones tributarias, entidades financieras y entidades gestoras y servicios comunes de la Seguridad Social, bases de datos sobre solvencia patrimonial o de crédito, bases de datos con información suficiente para evaluar la personalidad del titular, bases de datos de los responsables de operadores que presten servicios de comunicación electrónica.

Reservada: Información que solo debe tener acceso personal específico y la revelación al público puede causar daño a la reputación, marca o estrategias de organización. También, hace referencia a aquellos datos privados que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición así como los datos relativos a la salud, a la vida sexual y los datos biométricos.

 

  1. CUMPLIMIENTO Y ACTUALIZACIÓN

 

Las Políticas Internas de Seguridad es un documento interno de obligatorio cumplimiento de todo el personal asociado con los servicios de FURIMA S.A.S., con acceso a los sistemas de información que contengan las bases de datos, en especial la que contienen información de personas.

Este documento debe ser sometido a permanente revisión y actualización siempre que se produzcan cambios en los sistemas de información, el sistema de tratamiento, la organización o el contenido de la información de las bases de datos, que puedan afectar a las medidas de seguridad implementadas. Asimismo, debe adaptarse en todo momento a la normativa legal en materia de seguridad de datos personales.

 

  1. MEDIDAS DE SEGURIDAD

 

4.1. Medidas de seguridad comunes

4.1.1. Control de acceso

El personal de FURIMA S.A.S., solamente debe acceder a aquellos datos y recursos necesarios para el desarrollo de sus funciones y sobre los cuales se encuentren autorizados por el responsable de administras la base de datos.

FURIMA S.A.S. se ocupa del almacenamiento actualizado de usuarios, perfiles de usuarios, y de los accesos autorizados para cada uno de ellos. Además, tiene mecanismos para evitar el acceso a datos con derechos distintos de los autorizados. En el caso de soportes informáticos, consiste en la asignación de contraseñas, y en el caso de documentos, en la entrega de llaves o mecanismos de apertura de dispositivos de almacenamiento donde se archive la documentación.

La modificación sobre algún dato o información, así como la concesión, alteración, inclusión o anulación de los accesos autorizados y de los usuarios, corresponde de manera exclusiva al personal autorizado.

Cualquier personal ajeno a FURIMA S.A.S., que, de forma autorizada y legal, tenga acceso a los recursos protegidos, estará sometido a las mismas condiciones y obligaciones de seguridad que el personal propio.

 

4.1.2. Ejecución del tratamiento fuera de las instalaciones

El almacenamiento de datos personales en dispositivos portátiles y su tratamiento fuera de la organización requiere una autorización previa por parte de FURIMA S.A.S., y el cumplimiento de las garantías de seguridad correspondientes al tratamiento de este tipo de datos.

 

4.1.3. Bases de datos temporales, copias y reproducciones

Las bases de datos temporales o copias de documentos creadas para trabajos temporales o auxiliares deben cumplir con el mismo nivel de seguridad que corresponde a las bases de datos o documentos originales. Una vez que dejan de ser necesarias, estas bases de datos temporales o copias deben ser borradas o destruidas, impidiéndose así el acceso o recuperación de la información que contienen.

 

4.1.4. Auditorías

Las bases de datos que contengan datos personales, objeto de tratamiento por FURIMA S.A.S., clasificadas con nivel de seguridad sensible o privado, se han de someter, al menos cada dos años, a una auditoría interna o externa que verifique el cumplimiento de las medidas de seguridad contenidas en este manual.

Serán objeto de auditoría tanto los sistemas de información como las instalaciones de almacenamiento y tratamiento de datos.

FURIMA S.A.S., realizará una auditoría extraordinaria siempre que se realicen modificaciones sustanciales en el sistema de información que puedan afectar al cumplimiento de las medidas de seguridad, con el fin de verificar la adaptación, adecuación y eficacia de las mismas.

Las auditorías concluirán con un informe de auditoría que contendrá:

  1. El dictamen sobre la adecuación de las medidas y controles a la normativa sobre protección de datos.
  2. La identificación de las deficiencias halladas y la sugerencia de medidas correctoras o complementarias necesarias.
  3. La descripción de los datos, hechos y observaciones en que se basen los dictámenes y las recomendaciones propuestas.

El Oficial de Protección de Datos estudiará el informe y trasladará las conclusiones al responsable de administrar las bases de datos para que implemente las medidas correctoras.

 

4.2. Medidas de seguridad para bases de datos no automatizadas

4.2.1. Archivo de documentos

FURIMA S.A.S., fija los criterios y procedimientos de actuación que se deben utilizar para el archivo de documentos que contengan datos personales conforme a la Ley. Los criterios de archivo garantizan la conservación, localización y consulta de los documentos y hacen posible los derechos de consulta y reclamo de los Titulares.

Los documentos deben ser archivados considerando, entre otros, criterios como el grado de utilización de los usuarios con acceso autorizado a los mismos, la actualidad de su gestión y/o tratamiento y la diferenciación entre bases de datos históricas y de administración o gestión de la empresa.

Los sitios de almacenamiento de documentos deben disponer de llaves u otros mecanismos que controlen su apertura, excepto cuando las características físicas de éstos lo impidan, en cuyo caso FURIMA S.A.S., adoptará medidas alternas para impedir el acceso de personas no autorizadas.

Cuando los documentos que contienen datos personales se encuentren en proceso de revisión o tramitación y, por tanto, fuera de los dispositivos de almacenamiento, ya sea antes o después de su archivo, la persona que se encuentre a cargo de los mismos debe custodiarlos e impedir en todo caso que personas no autorizadas puedan acceder a ellos. La destrucción de documentos se debe hacer mediante mecanismos que realicen un corte adecuado del papel, que garantice que el documento no se pueda restaurar.

Los dispositivos de almacenamiento que contengan documentos con datos personales clasificados en Sensible deben encontrarse en áreas o lugares en las que el acceso esté protegido con puertas de acceso con sistemas de apertura de llave u otros mecanismos similares. Estas áreas deben permanecer cerradas cuando no sea necesario el uso de dichos documentos. Si no fuera posible cumplir con lo anterior, FURIMA S.A.S., podrá adoptar medidas alternativas debidamente motivadas.

 

4.2.2. Acceso a los documentos

El acceso a los documentos ha de realizarse exclusivamente por el personal autorizado, siguiendo los mecanismos y procedimientos definidos. Estos últimos deben identificar y conservar los accesos realizados a la documentación clasificada como Sensible, tanto por usuarios autorizados como por personas no autorizadas de manera permanente, tal y como se refleja en el numeral referido anteriormente.

El procedimiento de acceso a los documentos que contienen datos clasificados como Sensibles implica el registro de accesos a la documentación, la identidad de quien accede, el momento en que se produce el acceso y los documentos a los que se han accedido. El acceso a documentos con este tipo de datos se realiza por personal autorizado; si se realiza por personas no autorizadas deberá supervisarse por algún usuario autorizado o por el responsable de administrar la base de datos.

 

4.3. Medidas de seguridad para bases de datos automatizadas

4.3.1. Identificación y autenticación

FURIMA S.A.S. debe instalar sistemas que permitan identificar y autenticar de forma correcta a los usuarios de los sistemas de información, con el fin de garantizar que solo el personal autorizado pueda acceder a las bases de datos.

También ha de establecer un mecanismo que permita la identificación personalizada e inequívoca de todo usuario que intente acceder al sistema de información y que verifique si está autorizado. La identificación debe realizarse mediante un sistema único para cada usuario que accede a la información teniendo en cuenta el nombre de usuario, la identificación de empleado, el nombre del departamento, etc.

Cuando el sistema de autenticación esté basado en la introducción de contraseña, se ha de implantar un procedimiento de asignación, distribución y almacenamiento de contraseñas; para garantizar la integridad y confidencialidad de estas últimas, estas deben tener un mínimo de nueve caracteres y contener mayúsculas, minúsculas, números y letras.

Por otra parte, FURIMA S.A.S., debe vigilar que las contraseñas se cambien de forma periódica, nunca por un tiempo superior a 60 días.

FURIMA S.A.S., también garantiza el almacenamiento automatizado, interno y cifrado, de las contraseñas, y adoptará un mecanismo para limitar los intentos reiterados de accesos no autorizados y bloquear el acceso tras tres intentos.

 

4.3.2. Entrada y salida de documentos o soportes

La entrada de documentos o soportes debe registrarse indicando el tipo de documento o soporte, la fecha y hora, el emisor, el número de documentos o soportes incluidos en el envío, el tipo de información que contienen según la clasificación de la información, la forma de envío y la persona responsable de la recepción. La salida o envío de documentos o soportes, debidamente autorizada, ha de registrarse indicando el tipo de documento o soporte, la fecha y hora, el receptor, el número de documentos o soportes incluidos en el envío, el tipo de información que contienen según el nivel de seguridad, la forma de envío y la persona responsable del envío.

 

4.3.3. Control de acceso físico

Los lugares que son sede de los sistemas de información que contienen datos personales deben estar debidamente protegidos con el fin de garantizar la integridad y confidencialidad de dichos datos; asimismo, han de cumplir con las medidas de seguridad, correspondientes al documento o soporte acorde con la clasificación de la información que contiene.

FURIMA S.A.S. tiene el deber de poner en conocimiento de su personal las obligaciones que les competen con el objetivo de proteger físicamente los documentos o soportes en los que se encuentran las bases de datos, no permitiendo su manejo, utilización o identificación por personas no autorizadas en el presente manual.

 

4.3.4. Copias de respaldo y recuperación de datos

FURIMA S.A.S. debe llevar a cabo los procedimientos de actuación necesarios para realizar copias de respaldo, al menos una vez al mes, excepto cuando no se haya producido ninguna actualización de los datos durante ese periodo. Todas las bases de datos deben tener una copia de respaldo a partir de las cuales se puedan recuperar los datos.

 

De igual modo, se deben establecer los procedimientos para la recuperación de los datos con el objetivo de garantizar en todo momento la reconstrucción al estado en el que éstos se encontraban antes de su pérdida o destrucción. Cuando la pérdida o destrucción afecte a bases de datos parcialmente automatizadas se grabarán o complementaran manualmente los datos.

FURIMA S.A.S., se encargará de controlar el correcto funcionamiento y aplicación de los procedimientos de realización de copias de respaldo y recuperación de los datos.

FURIMA S.A.S., debe conservar una copia de respaldo de los datos y de los procedimientos de recuperación de los mismos en un lugar distinto a aquel en el que se encuentren los equipos donde se lleva a cabo su tratamiento. Este lugar deberá cumplir en todo caso las mismas medidas de seguridad exigidas para los datos originales.

 

4.3.5. Registro de acceso

De los intentos de acceso a los sistemas de información FURIMA S.A.S., guarda, como mínimo, la identificación del usuario, la fecha y hora en que se lleva a cabo, la base de datos a la que se accede, el tipo de acceso y si ese acceso ha sido autorizado o no autorizado. En caso de que el registro haya sido autorizado, se guarda la información que permita identificar el registro consultado.

Los responsables de administrar las bases de datos automatizadas se encargan de controlar los mecanismos que permiten el registro de acceso, revisar con carácter mensual la información de control registrada y elaborar un informe de las revisiones realizadas y los problemas detectados. Además, deben impedir la manipulación o desactivación de los mecanismos que permiten el registro de acceso.

Los datos que contiene el registro de acceso deben conservarse, al menos, durante dos años.

No será necesario el registro de acceso cuando los datos se encuentren en equipos de cómputo y se garantice que solamente él tiene acceso y trata los datos personales una sola persona.

 

4.3.6. Redes de Comunicaciones

El acceso a datos personales a través de redes de comunicaciones, públicas o privadas, debe someterse a medidas de seguridad equivalentes al acceso local de datos personales.

La transmisión de datos personales mediante redes públicas o inalámbricas de comunicaciones electrónicas se tiene que llevar a cabo cifrando dichos datos, o utilizando otro mecanismo (Por ejemplo: archivo con clave) que garantice que la información no sea inteligible ni manipulada por terceras personas.



  1. FUNCIONES Y OBLIGACIONES DEL PERSONAL

Todas las personas que intervienen en el almacenamiento, tratamiento, consulta o cualquier otra actividad relacionada con los datos personales y sistemas de información de FURIMA S.A.S., deben actuar de conformidad a las funciones y obligaciones recogidas en el presente apartado.

FURIMA S.A.S., debe informar a su personal de servicio de las medidas y normas de seguridad que compete al desarrollo de sus funciones, así como de las consecuencias de su incumplimiento, mediante cualquier medio de comunicación que garantice su recepción o difusión (correo electrónico, cartelera de anuncios, etc.). De igual modo, debe poner a disposición del personal el presente documento para que puedan conocer la normativa de seguridad y sus obligaciones en esta materia en función del cargo que ocupan.

FURIMA S.A.S. cumple con el deber de informar con la inclusión de acuerdos de confidencialidad y deber de secreto que suscriben, Las funciones y obligaciones del personal de FURIMA S.A.S., se definen, con carácter general, según el tipo de actividad que desarrollan y, específicamente, por el contenido de este documento. Con carácter general, cuando un usuario trate documentos o soportes que contiene datos personales tiene el deber de custodiarlos, así como de vigilar y controlar que personas no autorizadas no puedan tener acceso a ellos.

Las funciones y obligaciones de los usuarios de las bases de datos personales bajo responsabilidad de FURIMA S.A.S., son las siguientes:

 

  1. Deber de secreto: Aplica a todas las personas que, en el desarrollo de su profesión o trabajo, acceden a bases de datos personales y vincula tanto a usuarios como a prestadores de servicios contratados; en cumplimiento de este deber, los usuarios de FURIMA S.A.S. no pueden comunicar o relevar a terceras personas, datos que manejen o de los que tengan conocimiento en el desempeño o cargo de sus funciones, y deben velar por la confidencialidad e integridad de los mismos.
  2. Obligaciones relacionadas con las medidas de seguridad implantadas: a. Acceder a las bases de datos solamente con la debida autorización y cuando sea necesario para el ejercicio de sus funciones. b. No revelar información a terceras personas ni a usuarios no autorizados. Observar las normas de seguridad y trabajar para mejorarlas. c. No realizar acciones que supongan un peligro para la seguridad de la información. d. No sacar información de las instalaciones de la organización sin la debida autorización.
  3. Uso de recursos y materiales de trabajo: Debe estar orientado al ejercicio de las funciones asignadas. No se autoriza el uso de estos recursos y materiales para fines personales o ajenos a las tareas correspondientes al puesto de trabajo. Cuando, por motivos justificados de trabajo, sea necesaria la salida de dispositivos periféricos o extraíbles, deberá comunicarse a los responsables de administrar las bases de datos que podrán autorizarla y, en su caso, registrarla.
  4. Uso de impresoras, escáneres y otros dispositivos de copia: Cuando se utilicen este tipo de dispositivos debe procederse a la recogida inmediata de las copias, evitando dejar éstas en las bandejas de los mismos.
  5. Obligación de notificar incidencias: Los usuarios tienen la obligación de notificar las incidencias de las que tenga conocimiento a los responsables de administrar las bases de datos u Oficial de protección de datos, quienes se encargarán de su gestión y resolución. Algunos ejemplos de incidencias son: la caída de los sistemas de información o módulos que permitan el acceso a los datos personales a personas no autorizadas, el intento no autorizado de la salida de un documento o soporte, la pérdida de datos o la destrucción total o parcial de soportes, el cambio de ubicación física de bases de datos, el conocimiento por terceras personas de contraseñas, la modificación de datos por personal no autorizado, entre otros.
  6. Deber de custodia de los soportes utilizados: Obliga al usuario autorizado a vigilar y controlar que personas no autorizadas accedan a la información contenida en los soportes. Los soportes que contienen bases de datos deben identificar el tipo de información que contienen mediante un sistema de etiquetado y ser inventariados.
  7. Responsabilidad sobre los terminales de trabajo y portátiles: Cada usuario es responsable de su propio terminal de trabajo; cuando esté ausente de su puesto, debe bloquear dicho terminal (ej. protector de pantalla con contraseña) para impedir la visualización o el acceso a la información que contiene; y tiene el deber de apagar el terminal al finalizar la jornada laboral. Asimismo, los ordenadores portátiles han de estar controlados en todo momento para evitar su pérdida o sustracción.
  8. Uso limitado de Internet y correo electrónico: El envío de información por vía electrónica y el uso de Internet por parte del personal está limitado al desempeño de sus actividades en FURIMA S.A.S.
  9. Salvaguarda y protección de contraseñas: Las contraseñas proporcionadas a los usuarios son personales e intransferibles, por lo que se prohíbe su divulgación o comunicación a personas no autorizadas. Cuando el usuario accede por primera vez con la contraseña asignada es necesario que la cambie. Cuando sea necesario restaurar o recuperar la contraseña, el usuario debe comunicarlo al administrador del sistema.
  10. Copias de respaldo y recuperación de datos: Debe realizarse copia de seguridad de toda la información de bases de datos personales de la empresa.
  11. Deber de archivo y gestión de documentos y soportes: Los documentos y soportes deben de ser debidamente archivados con las medidas de seguridad establecidas en el numeral 6 del presente manual.



  1. PROCEDIMIENTO DE NOTIFICACIÓN, GESTIÓN Y RESPUESTA ANTE INCIDENCIAS

FURIMA S.A.S. establece un procedimiento de notificación, gestión y respuesta de incidencias con el fin de garantizar la confidencialidad, disponibilidad e integridad de la información contenida en las bases de datos que están bajo su responsabilidad.

Todos los usuarios y responsables de procedimientos, así como cualquier persona que tenga relación con el almacenamiento, tratamiento o consulta de las bases de datos recogidas en este documento, deben conocer el procedimiento para actuar en caso de incidencia.

El procedimiento de notificación, gestión y respuesta ante incidencias es el siguiente: a. Cuando una persona tenga conocimiento de una incidencia (perdida, hurto y/o acceso no autorizado) que afecte o pueda afectar la confidencialidad, disponibilidad e integridad de la información protegida de la empresa o alguno de los Encargados deberá comunicarlo, de manera inmediata, al Oficial de Protección de Datos, describiendo detalladamente el tipo de incidencia producida, e indicando las personas que hayan podido tener relación con la incidencia, la fecha y hora en que se ha producido, la persona que notifica la incidencia, la persona a quién se le comunica y los efectos que ha producido. b. Una vez comunicada la incidencia ha de solicitar al Oficial de Protección de Datos un acuse de recibo en el que conste la notificación de la incidencia con todos los requisitos enumerados anteriormente. c. FURIMA S.A.S. crea un registro de incidencias que debe contener: el tipo de incidencia (Fraude Interno o externo, Daños a activos físicos, Fallas tecnológicas, Ejecución y administración de procesos), fecha y hora de la misma, persona que la notifica, persona a la que se le comunica, efectos de la incidencia y medidas correctoras cuando corresponda. Este registro es gestionado por el Oficial de Protección de Datos. d. Asimismo, debe implementar los procedimientos para la recuperación de los datos cuando aplica, indicando quien ejecuta el proceso, los datos restaurados y, en su caso, los datos que han requerido ser grabados manualmente en el proceso de recuperación. f. Adicional, el Oficial de Protección de Datos debe informar a la Superintendencia de Industria y Comercio, mediante el RNBD dentro de los 15 días hábiles siguientes de haber sido detectado. g. Finalmente, FURIMA S.A.S. notificará del incidente a los Titulares, cuando se identifique que puedan verse afectados de manera significativa.



  1. DISPOSICIÓN FINAL

El presente manual ha sido aprobado por FURIMA S.A.S., como responsable del tratamiento de datos, aceptando su contenido, ordenando su ejecución y cumplimiento, con carácter general por todo el personal de la empresa, y en particular, por aquellos a los referidos en este documento.