POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN SEGURIDAD DE LA INFORMACIÓN - Asmet Salud EPS
←
→
Transcripción del contenido de la página
Si su navegador no muestra la página correctamente, lea el contenido de la página a continuación
MACROPROCESO SISTEMA DE GESTIÓN INTEGRADA PROCESO SEGURIDAD DE LA INFORMACIÓN MANUAL POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN SGI-SI-M-01 Ver 5 CONTENIDO DECLARACIÓN DE LA POLÍTICA DE SEGURIDAD 8 1. TÉRMINOS Y DEFINICIONES 9 2. OBJETIVOS DE LA SEGURIDAD DE LA INFORMACIÓN 10 2.1. OBJETIVO GENERAL 10 2.2. OBJETIVOS ESPECÍFICOS 10 3. GENERALIDADES Y CONTEXTO 11 3.1. MONITOREO, CONTROL Y AUDITORIA 11 3.2. EXCEPCIONES 11 3.3. INCUMPLIMIENTO A LAS POLÍTICAS DESCRITAS EN ESTE DOCUMENTO 12 4. COMPROMISO EN EL CUMPLIMIENTO DE LOS REQUISITOS RELACIONADOS AL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN 13 5. POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN 14 5.1. ORIENTACIÓN DE LA DIRECCIÓN PARA LA GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN 14 5.1.1. Políticas para la seguridad de la información 14 5.1.2. Revisión de políticas para la seguridad de la información 14 6. ORGANIZACIÓN DE LA SEGURIDAD 16 6.1. ORGANIZACIÓN INTERNA 16 6.1.1. Roles y Responsabilidades para la Seguridad de la Información 16 6.1.2. Separación de Funciones 17 6.1.3. Contacto con Autoridades 17 6.1.4. Contacto con grupos de Interés especial 17 6.1.5. Seguridad de la Información en la Gestión de Proyectos 18 6.2. DISPOSITIVOS MÓVILES Y TELETRABAJO 18 6.2.1. Política para Dispositivos Móviles 18 6.2.2. Teletrabajo 18 7. SEGURIDAD DE LOS RECURSOS HUMANOS 21 Elaborado por: Coordinador de Revisado por: Prof. Innovación y Aprobado por: Gerente de Seguridad de la Información Optimización de Procesos Transformación Digital SISTEMA DE GESTIÓN DE CALIDAD Aprobado en Agosto de 2021 2
MACROPROCESO SISTEMA DE GESTIÓN INTEGRADA PROCESO SEGURIDAD DE LA INFORMACIÓN MANUAL POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN SGI-SI-M-01 Ver 5 7.1. ANTES DE ASUMIR EL EMPLEO 21 7.1.1. Selección 21 7.1.2. Términación y condiciones del empleo 21 7.2. DURANTE LA EJECUCIÓN DEL EMPLEO 21 7.2.1. Responsabilidades de la Dirección 21 7.2.2. Toma de Conciencia, educación y Formación en seguridad de la información22 7.2.3. Proceso disciplinario 22 7.3. TERMINACIÓN Y CAMBIO DE EMPLEO 22 7.3.1. Terminación o cambio de responsabilidades de empleo 22 8. GESTIÓN DE ACTIVOS. 24 8.1. RESPONSABILIDAD POR LOS ACTIVOS 24 8.1.1. Inventario de activos. 24 8.1.2. Propiedad de los activos 25 8.1.3. Uso aceptable de los activos 25 8.1.4. Devolución de activos 30 8.2. CLASIFICACIÓN DE LA INFORMACIÓN. 31 8.2.1. Clasificación de la información. 31 8.2.2. Etiquetado de la información 33 8.2.3. Manejo de Activos 33 8.3. MANEJO DE MEDIOS 34 8.3.1. Gestión de medio removibles 34 8.3.2. Disposición de los medios 34 8.3.3. Transferencia de Medios 35 9. CONTROL DE ACCESO 36 9.1. REQUISITO DEL NEGOCIO PARA CONTROL DE ACCESO 36 9.1.1. Política de control de acceso 36 9.1.2. Acceso a redes y servicios de red 36 9.1.3. Acceso a redes inalámbricas – WiFi Corporativa e Invitados 37 9.2. GESTIÓN DEL ACCESO A USUARIOS 38 9.2.1. Registro y cancelación del registro de usuarios 38 9.2.2. Suministro de acceso de usuarios 38 9.2.3. Gestión de derechos de acceso privilegiado 39 9.2.4. Gestión de Información de Autenticación Secreta de Usuarios 39 9.2.5. Revisión de los derechos de acceso de los usuarios. 41 9.2.6. Retiro o Ajuste de los derechos de acceso 41 9.3. RESPONSABILIDADES DE LOS USUARIOS 42 9.3.1. Uso de información de autenticación secreta 42 Elaborado por: Coordinador de Revisado por: Prof. Innovación y Aprobado por: Gerente de Seguridad de la Información Optimización de Procesos Transformación Digital SISTEMA DE GESTIÓN DE CALIDAD Aprobado en Agosto de 2021 3
MACROPROCESO SISTEMA DE GESTIÓN INTEGRADA PROCESO SEGURIDAD DE LA INFORMACIÓN MANUAL POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN SGI-SI-M-01 Ver 5 9.4. CONTROL DE ACCESO A SISTEMAS Y APLICACIONES 42 9.4.1. Restricción de acceso a la información 42 9.4.2. Procedimiento de Ingreso seguro 43 9.4.3. Sistema de gestión de contraseñas. 43 9.4.4. Uso de programas utilitarios privilegiados 43 9.4.5. Control de acceso a código fuente de programas 44 10. CRIPTOGRAFÍA 45 10.1. CONTROLES CRIPTOGRÁFICOS 45 10.1.1. Política sobre el uso de controles criptográfico 45 10.1.2. Gestión de llaves 45 11. SEGURIDAD FISICA Y DEL ENTORNO 46 11.1. ÁREAS SEGURAS 46 11.1.1. Perímetro de seguridad física 46 11.1.2. Controles de acceso físico 46 11.1.3. Seguridad de oficinas, recintos e instalaciones 46 11.1.4. Protección contra amenazas externas y ambientales 47 11.1.5. Trabajo en áreas seguras 47 11.1.6. Áreas Públicas 48 11.2. SEGURIDAD DE LOS EQUIPOS 48 11.2.1. Ubicación y protección de los equipos 48 11.2.2. Servicios de suministro 48 11.2.3. Seguridad del cableado 49 11.2.4. Mantenimiento de los equipos 49 11.2.5. Retiro de activos 49 11.2.6. Seguridad de equipos y activos fuera de las instalaciones 50 11.2.7. Disposición segura o reutilización de equipos 50 11.2.8. Equipos de usuario desatendido 50 11.2.9. Política de escritorio despejado y de pantalla despejada 51 12. SEGURIDAD DE LAS OPERACIONES 52 12.1. PROCEDIMIENTOS OPERACIONALES Y RESPONSABILIDADES 52 12.1.1. Procedimientos de operaciones documentados 52 12.1.2. Gestión de cambios 52 12.1.3. Gestión de capacidad 53 12.1.4. Separación de los entornos de desarrollo, pruebas y producción 53 12.2. PROTECCIÓN CONTRA CÓDIGOS MALICIOSOS 53 12.2.1. Controles contra códigos maliciosos 53 12.3. COPIAS DE RESPALDO 54 12.3.1. Respaldo de la información 54 Elaborado por: Coordinador de Revisado por: Prof. Innovación y Aprobado por: Gerente de Seguridad de la Información Optimización de Procesos Transformación Digital SISTEMA DE GESTIÓN DE CALIDAD Aprobado en Agosto de 2021 4
MACROPROCESO SISTEMA DE GESTIÓN INTEGRADA PROCESO SEGURIDAD DE LA INFORMACIÓN MANUAL POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN SGI-SI-M-01 Ver 5 12.4. REGISTRO Y SEGUIMIENTO 55 12.4.1. Registro de eventos 55 12.4.2. Protección de la información de registro 55 12.4.3. Registros del administrador y del operador 55 12.4.4. Sincronización de relojes 56 12.5. CONTROL DE SOFTWARE OPERACIONAL 56 12.5.1. Instalación de Software en Sistemas Operativos 56 12.6. GESTIÓN DE LA VULNERABILIDAD TÉCNICA 57 12.6.1. Gestión de la vulnerabilidad técnica 57 12.6.2. Restricciones sobre la instalación de software 57 12.7. CONSIDERACIONES SOBRE AUDITORIAS DE SISTEMAS DE INFORMACIÓN 57 12.7.1. Controles sobre auditorias de sistemas de información 57 13. GESTIÓN DE LA SEGURIDAD DE LAS COMUNICACIONES. 58 13.1. GESTIÓN DE LA SEGURIDAD DE LAS REDES. 58 13.1.1. Controles de las redes 58 13.1.2. Seguridad de los servicios de la red. 58 13.1.3. Separación en las redes 58 13.2. TRANSFERENCIA DE INFORMACIÓN 58 13.2.1. Políticas y procedimientos para el transferencia de información 58 13.2.2. Acuerdos para la transferencia de información 59 13.2.3. Mensajería Electrónica 59 13.2.4. Acuerdo de confidencialidad o no divulgación 59 14. ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS 61 14.1. REQUISITOS DE SEGURIDAD DE LOS SISTEMAS DE INFORMACIÓN 61 14.1.1. Análisis y especificaciones de requisitos de seguridad de la información 61 14.1.2. Seguridad de servicios de las aplicaciones en redes públicas. 61 14.1.3. Protección de transacciones de los servicios de las aplicaciones 61 14.2. SEGURIDAD EN LOS PROCESOS DE DESARROLLO Y SOPORTE 62 14.2.1. Política de desarrollo seguro 62 14.2.2. Procedimientos de control de cambios en sistemas 62 14.2.3. Revisión técnica de las aplicaciones después de cambios en la plataforma de operación 63 14.2.4. Restricciones en los cambios a los paquetes de software 63 14.2.5. Principios de construcción de sistemas seguros 63 14.2.6. Ambiente de desarrollo seguro 64 14.2.7. Desarrollo contratado externamente 64 14.2.8. Pruebas de seguridad de sistemas 64 14.2.9. Prueba de aceptación de sistemas 65 Elaborado por: Coordinador de Revisado por: Prof. Innovación y Aprobado por: Gerente de Seguridad de la Información Optimización de Procesos Transformación Digital SISTEMA DE GESTIÓN DE CALIDAD Aprobado en Agosto de 2021 5
MACROPROCESO SISTEMA DE GESTIÓN INTEGRADA PROCESO SEGURIDAD DE LA INFORMACIÓN MANUAL POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN SGI-SI-M-01 Ver 5 14.3. DATOS DE PRUEBA 65 14.3.1. Protección de datos de prueba 65 15. RELACIONES CON LOS PROVEEDORES 66 15.1. SEGURIDAD DE LA INFORMACIÓN EN LAS RELACIONES CON LOS PROVEEDORES 66 15.1.1. Seguridad de la información para las relaciones con proveedores 66 15.1.2. Tratamiento de la seguridad dentro de acuerdos con proveedores 66 15.1.3. Ccadena de suministro de tecnología de información y comunicación 66 15.2. GESTIÓN DE LA PRESTACIÓN DE SERVICIOS DE PROVEEDOR 67 15.2.1. Seguimiento y revisión de los servicios de los proveedores 67 15.2.2. Gestión de cambios en los servicios de los proveedores 67 16. GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN 68 16.1. GESTIÓN DE INCIDENTES Y MEJORAS EN LA SEGURIDAD DE LA INFORMACIÓN 68 16.1.1. Responsabilidades y procedimientos 68 16.1.2. Reporte de eventos de seguridad de la información 68 16.1.3. Reporte de debilidades de seguridad de la información 68 16.1.4. Evaluación de eventos de seguridad de la información y decisiones sobre ellos 69 16.1.5. Respuesta a incidentes de seguridad de la información 69 16.1.6. Aprendizaje obtenido de los incidentes de seguridad de la información 69 16.1.7. Recolección de evidencia 69 17. ASPECTOS DE SEGURIDAD DE LA INFORMACIÓN DE LA GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO 70 17.1. CONTINUIDAD DE LA SEGURIDAD DE LA INFORMACIÓN 70 17.1.1. Planificación de la continuidad de la seguridad de la información 70 17.1.2. Implementación de la continuidad de la seguridad de la información 70 17.1.3. Verificación, revisión y evaluación de la continuidad de la seguridad de la información. 70 17.2. REDUNDANCIAS 71 17.2.1. Disponibilidad de instalaciones de procesamiento de información 71 18. CUMPLIMIENTO 72 18.1. CUMPLIMIENTO DE REQUISITOS LEGALES Y CONTRACTUALES 72 18.1.1. Identificación de la legislación aplicable y de los requisitos contractuales. 72 18.1.2. Derechos de propiedad intelectual 72 18.1.3. Protección de registros 73 Elaborado por: Coordinador de Revisado por: Prof. Innovación y Aprobado por: Gerente de Seguridad de la Información Optimización de Procesos Transformación Digital SISTEMA DE GESTIÓN DE CALIDAD Aprobado en Agosto de 2021 6
MACROPROCESO SISTEMA DE GESTIÓN INTEGRADA PROCESO SEGURIDAD DE LA INFORMACIÓN MANUAL POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN SGI-SI-M-01 Ver 5 18.1.4. Protección de los datos y privacidad de la información relacionada con los datos personales. 73 18.1.5. Reglamento de controles criptográficos 73 18.2. REVISIONES DE SEGURIDAD DE LA INFORMACIÓN 74 18.2.1. Revisión independiente de la seguridad de la información 74 18.2.2. Cumplimiento con las políticas y normas de seguridad 74 18.2.3. Revisión de cumplimiento técnico 74 19. DUDAS Y RECOMENDACIONES 75 Elaborado por: Coordinador de Revisado por: Prof. Innovación y Aprobado por: Gerente de Seguridad de la Información Optimización de Procesos Transformación Digital SISTEMA DE GESTIÓN DE CALIDAD Aprobado en Agosto de 2021 7
MACROPROCESO SISTEMA DE GESTIÓN INTEGRADA PROCESO SEGURIDAD DE LA INFORMACIÓN MANUAL POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN SGI-SI-M-01 Ver 5 DECLARACIÓN DE LA POLÍTICA DE SEGURIDAD El gran crecimiento de la tecnología, el flujo de información, las interoperabilidades de los sistemas, el afán por el conocimiento, los datos y la información actualmente son algunos de los rasgos importantes en la carrera por la sostenibilidad de las empresas dentro de los mercados globales y regionales. La información supone poder de decisión, poder hacer las estimaciones del pasado, de lo actual y de lo futuro para encarrilar la organización por un camino de sostenibilidad. La tecnología ha permitido nuevas formas de mercado, así como nuevas formas de ofrecer los servicios, en el mundo actual y globalizado se han creado y aún se siguen haciendo grandes innovaciones sobre el servicio basados en la tecnología como herramienta principal, tales como servicios de transporte, salud, educación, entretenimiento, industriales, entre otros. ¿De qué se trata todo esto? Se trata del acceso a los datos y la información que permitan tomar las decisiones acertadas para garantizar el éxito o la supervivencia. Dentro de las organizaciones la tecnología es la principal herramienta para el flujo de datos y gestión de la información, es a través de los departamentos o procesos de tecnologías de la información (TI) y del Sistema de gestión de la seguridad de la información (SGSI) que se aplican las políticas y controles adecuados para la gestión de la información corporativa, permitiendo salvaguardarla de accesos no autorizados, fugas de datos, malware, ataques informáticos, entre otras amenazas. Por otra parte los procesos de TI y el SGSI permiten que se aseguren los sistemas de información corporativos, así como la gestión de nuevas tecnologías necesaria para la organización en la búsqueda de la eficiencia. ASMET SALUD EPS SAS, conforma en el presente manual sus políticas de seguridad de la información, las cuales se basan en el anexo A de la norma NTC-ISO 27001:2013, norma referente para la construcción del SGSI que con base en buenas prácticas y la normativa vigente permita gestionar eficientemente los riesgos de seguridad de la información para los servicios prestados por ASMET SALUD EPS SAS. No se trata de limitar a los usuarios o colaboradores de la organización, se trata de optimizar su trabajo a través de garantizar el accesos a los sistemas y a la información que requiere para que ejerza su labor en forma eficiente, por lo tanto en este documento se detallan las directrices de seguridad bajo las cuales deben operar los sistemas informáticos de ASMET SALUD EPS SAS, las normativas, estándares, procedimientos e instrucciones, los límites que tienen los usuarios y/o colaboradores que usan los sistemas de información y los lineamientos para aplicar y configurar los servicios de redes y equipos en las diferentes oficinas, estableciendo los parámetros que permitan una gestión segura de los servicios, el manejo de los activos y de la información. La presente política de seguridad de la información es aplicable también a los aliados o terceros con los cuales se tengan relaciones contractuales. Elaborado por: Coordinador de Revisado por: Prof. Innovación y Aprobado por: Gerente de Seguridad de la Información Optimización de Procesos Transformación Digital SISTEMA DE GESTIÓN DE CALIDAD Aprobado en Agosto de 2021 8
MACROPROCESO SISTEMA DE GESTIÓN INTEGRADA PROCESO SEGURIDAD DE LA INFORMACIÓN MANUAL POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN SGI-SI-M-01 Ver 5 1. TÉRMINOS Y DEFINICIONES El presente documento utiliza los términos y definiciones de la ISO 27001 y 27002. Se destacan los siguientes términos y definiciones. ● Información: Conjunto de datos que informan sobre algo. ● Seguridad de la Información: Entiéndase como la preservación de la confidencialidad, integridad y disponibilidad de la información. ● Confidencialidad: Propiedad de la información de no ponerse a disposición o ser revelada a individuos, entidades o procesos no autorizados. ● Integridad: Propiedad de la información relativa a su exactitud y completitud. ● Disponibilidad: Propiedad de la información de estar accesible y utilizable cuando lo requiera una entidad autorizada. ● Amenaza: Causa potencial de un incidente no deseado, que puede provocar daños a un sistema o a la organización. ● Evento de Seguridad de la Información: Una ocurrencia identificada del estado de un sistema, servicio o red indicando una posible violación de la política de seguridad de la información o falla en salvaguardas, o una situación previamente desconocida que puede ser relevante para la seguridad. ● Incidente de Seguridad de la Información: Un solo o una serie de eventos de seguridad de la información no deseada o inesperada que tienen una significativa probabilidad de comprometer las operaciones comerciales y amenazan la seguridad de la información. Elaborado por: Coordinador de Revisado por: Prof. Innovación y Aprobado por: Gerente de Seguridad de la Información Optimización de Procesos Transformación Digital SISTEMA DE GESTIÓN DE CALIDAD Aprobado en Agosto de 2021 9
MACROPROCESO SISTEMA DE GESTIÓN INTEGRADA PROCESO SEGURIDAD DE LA INFORMACIÓN MANUAL POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN SGI-SI-M-01 Ver 5 2. OBJETIVOS DE LA SEGURIDAD DE LA INFORMACIÓN 2.1. OBJETIVO GENERAL Realizar una adecuada administración de seguridad de la información al área de Transformación Digital asegurando la operatividad en los servicios tecnológicos de la organización; garantizando la confidencialidad, la integridad y la disponibilidad de la información. 2.2. OBJETIVOS ESPECÍFICOS ● Establecer una adecuada metodología de Gestión del Riesgo de Seguridad de la Información en TI, (Tecnologías de la información), que permita mantener la seguridad de la información en los niveles de riesgo aceptables, permitiendo tomar acciones para la mitigación, eliminación, transferencia o aceptación de riesgos. ● Realizar un adecuado diseño, implementación y mejora de políticas y controles de seguridad de la información, que permitan la protección de los activos, garantizando la confidencialidad, integridad y disponibilidad de información y las operaciones con base tecnológica de ASMET SALUD EPS SAS, principalmente los contenidos en el Data Center. También, las políticas y controles de seguridad de la información deben lograr el cumplimiento de los acuerdos legales, la legislación y normatividad aplicable relacionada con la seguridad de la información, con el fin de evitar cargos o sanciones por incumplimientos legales y normativos. ● Establecer un adecuado plan de concientización en seguridad de la información en la organización, que permita fortalecer la aplicación de buenas prácticas seguras en el uso de las tecnologías de la información y la comunicación, buscando mitigar la materialización de Incidentes de seguridad de la información. Elaborado por: Coordinador de Revisado por: Prof. Innovación y Aprobado por: Gerente de Seguridad de la Información Optimización de Procesos Transformación Digital SISTEMA DE GESTIÓN DE CALIDAD Aprobado en Agosto de 2021 10
MACROPROCESO SISTEMA DE GESTIÓN INTEGRADA PROCESO SEGURIDAD DE LA INFORMACIÓN MANUAL POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN SGI-SI-M-01 Ver 5 3. GENERALIDADES Y CONTEXTO El presente manual proporciona las directrices necesarias para el aseguramiento y/o protección de los activos de información, los datos e información corporativa pertenecientes o tratados por ASMET SALUD EPS SAS. Las presentes políticas están dirigidas a todos los funcionarios o colaboradores de ASMET SALUD EPS SAS, al personal temporal, a terceros que prestan servicios (outsourcing) en modalidad in-house u out-house, a afiliados, proveedores y toda persona natural o jurídica que de alguna manera realice transacciones, contrataciones y prestación de servicios con ASMET SALUD EPS SAS. Para los funcionarios o colaboradores de ASMET SALUD EPS SAS la responsabilidad de garantizar su cumplimiento no está solo en ellos, sino también en cada Coordinador, Gerente o Director el cual debe monitorear y gestionar el cumplimiento de las mismas. 3.1. MONITOREO, CONTROL Y AUDITORIA El monitoreo al cumplimiento de las políticas por parte de cada funcionario, proveedor o tercero, corresponde al conocimiento que cada coordinador o responsable por la administración de un servicio, tenga sobre el desempeño y cumplimiento de las obligaciones contraídas, realizando las gestiones pertinentes para hacer cumplir las políticas e informar del incumplimiento de las mismas. El Oficial de seguridad de la información o Profesional Administrador SGSI será quien gestione (Monitoreo, Control y Auditoría) el cumplimiento de las políticas y/o controles técnicos y organizativos, las auditorías internas o externas, el cumplimiento de las presentes políticas por parte del personal de ASMET SALUD EPS SAS o involucrados, con el fin de mejorar la seguridad de la información. Las auditorías se definen en el Manual del SGSI, en el numeral 10.2 “Auditoría Interna” 3.2. EXCEPCIONES Si se requieren excepciones a alguna de las políticas aquí descritas estas deben ser solicitadas a través del coordinador del funcionario con visto bueno del vicepresidente, gerente o director de cada área. Las excepciones deberán quedar documentadas y almacenadas como soporte a través del formato web de Solicitud de Servicios de Tecnología (Procedimiento de Gestión de Requerimientos). El Vicepresidente, Gerente, Director o coordinador de cada área será el encargado de evaluar los riesgos de la solicitud, con apoyo del área de Transformación Digital si lo requiere. Si el encargado de autorizar considera que una excepción solicitada conlleva riesgos altos para la seguridad de la información puede no autorizarla, o escalarla a su superior según el organigrama de ASMET SALUD EPS SAS. Las excepciones a políticas y privilegios serán revisados anualmente. Su fecha de vencimiento tiene corte a 31 de diciembre de cada año, por lo tanto si se encuentra vencida debe ser solicitada nuevamente mediante el formato solicitud de servicios de tecnología y las autorizaciones respectivas. Elaborado por: Coordinador de Revisado por: Prof. Innovación y Aprobado por: Gerente de Seguridad de la Información Optimización de Procesos Transformación Digital SISTEMA DE GESTIÓN DE CALIDAD Aprobado en Agosto de 2021 11
MACROPROCESO SISTEMA DE GESTIÓN INTEGRADA PROCESO SEGURIDAD DE LA INFORMACIÓN MANUAL POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN SGI-SI-M-01 Ver 5 3.3. INCUMPLIMIENTO A LAS POLÍTICAS DESCRITAS EN ESTE DOCUMENTO El cumplimiento de las políticas de seguridad de la información es obligatorio para todo funcionario o colaborador, contratista, consultor, pasante o tercera parte involucrada. En caso de presentarse un desacato, un incumplimiento o una potencial violación a las políticas aquí descritas por negligencia o intencionalmente, el colaborador que detectó la falta está en la obligación de informar el incumplimiento de la política mediante correo electrónico al coordinador del funcionario con copia al Coordinador de Seguridad y Protección de Datos al correo gt.seguridad@asmetsalud.com; éste a su vez informará a las áreas necesarias de acuerdo al incidente con el fin de tomar las medidas correctivas pertinentes según el caso y que surta el respectivo proceso según el código disciplinario vigente. Si el caso se presenta por parte de un tercero como un proveedor o un cliente, el mismo será analizado conjuntamente con las partes involucradas dentro de ASMET SALUD EPS SAS, quienes serán la instancia que tomarán las acciones necesarias para solucionar el inconveniente. Elaborado por: Coordinador de Revisado por: Prof. Innovación y Aprobado por: Gerente de Seguridad de la Información Optimización de Procesos Transformación Digital SISTEMA DE GESTIÓN DE CALIDAD Aprobado en Agosto de 2021 12
MACROPROCESO SISTEMA DE GESTIÓN INTEGRADA PROCESO SEGURIDAD DE LA INFORMACIÓN MANUAL POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN SGI-SI-M-01 Ver 5 4. COMPROMISO EN EL CUMPLIMIENTO DE LOS REQUISITOS RELACIONADOS AL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN Es importante que todos los funcionarios y partes interesadas de ASMET SALUD EPS SAS estén comprometidos con el cumplimiento de las presentes políticas y controles. La Presidencia y Vicepresidencias se deben comprometer en el apoyo vital para la implementación del Sistema de Gestión de Seguridad de la Información (SGSI) y desplegar la cultura de seguridad hacia todas las unidades de la organización. En relación a los compromisos para el cumplimiento de los requisitos del SGSI como parte del liderazgo del mismo se detallan los roles, responsabilidades y autoridades de la organización, los cuales pueden ser consultados en el presente documento. Elaborado por: Coordinador de Revisado por: Prof. Innovación y Aprobado por: Gerente de Seguridad de la Información Optimización de Procesos Transformación Digital SISTEMA DE GESTIÓN DE CALIDAD Aprobado en Agosto de 2021 13
MACROPROCESO SISTEMA DE GESTIÓN INTEGRADA PROCESO SEGURIDAD DE LA INFORMACIÓN MANUAL POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN SGI-SI-M-01 Ver 5 5. POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN En el presente documento se establecen las políticas de seguridad de la información alineadas con el anexo A de la norma ISO 27001:2013, el Manual del SGSI y las necesidades de ASMET SALUD EPS SAS. Las mismas se segmentan en varios apartados, numerales y literales para una mejor comprensión, estudio, implementación y aplicabilidad. Las presentes políticas de seguridad de la información han sido aprobadas por la organización a través del Acuerdo N°62 - Declaración y aprobación del Sistema de Gestión de la Seguridad de la Información para ASMET SALUD EPS SAS. 5.1. ORIENTACIÓN DE LA DIRECCIÓN PARA LA GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN 5.1.1. Políticas para la seguridad de la información Los funcionarios, personal externo, proveedores y todos aquellos que tengan responsabilidades, sobre fuentes, repositorios y recursos de procesamiento de la información de ASMET SALUD EPS SAS, deben adoptar los lineamientos contenidos en el presente documento y en los documentos relacionados al mismo, los cuales han sido aprobados por la Presidencia. Estos están compuestos por las políticas que mejor se ajustan a los actuales sistemas tecnológicos de información y a la estructura de la organización, con el fin de asegurar un adecuado nivel de confidencialidad, integridad y disponibilidad de la información. Las presentes políticas de seguridad de la información se alinean a las estrategias, el entorno, contratos y las legislaciones aplicables a ASMET SALUD EPS SAS. Se establecen para asegurar los temas de control de acceso, clasificación de información, seguridad física y del entorno, temas orientados a los usuarios finales (uso aceptable de activos, transferencia de información, dispositivos móviles y teletrabajo, restricciones, otros), copias de respaldo y/o Backups, protección contra código malicioso, gestión de vulnerabilidades, seguridad en las telecomunicaciones, privacidad y protección de información de datos personales, relación con proveedores, entre otros temas de seguridad de la información. El presente documento y sus políticas para la seguridad de la información están aprobado por la Junta Directiva, Presidencia y la Gerencia de Transformación Digital a través del documento, Acuerdo N°62 - Declaración y aprobación del Sistema de Gestión de la Seguridad de la Información para ASMET SALUD EPS SAS. 5.1.2. Revisión de políticas para la seguridad de la información Con el fin de garantizar una mejora continua a las políticas de la entidad, la Coordinación de Seguridad de la Información, apoyado con otros procesos deberá realizar, por lo menos una vez al año, una revisión a la política de seguridad de la información de ASMET SALUD EPS SAS o cuando se presenten cambios importantes en los procesos o sistemas con el fin de identificar mejoras o necesidad de cambios en la misma. Aprobados Elaborado por: Coordinador de Revisado por: Prof. Innovación y Aprobado por: Gerente de Seguridad de la Información Optimización de Procesos Transformación Digital SISTEMA DE GESTIÓN DE CALIDAD Aprobado en Agosto de 2021 14
MACROPROCESO SISTEMA DE GESTIÓN INTEGRADA PROCESO SEGURIDAD DE LA INFORMACIÓN MANUAL POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN SGI-SI-M-01 Ver 5 los cambios o ajustes a la Política deberá realizarse la respectiva divulgación o comunicación. El Coordinador de Seguridad de la Información y Protección de Datos y el Profesional Administrador de SGSI tendrán la potestad de actualizar las Políticas de Seguridad de la Información de acuerdo con las necesidades de revisión y el aval de la Gerencia de Transformación Digital y la Presidencia. Se realizará una revisión al menos una vez al año, o antes, en caso de que ocurran cambios significativos dentro de la organización de tal manera que se pueda garantizar que las políticas sean las adecuadas, eficaces y eficientes para la empresa. Las áreas podrán desarrollar, revisar y evaluar las políticas de seguridad de la información que se relacionen con ellos de la mano del Administrador de Seguridad de la Información, siguiendo los protocolos de aprobación de nuevas políticas o cambios en las existentes. Para lo anterior se debe comunicar las retroalimentaciones, sugerencias o inquietudes al correo gt.seguridad@asmetsalud.com. Elaborado por: Coordinador de Revisado por: Prof. Innovación y Aprobado por: Gerente de Seguridad de la Información Optimización de Procesos Transformación Digital SISTEMA DE GESTIÓN DE CALIDAD Aprobado en Agosto de 2021 15
MACROPROCESO SISTEMA DE GESTIÓN INTEGRADA PROCESO SEGURIDAD DE LA INFORMACIÓN MANUAL POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN SGI-SI-M-01 Ver 5 6. ORGANIZACIÓN DE LA SEGURIDAD 6.1. ORGANIZACIÓN INTERNA 6.1.1. Roles y Responsabilidades para la Seguridad de la Información Los roles, responsabilidades y las autoridades para la seguridad de la información se describen en el Manual del SGSI (SGI-SI-M-05) en el numeral 6.3. A continuación se describen roles y responsabilidades anexos o de interés en el presente documento. ● Presidencia: Promover activamente una cultura de seguridad de la información dentro y fuera de la organización. El aseguramiento de los recursos, infraestructura y talento humano adecuados para implementar y mantener el SGSI. ● Coordinación de Seguridad de la Información: ASMET SALUD EPS SAS cuenta con un oficial de seguridad de la información o Profesional Administrador SGSI quien es el responsable de gestionar y mantener el Sistema de Gestión de Seguridad de la Información dentro del cual se reglamenta las presentes políticas de seguridad de la información. ● Oficial de Protección de Datos Personales: Es el responsable de velar por la protección de los datos personales de colaboradores, afiliados, usuarios, proveedores, entre otros, relacionados con ASMET SALUD EPS SAS, la organización ha nombrado Oficial de Protección de datos Personales al Gerente de Transformación Digital y Comunicaciones. Quien trabajara de la mano con el Coordinador de Seguridad de la Información y demás procesos. ● Colaboradores: Los funcionarios y personal provisto por terceras partes que realicen labores en o para ASMET SALUD EPS SAS, tienen la responsabilidad de cumplir de manera estricta con las presentes políticas, normas, procedimientos y estándares referentes a la seguridad de la información. Los colaboradores son responsables por los activos que les haya asignado, incluyendo activos de información. Así mismo tienen la responsabilidad de reportar los eventos o incidentes de seguridad de la información que puedan detectar en el desempeño de sus labores y que puedan afectar a ASMET SALUD EPS SAS. De igual forma son responsables de la información bajo su custodia y que les haya sido suministrada, por lo que deberán mantener su confidencialidad, integridad y disponibilidad, así como velar porque la misma no llegue a fugarse. ● Terceros y/o Aliados: Las terceras partes interesadas o aliados de ASMET SALUD EPS SAS, deben ceñirse a las políticas de seguridad de la información descritas en este documento, deben dar un uso responsable bajo un marco de seguridad que proteja la Confidencialidad, la Integridad y la Disponibilidad de la información o datos que se intercambian, en el marco de contratos o alianzas estratégicas. Elaborado por: Coordinador de Revisado por: Prof. Innovación y Aprobado por: Gerente de Seguridad de la Información Optimización de Procesos Transformación Digital SISTEMA DE GESTIÓN DE CALIDAD Aprobado en Agosto de 2021 16
MACROPROCESO SISTEMA DE GESTIÓN INTEGRADA PROCESO SEGURIDAD DE LA INFORMACIÓN MANUAL POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN SGI-SI-M-01 Ver 5 6.1.2. Separación de Funciones ASMET SALUD EPS SAS se encuentra estructurada por macroprocesos, procesos y subprocesos de tal manera que se pueda orquestar una operatividad acorde con los objetivos organizacionales. Para la seguridad de la información se implementa el SGSI dentro del área de Transformación Digital, donde se definen roles para la administración del Data Center, principal sitio repositorio de información corporativa. Las funciones del equipo que administra los servidores, aplicativos, redes y telecomunicaciones, seguridad perimetral y otros servicios corporativos, son divididas de tal forma que el equipo pueda garantizar la seguridad de la información en los servicios que se prestan. Los cargos de cada colaborador se relacionan o definen los accesos, roles y/o funciones que estos tendrán en el sistema de información de ASMET SALUD EPS SAS el cual se compone por diversos aplicativos. (Correo, H&L, Seven, etc.) La seguridad física y del entorno es monitoreada por el CCTV (Circuito cerrado de Televisión) el cual es liderado y responsable del área Administrativa. 6.1.3. Contacto con Autoridades Asmet Salud EPS SAS mantiene un contacto adecuado con autoridades pertinentes, en seguridad de la información, las cuales pueden ayudar y guiar a la organización, en la gestión de incidentes de seguridad de la información dentro de la empresa. Las principales autoridades en materia de seguridad en el país, Colombia, son las siguientes: Grupo de respuestas a Emergencias Cibernéticas de Colombia, ColCERT, Gobierno. http://www.colcert.gov.co/index.php Centro Cibernético Policial, CCP - Policía. http://www.ccp.gov.co El Coordinador de Seguridad de la Información y Protección de Datos deberá gestionar y mantener las relaciones con la CCP, y con las demás instituciones si así lo considera y previa autorización del coordinador y Gerente del área de transformación digital. 6.1.4. Contacto con grupos de Interés especial Por parte del área de Transformación Digital, se debe tener una relación activa y apropiada con grupos especializados en el campo de la seguridad informática y tecnologías de la información (TI), como foros, grupos, asociaciones, empresas, entre otros, que mantienen actualizado el panorama y tendencias de la seguridad de la información y TI. El Coordinador de Seguridad de la Información y Protección de Datos deberá liderar, gestionar y mantener las relaciones con grupos de interés que así lo considere en materia de seguridad informática. Esto se hará con el objetivo de generar espacios donde se compartan conocimientos, charlas o conferencias educativas en materia de seguridad informática o tecnología para los usuarios finales. Elaborado por: Coordinador de Revisado por: Prof. Innovación y Aprobado por: Gerente de Seguridad de la Información Optimización de Procesos Transformación Digital SISTEMA DE GESTIÓN DE CALIDAD Aprobado en Agosto de 2021 17
MACROPROCESO SISTEMA DE GESTIÓN INTEGRADA PROCESO SEGURIDAD DE LA INFORMACIÓN MANUAL POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN SGI-SI-M-01 Ver 5 6.1.5. Seguridad de la Información en la Gestión de Proyectos La seguridad de la información se debe tratar en la gestión de proyectos, independientemente del tipo de proyecto, por tanto los líderes de proyectos deberán presentar o dar a conocer los nuevos proyectos al SGSI, para que este pueda realizar un respectivo análisis de riesgos, así como las sugerencias pertinentes en materia de seguridad de la información para los mismos. 6.2. DISPOSITIVOS MÓVILES Y TELETRABAJO Garantizar la seguridad del teletrabajo y el uso de dispositivos móviles. 6.2.1. Política para Dispositivos Móviles a) No es permitido el uso de dispositivos móviles personales tales como portátiles, smartphones, tabletas y otros relacionados, para el desarrollo de actividades laborales a través de los sistemas de información dispuestos por el área transformación digital de la compañía. b) Los miembros de Junta Directiva, Presidencia, Vicepresidencia y Gerentes pueden hacer uso de dispositivos móviles personales y corporativos, tales como portátiles, smartphones, tabletas y otros relacionados, para las actividades personales y empresariales. Los mismos deben velar por la seguridad de la información de los dispositivos móviles y su información contenida. c) El uso de dispositivos móviles personales dentro de la organización es permitido únicamente para fines personales y en los casos de emergencias o fuerza mayor. d) Está prohibido el almacenamiento de información de ASMET SALUD EPS SAS privada en dispositivos móviles personales en cualquier formato ya sea texto, imagen, audio y/o video. e) Se prohíbe la captura de imagen, audio y/o video de la infraestructura interna del edificio, zonas y oficinas, afiliados, funcionarios, y personas que se encuentren dentro de las instalaciones a través de dispositivos móviles, Smartphone, tabletas, IPad y cámaras, sin previa autorización de los coordinadores y directores del área de Talento Humano. 6.2.2. Teletrabajo Cuando se requiera realizar labores de teletrabajo o actividades laborales que requieran conexión remota, el líder del área o proceso debe aprobar el acceso de conexión VPN, indicando el tiempo por el cual se requiere la conexión remota para el desarrollo de las actividades laborales, o si se requiere el acceso conforme a las obligaciones contractuales. Las conexiones remotas a la red corporativa, acceso de conexión VPN, solo se dan a usuarios que por su labor o rol en ASMET SALUD EPS SAS requieren de este tipo de Elaborado por: Coordinador de Revisado por: Prof. Innovación y Aprobado por: Gerente de Seguridad de la Información Optimización de Procesos Transformación Digital SISTEMA DE GESTIÓN DE CALIDAD Aprobado en Agosto de 2021 18
MACROPROCESO SISTEMA DE GESTIÓN INTEGRADA PROCESO SEGURIDAD DE LA INFORMACIÓN MANUAL POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN SGI-SI-M-01 Ver 5 servicios. El acceso se brinda para la realización de actividades laborales desde sitios alternos, siempre bajo el control de acceso y las autorizaciones pertinentes. La responsabilidad de las acciones ejercidas en el desarrollo de las actividades de trabajo remoto o teletrabajo recaen estrictamente en el usuario y la coordinación o área a la que pertenece. En los casos que el acceso y procesamiento de la información sea mediante la modalidad de acceso remoto o teletrabajo, los responsables de estas actividades deberán dar cumplimiento a las buenas prácticas, condiciones y restricciones definidas entorno a la seguridad de la información, para lo cual se deben tener en cuenta las siguientes disposiciones. a) Se deben utilizar los servicios de VPN y escritorio remoto corporativos como medio de conexión seguro a la red empresarial, es necesario el diligenciamiento del formulario web solicitud de servicios de TI, para obtener autorización y acceso a estos servicios. b) No está permitido el uso de herramientas no corporativas oficiales para la conexión a la red empresarial como son Anydesk, Team Viewer ya que estas herramientas pueden llegar a constituir un riesgo a nivel de seguridad. c) Seguridad física y de comunicaciones adecuadas. d) Control de accesos a información o recursos. e) Hacer uso de software licenciado; en los casos que sea aplicable. f) Uso de equipo corporativos o personales (No utilizar equipo de terceros café internet, universidades, entre otros). g) Contar con un antivirus licenciado y actualizado. h) Los equipos de cómputo deben estar actualizados en lo posible con los últimos parches de seguridad. i) Una vez se termine la jornada laboral o las actividades laborales se debe verificar la desconexión de la VPN. j) No se debe utilizar redes inalámbricas gratuitas de cualquier zona pública. Estas conexiones no poseen medidas de seguridad y cualquier persona conectada a la misma puede interceptar el tráfico e incluso manipularlo. Elaborado por: Coordinador de Revisado por: Prof. Innovación y Aprobado por: Gerente de Seguridad de la Información Optimización de Procesos Transformación Digital SISTEMA DE GESTIÓN DE CALIDAD Aprobado en Agosto de 2021 19
MACROPROCESO SISTEMA DE GESTIÓN INTEGRADA PROCESO SEGURIDAD DE LA INFORMACIÓN MANUAL POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN SGI-SI-M-01 Ver 5 k. Contar con una suite de office licenciado en caso de ser necesario, o se recomienda utilizar la plataforma de Google Workspace. l. Cumplir con la política de contraseñas seguras. Es necesario revisar y fortalecer las contraseñas, recuerde que lo ideal es que sean mínimo de 10 caracteres alfanuméricos y con caracteres especiales, no deben ser relacionadas con algo que lo pueda identificar, por ejemplo: fechas de nacimiento, nombres de sus hijos, mascotas, etc.; las cuales debe estar cambiando de forma periódica y evitar el almacenamiento en los navegadores. m. Utilizar navegadores Google Chrome, Firefox actualizados. n. Se debe cumplir con los controles estipulados en manual de la política de seguridad de la información (SGI-SI-M-01). o. No utilizar USB para la transferencia de información, se debe utilizar el Drive de Google Workspace. p. En lo posible tener una conexión de Internet de mínimo de 5MB, para un buen funcionamiento de las aplicaciones. q. Cuando se encuentre conectado a la VPN usar el navegador web solo para las actividades laborales. r. En caso de presentarse anomalías, eventos o incidentes que puedan afectar los sistemas o la información de la compañía, se debe comunicar al área de seguridad de información por medio de los canales de comunicación establecidos (Otrs, Correo, etc.), notificando lo sucedido para tomar las medidas necesarias para proteger los sistemas y/o salvaguardar la información. Elaborado por: Coordinador de Revisado por: Prof. Innovación y Aprobado por: Gerente de Seguridad de la Información Optimización de Procesos Transformación Digital SISTEMA DE GESTIÓN DE CALIDAD Aprobado en Agosto de 2021 20
MACROPROCESO SISTEMA DE GESTIÓN INTEGRADA PROCESO SEGURIDAD DE LA INFORMACIÓN MANUAL POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN SGI-SI-M-01 Ver 5 7. SEGURIDAD DE LOS RECURSOS HUMANOS 7.1. ANTES DE ASUMIR EL EMPLEO 7.1.1. Selección El área de Talento Humano debe hacer verificación de antecedentes de los candidatos al empleo, contratistas y terceros, en concordancia con las regulaciones, las leyes relevantes y la ética organizacional, siendo afín a los requerimientos de ASMET SALUD EPS SAS, además de la clasificación de la información a la cual se va a tener acceso y los tipos de riesgos percibidos, así como la protección de la información de la privacidad, del tratamiento de los datos personales, la disponibilidad de referencias, verificación de la hoja de vida, confirmación de las calificaciones o certificados académicos y profesionales declarados. Es importante también que se asegure de que los candidatos tengan las competencias para desempeñar los cargos a los que aspiran, y si son cargos de importancia los mismos sean confiables para desempeñar el rol al que aspira. 7.1.2. Términación y condiciones del empleo Como parte de obligación contractual, empleados, contratistas y terceros deben aceptar. Firmar los términos y condiciones del contrato de empleo, el cual establecerá sus obligaciones y las obligaciones de ASMET SALUD EPS SAS para la seguridad de la información. Así mismo Talento Humano deberá hacer firmar a todos los empleados y contratistas a los que se brinde acceso a información confidencial acuerdos de confidencialidad y no divulgación, antes de asumir el cargo o roles establecidos. 7.2. DURANTE LA EJECUCIÓN DEL EMPLEO 7.2.1. Responsabilidades de la Dirección Las Vicepresidencias a través del área Talento Humano y Transformacional Digital y otras áreas exigirá que los empleados, contratistas y usuarios de terceras partes que apliquen la seguridad según las políticas y los procedimientos establecidos por la organización, esto se realizará mediante los contratos tanto laborales como con otros terceros. La Presidencia y Vicepresidencias se comprometen en apoyar al SGSI a través de ordenanza para el cumplimiento del presente manual de políticas de seguridad de la información. Se compromete en apoyar los programas educativos en materia de seguridad de la información para los colaboradores tales como seminarios, conferencias, espacios de charlas y difusión a través de los diversos canales de comunicación. Elaborado por: Coordinador de Revisado por: Prof. Innovación y Aprobado por: Gerente de Seguridad de la Información Optimización de Procesos Transformación Digital SISTEMA DE GESTIÓN DE CALIDAD Aprobado en Agosto de 2021 21
MACROPROCESO SISTEMA DE GESTIÓN INTEGRADA PROCESO SEGURIDAD DE LA INFORMACIÓN MANUAL POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN SGI-SI-M-01 Ver 5 7.2.2. Toma de Conciencia, educación y Formación en seguridad de la información a) El Coordinador de Seguridad de la Información y Protección de Datos realizará constantemente campañas de concientización por medios como correos electrónicos, publicaciones, mensajes, etc. También velará porque los nuevos funcionarios y contratistas reciban inducción en seguridad de la información al ingresar a la entidad. b) En todos los niveles de la organización se debe contar con el grado de conocimiento apropiado, que garantice la concientización y habilidades que permitan minimizar la ocurrencia y la severidad de incidentes de Seguridad de la Información. Cualquiera de los Colaboradores está en el derecho de solicitar asesorías educativas en materia de seguridad de la información al profesional SGSI en el momento que así lo requiera. c) Se realizará capacitación a los funcionarios sobre Seguridad de la información, amenazas informáticas, tipos de ataques, ingenierías sociales y relacionadas por medio de charlas informativas, cursos virtuales, conferencias y noticias sobre seguridad de la información y seguridad informática. 7.2.3. Proceso disciplinario Dentro de la documentación del o los procesos disciplinarios se debe incluir un mecanismo de disuasión para prevenir que los empleados o colaboradores violen las políticas y controles de seguridad de la información. Todo incidente de seguridad en los activos de información y/o en el manejo de la información en los que estén involucrados usuarios y/o colaboradores, internos o externos, debe ser investigado por Control Interno y Jurídica, conjuntamente con el equipo de seguridad, para establecer responsabilidades y determinar las sanciones correspondientes. En los incidentes de seguridad de la información reportados al proceso de Seguridad de la Información en los que estén involucradas terceras partes, serán informados por éste al área Jurídica y al área directamente relacionado para el inicio de las acciones pertinentes. 7.3. TERMINACIÓN Y CAMBIO DE EMPLEO 7.3.1. Terminación o cambio de responsabilidades de empleo El área de Talento Humano es la encargada de realizar las gestiones necesarias para los traslados o finalización de las relaciones laborales. Así mismo estos deberán recordar las cláusulas de confidencialidad de la información posterior a la terminación laboral. Talento Humano es responsable de generar las comunicaciones respectivas para informar a las otras áreas de los traslados o retiros de los funcionarios para que se proceda con las Elaborado por: Coordinador de Revisado por: Prof. Innovación y Aprobado por: Gerente de Seguridad de la Información Optimización de Procesos Transformación Digital SISTEMA DE GESTIÓN DE CALIDAD Aprobado en Agosto de 2021 22
MACROPROCESO SISTEMA DE GESTIÓN INTEGRADA PROCESO SEGURIDAD DE LA INFORMACIÓN MANUAL POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN SGI-SI-M-01 Ver 5 gestiones pertinentes para la seguridad de la información, tales como retiro de permisos, accesos y demás gestiones. Elaborado por: Coordinador de Revisado por: Prof. Innovación y Aprobado por: Gerente de Seguridad de la Información Optimización de Procesos Transformación Digital SISTEMA DE GESTIÓN DE CALIDAD Aprobado en Agosto de 2021 23
MACROPROCESO SISTEMA DE GESTIÓN INTEGRADA PROCESO SEGURIDAD DE LA INFORMACIÓN MANUAL POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN SGI-SI-M-01 Ver 5 8. GESTIÓN DE ACTIVOS. 8.1. RESPONSABILIDAD POR LOS ACTIVOS 8.1.1. Inventario de activos. Todos los computadores, servidores y portátiles de la compañía comprados o alquilados deberán ser registrados en el inventario de equipos de cómputo, en donde se registre información relacionada con: hardware, sistema operativo y software base instalado, fecha de compra o alquiler, especificaciones generales, etc. Esta información deberá ser consignada una vez hayan sido recibidos los equipos en cuestión; la actualización del inventario de equipos se llevará a cabo cada vez que se realice cualquier tipo de modificación de software o hardware sobre los mismos. El mantenimiento físico de todos los equipos de ASMET SALUD EPS SAS, las revisiones de mantenimiento de software, revisión de la vigencia de licencias y software no autorizado instalado se realizará anualmente y estará a cargo del área de Transformación Digital. El área de Transformación Digital realizará el mantenimiento de equipos de usuario, servidores y redes de la sede Nacional y Cauca. ● Adquisición y asignación de equipos de usuario La adquisición y asignación de equipos la realizará el área Administrativa y los entregará al área de Transformación Digital para su configuración y entrega al funcionario. Los equipos de cómputo tendrán instalados única y exclusivamente los aplicativos y/o programas debidamente licenciados y aprobados teniendo en cuenta las funciones del usuario que lo utilizará. Adicionalmente se deben aplicar todas las restricciones y realizar las instalaciones de software correspondientes incluyendo el Antimalware. Hasta tanto el equipo no se encuentre en condiciones adecuadas para su uso, el usuario no podrá utilizarlo. ● Activos críticos El Coordinador de Seguridad de la Información y Protección de Datos realizará el levantamiento de información de los activos críticos de la entidad en conjunto con los líderes de los procesos, así como de los requerimientos de integridad, confidencialidad y disponibilidad de dichos activos, esto en el proceso de análisis de impacto al negocio y en la gestión del riesgo. Los colaboradores deberán identificar activos de información no tangibles tales como documentos, archivos de bases de datos, hojas de cálculo, etc. que se encuentren en sus equipos de cómputo asignados y deberán propender por proteger su integridad, confidencialidad y disponibilidad. Elaborado por: Coordinador de Revisado por: Prof. Innovación y Aprobado por: Gerente de Seguridad de la Información Optimización de Procesos Transformación Digital SISTEMA DE GESTIÓN DE CALIDAD Aprobado en Agosto de 2021 24
También puede leer