POLITICA DE SEGURIDAD DE LA INFORMACIÓN En AVANSIS, la información es un activo fundamental para la prestación de sus servicios y la toma de decisiones eficientes, razón por la cual existe un compromiso expreso de protección de sus activos más significativos, como parte de una estrategia orientada a la continuidad del negocio, la administración de riesgos y la consolidación de una cultura de seguridad. Consciente de sus necesidades actuales, AVANSIS implementa un modelo de gestión de seguridad de la información como herramienta que permita identificar y minimizar los riesgos a los cuales se expone la información, ayuda a la reducción de costos operativos y financieros, estableciendo una cultura de seguridad y garantizando el cumplimiento de los requerimientos legales, contractuales, regulatorios y de negocio vigentes. El proceso de análisis de riesgos de los activos de información es el soporte para el desarrollo de las Políticas de Seguridad de la Información, así como de los controles y objetivos de control seleccionados para obtener los niveles de protección esperados en AVANSIS; este proceso será liderado de manera permanente por el Responsable de Seguridad. Esta política será revisada con regularidad como parte del proceso de revisión por la dirección, o cuando se identifiquen cambios significativos en el negocio, su estructura, sus objetivos o alguna condición que afecten la política, para asegurar que sigue siendo adecuada y ajustada a los requerimientos identificados. Políticas generales de seguridad de la información AVANSIS ha establecido las siguientes directrices en su Política General de Seguridad de la Información, las cuales representan la visión de la Organización en cuanto a la protección de sus activos de Información: 1. Existirá un Comité de Gestión, que será el responsable del mantenimiento, revisión y mejora del Sistema de Gestión de Seguridad de la Información de AVANSIS. 2. Los activos de información de AVANSIS, serán identificados y clasificados para establecer los mecanismos de protección necesarios. 1 3. AVANSIS definirá e implantará controles para proteger la información contra violaciones de autenticidad, accesos no autorizados y pérdida de integridad, que garanticen la disponibilidad de los servicios ofrecidos por AVANSIS y requeridos por los clientes y usuarios. 4. Todos los empleados y/o contratistas serán responsables de proteger la información a la cual accedan y procesen, para evitar su pérdida, alteración, destrucción o uso indebido. 5. Se realizarán auditorías y controles periódicos sobre el modelo de gestión de Seguridad de la Información de AVANSIS 6. Únicamente se permitirá el uso de software autorizado, que haya sido adquirido legalmente por la Organización y cuyo funcionamiento. 7. Es responsabilidad de todos los empleados y contratistas de AVANSIS informar de los Incidentes de Seguridad, eventos sospechosos o mal uso de los recursos que pudieran identificarse. 8. Las violaciones de la Política y Controles de Seguridad de la Información serán informadas, registradas y monitorizadas. 9. AVANSIS contará con un Plan de Continuidad del Negocio que asegure la continuidad de las operaciones, ante la ocurrencia de eventos no previstos o desastres naturales. Adicionalmente AVANSIS cuenta con políticas específicas y un conjunto de estándares y procedimientos que soportan la política corporativa Acuerdos de confidencialidad Todos los empleados de AVANSIS y/o terceros deben aceptar los acuerdos de confidencialidad definidos por la Organización, los cuales reflejan los compromisos de protección y buen uso de la información, de acuerdo con los criterios establecidos por ella. En el caso de contratistas y personas o entidades externas, los respectivos contratos deben incluir una cláusula de confidencialidad que regule el acceso a la información y/o a los recursos de AVANSIS. Estos acuerdos deben aceptarse por cada uno de ellos como parte del proceso de contratación, razón por la cual dicha cláusula y/o acuerdo de confidencialidad hace parte integral de cada uno de los contratos. 2 Riesgos relacionados con terceros AVANSIS identifica los posibles riesgos que se pueden generar durante el acceso, procesamiento, comunicación o gestión de la información y la infraestructura para su procesamiento por parte de los terceros, con el fin de establecer los mecanismos de control necesarios para que la seguridad se mantenga. Los controles que se establezcan como necesarios a partir del análisis de riesgos, deben ser comunicados y aceptados por el tercero mediante la firma de acuerdos, como paso previo a la entrega de los accesos requeridos. Uso adecuado de los activos El acceso a los documentos físicos y digitales estará determinado por las normas relacionadas con el acceso y restricciones a los documentos públicos, a la competencia de cada área y a los permisos y niveles de acceso de los empleados y contratistas determinadas por los Jefes de Área. Para la consulta de documentos cargados en el gestor documental corporativo se establecerán privilegios de acceso a los empleados y/o contratistas de acuerdo con el desarrollo de sus funciones y competencias. Dichos privilegios serán establecidos por el Jefe o Director del Área, quien comunicará al área técnica el listado con los empleados y sus privilegios. Todos los empleados y terceros que manipulen información en el desarrollo de sus funciones deberán firmar un “acuerdo de confidencialidad de la información”, donde individualmente se comprometan a no divulgar, usar indebidamente o explotar la información confidencial a la que tengan acceso, respetando los niveles establecidos para la clasificación de la información; y que cualquier violación a lo establecido en este parágrafo será considerado como un “incidente de seguridad” Acceso a Internet / Correo electrónico / Recursos tecnológicos Los usuarios con acceso a Internet, deben esforzarse en hacer y promover un uso eficiente de las redes a fin de evitar tráfico innecesario en la red y generar interferencias en el trabajo de otros usuarios o con otras redes asociadas, así como con los servicios que éstas ofrecen. 3 El uso del sistema informático de Avansis para acceder a redes privadas o públicas, se limitará a los aspectos directamente relacionados con la actividad y los cometidos del puesto de trabajo del usuario. Se hará un uso responsable del correo electrónico, así como de la información transmitida a través de este medio, preservando su confidencialidad e integridad. Cualquier fichero introducido en la red o en el terminal del usuario a través de mensajes de correo electrónico que provengan de redes externas, deberá cumplir los requisitos establecidos en estas normas y, en especial, las referidas a propiedad intelectual e industrial y a control de virus o cualquier tipo de código malicioso. Está permitida la utilización dela información a la que se tenga acceso en AVANSIS únicamente en la forma exigida para el desempeño de sus funciones en la organización y no puede disponer de ella de ninguna otra forma o para otra finalidad diferente. La salida de soportes informáticos y dispositivos móviles fuera de la organización precisa autorización. Dicha autorización deberá ser otorgada por consentimiento de su responsable directo. Se prohíben expresamente las siguientes actividades: No está permitido instalar “motu propio” ningún tipo de código (tanto paquetes de software comercial como de desarrollo propio) en el sistema de información de Avansis. Todas aquellas aplicaciones necesarias para el desempeño de su trabajo serán instaladas únicamente por personal debidamente autorizado de la organización. Intentar distorsionar, modificar o borrar los registros (LOGs) del sistema. Intentar leer, borrar, copiar o modificar los mensajes de correo electrónico o archivos de otros usuarios. (Esta actividad puede constituir un delito de interceptación de las telecomunicaciones, previsto en el artículo 197 del Código Penal). Utilizar el sistema para intentar acceder a áreas restringidas de los sistemas informáticos, tanto corporativos como de terceros. Intentar aumentar sin autorización el nivel de privilegios de un usuario en el sistema. Destruir, alterar, inutilizar o, de cualquier otra forma, dañar los datos, programas o documentos electrónicos de Avansis o de terceros. (Estos actos pueden constituir un delito de daños, previsto en el artículo 264.2 del Código Penal). 4 Obstaculizar voluntariamente el acceso de otros usuarios a la red mediante el consumo masivo de los recursos informáticos y telemáticos de la empresa, así como realizar acciones que dañen, interrumpan o generen errores en dichos sistemas. Enviar mensajes de correo electrónico de forma masiva o con fines comerciales o publicitarios sin el consentimiento de Avansis, así como enviar o reenviar mensajes en cadena o de tipo piramidal Introducir voluntariamente programas, virus, macros, applets o cualquier otro dispositivo lógico o secuencia de caracteres que causen o sean susceptibles de causar cualquier tipo de alteración en los sistemas informáticos de la entidad o de terceros. El usuario tendrá la obligación de utilizar los programas antivirus y sus actualizaciones para prevenir la entrada en el sistema de cualquier elemento destinado a destruir o corromper los datos informáticos. Introducir o descargar de Internet, reproducir, utilizar o distribuir programas informáticos no autorizados expresamente por Avansis, o cualquier otro tipo de obra o material cuyos derechos de propiedad intelectual o industrial pertenezcan a terceros, cuando no se disponga de autorización para ello. Instalar copias ilegales de cualquier programa, incluidos los corporativos. Borrar cualquiera de los programas instalados legalmente sin autorización de Avansis Utilizar los recursos telemáticos de Avansis, incluido el acceso a Internet, para actividades que no se hallen directamente relacionadas con el puesto de trabajo del usuario. Queda prohibido utilizar los recursos del sistema de información a los que tenga acceso para uso privado o para cualquier otra finalidad diferente de las estrictamente laborales. Queda terminantemente prohibido facilitar a persona alguna ajena a Avansis ningún soporte conteniendo datos, a los que haya tenido acceso en el desempeño de sus funciones, sin la debida autorización. Queda terminantemente prohibido utilizar ninguna información que hubiese podido obtener por su condición de empleado de Avansis y que no sea necesario para el desempeño de sus funciones. No podrán divulgar ni utilizar directamente, ni a través de terceras personas o empresas, los datos, documentos, metodologías, claves, análisis, programas y demás información a la que tengan acceso durante su relación laboral con Avansis, tanto en soporte material como electrónico. Todos los compromisos anteriores deben mantenerse, incluso después de extinguida la relación laboral con Avansis. 5 En el caso de que, por motivos directamente relacionados con el puesto de trabajo, el empleado entre en posesión de información confidencial bajo cualquier tipo de soporte, deberá entenderse que dicha posesión es estrictamente temporal, con obligación de secreto y sin que ello le irrogue derecho alguno de posesión, o titularidad o copia sobre la referida información. Asimismo, el trabajador deberá devolver dichos materiales a Avansis inmediatamente después de la finalización de las tareas que han originado el uso temporal de los mismos y, en cualquier caso, a la finalización de la relación laboral. La utilización continuada de la información en cualquier formato o soporte de forma distinta a la pactada y sin conocimiento de la empresa, no supondrá, en ningún caso, una modificación de esta cláusula. El incumplimiento de esta obligación puede constituir un delito de revelación de secretos, previsto en el artículo 197 y siguientes del Código Penal y dará derecho a Avansis a exigir al usuario una indemnización económica. Asimismo, se recuerda que el trabajador será responsable frente a la organización y frente a terceros de cualquier daño que pudiera derivarse para unos u otros del incumplimiento de los compromisos anteriores y resarcirá a Avansis las indemnizaciones, sanciones o reclamaciones que ésta se vea obligada a satisfacer como consecuencia de dicho incumplimiento. Introducir contenidos obscenos, inmorales u ofensivos y, en general, carentes de utilidad para las finalidades propias de la empresa, en la red corporativa del mismo. Queda terminantemente prohibido la creación o modificación de Documentación implicada en el alcance o de nuevos ficheros por parte de los usuarios no autorizados.¿? Avansis se reserva el derecho de revisar, con previo aviso, los mensajes de correo electrónico de los usuarios de la red y los archivos LOG del servidor, con el fin de comprobar el cumplimiento de estas normas y prevenir actividades que puedan afectar a la organización como responsable civil subsidiario. La documentación en soporte papel deberá ser guardada y custodiada en sus archivos correspondientes. Respecto a documentación impresa, el usuario será responsable de su recogida, que deberá efectuarse con carácter inmediato, evitando el acceso a la documentación por usuarios no autorizados. 6 La documentación que no sea de utilidad para el usuario, deberá ser destruida utilizando para ello las destructoras de papel existentes (dependiendo de la naturaleza de la información que haya en esos documentos). Protección y ubicación de los equipos Los equipos que forman parte de la infraestructura tecnológica de AVANSIS, tales como servidores, equipos de comunicaciones y seguridad electrónica, centros de cableado, equipos de climatización, así como estaciones de trabajo y dispositivos de almacenamiento y/o comunicación móvil que contengan y/o brinden servicios de soporte a la información crítica de las dependencias, deben ser ubicados y protegidos adecuadamente para prevenir la pérdida, daño, robo o acceso no autorizado de los mismos. De igual manera, se debe adoptar los controles necesarios para mantener los equipos alejados de sitios que puedan tener riesgo de amenazas potenciales como fuego, explosivos, agua, polvo, vibración, interferencia electromagnética y vandalismo, entre otros. Los empleados y terceros, incluyendo sus empleados o subcontratistas, que tengan acceso a los equipos que componen la infraestructura tecnológica de AVANSIS no pueden fumar, beber o consumir algún tipo de alimento cerca de los equipos. AVANSIS mediante mecanismos adecuados monitorizará las condiciones ambientales de las zonas donde se encuentren los equipos. Segregación de funciones Toda tarea en la cual los empleados tengan acceso a la infraestructura tecnológica y a los sistemas de información, debe contar con una definición clara de los roles y responsabilidades, así como del nivel de acceso y los privilegios correspondientes, con el fin de reducir y evitar el uso no autorizado o modificación sobre los activos de información de la organización. Copias de respaldo (backup) AVANSIS debe asegurar que la información con cierto nivel de clasificación(definido por el Comité de Gestión), contenida en la infraestructura tecnológica de la Organización, como servidores, dispositivos de red para almacenamiento de información, entre otros, sea periódicamente resguardada mediante mecanismos y controles adecuados que garanticen su identificación, protección, integridad y disponibilidad. Adicionalmente, se deberá establecer un plan de restauración de copias de seguridad que serán probados a intervalos regulares con el fin 7 de asegurar que son confiables en caso de emergencia y retenidas por un periodo de tiempo determinado. Todo ello alineado con la Instrucción DC_CAIT_SI11_Copias de Seguridad. Intercambio de información AVANSIS firmará acuerdos de confidencialidad con los empleados, clientes y terceros que por diferentes razones requieran conocer o intercambiar información restringida o confidencial de la Organización. En estos acuerdos quedarán especificadas las responsabilidades para el intercambio de la información para cada una de las partes y deberán ser ratificados mediante rúbrica antes de permitir el acceso o uso de dicha información. Todo empleado de AVANSIS es responsable de proteger la confidencialidad e integridad de la información a la que accede, y debe tener especial cuidado en el uso de los diferentes medios para el intercambio de información que puedan generar una divulgación o modificación no autorizada. Los propietarios de la información que requiere intercambio, son responsables de definir los niveles y perfiles de autorización para el acceso, modificación y eliminación de la misma y los custodios de esta información son responsables de implementar los controles que garanticen el cumplimiento de los criterios de confidencialidad, integridad, disponibilidad requeridos. Control de acceso físico Avansis tomará las medidas de seguridad necesarias para evitar pérdidas, daños, robos o circunstancias que pongan en peligro los activos o que puedan provocar la interrupción de sus actividades, para lo cual se prevendrá todo tipo de acceso físico no autorizado, daños o intromisiones en las instalaciones. Para ello, el perímetro de las instalaciones de Avansis está protegido mediante: Alarma Cámaras de seguridad Puertas de acceso securizadas.. La oficina se encuentra protegida mediante puerta de acceso con llave. Dentro de ella existen estancias cerradas con llave donde se encuentran los sistemas más importantes de Avansis (CPD), Administración y Relaciones Laborales, así como la documentación en papel. 8 El control de accesos físico para prevenir accesos no autorizados a la oficina se realiza mediante cámaras. El acceso al CPD es gestionado por el responsable de sistemas. Las zonas donde pueda haber acceso de terceros (clientes, proveedores, visitas) estarán especialmente vigiladas por el personal interno, no dejando sistemas ni información libres de supervisión y con posibilidad de robo o acceso no autorizado. Hay extintores distribuidos por la oficina e identificados adecuadamente, detectores de humo y pararrayos en el edificio. Hay 2 sistemas de alimentación ininterrumpida (UPS) que cubren todos los servidores y dispositivos de red de Avansis. El cableado es estructurado y cumple las normativas vigentes de seguridad. Se evita que en zonas de tránsito de personas existan cables que pongan en peligro sistemas y personas. En los armarios o cajones donde se archive documentación relevante o de carácter identificativo, no se dejarán puestas ningún tipo de llave. Los ordenadores portátiles serán custodiados en todo momento por la persona asignada al uso del mismo. En caso de que el portátil permanezca en la oficina, la custodia viene realizada por el control de accesos que realiza el personal contratado por el edificio. En caso de realizar teletrabajo, el empleado se asegurará de disponer de un entorno de trabajo adecuado y proteger los sistemas de los que es responsable. Se garantizará el acceso de usuarios autorizados y se prevendrá el acceso de usuarios no autorizados a los sistemas de información de Avansis, por tanto, el acceso a dichos Sistemas será controlado. Se usarán métodos seguros de autenticación para conexiones internas y externas por parte de usuario autorizados. Los grupos de servicios de información, usuarios y sistemas de información deberán estar segregados en la red. La información transmitida a través de redes de telecomunicaciones se hará de forma segura. Control de acceso lógico El acceso a plataformas, aplicaciones, servicios y en general cualquier recurso de información de AVANSIS debe ser asignado de acuerdo a la identificación previa de requerimientos de seguridad y del negocio que se definan por las diferentes áreas de la Organización, así como normas legales 9 o leyes aplicables a la protección de acceso a la información presente en los sistemas de información. Los responsables de la administración de la infraestructura TI de AVANSIS asignan los accesos a plataformas y usuarios de acuerdo a procesos formales de autorización, los cuales deben ser revisados de manera periódica por el Comité de Gestión de AVANSIS. La autorización de acceso a los sistemas de información debe ser definida y aprobada por el área propietaria de la información, o quien ésta defina, y se debe otorgar de acuerdo con el nivel de clasificación de la información identificada, según el cual se deben determinar los controles y privilegios de acceso que se pueden otorgar a los empleados y terceros e implementada por la Dirección Gestión de contraseñas Con relación a las contraseñas se habrán de observar las siguientes normas: La contraseña de acceso al sistema caducará a los 90 días manteniéndose un histórico de 12 contraseñas. El período mínimo de vigencia de las contraseñas es de 3 días naturales. El usuario será el encargado de modificar su propia contraseña. En el momento de realizar el primer acceso al sistema, se le solicitara automáticamente. El sistema avisará con una semana de antelación la caducidad de la contraseña actual. Las contraseñas usadas en cualquier sistema o servicio serán como mínimo de 8 caracteres, combinando caracteres de, al menos, tres de las siguientes categorías: Mayúsculas (de la A a la Z) Minúsculas (de la a a la z) Dígitos de base 10 (del 0 al 9) Caracteres no alfanuméricos (por ejemplo: !, $, #, %) Las contraseñas no podrán incluir el nombre de cuenta del usuario o partes del nombre completo del mismo en más de dos caracteres consecutivos El Sistema se bloqueará a los 3 intentos fallidos (el contador de errores se inicializa a los 30 minutos), teniendo que intervenir soporte para desbloquear el usuario. No se accederá al sistema utilizando el identificador y la contraseña de otro usuario. Las responsabilidades de cualquier acceso realizado utilizando un identificador determinado, recaerán sobre el usuario al que hubiera sido asignado. 10 Se deberá bloquear la sesión de usuario cuando el ordenador no vaya a ser utilizado, no dejándolo nunca desatendido. No obstante, transcurridos 15 minutos sin actividad, el equipo se bloqueará de forma automática. Se seguirá una política de puesto de trabajo despejado y mesas limpias, no dejando información confidencial o privada a la vista. Si se sospecha que la contraseña es conocida por otros usuarios, se procederá a informar al administrador de sistemas para su revocación y sustitución por una nueva. Se prohíben expresamente las siguientes actividades: Compartir o facilitar el identificador de usuario y la contraseña para acceder a los sistemas de información a otra persona física, incluido el personal de Avansis. En caso de incumplimiento de esta prohibición, el usuario será el único responsable de los actos realizados por la persona física que utilice de forma no autorizada el identificador del usuario. Intentar descifrar las claves, sistemas o algoritmos de cifrado y cualquier otro elemento de seguridad. El uso del sistema informático de Avansis para acceder a redes públicas como Internet, se limitará a los temas directamente relacionados con la actividad de Avansis y los cometidos del puesto de trabajo del usuario. El acceso a debates en tiempo real (Chat / IRC, Redes Sociales, Redes P2P, Descargas Directas) es especialmente peligroso, ya que facilita la instalación de utilidades que permiten accesos no autorizados al sistema, por lo que su uso queda estrictamente prohibido; a excepción de cuando sea necesario para desempeñar las funciones de su puesto de trabajo. El acceso a páginas web, grupos de noticias (Newsgroups) y otras utilidades como FTP, telnet, etc. se limita a aquéllos sitios que contengan información relacionada con la actividad de Avansis o con los cometidos del puesto de trabajo del usuario. Avansis se reserva el derecho de comprobar, de forma aleatoria y con previo aviso, cualquier sesión de acceso a Internet iniciada por un usuario de la red corporativa con el fin de prevenir un uso fraudulento, ilegal, abusivo o no autorizado de Internet. Dicha comprobación incluye la revisión de registros que muestran los ficheros cargados, los que se han accedido, las páginas web visitadas y los usuarios que han ejecutado tales acciones así como el momento en el que se han producido. 11 Cualquier persona que acceda a Internet a través de la red de Avansis acepta esta comprobación así como las normas aquí establecidas, asumiendo la imposición de acciones disciplinarias por incumplimiento de las citadas normas. Cualquier fichero introducido en la red corporativa o en el terminal del usuario desde Internet, deberá cumplir los requisitos establecidos en estas normas y, en especial, las referidas a propiedad intelectual e industrial y a control de virus. Se prohíbe la descarga a través de Internet de software de origen desconocido o de propiedad del usuario en los sistemas de Avansis, salvo que exista una autorización previa. X Dirección General de AVANSIS Dirección General de AVANSIS, Madrid, 21 de Abril del 2014 12