- Corporativo
- Política de seguridad de la información
Política de seguridad de la información
Documento No: PL-SSI-01
Versión: 12
Fecha: 31/03/2023
Redactado por: Seguridad de la Información
Documento aprobado por
Revisó | Aprobó | |
---|---|---|
Nombre | ||
Cargo | IRisks and Information Security Manager | President & CEO |
Fecha | 30/11/2023 | 01/12/2023 |
Index
Fecha | Versión | Autor | Descripción |
---|---|---|---|
25/04/2017 | 01 | Infraestructura | Creación del documento |
28/12/2017 | 02 | Infraestructura | Se incluye:
Camilo Rodriguez teniendo en cuenta que Mauricio Mosseri se encuentra en vacaciones |
05/07/2018 | 03 | Seguridad de la Información |
Se modifica:
|
10/10/2018 | 04 | Seguridad de la Información |
Internos para la solicitud y asignación de credenciales sobre sistemas adicionales a los colaboradores. c) el formato F-SSI-02 Acuerdo Uso Credenciales Externos para las responsabilidades de los externos sobre los sistemas de Sophos Solutions S.A.S Solutions
b) el formato F-SSI-05 Acuerdo uso Conexión Remota a VPN Client to Site para las conexiones remotas de colaboradores.
e) el formato F-SSI-03 Acuerdo uso Privilegios
b) el formato F-SSI-07 Responsabilidad para
|
03/06/2019 | 05 | Seguridad de la Información |
Adición de sección de prohibiciones en Seguridad y Contenido de Internet |
26/09/2019 | 06 | Information Security Administrator |
|
15/04/2020 | 07 | Information Security Administrator |
|
21/08/2020 | 08 | Risk & Information Security Administrator |
|
11/03/2021 | 09 | Risk & Information Security Lead |
excepciones, dado que ahora se gestionan por flow2l. |
02/09/2021 | 10 | Risk & Information Security Lead |
|
30/03/2022 | 11 | Risk & Information Security Manager |
|
31/03/2023 | 12 | Risk & Information Security Manager |
|
31/03/2023 | 13 | Information Security Manager |
|
La Política de Seguridad de la Información de Sophos Solutions es el resultado del compromiso de la alta dirección por brindar una directriz orientada a ejercer una gestión segura y adecuada a la estrategia de la compañía sobre el Sistema Gestión de Seguridad de la Información, el cual, por medio del establecimiento de mecanismos y estrategias busca proteger los activos de información propios y de sus clientes, garantizando la implementación de controles adecuados para el tratamiento de amenazas, riesgos y vulnerabilidades que los afectan, minimizando en mayor medida su materialización e impacto.
Es importante mencionar que este Sistema Gestión de Seguridad de la Información se integra con la gestión de Riesgos, Ciberseguridad, Infraestructura y Continuidad de Negocio con el fin de cumplir con los marcos normativos establecidos en Colombia y también dentro de la organización, además de las políticas, procedimientos y controles establecidos para tal fin.
- Promover la toma de conciencia y capacitación del Sistema Gestión de Seguridad de la Información a través de los diferentes mecanismos de comunicación con el fin de prevenir la materialización de riesgos que puedan afectar la confidencialidad, integridad y disponibilidad de la información de nuestros clientes, colaboradores e información en general de la compañía.
- Gestionar los eventos e incidentes de seguridad de la información potenciales o materializados mediante las diferentes fuentes o herramientas de control, mitigando y controlando la probabilidad de ocurrencia de los riesgos que amenazan los activos de información de la compañía o el impacto generado.
- Identificar las amenazas y vulnerabilidades a las que está expuesta la compañía por medio de análisis propios y de terceros con el fin de tomar acciones que permitan cerrar las brechas de seguridad que presente la organización y que puedan poner en riesgo la confidencialidad, integridad y disponibilidad de su información.
- Establecer los mecánicos de prevención de eventos o incidentes de seguridad en proyectos de Clientes por medio de los acompañamientos establecidos y el plan de comunicaciones a Proyectos.
Mediante la implementación de la norma ISO/IEC 27001:2013 la compañía Sophos Solutions S.A.S. adopta, establece, opera, comprueba y mejora el Sistema de Seguridad de la Información para los procesos Fábrica de Desarrollo de Software “incluyendo Planificación y Administración de Proyectos, Levantamiento de Requerimientos, Análisis y Diseño, Construcción, Pruebas, Implementación, Soporte y Consultoría”.
Sophos Solutions S.A.S es una multinacional colombiana, con oficinas en la ciudad de Bogotá D.C. y Medellín, que provee servicios de Consultoría, Implementación de Core Bancario, Fábrica de Software para todo tipo de organizaciones, especialmente en compañías del sector Financiero y Bursátil.
La compañía Sophos Solutions SAS comprendiendo la importancia de proteger la confidencialidad, integridad y disponibilidad de la información para cada uno de los activos de información y servicios de TI que ofrece a la industria financiera y bursátil, así como también a la industria del Fintech como líder de innovación digital, se ha comprometido a Establecer, Implementar, Adoptar, Operar y Mejorar el Sistema Gestión de Seguridad de la Información como instrumento transversal para identificar, analizar, contener y remediar los riesgos de seguridad identificados con el fin de sostener la mejora continua del sistema, alineado a los requerimientos regulatorios y estratégicos de la compañía.
Por lo anterior, la Política de Seguridad de la Información aplica a las partes interesadas internas de Sophos Solutions SAS de acuerdo con el alcance determinado para el Sistema de Gestión.
Las demás políticas que se deriven como resultado de la implementación del SGSI y de su proceso de mejora continua serán adoptadas y de obligatorio cumplimiento por todos los grupos de interés identificados.
En Sophos Solutions, los responsables de la implementación, gestión, divulgación, formación y aplicación de las actividades relacionadas con el Sistema Gestión de Seguridad de la Información – SGSI, serán la Alta Gerencia, el Comité de Seguridad de la Información, el Área de Seguridad de la Información y algunos procesos involucrados con el ámbito del sistema. Por tanto, los roles y responsabilidades se determinarán teniendo en cuenta estas responsabilidades:
Se designa como responsable del Sistema Gestión de Seguridad de la Información de la compañía al Information Security Manager, quien tendrá bajo su responsabilidad:
- Determinar el alcance del SGSI
- Establecer, implementar, mantener y mejorar continuamente el SGSI
- Establecer políticas y directrices que brinden orientación y apoyo a la seguridad de la información de acuerdo con los requisitos del negocio, las leyes y normas pertinentes
- Fomentar la implementación de la Política de Seguridad dentro de la Organización
- Mejorar continuamente la idoneidad, adecuación y eficacia del SGSI.
- Evaluar y revisar el desempeño del SGSI y la eficacia del SGSI.
- Incluir en los sistemas de gestión la continuidad de negocio de la organización
Así mismo, se le designa Autoridad especial sobre el Sistema Gestión de Seguridad de la información, por parte del Chief Technology Innovation Officer - CTIO de acuerdo con el comunicado hecho el 16 de marzo de 2023 y socializado en Comité de Seguridad de la Información del 31 de marzo de 2023:
- Aprobar y establecer políticas y directrices de seguridad relacionadas con Seguridad de la Información y Ciberseguridad, supervisando su eficacia y pertinencia.
- Administrar el presupuesto asignado al Sistema y disponer del mismo de acuerdo con la planeación anual aprobada por el CTIO.
- Contratar servicios o proveedores tecnológicos para garantizar la seguridad de la información, que no estén contemplados inicialmente en el presupuesto anual aprobado por el CTIO en casos excepcionales, como lo son: ataques cibernéticos o materialización de amenazas que impacten la compañía a nivel tecnológico, reputacional o económico.
- Activar la póliza de Ciberseguridad en casos excepcionales, como lo son: ataques cibernéticos o materialización de amenazas que impacten la compañía a nivel tecnológico, reputacional y/o económico.
- Autorizar la contratación de recurso humano necesario para desempeñar funciones dentro del sistema en caso de ausencia del CTIO siempre y cuando esta contratación se encuentre contemplada dentro del presupuesto del área y cumpla con los montos aprobados por Gestión Humana.
- Dirigir y ordenar actividades al equipo de Ciberseguridad e Infraestructura para dar tratamiento sobre la arquitectura tecnológica o los sistemas de información propios de Sophos en caso de estado de emergencia ante un Ciberataque o Incidente de seguridad que comprometa gravemente la información de la compañía.
- Revocar permisos de acceso a sistemas de información o recursos tecnológicos a nivel corporativo sobre cualquier colaborador que incumpla los lineamientos, políticas y directrices emitidas por Sophos Solutions que comprometan gravemente la información de la compañía o sus clientes.
- Detener y forzar copias de seguridad no programadas sobre sistemas de información propios de la compañía que se vean altamente comprometidos ante un ataque cibernético.
Es obligación del Information Security Manager evidenciar por medio de logs y trazas de tiempo cada una de las decisiones, cambios o ajustes tomados y ejecutadas ante la ejecución de la autoridad otorgada, así como el de comunicarlo de forma directa e inmediata al CTIO. Estas evidencias deberán ser validadas y comprobadas por el área de auditoría Interna y demás entes de control que existan en Sophos Solutions. Las facultades acá concedidas deberán ser revisadas de forma anual en la sesión de Revisión por la dirección (Sophos Pitch), o antes si el CTIO - Chief Technology Innovation Officer o el Comité de Seguridad lo consideran necesario.
La Alta Gerencia es el máximo órgano de la compañía, por tanto, es su responsabilidad asegurar la implementación y mejora continua del Sistema Gestión de Seguridad de la Información – SGSI mediante el cumplimiento de las siguientes actividades:
- Demostrar liderazgo y compromiso con respecto al Sistema Gestión de Seguridad de la Información.
- Aprobar y asegurar la definición de políticas, directrices y lineamientos relacionados con la gestión de seguridad de la información y que sean compatibles con la dirección estratégica de la compañía.
- Socializar y resaltar la importancia de adoptar y fomentar la cultura de seguridad de la información en los procesos y proyectos de la compañía.
- Aprobar acciones, buenas prácticas, herramientas y medidas relacionadas con la implementación y mejora continua del Sistema Gestión de Seguridad de la Información.
- Proveer los recursos necesarios para el Sistema Gestión de Seguridad de la Información y asegurar que siempre estén disponibles.
- Asignar los roles, responsabilidades y niveles de autoridad para implementar y mantener la gestión de seguridad de la información.
- Asegurar y garantizar que en la sesión Revisión por la alta Dirección (Sophos Pitch) se revise y exponga el cumplimiento de los objetivos del sistema alineados a la estrategia de la organización.
- Asegurar que, mediante la sesión: Revisión por la alta Dirección (Sophos Pitch) se verifique que el Sistema Gestión de Seguridad de la Información cumpla con la conveniencia, adecuación y eficacia continua.
- Garantizar que se realice la sesión Revisión por la alta Dirección (Sophos Pitch) por lo menos 1 vez al año.
El Comité de Seguridad de la Información está conformado por:
- La Alta Gerencia
- Vicepresidentes
- Chief Officers
- Managers/ Gerentes de cuenta
- Líderes y Colaboradores de procesos interesados
El Comité de Seguridad de la Información será el responsable de:
- Garantizar que exista una dirección y apoyo gerencial que soporte la administración y desarrollo de iniciativas sobre seguridad de la información en la compañía.
- Analizar el desempeño del Sistema Gestión de Seguridad de la información.
- Analizar los resultados y avances sobre el Sistema Gestión de Seguridad de la información.
- Acompañar e impulsar el desarrollo de proyectos de seguridad.
- Analizar y recomendar la implementación de controles que apoyen la mitigación de riesgos de seguridad de la información.
- Coordinar y dirigir acciones específicas que ayuden a proveer un ambiente seguro y establecer los recursos de información que sean consistentes con las metas y objetivos de la compañía.
- Recomendar la asignación de roles y responsabilidades específicas sobre el Sistema Gestión de Seguridad de la información.
- Aprobar el uso de metodologías y procesos específicos para la seguridad de la información.
- Promover programas que fomenten la cultura de seguridad de la información en la compañía.
- Realizar revisiones periódicas sobre el Sistema Gestión de Seguridad de la información.
- Recomendar y/o autorizar la imposición de medidas disciplinarias para casos que el Área de Seguridad de la Información reporte como incumplimiento grave o crítico a las políticas de seguridad establecidas dentro de la compañía.
- Poner en conocimiento de la compañía, los documentos generados o socializados al interior del comité que impacten de manera transversal a la misma.
- Analizar cuestiones externas e internas a la luz de seguridad de la información.
- Analizar resultados de las auditorías de seguridad internas/externas recibidas por parte de proveedores/clientes externos.
- Analizar oportunidades de mejora para el Sistema Gestión de Seguridad de la información.
- Revisar la pertinencia junto con el CTIO si la autoridad concedida al Information Security Manager es la adecuada en caso de ser necesario.
- Las demás funciones inherentes a la naturaleza del Comité.
Los temas a tratar en el comité de seguridad serán:
- Garantizar que exista una dirección y apoyo gerencial que soporte la administración y desarrollo de iniciativas sobre seguridad de la información en la compañía.
- Revisión de la política de seguridad de la información.
- Estado de la postura de Seguridad de la Información y Ciberseguridad.
- Presentación de KPI o Indicadores establecidos para seguridad de la información y Ciberseguridad.
- Incidentes de seguridad e incidentes cibernéticos.
- Protección contra amenazas cibernéticas.
- Pruebas y simulaciones de seguridad y ciberseguridad.
- Esto actual de las vulnerabilidades identificadas sobre la infraestructura tecnológica de la compañía.
- Resultados de Auditorías Internas, Externas y pruebas de Hacking Ético.
- Gestión de Riesgos de Seguridad de la Información y Ciberseguridad.
Notas aclaratorias:
- Al comité de seguridad de la información pueden asistir analistas o líderes de diferentes áreas, pero no tendrán voz ni voto.
- El comité de seguridad de la información se reunirá Trimestralmente y tratará los temas referentes al Sistema Gestión de Seguridad de la información.
- El área de auditoría interna será invitada permanentemente al comité de seguridad de la información, tendrá voz, pero no voto.
- Se podrán citar sesiones extraordinarias cuando sea necesario, de acuerdo con temas de riesgos, incidentes de seguridad o afectaciones de continuidad dentro del Sistema Gestión de Seguridad de la información.
- Garantizar la mejora continua y el cumplimiento en cada una de sus vicepresidencias, COE’s, Proyectos Áreas y procesos frente a las políticas, lineamientos y procedimientos del Sistema de Gestión de Seguridad de la Información.
- Apoyar y propender la aplicación y acompañamiento del Sistema Gestión de Seguridad de la Información en los proyectos de cliente.
- Identificar y definir los riesgos de seguridad de la información de procesos y proyectos en acompañamiento del equipo de Riesgos de la compañía
- Realizar seguimiento a la ejecución de los procedimientos, objetivos, indicadores y planes de acción de seguridad de la información.
- Reportar al comité de seguridad de la información los avances, incidentes, novedades y controles implementados sobre los activos de información de la compañía.
- Garantizar el proceso de mejora continua al sistema de gestión de seguridad de la información mediante el ciclo PHVA.
- Prevenir y detectar amenazas y vulnerabilidades sobre los activos de información de la compañía.
- Establecer políticas, procedimientos y lineamientos de seguridad y ciberseguridad para la protección de los activos de información alineados con la confidencialidad, integridad y disponibilidad de estos.
- Alinear y correlacionar los objetivos estratégicos del sistema Gestión de seguridad con la Misión de la compañía y sus Macroprocesos y procesos.
- Definir estrategias de seguridad para orientar los objetivos del sistema en la consecución de los objetivos estratégicos de la organización.
- Crear y fomentar conciencia y cultura de seguridad en los colaboradores, proveedores y clientes de la compañía.
- Gestionar los incidentes de seguridad presentados dentro de la compañía junto con el apoyo a áreas
relacionadas para determinar el conducto disciplinario o legal al que haya lugar. - Planificar y gestionar la respuesta a incidentes de seguridad ante clientes o procesos internos
- Establecer los lineamientos y políticas de seguridad para toda la compañía.
- Evaluar la pertinencia y coordinar la implementación de controles específicos de seguridad de la información para nuevos sistemas o servicios de acuerdo con el análisis previo de los riesgos identificados.
- Gestionar y administrar perfiles para cada uno de los cargos de la compañía, garantizando la inclusión de roles y responsabilidades asociadas a seguridad de la información en cada uno de ellos.
- Incluir y gestionar las cláusulas de Seguridad correspondientes al cargo del nuevo colaborador, con el fin de garantizar el cumplimiento de estas al iniciar un contrato o vinculación laboral con la compañía.
- Solicitar estudios de seguridad para el personal postulante a cargos establecidos por la compañía con el fin de mitigar riesgos operativos y de seguridad asociados a perfiles no deseados.
- Informar a las áreas interesadas sobre la desvinculación de personal, con el fin de garantizar que todas las actividades asociadas a deshabilitación, retiro de permisos y roles se ejecuten.
- Incluir dentro de los programas de inducción, temas relacionados con seguridad de la información, asegurando que los colaboradores conozcan sus deberes y responsabilidades frente al sistema y las políticas establecidas por la compañía, así como las implicaciones por el uso indebido de activos de información o de otros recursos informáticos.
- Garantizar la adecuada gestión de accesos físicos y lógicos a las plataformas y sistemas de información de la compañía (no aplica para aplicaciones alojadas en infraestructura de terceros).
- Realizar y garantizar los mantenimientos y actualizaciones de servicios, aplicaciones y herramientas administradas por el área de Infraestructura para mitigar brechas de seguridad.
- Asignar, administrar y eliminar los usuarios, roles y privilegios del directorio activo y sistemas de información administrados por el área de Infraestructura.
- Realizar y garantizar las copias de respaldo de los repositorios, servidores y equipos críticos de la compañía, que permitan la continuidad del negocio y el restablecimiento de las actividades en caso de contingencia.Segregar las redes de cada una de las sedes de la compañía con el fin de limitar el acceso a información confidencial de personas no autorizadas o que no pertenecen a la compañía.
- Solicitar, configurar y asignar los equipos de cómputo requeridos por cada proyecto para los nuevos colaboradores que ingresan a la compañía.
- Tramitar las solicitudes recibidas desde seguridad de la Información relacionadas con excepciones de seguridad.
- Validar la aplicación y cumplimiento de las especificaciones y medidas de seguridad de la información establecidas por esta Política y por las normas, procedimientos y prácticas que de ella deriven.
- Practicar auditorías internas al SGSI, como mínimo una vez año.
- Garantizar evaluaciones periódicas de los controles, la eficiencia de los sistemas y actividades relacionadas a la gestión de activos de información, así como la responsabilidad de dicha área, de informar los resultados de las auditorías ejecutadas.
- Los colaboradores de Sophos Solutions S.A.S son responsables del manejo adecuado de la información y los activos de información mediante el cumplimiento de las políticas, procesos, procedimientos y controles establecidos.
- Todos los colaboradores deben respetar y cumplir las políticas, estándares, guías y procedimientos de Seguridad de la información establecidos, con el fin de garantizar la seguridad de los recursos tecnológicos de la compañía. Además, son responsables de informar al Área de Seguridad de la Información cualquier brecha o incidente de seguridad asociado a la información de la compañía o sus clientes.
- Los colaboradores que dentro de sus funciones manejen información clasificada como confidencial o restringida, deben cumplir con los controles asociados a cada nivel de seguridad de la información establecidos por Sophos Solutions S.A.S.
- Los colaboradores de Sophos deberán velar por la protección de los activos de información entregados por parte de la compañía.
- Los colaboradores de Sophos deberán contribuir en la mejora continua del sistema de gestión de seguridad de la información.
- Los Colaboradores de Sophos son responsables de la calidad, integridad y veracidad de los datos ingresados en los diferentes sistemas de información utilizados dentro de la compañía (bien sean propios o de terceros).
- Los colaboradores están obligados a cumplir los lineamientos y permisos otorgados por el propietario sobre sus activos de información.
- Los colaboradores de Sophos deberán Cumplir con las Política de seguridad establecida en el presente documento y todas las políticas derivadas del mismo.
- Los Colaboradores de Sophos deben velar por el cumplimiento de las políticas de Seguridad de la Información dentro de su entorno laboral inmediato (a nivel interno de la compañía y en Cliente).
- Es responsabilidad de los colaboradores, Clientes y proveedores reportar de manera inmediata y a través de los canales establecidos por Sophos Solutions SAS, la sospecha u ocurrencia de eventos y/o incidentes de Seguridad de la Información relacionados con la compañía.
- Es deber de los colaboradores utilizar los sistemas de información y el acceso a la red de la compañía únicamente para los propósitos que lo vinculan con ella.
- Es deber de los colaboradores utilizar únicamente el software y demás recursos tecnológicos autorizados por Sophos y/o el Cliente de Sophos.
- Es deber de los colaboradores y Proveedores de Sophos Solutions SAS velar por la Confidencialidad, Integridad y Disponibilidad de los activos de información utilizados para la ejecución de sus actividades.
- Es deber de los colaboradores utilizar los diferentes canales, herramientas y medios de comunicación proporcionados por el área de Seguridad de la Información e Infraestructura para realizar solicitudes específicas de seguridad, accesos y servicios frente a sus labores diarias.
Dando cumplimiento en la mejora continua del Sistema de Gestión de Seguridad de la Información, se establece que la Política de Seguridad de la Información deberá revisarse cada año a partir del último cambio realizado o cuando haya modificaciones o nuevos lineamientos que lo ameriten.
La actualización de la Política de seguridad deberá ser socializada y validada por el comité de seguridad de la información.
La actualización de la Política de seguridad deberá ser aprobada por la Alta Gerencia.
“Sophos Solutions S.A.S. se reserva el derecho de modificar el presente documento según los cambios que surjan al interior de la compañía”.