Politica de Seguridad Informacion v1 0

POLITICA DE SEGURIDAD DE LA INFORMACIÓN
En AVANSIS, la información es un activo fundamental para la prestación de sus servicios y la
toma de decisiones eficientes, razón por la cual existe un compromiso expreso de protección de
sus activos más significativos, como parte de una estrategia orientada a la continuidad del
negocio, la administración de riesgos y la consolidación de una cultura de seguridad.
Consciente de sus necesidades actuales, AVANSIS implementa un modelo de gestión de
seguridad de la información como herramienta que permita identificar y minimizar los riesgos
a los cuales se expone la información, ayuda a la reducción de costos operativos y financieros,
estableciendo una cultura de seguridad y garantizando el cumplimiento de los requerimientos
legales, contractuales, regulatorios y de negocio vigentes.
El proceso de análisis de riesgos de los activos de información es el soporte para el desarrollo de
las Políticas de Seguridad de la Información, así como de los controles y objetivos de control
seleccionados para obtener los niveles de protección esperados en AVANSIS; este proceso será
liderado de manera permanente por el Responsable de Seguridad.
Esta política será revisada con regularidad como parte del proceso de revisión por la dirección,
o cuando se identifiquen cambios significativos en el negocio, su estructura, sus objetivos o
alguna condición que afecten la política, para asegurar que sigue siendo adecuada y ajustada a
los requerimientos identificados.
Políticas generales de seguridad de la información
AVANSIS ha establecido las siguientes directrices en su Política General de Seguridad de la
Información, las cuales representan la visión de la Organización en cuanto a la protección de sus
activos de Información:
1. Existirá un Comité de Gestión, que será el responsable del mantenimiento, revisión y mejora
del Sistema de Gestión de Seguridad de la Información de AVANSIS.
2. Los activos de información de AVANSIS, serán identificados y clasificados para establecer los
mecanismos de protección necesarios.
1
3. AVANSIS definirá e implantará controles para proteger la información contra violaciones de
autenticidad, accesos no autorizados y pérdida de integridad, que garanticen la disponibilidad
de los servicios ofrecidos por AVANSIS y requeridos por los clientes y usuarios.
4. Todos los empleados y/o contratistas serán responsables de proteger la información a la cual
accedan y procesen, para evitar su pérdida, alteración, destrucción o uso indebido.
5. Se realizarán auditorías y controles periódicos sobre el modelo de gestión de Seguridad de la
Información de AVANSIS
6. Únicamente se permitirá el uso de software autorizado, que haya sido adquirido legalmente
por la Organización y cuyo funcionamiento.
7. Es responsabilidad de todos los empleados y contratistas de AVANSIS informar de los
Incidentes de Seguridad, eventos sospechosos o mal uso de los recursos que pudieran
identificarse.
8. Las violaciones de la Política y Controles de Seguridad de la Información serán informadas,
registradas y monitorizadas.
9. AVANSIS contará con un Plan de Continuidad del Negocio que asegure la continuidad de las
operaciones, ante la ocurrencia de eventos no previstos o desastres naturales. Adicionalmente
AVANSIS cuenta con políticas específicas y un conjunto de estándares y procedimientos que
soportan la política corporativa
Acuerdos de confidencialidad
Todos los empleados de AVANSIS y/o terceros deben aceptar los acuerdos de confidencialidad
definidos por la Organización, los cuales reflejan los compromisos de protección y buen uso de
la información, de acuerdo con los criterios establecidos por ella.
En el caso de contratistas y personas o entidades externas, los respectivos contratos deben
incluir una cláusula de confidencialidad que regule el acceso a la información y/o a los recursos
de AVANSIS.
Estos acuerdos deben aceptarse por cada uno de ellos como parte del proceso de contratación,
razón por la cual dicha cláusula y/o acuerdo de confidencialidad hace parte integral de cada uno
de los contratos.
2
Riesgos relacionados con terceros
AVANSIS identifica los posibles riesgos que se pueden generar durante el acceso,
procesamiento, comunicación o gestión de la información y la infraestructura para su
procesamiento por parte de los terceros, con el fin de establecer los mecanismos de control
necesarios para que la seguridad se mantenga.
Los controles que se establezcan como necesarios a partir del análisis de riesgos, deben ser
comunicados y aceptados por el tercero mediante la firma de acuerdos, como paso previo a la
entrega de los accesos requeridos.
Uso adecuado de los activos
El acceso a los documentos físicos y digitales estará determinado por las normas relacionadas
con el acceso y restricciones a los documentos públicos, a la competencia de cada área y a los
permisos y niveles de acceso de los empleados y contratistas determinadas por los Jefes de Área.
Para la consulta de documentos cargados en el gestor documental corporativo se establecerán
privilegios de acceso a los empleados y/o contratistas de acuerdo con el desarrollo de sus
funciones y competencias. Dichos privilegios serán establecidos por el Jefe o Director del Área,
quien comunicará al área técnica el listado con los empleados y sus privilegios.
Todos los empleados y terceros que manipulen información en el desarrollo de sus funciones
deberán firmar un “acuerdo de confidencialidad de la información”, donde individualmente se
comprometan a no divulgar, usar indebidamente o explotar la información confidencial a la que
tengan acceso, respetando los niveles establecidos para la clasificación de la información; y que
cualquier violación a lo establecido en este parágrafo será considerado como un “incidente de
seguridad”
Acceso a Internet / Correo electrónico / Recursos tecnológicos
Los usuarios con acceso a Internet, deben esforzarse en hacer y promover un uso eficiente de
las redes a fin de evitar tráfico innecesario en la red y generar interferencias en el trabajo de
otros usuarios o con otras redes asociadas, así como con los servicios que éstas ofrecen.
3
El uso del sistema informático de Avansis para acceder a redes privadas o públicas, se limitará a
los aspectos directamente relacionados con la actividad y los cometidos del puesto de trabajo
del usuario. Se hará un uso responsable del correo electrónico, así como de la información
transmitida a través de este medio, preservando su confidencialidad e integridad.
Cualquier fichero introducido en la red o en el terminal del usuario a través de mensajes de
correo electrónico que provengan de redes externas, deberá cumplir los requisitos establecidos
en estas normas y, en especial, las referidas a propiedad intelectual e industrial y a control de
virus o cualquier tipo de código malicioso.
Está permitida la utilización dela información a la que se tenga acceso en AVANSIS únicamente
en la forma exigida para el desempeño de sus funciones en la organización y no puede disponer
de ella de ninguna otra forma o para otra finalidad diferente.
La salida de soportes informáticos y dispositivos móviles fuera de la organización precisa
autorización. Dicha autorización deberá ser otorgada por consentimiento de su responsable
directo.
Se prohíben expresamente las siguientes actividades:

No está permitido instalar “motu propio” ningún tipo de código (tanto paquetes de
software comercial como de desarrollo propio) en el sistema de información de Avansis.
Todas aquellas aplicaciones necesarias para el desempeño de su trabajo serán instaladas
únicamente por personal debidamente autorizado de la organización.

Intentar distorsionar, modificar o borrar los registros (LOGs) del sistema.

Intentar leer, borrar, copiar o modificar los mensajes de correo electrónico o archivos de
otros usuarios. (Esta actividad puede constituir un delito de interceptación de las
telecomunicaciones, previsto en el artículo 197 del Código Penal).

Utilizar el sistema para intentar acceder a áreas restringidas de los sistemas informáticos,
tanto corporativos como de terceros.

Intentar aumentar sin autorización el nivel de privilegios de un usuario en el sistema.

Destruir, alterar, inutilizar o, de cualquier otra forma, dañar los datos, programas o
documentos electrónicos de Avansis o de terceros. (Estos actos pueden constituir un
delito de daños, previsto en el artículo 264.2 del Código Penal).
4

Obstaculizar voluntariamente el acceso de otros usuarios a la red mediante el consumo
masivo de los recursos informáticos y telemáticos de la empresa, así como realizar
acciones que dañen, interrumpan o generen errores en dichos sistemas.

Enviar mensajes de correo electrónico de forma masiva o con fines comerciales o
publicitarios sin el consentimiento de Avansis, así como enviar o reenviar mensajes en
cadena o de tipo piramidal

Introducir voluntariamente programas, virus, macros, applets o cualquier otro dispositivo
lógico o secuencia de caracteres que causen o sean susceptibles de causar cualquier tipo
de alteración en los sistemas informáticos de la entidad o de terceros.

El usuario tendrá la obligación de utilizar los programas antivirus y sus actualizaciones
para prevenir la entrada en el sistema de cualquier elemento destinado a destruir o
corromper los datos informáticos.

Introducir o descargar de Internet, reproducir, utilizar o distribuir programas informáticos
no autorizados expresamente por Avansis, o cualquier otro tipo de obra o material cuyos
derechos de propiedad intelectual o industrial pertenezcan a terceros, cuando no se
disponga de autorización para ello.

Instalar copias ilegales de cualquier programa, incluidos los corporativos.

Borrar cualquiera de los programas instalados legalmente sin autorización de Avansis

Utilizar los recursos telemáticos de Avansis, incluido el acceso a Internet, para actividades
que no se hallen directamente relacionadas con el puesto de trabajo del usuario.

Queda prohibido utilizar los recursos del sistema de información a los que tenga acceso
para uso privado o para cualquier otra finalidad diferente de las estrictamente laborales.

Queda terminantemente prohibido facilitar a persona alguna ajena a Avansis ningún
soporte conteniendo datos, a los que haya tenido acceso en el desempeño de sus
funciones, sin la debida autorización.

Queda terminantemente prohibido utilizar ninguna información que hubiese podido
obtener por su condición de empleado de Avansis y que no sea necesario para el
desempeño de sus funciones.

No podrán divulgar ni utilizar directamente, ni a través de terceras personas o empresas,
los datos, documentos, metodologías, claves, análisis, programas y demás información a
la que tengan acceso durante su relación laboral con Avansis, tanto en soporte material
como electrónico. Todos los compromisos anteriores deben mantenerse, incluso después
de extinguida la relación laboral con Avansis.
5

En el caso de que, por motivos directamente relacionados con el puesto de trabajo, el
empleado entre en posesión de información confidencial bajo cualquier tipo de soporte,
deberá entenderse que dicha posesión es estrictamente temporal, con obligación de
secreto y sin que ello le irrogue derecho alguno de posesión, o titularidad o copia sobre
la referida información. Asimismo, el trabajador deberá devolver dichos materiales a
Avansis inmediatamente después de la finalización de las tareas que han originado el uso
temporal de los mismos y, en cualquier caso, a la finalización de la relación laboral. La
utilización continuada de la información en cualquier formato o soporte de forma distinta
a la pactada y sin conocimiento de la empresa, no supondrá, en ningún caso, una
modificación de esta cláusula. El incumplimiento de esta obligación puede constituir un
delito de revelación de secretos, previsto en el artículo 197 y siguientes del Código Penal
y dará derecho a Avansis a exigir al usuario una indemnización económica. Asimismo, se
recuerda que el trabajador será responsable frente a la organización y frente a terceros
de cualquier daño que pudiera derivarse para unos u otros del incumplimiento de los
compromisos anteriores y resarcirá a Avansis las indemnizaciones, sanciones o
reclamaciones que ésta se vea obligada a satisfacer como consecuencia de dicho
incumplimiento.

Introducir contenidos obscenos, inmorales u ofensivos y, en general, carentes de utilidad
para las finalidades propias de la empresa, en la red corporativa del mismo.

Queda terminantemente prohibido la creación o modificación de Documentación
implicada en el alcance o de nuevos ficheros por parte de los usuarios no autorizados.¿?
Avansis se reserva el derecho de revisar, con previo aviso, los mensajes de correo electrónico de
los usuarios de la red y los archivos LOG del servidor, con el fin de comprobar el cumplimiento
de estas normas y prevenir actividades que puedan afectar a la organización como responsable
civil subsidiario.
La documentación en soporte papel deberá ser guardada y custodiada en sus archivos
correspondientes.
Respecto a documentación impresa, el usuario será responsable de su recogida, que deberá
efectuarse con carácter inmediato, evitando el acceso a la documentación por usuarios no
autorizados.
6
La documentación que no sea de utilidad para el usuario, deberá ser destruida utilizando para
ello las destructoras de papel existentes (dependiendo de la naturaleza de la información que
haya en esos documentos).
Protección y ubicación de los equipos
Los equipos que forman parte de la infraestructura tecnológica de AVANSIS, tales como
servidores, equipos de comunicaciones y seguridad electrónica, centros de cableado, equipos
de climatización, así como estaciones de trabajo y dispositivos
de almacenamiento y/o
comunicación móvil que contengan y/o brinden servicios de soporte a la información crítica de
las dependencias, deben ser ubicados y protegidos adecuadamente para prevenir la pérdida,
daño, robo o acceso no autorizado de los mismos. De igual manera, se debe adoptar los
controles necesarios para mantener los equipos alejados de sitios que puedan tener riesgo de
amenazas potenciales como fuego, explosivos, agua, polvo, vibración, interferencia
electromagnética y vandalismo, entre otros.
Los empleados y terceros, incluyendo sus empleados o subcontratistas, que tengan acceso a los
equipos que componen la infraestructura tecnológica de AVANSIS no pueden fumar, beber o
consumir algún tipo de alimento cerca de los equipos. AVANSIS mediante mecanismos
adecuados monitorizará las condiciones ambientales de las zonas donde se encuentren los
equipos.
Segregación de funciones
Toda tarea en la cual los empleados tengan acceso a la infraestructura tecnológica y a los
sistemas de información, debe contar con una definición clara de los roles y responsabilidades,
así como del nivel de acceso y los privilegios correspondientes, con el fin de reducir y evitar el
uso no autorizado o modificación sobre los activos de información de la organización.
Copias de respaldo (backup)
AVANSIS debe asegurar que la información con cierto nivel de clasificación(definido por el
Comité de Gestión), contenida en la infraestructura tecnológica de la Organización, como
servidores, dispositivos de red para almacenamiento de información, entre otros, sea
periódicamente resguardada mediante mecanismos y controles adecuados que garanticen su
identificación, protección, integridad y disponibilidad. Adicionalmente, se deberá establecer un
plan de restauración de copias de seguridad que serán probados a intervalos regulares con el fin
7
de asegurar que son confiables en caso de emergencia y retenidas por un periodo de tiempo
determinado. Todo ello alineado con la Instrucción DC_CAIT_SI11_Copias de Seguridad.
Intercambio de información
AVANSIS firmará acuerdos de confidencialidad con los empleados, clientes y terceros que por
diferentes razones requieran conocer o intercambiar información restringida o confidencial de
la Organización. En estos acuerdos quedarán especificadas las responsabilidades para el
intercambio de la información para cada una de las partes y deberán ser ratificados mediante
rúbrica antes de permitir el acceso o uso de dicha información.
Todo empleado de AVANSIS es responsable de proteger la confidencialidad e integridad de la
información a la que accede, y debe tener especial cuidado en el uso de los diferentes medios
para el intercambio de información que puedan generar una divulgación o modificación no
autorizada.
Los propietarios de la información que requiere intercambio, son responsables de definir los
niveles y perfiles de autorización para el acceso, modificación y eliminación de la misma y los
custodios de esta información son responsables de implementar los controles que garanticen el
cumplimiento de los criterios de confidencialidad, integridad, disponibilidad requeridos.
Control de acceso físico
Avansis tomará las medidas de seguridad necesarias para evitar pérdidas, daños, robos o
circunstancias que pongan en peligro los activos o que puedan provocar la interrupción de sus
actividades, para lo cual se prevendrá todo tipo de acceso físico no autorizado, daños o
intromisiones en las instalaciones.
Para ello, el perímetro de las instalaciones de Avansis está protegido mediante:

Alarma

Cámaras de seguridad

Puertas de acceso securizadas..
La oficina se encuentra protegida mediante puerta de acceso con llave. Dentro de ella existen
estancias cerradas con llave donde se encuentran los sistemas más importantes de Avansis
(CPD), Administración y Relaciones Laborales, así como la documentación en papel.
8
El control de accesos físico para prevenir accesos no autorizados a la oficina se realiza mediante
cámaras. El acceso al CPD es gestionado por el responsable de sistemas.
Las zonas donde pueda haber acceso de terceros (clientes, proveedores, visitas) estarán
especialmente vigiladas por el personal interno, no dejando sistemas ni información libres de
supervisión y con posibilidad de robo o acceso no autorizado.
Hay extintores distribuidos por la oficina e identificados adecuadamente, detectores de humo
y pararrayos en el edificio. Hay 2 sistemas de alimentación ininterrumpida (UPS) que cubren
todos los servidores y dispositivos de red de Avansis.
El cableado es estructurado y cumple las normativas vigentes de seguridad. Se evita que en
zonas de tránsito de personas existan cables que pongan en peligro sistemas y personas.
En los armarios o cajones donde se archive documentación relevante o de carácter
identificativo, no se dejarán puestas ningún tipo de llave.
Los ordenadores portátiles serán custodiados en todo momento por la persona asignada al uso
del mismo. En caso de que el portátil permanezca en la oficina, la custodia viene realizada por
el control de accesos que realiza el personal contratado por el edificio.
En caso de realizar teletrabajo, el empleado se asegurará de disponer de un entorno de trabajo
adecuado y proteger los sistemas de los que es responsable.
Se garantizará el acceso de usuarios autorizados y se prevendrá el acceso de usuarios no
autorizados a los sistemas de información de Avansis, por tanto, el acceso a dichos Sistemas será
controlado.
Se usarán métodos seguros de autenticación para conexiones internas y externas por parte de
usuario autorizados. Los grupos de servicios de información, usuarios y sistemas de información
deberán estar segregados en la red. La información transmitida a través de redes de
telecomunicaciones se hará de forma segura.
Control de acceso lógico
El acceso a plataformas, aplicaciones, servicios y en general cualquier recurso de información de
AVANSIS debe ser asignado de acuerdo a la identificación previa de requerimientos de seguridad
y del negocio que se definan por las diferentes áreas de la Organización, así como normas legales
9
o leyes aplicables a la protección de acceso a la información presente en los sistemas de
información.
Los responsables de la administración de la infraestructura TI de AVANSIS asignan los accesos a
plataformas y usuarios de acuerdo a procesos formales de autorización, los cuales deben ser
revisados de manera periódica por el Comité de Gestión de AVANSIS.
La autorización de acceso a los sistemas de información debe ser definida y aprobada por el área
propietaria de la información, o quien ésta defina, y se debe otorgar de acuerdo con el nivel de
clasificación de la información identificada, según el cual se deben determinar los controles y
privilegios de acceso que se pueden otorgar a los empleados y terceros e implementada por la
Dirección
Gestión de contraseñas
Con relación a las contraseñas se habrán de observar las siguientes normas:

La contraseña de acceso al sistema caducará a los 90 días manteniéndose un histórico
de 12 contraseñas. El período mínimo de vigencia de las contraseñas es de 3 días
naturales.

El usuario será el encargado de modificar su propia contraseña. En el momento de
realizar el primer acceso al sistema, se le solicitara automáticamente. El sistema avisará
con una semana de antelación la caducidad de la contraseña actual.

Las contraseñas usadas en cualquier sistema o servicio serán como mínimo de 8
caracteres, combinando caracteres de, al menos, tres de las siguientes categorías:

Mayúsculas (de la A a la Z)

Minúsculas (de la a a la z)

Dígitos de base 10 (del 0 al 9)

Caracteres no alfanuméricos (por ejemplo: !, $, #, %)

Las contraseñas no podrán incluir el nombre de cuenta del usuario o partes del nombre
completo del mismo en más de dos caracteres consecutivos

El Sistema se bloqueará a los 3 intentos fallidos (el contador de errores se inicializa a
los 30 minutos), teniendo que intervenir soporte para desbloquear el usuario.

No se accederá al sistema utilizando el identificador y la contraseña de otro usuario. Las
responsabilidades de cualquier acceso realizado utilizando un identificador
determinado, recaerán sobre el usuario al que hubiera sido asignado.
10

Se deberá bloquear la sesión de usuario cuando el ordenador no vaya a ser utilizado, no
dejándolo nunca desatendido. No obstante, transcurridos 15 minutos sin actividad, el
equipo se bloqueará de forma automática.

Se seguirá una política de puesto de trabajo despejado y mesas limpias, no dejando
información confidencial o privada a la vista.

Si se sospecha que la contraseña es conocida por otros usuarios, se procederá a informar
al administrador de sistemas para su revocación y sustitución por una nueva.
Se prohíben expresamente las siguientes actividades:

Compartir o facilitar el identificador de usuario y la contraseña para acceder a los
sistemas de información a otra persona física, incluido el personal de Avansis. En caso
de incumplimiento de esta prohibición, el usuario será el único responsable de los actos
realizados por la persona física que utilice de forma no autorizada el identificador del
usuario.

Intentar descifrar las claves, sistemas o algoritmos de cifrado y cualquier otro elemento
de seguridad.
El uso del sistema informático de Avansis para acceder a redes públicas como Internet, se
limitará a los temas directamente relacionados con la actividad de Avansis y los cometidos del
puesto de trabajo del usuario.
El acceso a debates en tiempo real (Chat / IRC, Redes Sociales, Redes P2P, Descargas Directas)
es especialmente peligroso, ya que facilita la instalación de utilidades que permiten accesos no
autorizados al sistema, por lo que su uso queda estrictamente prohibido; a excepción de cuando
sea necesario para desempeñar las funciones de su puesto de trabajo.
El acceso a páginas web, grupos de noticias (Newsgroups) y otras utilidades como FTP, telnet,
etc. se limita a aquéllos sitios que contengan información relacionada con la actividad de Avansis
o con los cometidos del puesto de trabajo del usuario.
Avansis se reserva el derecho de comprobar, de forma aleatoria y con previo aviso, cualquier
sesión de acceso a Internet iniciada por un usuario de la red corporativa con el fin de prevenir
un uso fraudulento, ilegal, abusivo o no autorizado de Internet. Dicha comprobación incluye la
revisión de registros que muestran los ficheros cargados, los que se han accedido, las páginas
web visitadas y los usuarios que han ejecutado tales acciones así como el momento en el que se
han producido.
11
Cualquier persona que acceda a Internet a través de la red de Avansis acepta esta comprobación
así como las normas aquí establecidas, asumiendo la imposición de acciones disciplinarias por
incumplimiento de las citadas normas.
Cualquier fichero introducido en la red corporativa o en el terminal del usuario desde Internet,
deberá cumplir los requisitos establecidos en estas normas y, en especial, las referidas a
propiedad intelectual e industrial y a control de virus.
Se prohíbe la descarga a través de Internet de software de origen desconocido o de propiedad
del usuario en los sistemas de Avansis, salvo que exista una autorización previa.
X
Dirección General de AVANSIS
Dirección General de AVANSIS, Madrid, 21 de Abril del 2014
12