Post on 11-Mar-2020
MANUAL DE POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN AMÉRICAS BUSINESS PROCESS
SERVICES
Código: MA1 TEC 0404
Versión: 12
Bogotá D.C., 16/04/2018
MANUAL DE POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN AMÉRICAS BUSINESS PROCESS SERVICES
DOCUMENTO PRIVADO
Código: MA1 TEC 0404 Versión: 12 Fecha: 16/04/2018 Pág. 2 de 50
Tabla de contenido
1. Definiciones ............................................................................................................................................7
2. Objetivo ...................................................................................................................................................7
3. Alcance ....................................................................................................................................................7
4. Políticas seguridad de la información Américas Business Process Services ..............................7
4.1. Política y objetivos de seguridad de la información .....................................................................7
4.1.1. Objetivos del SGSI ........................................................................................................................8
4.1.2. Alcance ............................................................................................................................................8
4.1.3. Responsabilidades ........................................................................................................................8
4.1.4. Periodo de revisión ........................................................................................................................8
4.2. Política Gestión de contraseñas ......................................................................................................8
4.2.1. Objetivos de la política ..................................................................................................................8
4.2.2. Alcance ............................................................................................................................................9
4.2.3. Asignación de contraseñas seguras ...........................................................................................9
4.2.4. Manejo de contraseñas .................................................................................................................9
4.2.5. Activación de políticas de seguridad a nivel de usuarios ..................................................... 10
4.2.6. Responsabilidades ..................................................................................................................... 11
4.2.7. Periodo de revisión ..................................................................................................................... 11
4.3. Política Escritorio Despejado Y Pantalla Despejada ................................................................. 11
4.3.1. Objetivos de la política ............................................................................................................... 11
4.3.2. Alcance ......................................................................................................................................... 11
4.3.3. Limpieza de Escritorio ................................................................................................................ 12
4.3.4. Limpieza de pantalla................................................................................................................... 12
4.3.5. Responsabilidades ..................................................................................................................... 12
4.3.6. Periodo de revisión ..................................................................................................................... 12
4.4. Política Uso de la mensajería instantánea.................................................................................. 13
4.4.1. Objetivos de la política ............................................................................................................... 13
4.4.2. Alcance ......................................................................................................................................... 13
MANUAL DE POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN AMÉRICAS BUSINESS PROCESS SERVICES
DOCUMENTO PRIVADO
Código: MA1 TEC 0404 Versión: 12 Fecha: 16/04/2018 Pág. 3 de 50
4.4.3. Generalidades ............................................................................................................................. 13
4.4.4. Responsabilidades ..................................................................................................................... 14
4.4.5. Periodo de revisión ..................................................................................................................... 14
4.5. Política Uso de los Recursos Compartidos en la Red (Carpetas) .......................................... 14
4.5.1. Objetivos de la política ............................................................................................................... 14
4.5.2. Alcance ......................................................................................................................................... 14
4.5.3. Generalidades ............................................................................................................................. 15
4.5.4. Responsabilidades ..................................................................................................................... 15
4.5.5. Periodo de revisión ..................................................................................................................... 15
4.6. Política Uso de Computadores Portátiles por Terceros ............................................................ 15
4.6.1. Objetivos de la política ............................................................................................................... 15
4.6.2. Alcance ......................................................................................................................................... 16
4.6.3. Generalidades ............................................................................................................................. 16
4.6.4. Responsabilidades ..................................................................................................................... 16
4.6.5. Periodo de revisión ..................................................................................................................... 17
4.7. Política Uso del Correo Electrónico Corporativo ........................................................................ 17
4.7.1. Objetivos de la política ............................................................................................................... 17
4.7.2. Alcance ......................................................................................................................................... 17
4.7.3. Generalidades ............................................................................................................................. 17
4.7.4. Responsabilidades ..................................................................................................................... 20
4.7.5. Periodo de revisión ..................................................................................................................... 20
4.8. Política Uso de Computadores Portátiles y Dispositivos Móviles por Empleados de
Américas Business Process Services ..................................................................................................... 20
4.8.1. Objetivos de la política ............................................................................................................... 20
4.8.2. Alcance ......................................................................................................................................... 20
4.8.3. Generalidades ............................................................................................................................. 21
4.8.4. Responsabilidades ..................................................................................................................... 22
4.8.5. Periodo de revisión ..................................................................................................................... 22
4.9. Política Control de Acceso ............................................................................................................ 22
4.9.1. Objetivos de la política ............................................................................................................... 23
MANUAL DE POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN AMÉRICAS BUSINESS PROCESS SERVICES
DOCUMENTO PRIVADO
Código: MA1 TEC 0404 Versión: 12 Fecha: 16/04/2018 Pág. 4 de 50
4.9.2. Alcance ......................................................................................................................................... 23
4.9.3. Generalidades ............................................................................................................................. 23
4.9.4. Responsabilidades ..................................................................................................................... 24
4.9.5. Periodo de revisión ..................................................................................................................... 24
4.10. Política Uso de Internet, Intranet y Almacenamiento en la Nube ........................................ 24
4.10.1. Objetivos de la política ........................................................................................................... 24
4.10.2. Alcance ..................................................................................................................................... 25
4.10.3. Generalidades ......................................................................................................................... 25
4.10.4. Responsabilidades ................................................................................................................. 27
4.10.5. Periodo de revisión ................................................................................................................. 28
4.11. Política Relación con Proveedores .......................................................................................... 28
4.11.1. Objetivos de la política ........................................................................................................... 28
4.11.2. Alcance ..................................................................................................................................... 28
4.11.3. Generalidades ......................................................................................................................... 28
4.11.4. Responsabilidades ................................................................................................................. 29
4.11.5. Periodo de revisión ................................................................................................................. 29
4.12. Política Gestión de Piso ............................................................................................................. 29
4.12.1. Objetivos de la política ........................................................................................................... 29
4.12.2. Alcance ..................................................................................................................................... 29
4.12.3. Generalidades ......................................................................................................................... 30
4.12.4. Responsabilidades ................................................................................................................. 31
4.12.5. Periodo de revisión ................................................................................................................. 31
4.13. Política Gestión del Riesgo ....................................................................................................... 31
4.13.1. Objetivos de la política ........................................................................................................... 32
4.13.2. Alcance ..................................................................................................................................... 32
4.13.3. Generalidades ......................................................................................................................... 32
4.13.4. Responsabilidades ................................................................................................................. 32
4.13.5. Periodo de revisión ................................................................................................................. 32
4.14. Política Controles Criptográficos .............................................................................................. 33
4.14.1. Objetivos de la política ........................................................................................................... 33
MANUAL DE POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN AMÉRICAS BUSINESS PROCESS SERVICES
DOCUMENTO PRIVADO
Código: MA1 TEC 0404 Versión: 12 Fecha: 16/04/2018 Pág. 5 de 50
4.14.2. Alcance ..................................................................................................................................... 33
4.14.3. Generalidades ......................................................................................................................... 33
4.14.4. Responsabilidades ................................................................................................................. 34
4.14.5. Periodo de revisión ................................................................................................................. 34
4.15. Política Control Código Malicioso ............................................................................................. 34
4.15.1. Objetivos de la política ........................................................................................................... 34
4.15.2. Alcance ..................................................................................................................................... 34
4.15.3. Generalidades ......................................................................................................................... 34
4.15.4. Responsabilidades ................................................................................................................. 35
4.15.5. Periodo de revisión ................................................................................................................. 35
4.16. Política Realización de Backup ................................................................................................ 36
4.16.1. Objetivos de la política ........................................................................................................... 36
4.16.2. Alcance ..................................................................................................................................... 36
4.16.3. Generalidades ......................................................................................................................... 36
4.16.4. Responsabilidades ................................................................................................................. 37
4.16.5. Periodo de revisión ................................................................................................................. 37
4.17. Política Contingencia y continuidad del negocio .................................................................... 38
4.17.1. Objetivos de la política ........................................................................................................... 38
4.17.2. Alcance ..................................................................................................................................... 38
4.17.3. Generalidades ......................................................................................................................... 38
4.17.4. Responsabilidades ................................................................................................................. 40
4.17.5. Periodo de revisión ................................................................................................................. 40
4.18. Política Tecnologías Criticas ..................................................................................................... 40
4.18.1. Objetivos de la política ........................................................................................................... 40
4.18.2. Alcance ..................................................................................................................................... 40
4.18.3. Generalidades ......................................................................................................................... 40
4.18.4. Responsabilidades ................................................................................................................. 42
4.18.5. Periodo de revisión ................................................................................................................. 42
4.19. Política Gestión de LOG y Registros de Auditoria ................................................................. 42
4.19.1. Objetivos de la política ........................................................................................................... 42
MANUAL DE POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN AMÉRICAS BUSINESS PROCESS SERVICES
DOCUMENTO PRIVADO
Código: MA1 TEC 0404 Versión: 12 Fecha: 16/04/2018 Pág. 6 de 50
4.19.2. Alcance ..................................................................................................................................... 42
4.19.3. Generalidades ......................................................................................................................... 42
4.19.4. Responsabilidades ................................................................................................................. 43
4.19.5. Periodo de revisión ................................................................................................................. 43
4.20. Política Gestión de Vulnerabilidades ....................................................................................... 43
4.20.1. Objetivos de la política ........................................................................................................... 43
4.20.2. Alcance ..................................................................................................................................... 44
4.20.3. Generalidades ......................................................................................................................... 44
4.20.3.1. Gestión de vulnerabilidades técnicas .................................................................................. 44
4.20.3.2. Test o pruebas de Vulnerabilidad ......................................................................................... 44
4.20.3.3. Test de Penetración Internos y Externos ............................................................................ 44
4.20.3.4. Escaneo de puntos de acceso inalámbrico no autorizados ............................................. 45
4.20.4. Responsabilidades ................................................................................................................. 46
4.20.5. Periodo de revisión ................................................................................................................. 46
4.21. Política Despliegue de Actualizaciones ................................................................................... 46
4.21.1. Objetivos de la política ........................................................................................................... 46
4.21.2. Alcance ..................................................................................................................................... 46
4.21.3. Generalidades ......................................................................................................................... 46
4.21.4. Responsabilidades ................................................................................................................. 47
4.21.5. Periodo de revisión ................................................................................................................. 47
MANUAL DE POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN AMÉRICAS BUSINESS PROCESS SERVICES
DOCUMENTO PRIVADO
Código: MA1 TEC 0404 Versión: 12 Fecha: 16/04/2018 Pág. 7 de 50
1. Definiciones
Manual: Instrumento de trabajo que contiene el conjunto de normas y directrices que debe seguir cada
empleado en el desarrollo de sus actividades laborales diarias.
Política: Es la actividad concerniente a la toma de decisiones que conducirán el accionar de la compañía para
alcanzar ciertos objetivos.
Directrices: Es una instrucción o norma que se tiene en cuenta para la ejecución de las diferentes actividades
labores desarrolladas a diario en la compañía.
2. Objetivo
Dar a conocer las diferentes políticas generadas por la compañía las cuales son de estricto cumplimiento para
garantizar la integridad, confidencialidad y disponibilidad de la información.
3. Alcance
El presente Manual de Seguridad de la Información Américas Business Process Services, aplica para todos los
empleados, proveedores, contratistas, clientes y terceras partes que interactúen con sistemas de información de
la compañía y de nuestros clientes.
4. Políticas seguridad de la información Américas Business Process Services
A continuación, se dan a conocer las directrices definidas por el área de seguridad de la información, aprobadas
por la gerencia general las cuales deben ser de estricto cumplimiento por parte de todos los empleados,
proveedores, contratistas, clientes y terceras partes que interactúan con los sistemas de información de
Américas Business Process Services.
4.1. Política y objetivos de seguridad de la información
Américas Business Process Services en su misión de proveer servicios de procesos de negocio, agregando
valor y contribuyendo al desarrollo de la estrategia de nuestros clientes, garantiza la confidencialidad,
integridad, disponibilidad, procesamiento y tratamiento de la información como mecanismo para fortalecer el
relacionamiento y la confianza con el cliente.
Nuestro enfoque de valoración del riesgo tiene como línea base las Normas Técnicas Colombianas ISO
27005 e ISO 31000, las cuales fueron adaptadas a los procedimientos, objetivos y estrategias de la
organización, que pretenden establecer unas actividades coordinadas para dirigir y controlar los riesgos que
podrían comprometer la seguridad de la información de la organización.
Américas Business Process Services asegura que los colaboradores, contratistas, proveedores, clientes y
terceras partes conozcan, acepten y apliquen las directrices establecidas para garantizar la seguridad de la
información conforme a las disposiciones contractuales, legales y regulatorias establecidas por los
diferentes organismos.
MANUAL DE POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN AMÉRICAS BUSINESS PROCESS SERVICES
DOCUMENTO PRIVADO
Código: MA1 TEC 0404 Versión: 12 Fecha: 16/04/2018 Pág. 8 de 50
4.1.1. Objetivos del SGSI
✓ Aumentar el nivel de confianza en los clientes. ✓ Proporcionar las directrices y herramientas para garantizar la confidencialidad, integridad y
disponibilidad de los activos de información de los procesos del negocio y del cliente. ✓ Proporcionar las directrices y herramientas para garantizar el cumplimiento legal y regulatorio en
torno a los datos corporativos.
4.1.2. Alcance
La presente política de seguridad aplica para la comercialización, administración, diseño,
implementación y gestión de operaciones en la prestación de servicios BPO con el propósito de
garantizar la confidencialidad, integridad, disponibilidad, procesamiento y tratamiento de la información
como mecanismo para fortalecer el relacionamiento y la confianza con el cliente.
4.1.3. Responsabilidades
La aprobación de la política de seguridad será realizada por la Gerencia General. Cualquier cambio,
corrección o actualización en el presente documento deben ser propuestos por el comité de seguridad
de la información y objeto de aprobación de la Gerencia General.
4.1.4. Periodo de revisión
La aprobación de la política de seguridad será realizada por la Gerencia General. Cualquier cambio,
corrección o actualización en el presente documento deben ser propuestos por el comité de seguridad y
objeto de aprobación de la Gerencia General.
4.2. Política Gestión de contraseñas
Las contraseñas son un medio común de verificación de la identidad de un usuario antes de darle acceso a
un sistema o servicio de información.
Américas Business Process Services establece las directrices para proteger el acceso a nuestros sistemas
de información, es importante que las contraseñas que usemos sean seguras y fuertes, para evitar que un
usuario no autorizado pueda obtenerlas y usarlas para propósitos no deseados.
Los administradores de sistemas de información y redes deben velar por la aplicación permanente de esta
política y de los diferentes controles tecnológicos establecidos para la gestión de contraseñas por parte de
todos los empleados de Américas Business Process Services y terceras partes (proveedores, consultores,
contratistas, clientes, outsourcing, etc.) así como conocer los mecanismos del dominio de la compañía para
establecer políticas a nivel de usuario.
4.2.1. Objetivos de la política
✓ El propósito de esta política es establecer los lineamientos para el uso, manejo de cambios y elaboración de contraseñas seguras de las aplicaciones Internas y Externas de Américas Business Process Services.
MANUAL DE POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN AMÉRICAS BUSINESS PROCESS SERVICES
DOCUMENTO PRIVADO
Código: MA1 TEC 0404 Versión: 12 Fecha: 16/04/2018 Pág. 9 de 50
✓ Dar a conocer a los empleados de Américas Business Process Services, terceras partes (proveedores, consultores, contratistas, clientes, outsourcing, etc.) los lineamentos establecidos por la compañía para la gestión de contraseñas.
✓ Garantizar la correcta gestión de contraseñas para permitir el ingreso a los diferentes sistemas de información de Américas Business Process Services y de sus clientes.
4.2.2. Alcance
La presente política de gestión de contraseñas aplica para todos los empleados de Américas Business
Process Services, proveedores, contratistas, clientes y terceras partes que interactúen con sistemas de
información de la compañía y de nuestros clientes.
4.2.3. Asignación de contraseñas seguras
Los criterios que se establecen para la selección de las contraseñas son:
✓ La contraseña debe ser difícil de adivinar, pero fácil de recordar. ✓ La longitud de la contraseña debe ser mínima de 8 caracteres. ✓ Las aplicaciones en las cuales la tecnología utilizada no contemple una longitud mínima de ocho
caracteres, la longitud mínima deberá ser la máxima contemplado por el sistema. ✓ La contraseña debe estar compuesta por una combinación de letras Mayúsculas, minúsculas,
caracteres numéricos y símbolos especiales como los siguientes: ` ~ ! @ # $ % ^ & * ( ) _ + - = { } | [ ] \ : " ; ' < > ? , . /
✓ No debe usarse una palabra o nombre común que aparezca en un diccionario. ✓ No debe haber una relación obvia con el usuario, sus familiares, el grupo de trabajo u otras
asociaciones parecidas. ✓ Las contraseñas que se transmitan a través de redes públicas deberán ser protegidas contra
acceso no autorizado mientras se encuentren en tránsito, por ejemplo, utilizar técnicas de cifrado para la contraseña o restringiendo la utilización de la misma a una ventana de tiempo limitado.
4.2.4. Manejo de contraseñas
Debido a que las contraseñas representan la forma más común de identificación y control de acceso,
se deben proteger meticulosamente y evitar que sean vistas por otras personas en forma inadvertida.
A continuación, se listan los criterios sobre el manejo apropiado de las contraseñas.
✓ Nunca debe compartirse la contraseña con otras personas, por ejemplo, amigos, parientes o compañeros de trabajo. Él hacerlo expone a las consecuencias por las acciones que los otros hagan con esa contraseña.
✓ No se debe utilizar una única contraseña para todos los propósitos. En particular, debe utilizarse una contraseña distinta para conectarse a la red.
✓ El administrador del sistema debe utilizar contraseñas diferentes como usuario y como administrador.
✓ La autenticación de la contraseña deberá implementarse para todos los usuarios que accedan a los sistemas y redes internas y externas.
✓ Cuando se utilicen contraseñas para autenticación, las mismas deberán ser cambiadas al menos cada 30 días.
✓ Si hay razón para creer que una contraseña ha sido comprometida, debe cambiarse inmediatamente.
✓ No deben usarse contraseñas que sean idénticas o substancialmente similares a contraseñas previamente empleadas. Siempre que sea posible, debe impedirse que los usuarios vuelvan a usar contraseñas anteriores.
✓ La contraseña inicial emitida a un nuevo usuario sólo debe ser válida para la primera sesión, en
MANUAL DE POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN AMÉRICAS BUSINESS PROCESS SERVICES
DOCUMENTO PRIVADO
Código: MA1 TEC 0404 Versión: 12 Fecha: 16/04/2018 Pág. 10 de 50
ese momento, el usuario debe cambiar obligatoriamente la contraseña. ✓ Es responsabilidad del administrador del sistema comunicar la contraseña asignada al usuario de
la manera más confidencial que sea posible. ✓ No se debe escribir la contraseña en papeles y dejarla en sitios donde pueda ser encontrada. ✓ Se debe tener cuidado a la hora de guardar la contraseña en la computadora. Algunos cuadros de
diálogo, como los de conexiones de accesos remotos o telefónicos, presentan una opción para guardar o recordar la contraseña; no debe seleccionarse esa opción. Tampoco se debe guardar en forma legible en dispositivos de almacenamiento masivo como USB, CD/DVD, discos extraíbles o en el disco duro.
✓ Se debe almacenar las contraseñas en forma cifrada. ✓ Se debe configurar el protector de pantalla del computador para que opere al cabo de un cierto
periodo de inactividad (por ejemplo, 3 minutos) y que requiera una contraseña al reasumir la actividad.
✓ El usuario debe activar el protector de pantalla manualmente cada vez que se ausente del puesto de trabajo.
✓ No debe permitirse el uso de contraseñas de grupo para facilitar el acceso a archivos, aplicaciones, bases de datos, computadoras, redes y otros recursos del sistema.
✓ Las contraseñas predefinidas que traen los equipos y aplicaciones deben cambiarse inmediatamente al ponerse en servicio de operación.
✓ Para prevenir ataques, cuando el software del sistema lo permita, debe limitarse a 3 el número consecutivo de intentos infructuosos de introducir la contraseña, luego de lo cual la cuenta involucrada debe quedar bloqueada o suspendida y se debe alertar al administrador del sistema para realizar su debida gestión.
✓ Las contraseñas deben cambiarse cuando una persona que tiene acceso a cuentas privilegiadas compartidas ha sido relevada de sus deberes a causa de alguna actividad sospechosa o se ausenta por un periodo extenso (permiso, licencia o vacaciones).
✓ Los usuarios deberán recibir un aviso por parte de la aplicación de por lo menos 5 días antes que expire la contraseña.
✓ Si olvida su contraseña personal, deberá comunicarse con la Mesa de Servicios (extensión. 43300). Le harán ciertas preguntas para verificar su identidad antes de expedirle una nueva contraseña, la cual deberá cambiar inmediatamente.
✓ No use una contraseña que le dé acceso a sistemas de información de Américas Business Process Servicesen sistemas que no sean de la empresa, acceso a cuenta de correo en Internet o servicios en línea.
✓ Si no se está seguro acerca de la seguridad del ambiente de un sistema de información en particular, tal como una aplicación en una terminal, no ingrese a la plataforma hasta que la mesa de servicios verifique la seguridad del ambiente.
4.2.5. Activación de políticas de seguridad a nivel de usuarios
Se deben habilitar las siguientes características de contraseñas en las políticas de cuentas de usuario
del dominio y se deben verificar periódicamente:
✓ Duración: antes de expirar 30 días ✓ Longitud Mínima: 8 caracteres ✓ Recordación: 3 contraseñas anteriores ✓ Bloqueo de cuentas: después de 5 intentos ✓ Resetear el conteo de intentos de acceso después de 30 minutos ✓ Duración del bloqueo 2 minutos ✓ Notificación de cambio de clave con 7 días de anticipación.
MANUAL DE POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN AMÉRICAS BUSINESS PROCESS SERVICES
DOCUMENTO PRIVADO
Código: MA1 TEC 0404 Versión: 12 Fecha: 16/04/2018 Pág. 11 de 50
Para los equipos de comunicaciones como enrutadores y Firewall que requieren contraseñas para
examinar o modificar configuraciones se debe también conservar el estándar de las contraseñas y
aplicar la presente política.
Todas las contraseñas de los equipos que sean instalados e ingresados a la red deben ser cambiadas
por contraseñas que cumplan con los parámetros indicados anteriormente.
4.2.6. Responsabilidades
La aprobación de la política de gestión de contraseñas será realizada por el comité de seguridad de la
información. Cualquier cambio, corrección o actualización en el presente documento deben ser
propuestos por el coordinador de seguridad de la información y objeto de aprobación del comité de
seguridad de la información.
4.2.7. Periodo de revisión
La presente política será objeto de revisión y evaluación anual.
4.3. Política Escritorio Despejado Y Pantalla Despejada
Américas Business Process Services establece la política de Escritorio Despejado y Pantalla Despejada
para reducir los riesgos de acceso no autorizado, pérdida o daño a la información durante y fuera de las
horas normales de trabajo. Archivadores, cajoneras u otras formas de almacenamiento seguro pueden
también proteger la información almacenada dentro de ellas contra desastres tales como incendios,
terremotos, inundaciones o explosiones.
Los usuarios de los sistemas de información de Américas Business Process Services y de sus clientes son
responsables de proteger el acceso a dichos sistemas, siguiendo los diferentes lineamientos y
procedimientos establecidos para garantizar la seguridad de la información, el desconocimiento o no uso de
estos es sancionado de acuerdo con el procedimiento definido.
4.3.1. Objetivos de la política
✓ Establecer las directrices que los empleados de Américas Business Process Services, proveedores,
contratistas, clientes y terceras partes deben seguir para mantener la integridad, disponibilidad y
confidencialidad de la información.
✓ Sensibilizar a los usuarios de los sistemas de información sobre la importancia que tiene la correcta
ejecución de los controles y procedimientos establecidos para salvaguardar la información y
ejecutar las mejores prácticas que garanticen la seguridad de la misma.
4.3.2. Alcance
La presente política de Limpieza de Pantalla y Escritorio aplica para todos los empleados de Américas
Business Process Services, proveedores, contratistas, clientes y terceras partes que interactúen con
sistemas de información de la compañía y de nuestros clientes.
MANUAL DE POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN AMÉRICAS BUSINESS PROCESS SERVICES
DOCUMENTO PRIVADO
Código: MA1 TEC 0404 Versión: 12 Fecha: 16/04/2018 Pág. 12 de 50
4.3.3. Limpieza de Escritorio
El proceso de limpieza de escritorio se realiza ejecutando las siguientes actividades:
✓ Almacenar de manera segura (con llave u otro control) medios de almacenamiento como (CD/DVD,
dispositivos de almacenamiento masivo (memorias USB, discos extraíbles)), papelería y otros
elementos que puedan contener información sensible; mientras no estén en uso, en ausencia del
responsable o cuando se termine la jornada laboral.
✓ Los documentos que contengan información sensible se deberían retirar inmediatamente de las
impresoras, una vez estos sean impresos.
✓ Bloquear o proteger con algún mecanismo de seguridad (código de acceso) las fotocopiadoras u
otros dispositivos de recepción de información fuera del horario de trabajo.
✓ No ingresar ni ingerir alimentos en el puesto de trabajo.
✓ Al finalizar la jornada laboral o al ausentarse del puesto de trabajo se deben asegurar con llave los
cajones, gabinetes y/o archivadores.
4.3.4. Limpieza de pantalla
El proceso de limpieza de pantalla se realiza ejecutando las siguientes actividades:
✓ Ejecutar el bloqueo de pantalla siempre que el responsable o usuario del equipo se ausente de la
terminal, ejecutando la combinación de teclas CTRL + ALT + SUPR y seleccionar bloquear equipo.
✓ Cerrar sesiones de usuario cuando no se requiera los servicios del equipo durante tiempos
superiores a 5 minutos.
✓ Configurar el bloqueo de equipo de manera automática utilizando para ello las propiedades de
pantalla, protector de pantalla, seleccionar inicio de sesión o el equivalente.
✓ En caso de usar medios físicos de autenticación tipo tokens o tarjetas inteligentes se deberá definir
en las políticas de la maquina o de dominio el bloqueo de la estación al retirar el medio físico.
✓ Ejecutar el procedimiento de clasificación, etiquetado y manejo de la información de forma segura y
ordenada en rutas de acceso recordables.
✓ En la pantalla no debe permanecer ningún icono, acceso directo o archivo, esta debe estar
completamente despejada para los equipos de personal administrativo.
✓ Para el personal operativo en la pantalla solo deben permanecer los iconos de acceso directo a las
diferentes herramientas de gestión de la campaña, no deben permanecer archivos digitales de
ningún tipo.
4.3.5. Responsabilidades
La aprobación de la política de escritorio despejado y pantalla despejada será realizada por el comité de
seguridad de la información. Cualquier cambio, corrección o actualización en el presente documento
deben ser propuestos por el coordinador de seguridad de la información y objeto de aprobación del
comité de seguridad de la información.
4.3.6. Periodo de revisión
La presente política será objeto de revisión y evaluación anual.
MANUAL DE POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN AMÉRICAS BUSINESS PROCESS SERVICES
DOCUMENTO PRIVADO
Código: MA1 TEC 0404 Versión: 12 Fecha: 16/04/2018 Pág. 13 de 50
4.4. Política Uso de la mensajería instantánea
Américas Business Process Services, restringe el uso de programas de Mensajería Instantánea, como
(Messenger MSN, Yahoo Messenger, Google Talk, páginas web de conexión para mensajería instantánea,
como Ebuddy, Iloveim, Sinmessenger, páginas web de chat, Skype, páginas de redes sociales, etc.), con el
objetivo de incorporar buenas prácticas sobre la seguridad de la información y productividad en la
compañía.
Ningún empleado de Américas Business Process Services debe tener instalados programas de mensajería
instantánea y hacer uso de páginas web con conexión para mensajería instantánea; excepto si tiene
aprobación de la gerencia del área.
La gerencia del área a la que pertenece el empleado de Américas Business Process Services que realiza la
solicitud, es la encargada de autorizar el uso de programas de mensajería instantánea, para realizar la
autorización se debe contar con la respectiva justificación de uso, el empleado se comprometerá a utilizar
este programa únicamente para fines laborales.
4.4.1. Objetivos de la política
✓ Establecer lo lineamentos para la correcta utilización del servicio de mensajería instantánea al interior de Américas Business Process Services.
✓ Garantizar la seguridad de la información mediante la implementación de buenas prácticas al hacer uso de programas de mensajería instantánea minimizando los riesgos que se puedan presentar.
4.4.2. Alcance
La presente política de uso de la mensajería instantánea aplica para todos los empleados de Américas
Business Process Services, proveedores, contratistas, clientes y terceras partes.
4.4.3. Generalidades
Los empleados de Américas Business Process Services, proveedores, contratistas, clientes y terceras
partes que cuenten con la aprobación de la respectiva gerencia para el uso de mensajería instantánea
deben cumplir con las siguientes normas:
✓ No se pueden enviar o recibir ningún tipo de archivos entre usuarios, solo se intercambiarán mensajes de texto.
✓ Los programas de mensajería instantánea son de uso laboral; se deben utilizar solo para contactar a clientes, proveedores o comunicaciones internas del proceso.
✓ Se prohíbe el uso de vocabulario grotesco, vulgar, intimidación, difamación en los mensajes enviados, se debe ser respetuoso y cordial al escribir para recibir el mismo trato.
✓ No aceptar invitaciones o link de conexión a páginas desconocidas, muchas de estas invitaciones las utilizan los hackers para descargar Virus, Malware, Spyware (gusanos, troyanos, etc.).
✓ Es responsabilidad del usuario al cual se le aprobó la utilización del programa de mensajería instantánea garantizar su correcta utilización.
✓ El programa de mensajería instantánea únicamente podrá ser utilizado por la persona a la que se autorizó su uso y solo deberá ser empleado para actividades laborales.
✓ No está permitido el ingreso a los programas de mensajería instantánea de las páginas de redes sociales como (Facebook, Twitter, Skype, hi5, Sonico, myspace, Orkut, Tuenti, etc.).
MANUAL DE POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN AMÉRICAS BUSINESS PROCESS SERVICES
DOCUMENTO PRIVADO
Código: MA1 TEC 0404 Versión: 12 Fecha: 16/04/2018 Pág. 14 de 50
✓ El no cumplimiento de esta política atenta contra la seguridad de la información y será sancionado de acuerdo con el procedimiento definido
4.4.4. Responsabilidades
La aprobación de la política de uso de la mensajería instantánea será realizada por el comité de
seguridad de la información. Cualquier cambio, corrección o actualización en el presente documento
deben ser propuestos por el coordinador de seguridad de la información y objeto de aprobación del
comité de seguridad de la información.
4.4.5. Periodo de revisión
La presente política será objeto de revisión y evaluación anual.
4.5. Política Uso de los Recursos Compartidos en la Red (Carpetas)
Américas Business Process Services, crea recursos compartidos en la red para el intercambio seguro de la
información de forma temporal entre procesos operativos y administrativos. Estos recursos compartidos
tienen las restricciones y permisos de seguridad, que garantizan que solo los usuarios autorizados por el
administrador de la información tendrán acceso a la misma.
La administración de los recursos compartidos está a cargo de la mesa de servicios quien realiza la gestión
teniendo en cuenta las solicitudes recibidas por los administradores de la información a través de la
herramienta de gestión definida por la compañía.
Es responsabilidad de cada uno de los administradores de la información aplicar la política de Clasificación,
etiquetado y manejo de la información) e identificar regularmente quienes tienen acceso a la información
con el propósito de actualizar los permisos y verificar en compañía de mesa de servicios la implementación
de los diferentes controles de seguridad que garanticen su integridad, disponibilidad y confidencialidad de la
información.
4.5.1. Objetivos de la política
✓ Establecer los lineamentos para la utilización de los recursos de red asignados por Américas Business Process Services.
✓ Implementar el procedimiento (PR TEC 040401 Clasificación, etiquetado y manejo de la información) en cada uno de los recursos compartidos asignados por Américas Business Process Services.
✓ Identificar y aplicar las buenas prácticas para el tratamiento de la información almacenada en los recursos de red de Américas Business Process Services garantizando su correcta utilización.
4.5.2. Alcance
La presente política de Uso de los Recursos Compartidos en la Red (Carpetas), aplica para todos los
empleados de Américas Business Process Services, proveedores, contratistas, clientes y terceras
partes que interactúen con sistemas de información de la compañía y de nuestros clientes.
MANUAL DE POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN AMÉRICAS BUSINESS PROCESS SERVICES
DOCUMENTO PRIVADO
Código: MA1 TEC 0404 Versión: 12 Fecha: 16/04/2018 Pág. 15 de 50
4.5.3. Generalidades
Los empleados de Américas Business Process Services, proveedores, contratistas, clientes y terceras
partes que tengan acceso a los recursos compartidos de la compañía deben cumplir con las siguientes
normas:
✓ Se prohíbe guardar o intercambiar archivos de audio en cualquier formato (Wav, Mp3, etc.) para fines personales.
✓ Para grabaciones de audio de las campañas se utilizará el formato Wav. ✓ Se prohíbe guardar o intercambiar archivos de videos y/o fotografías personales en cualquier
formato. ✓ Se prohíbe guardar archivos que no sean de uso laboral. ✓ Antes de eliminar cualquier información del recurso compartido, verifique con el administrador de la
información que esta va a hacer borrada. ✓ Se debe guardar únicamente información del área o campaña donde se está trabajando. ✓ El usuario de la unidad del recurso compartido debe reportar al jefe inmediato si encuentra
información que no es de su área. ✓ Si en las carpetas se encuentran archivos de música, fotos, videos, etc. de carácter personal, estos
serán borrados inmediatamente sin notificarle al usuario. ✓ El tiempo de retención de la información es de 6 meses, una vez transcurrido este tiempo se realiza
depuración de la información. ✓ El no cumplimiento de esta política atenta contra la seguridad de la información y es sancionado de
acuerdo con el procedimiento definido.
4.5.4. Responsabilidades
La aprobación de la política Uso de los Recursos Compartidos en la Red (Carpetas) será realizada por
el comité de seguridad de la información. Cualquier cambio, corrección o actualización en el presente
documento deben ser propuestos por el coordinador de seguridad de la información y objeto de
aprobación del comité de seguridad de la información.
4.5.5. Periodo de revisión
La presente política será objeto de revisión y evaluación anual.
4.6. Política Uso de Computadores Portátiles por Terceros
Américas Business Process Services controla y restringe el uso de equipos o computadores portátiles para
todos los empleados de la compañía que no cuenten con un computador portátil asignado, para
proveedores, contratistas, clientes y terceras partes que requieran la utilización de estos dispositivos en las
instalaciones de la compañía, estos deben cumplir con las directrices establecidas en la presente política.
Es responsabilidad de los empleados de Américas Business Process Services y del personal de vigilancia
cumplir y hacer cumplir la presente política a cada uno de los visitantes y empleados de la compañía.
4.6.1. Objetivos de la política
✓ Establecer los lineamentos para el ingreso y manipulación de computadores o equipos portátiles en las sedes de Américas Business Process Services.
MANUAL DE POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN AMÉRICAS BUSINESS PROCESS SERVICES
DOCUMENTO PRIVADO
Código: MA1 TEC 0404 Versión: 12 Fecha: 16/04/2018 Pág. 16 de 50
✓ Adoptar las medidas de seguridad apropiadas para la protección derivada del uso de computadores y equipos portátiles en las sedes de Américas Business Process Services.
✓ Generar cultura organizacional a la hora de permitir el ingreso y manipulación de los computadores y equipos portátiles en las sedes de Américas Business Process Services garantizando la confidencialidad, integridad y disponibilidad de la información.
4.6.2. Alcance
La presente política de Uso de Computadores Portátiles por Terceras Partes aplica para todos los
empleados de Américas Business Process Services que no cuenten con un computador portátil
asignado por la compañía y para proveedores, contratistas, consultores, clientes, outsourcing y terceras
partes que requieran ingresar equipos o computadores portátiles a las instalaciones de Américas
Business Process Services.
4.6.3. Generalidades
Los empleados de Américas Business Process Services que no cuenten con un computador portátil
asignado por la compañía y los proveedores, contratistas, clientes y terceras partes que requieran
ingresar equipos o computadores portátiles a las instalaciones de la compañía deben cumplir con las
siguientes normas:
✓ Se prohíbe a los empleados de Américas Business Process Services el ingreso de equipos o computadores portátiles personales a las sedes de la empresa, de ser necesario su ingreso estos deben permanecer en los casilleros asignados para su depósito y custodia en cada una de las porterías de las diferentes sedes de la compañía.
✓ Se prohíbe a los empleados de Américas Business Process Services la manipulación de equipos o computadores portátiles personales dentro de las instalaciones de la compañía.
✓ Es responsabilidad del personal de vigilancia registrar todos los equipos o computadores portátiles en la bitácora de ingreso y salida de elementos ubicadas en las porterías de cada una de las sedes de Américas Business Process Services.
✓ Los usuarios a los cuales se les otorga el permiso de ingreso y manipulación de equipos o computadores portátiles solo deben realizar labores estrictamente necesarias para el cumplimiento de su función.
✓ Si el usuario debe conectar el equipo o computador portátil a la red de la compañía para la ejecución de sus actividades, es necesario cumplir con el procedimiento de Control de Acceso a la Red de Américas Business Process Services.
✓ Es responsabilidad de proveedores, contratistas, consultores, clientes, outsourcing y terceras partes que ingresen un computador portátil, equipo de cómputo o comunicaciones a las instalaciones de Américas Business Process Services velar por la seguridad e integridad del equipo dentro de las instalaciones de la compañía.
✓ El no cumplimiento de esta política atenta contra la seguridad de la información de Américas Business Process Services y será sancionado de acuerdo con el procedimiento definido.
4.6.4. Responsabilidades
La aprobación de la política Uso de Computadores Portátiles por Terceras Partes será realizada por el
comité de seguridad de la información. Cualquier cambio, corrección o actualización en el presente
documento deben ser propuestos por el coordinador de seguridad de la información y objeto de
aprobación del comité de seguridad de la información.
MANUAL DE POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN AMÉRICAS BUSINESS PROCESS SERVICES
DOCUMENTO PRIVADO
Código: MA1 TEC 0404 Versión: 12 Fecha: 16/04/2018 Pág. 17 de 50
4.6.5. Periodo de revisión
La presente política será objeto de revisión y evaluación anual.
4.7. Política Uso del Correo Electrónico Corporativo
El correo electrónico es una de las herramientas más utilizadas al interior de la compañía para establecer
comunicación con los colaboradores, clientes y proveedores, debido a su nivel de utilización lo convierte en
uno de los medios más utilizados de difusión de software malicioso y de contenidos no solicitados que
atentan contra la seguridad de la información que se transmite por este medio de comunicación.
Américas Business Process Services establece las directrices y buenas prácticas que garantizan una
correcta utilización del correo electrónico y las cuales son de estricto cumplimiento para todas aquellas
personas u organizaciones que cuenten con una cuenta de correo electrónico suministrada por la
compañía.
4.7.1. Objetivos de la política
✓ Establecer los lineamentos para el buen uso del correo electrónico corporativo permitiendo garantizar la seguridad de la información que se intercambia por medio de este servicio.
✓ Garantizar la implementación de las mejores prácticas en la utilización del servicio de correo electrónico.
4.7.2. Alcance
La presente política de Uso del Correo Electrónico Corporativo aplica para todos los empleados de
Américas Business Process Services, proveedores, contratistas, clientes y terceras partes que cuenten
con una cuenta de correo electrónico suministrada por la compañía.
4.7.3. Generalidades
✓ Los usuarios son completamente responsables de todas las actividades realizadas con sus cuentas de correo electrónico asociadas a Américas Business Process Services.
✓ Se debe ser respetuoso y utilizar un vocabulario adecuado al momento de redactar un correo electrónico.
✓ La cuenta de correo electrónico que proporciona Américas Business Process Services es personal e intransferible, por lo que no debe proporcionarse a otras personas.
✓ Se deben firmar todos y cada uno de los correos electrónicos que se creen, reenvíen o respondan. ✓ No está permitido distribuir de forma masiva grandes cantidades de mensajes con contenidos
inapropiados para Américas Business Process Services o correos SPAM de cualquier índole. Se consideran correos SPAM aquellos no relacionados con las funciones específicas a los procesos de trabajo.
✓ Para efectos de esta política, se entenderá por correo masivo aquellos envíos que cumplan con las siguientes características: ➢ Que tengan como destinatarios toda una empresa. ➢ Envíos a listados personalizados que contengan más de 100 destinatarios.
✓ Toda solicitud de envío de correos electrónicos masivos internos en Américas Business Process Services debe ser gestionada y procesada por el área de Mercadeo y Comunicaciones.
MANUAL DE POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN AMÉRICAS BUSINESS PROCESS SERVICES
DOCUMENTO PRIVADO
Código: MA1 TEC 0404 Versión: 12 Fecha: 16/04/2018 Pág. 18 de 50
✓ El envío de correos masivos con información comercial, solo se autorizará cuando se trate de aspectos promocionales de productos y/o servicios de interés de Américas Business Process Services.
✓ Es responsabilidad del colaborador solicitante del envío del correo masivo, revisar el contenido y estructura del mensaje, así como la definición de los destinatarios que lo recibirán.
✓ No se debe utilizar el correo electrónico para propósitos comerciales ajenos a Américas Business Process Services.
✓ No se deben enviar o reenviar mensajes con contenido difamatorio, ofensivo, racista u obsceno. ✓ No se debe copiar ilegalmente o reenviar mensajes sin tener la autorización del remitente original
para hacerlo. ✓ No se deben usar seudónimos y enviar mensajes anónimos, así como aquellos que consignen
títulos, cargos o funciones no oficiales. ✓ No se permite utilizar mecanismos y sistemas que intenten ocultar o suplantar la identidad del
emisor de correo. ✓ No se debe modificar o alterar la configuración preestablecida por los ingenieros de la mesa de
servicios para el correcto funcionamiento del correo electrónico. ✓ Las firmas de correo electrónico no deben contener imágenes y deben tener un formato similar al
siguiente:
Nombre Completo
Cargo que desempeña
Américas Business Process Services
O: (+571) 4251700 Ext. 24257
E: nombre de usuario@americasbps.com
W: http://americasbps.com
Por favor no imprima este e-mail a menos que sea necesario. Este mensaje y sus anexos, enviado
mediante correo electrónico, contiene información confidencial. Si usted no es el destinatario
autorizado, y recibió este mensaje por error, absténgase de utilizarlo o revelarlo de cualquier forma.
Por favor informe al remitente y posteriormente bórrelo de su sistema sin conservar copia del
mismo. La utilización o difusión no autorizada de este mensaje está prohibida por la ley.
This message, including any attachments, contains confidential information. If you are not the
intended recipient and received this email by mistake, please refrain from using or revealing it in any
way. Please inform the sender and delete it. Any unauthorized use, disclosure or distribution of this
message is strictly prohibited.
✓ Si se recibe un correo de origen desconocido, consúltelo inmediatamente con la mesa de servicios, bajo ningún aspecto se debe abrir o ejecutar archivos adjuntos de correos dudosos, ya que podrían contener códigos maliciosos (virus, troyanos, keyloogers, gusanos, etc.).
✓ No está permitido el acceso a las cuentas de correo electrónico personales durante la jornada laboral y desde los equipos de Américas Business Process Services.
MANUAL DE POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN AMÉRICAS BUSINESS PROCESS SERVICES
DOCUMENTO PRIVADO
Código: MA1 TEC 0404 Versión: 12 Fecha: 16/04/2018 Pág. 19 de 50
✓ Para acceder a su cuenta de correo electrónico, utilice una contraseña, para definirla apóyese en la Política Gestión de Contraseñas.
✓ Se debe configurar la contraseña de ingreso al administrador de correo (Outlook Express, Microsoft Outlook, etc.).
✓ No utilice la opción de "guardar contraseña" para ingresar al administrador de correos. ✓ No abra los mensajes que le ofrezcan dudas en cuanto a su origen o posible contenido sin
asegurarse que han sido analizados por el software antivirus de la compañía. ✓ No proporcione su dirección de correo electrónico si no está seguro de las intenciones de aquél que
se la requiere. ✓ Evite difundir cuando no sea necesario las direcciones de correo electrónico de otras personas. ✓ Es responsabilidad de los usuarios dar aviso al área de seguridad de la información y mesa de
servicios de cualquier fallo de seguridad de su cuenta de correo electrónico, incluyendo su uso no autorizado, pérdida de la contraseña o configuración, etc.
✓ Las herramientas que le sean asignadas al trabajador por parte de Américas Business Process Services serán de propiedad de ésta última y el trabajador se compromete a utilizarlas para fines estrictamente laborales, razón por la cual el Trabajador autoriza a Américas Business Process Services a realizar la inspección y/o monitoreo a que haya lugar a efectos de verificar la correcta utilización de tales herramientas, garantizando, en todo caso, el derecho a la intimidad y privacidad propias del trabajador.
✓ Es responsabilidad de los empleados de Américas Business Process Services, proveedores, contratistas, clientes y terceras partes que cuenten con una cuenta de correo electrónico suministrada por la compañía y configurada en los dispositivos de comunicación celular (BlackBerry, Iphone, Ipad etc.) implementar los diferentes controles de seguridad y buenas prácticas suministrados por el fabricante del dispositivo para garantizar la seguridad de la información.
✓ Es responsabilidad de los usuarios hacer un adecuado uso, consulta o transmisión del correo electrónico el cual debe ser utilizado exclusivamente para las actividades relacionadas con el trabajo y funciones a cargo.
✓ Es responsabilidad de los jefes ante un retiro de un colaborador a su cargo, solicitar la entrega formal de la información de la compañía, previa a la fecha de retiro de la empresa por parte del colaborador.
✓ Es responsabilidad de los jefes ante el incumplimiento del punto anterior, tramitar previo al retiro del colaborador, la autorización firmada por el colaborador para acceso a la cuenta del correo electrónico e información que se encuentre a su cargo de no contar con esta autorización no se podrá autorizar el acceso a la información.
✓ Es responsabilidad de los jefes ante la creación de cuentas de correo electrónico genéricas, asignar un responsable para cada cuenta creada.
✓ Es responsabilidad de los jefes contar con un inventario de cuentas de correo electrónico genéricas y su respectivo responsable.
✓ Al reportar un retiro de cuenta de correo electrónico este quedará en estado inactivo por 30 días, pasado este tiempo, toda la información de la cuenta será borrada definitivamente, sin lugar a recuperarla si así fuera necesario.
✓ Todo colaborador que por error reciba un mensaje correo electrónico dirigido a otro destinatario, debe devolverlo al remitente de inmediato, protegiendo la información contenida y sin hacer uso indebido de la misma.
✓ Los mensajes de correo electrónico son considerados prueba legal, ante las autoridades competentes, es por esto por lo que la organización podrá hacer uso de estos, como instrumento probatorio de requerirlo.
✓ No está permitido el direccionamiento automático, envió o almacenamiento de correos de la empresa en cuentas de correo personales no corporativas
✓ El personal administrativo debe completar su perfil de correo electrónico, con una foto que considere los siguientes aspectos:
MANUAL DE POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN AMÉRICAS BUSINESS PROCESS SERVICES
DOCUMENTO PRIVADO
Código: MA1 TEC 0404 Versión: 12 Fecha: 16/04/2018 Pág. 20 de 50
➢ Foto tipo carnet, reciente, a color, del rostro del usuario de la cuenta. La imagen debe ser profesional y corporativa, no debe incluir: hijos, gafas oscuras, mascotas, símbolos, paisajes y similares.
➢ Es responsabilidad del jefe inmediato, velar porque las condiciones anteriormente mencionadas se cumplan.
✓ El no cumplimiento de esta política atenta contra la seguridad de la información de Américas Business Process Services y será sancionado de acuerdo con el procedimiento definido.
4.7.4. Responsabilidades
La aprobación de la política de Uso del Correo Electrónico Corporativo será realizada por el comité de
seguridad de la información. Cualquier cambio, corrección o actualización en el presente documento
deben ser propuestos por el coordinador de seguridad de la información y objeto de aprobación del
comité de seguridad de la información.
4.7.5. Periodo de revisión
La presente política será objeto de revisión y evaluación anual.
4.8. Política Uso de Computadores Portátiles y Dispositivos Móviles por Empleados de Américas Business Process Services
Américas Business Process Services establece las directrices para controlar y restringir el uso de
computadores portátiles y dispositivos móviles asignados a los empleados para el correcto desempeño de
sus funciones dentro y fuera de las instalaciones de la compañía.
Es responsabilidad de los empleados de Américas Business Process Services y del personal de vigilancia
cumplir y hacer cumplir la presente política en cada una de las sedes de la compañía.
4.8.1. Objetivos de la política
✓ Establecer los lineamentos para la entrega, ingreso y manipulación de computadores portátiles y dispositivos móviles en las sedes de Américas Business Process Services.
✓ Adoptar las medidas de seguridad apropiadas para la protección derivada del uso de computadores portátiles y dispositivos móviles en las sedes de Américas Business Process Services.
✓ Generar cultura organizacional a la hora recibir y manipular los computadores portátiles y dispositivos móviles asignados a los empleados de Américas Business Process Services garantizando la confidencialidad, integridad y disponibilidad de la información mediante la implementación de buenas prácticas de seguridad.
4.8.2. Alcance
La presente política de Uso de Computadores Portátiles y Dispositivos Móviles por Empleados de
Américas Business Process Services, aplica para todos los empleados de Américas Business Process
Services que cuenten con un computador portátil y/o dispositivo móvil asignado por la compañía.
MANUAL DE POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN AMÉRICAS BUSINESS PROCESS SERVICES
DOCUMENTO PRIVADO
Código: MA1 TEC 0404 Versión: 12 Fecha: 16/04/2018 Pág. 21 de 50
4.8.3. Generalidades
Los empleados de Américas Business Process Services que cuenten con un computador portátil y/o
dispositivo móvil asignado por la compañía deben cumplir con las siguientes normas:
✓ Es responsabilidad de todos los empleados de Américas Business Process Services cumplir con la política de Uso de Computadores Portátiles por Terceras Partes.
✓ Todos los usuarios deben conocer y aplicar las políticas, procedimientos y controles de seguridad implementados por Américas Business Process Services.
✓ Es responsabilidad de todos los empleados de Américas Business Process Services reportar al personal de vigilancia el ingreso o salida de los equipos o computadores portátiles que tienen a su cargo en las porterías de cada una de las sedes de Américas Business Process Services.
✓ Es responsabilidad del personal de vigilancia registrar todos los computadores portátiles en la bitácora de ingreso y salida de elementos ubicadas en las porterías de cada una de las sedes de Américas Business Process Services.
✓ Es responsabilidad de la mesa de servicios entregar los computadores portátiles con todas las aplicaciones instaladas debidamente licenciadas, instalar y actualizar las herramientas de seguridad, instalar las últimas actualizaciones de seguridad de sistema operativo y hacer entrega del acta de computadores portátiles.
✓ Es responsabilidad de los empleados de Américas Business Process Services que cuentan con un computador portátil asignado por la compañía, conocer, aceptar y firmar el acta de entrega de computadores portátiles suministrada por la mesa de servicios.
✓ Es responsabilidad de todos los empleados de Américas Business Process Services a los que les asigna un computador portátil verificar que cumpla con los requisitos de seguridad establecidos por la compañía.
✓ Es responsabilidad de todos los empleados de Américas Business Process Services a los que se les asigna un computador portátil velar por la seguridad e integridad del equipo entregado dentro y fuera de las instalaciones de la compañía.
✓ Es responsabilidad de todos los empleados de Américas Business Process Services a los que les asigna un computador portátil utilizarlo únicamente para realizar labores estrictamente necesarias para el cumplimiento de su función.
✓ Es responsabilidad de todos los empleados de Américas Business Process Services que tengan asignado a su cargo un computador portátil la correcta utilización de la guaya de seguridad entregada para la protección del equipo.
✓ Es responsabilidad de todos los empleados de Américas Business Process Services que tengan asignado a su cargo un computador portátil solicitar la instalación y garantizar la correcta utilización de la herramienta de cifrado establecida por la compañía.
✓ Es responsabilidad de los empleados de Américas Business Process Services a los que se les asigne un dispositivo móvil o de quienes configuren accesos a las diferentes plataformas de información de la compañía en sus dispositivos móviles, garantizar la correcta aplicación de las diferentes opciones de seguridad suministradas por el fabricante.
✓ Es responsabilidad de todos los empleados de Américas Business Process Services a los que se asigne un dispositivo móvil o de quienes configuren accesos a las diferentes plataformas de información de la compañía en sus dispositivos móviles el no aceptar conexiones de dispositivos que no conozcan para evitar transferencias de contenidos no deseados.
✓ Es responsabilidad de todos los empleados de Américas Business Process Services a los que se les asigne un dispositivo móvil donde se configure el acceso a las plataformas de información de la compañía solicitar la instalación de la herramienta antivirus definida por Américas Business Process Services.
✓ Es responsabilidad de todos los empleados de Américas Business Process Services a los que se les asigne un dispositivo móvil o de quienes configuren accesos a las diferentes plataformas de
MANUAL DE POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN AMÉRICAS BUSINESS PROCESS SERVICES
DOCUMENTO PRIVADO
Código: MA1 TEC 0404 Versión: 12 Fecha: 16/04/2018 Pág. 22 de 50
información de la compañía en sus dispositivos móviles ignorar y eliminar SMS o MMS de origen desconocido que inducen a descargas o accesos a sitios potencialmente peligrosos.
✓ Es responsabilidad de todos los empleados de Américas Business Process Services a los que se les asigne un dispositivo móvil o de quienes configuren accesos a las diferentes plataformas de información de la compañía en sus dispositivos móviles activar el acceso mediante PIN o patrón (al bluetooth y al móvil) para que sólo quién conozca este código pueda acceder a las funcionalidades del dispositivo.
✓ Es responsabilidad de todos los empleados de Américas Business Process Services a los que se les asigne un dispositivo móvil o de quienes configuren accesos a las diferentes plataformas de información de la compañía en sus dispositivos móviles no descargar software de sitios poco fiables o sospechosos para impedir la entrada por esta vía de códigos potencialmente maliciosos.
✓ Es responsabilidad de todos los empleados de Américas Business Process Services a los que se les asigne un dispositivo móvil bloquear la tarjeta SIM en caso de pérdida para evitar que terceros carguen gastos a su cuenta de igual manera se debe realizar el respectivo denuncio ante las autoridades.
✓ Es responsabilidad de todos los empleados de Américas Business Process Services a los que se les asigne un dispositivo móvil en caso de pérdida o robo realizar el respectivo denuncio ante las autoridades competentes y entregar copia del mismo al área administrativa de la compañía.
✓ El no cumplimiento de esta política atenta contra la seguridad de la información de Américas Business Process Services y será sancionado de acuerdo con el procedimiento definido.
4.8.4. Responsabilidades
La aprobación de la política “Uso de Computadores Portátiles y Dispositivos Móviles por Empleados de
Américas Business Process Services” será realizada por el comité de seguridad de la información.
Cualquier cambio, corrección o actualización en el presente documento deben ser propuestos por el
coordinador de seguridad de la información y objeto de aprobación del comité de seguridad de la
información.
4.8.5. Periodo de revisión
La presente política será objeto de revisión y evaluación anual.
4.9. Política Control de Acceso
Con el objetivo de impedir el acceso no autorizado a la información se cuenta con procedimientos formales
para controlar la asignación de derechos de acceso a los sistemas, datos y servicios de información de
Américas Business Process Services.
Los controles de acceso son tanto lógicos como físicos y se deben consideran en conjunto; el acceso a la
información, a los servicios de procesamiento de información y a los procesos del negocio se deben
controlar con base en los requisitos de seguridad y del negocio.
Se deben implementar mecanismos y controles que aseguren un efectivo registro, identificación y
autenticación de los clientes y usuarios de dichos servicios, así mismo, se deben implementar mecanismos
y controles que aseguren el acceso bajo el principio del menor privilegio necesario para realizar únicamente
las labores que corresponden a cada cliente o usuario de dichos servicios.
MANUAL DE POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN AMÉRICAS BUSINESS PROCESS SERVICES
DOCUMENTO PRIVADO
Código: MA1 TEC 0404 Versión: 12 Fecha: 16/04/2018 Pág. 23 de 50
4.9.1. Objetivos de la política
✓ Impedir el acceso no autorizado a los sistemas de información, bases de datos, servicios de información y áreas de procesamiento de información de Américas Business Process Services.
✓ Concientizar a los usuarios respecto de su responsabilidad frente a la utilización de usuarios, contraseñas y equipos.
✓ Garantizar la seguridad de la información cuando se utilizan conexiones desde nuestra red a redes externas o de redes externas a nuestra red.
✓ Implementar mecanismos y controles que aseguren el acceso a los sistemas de información de Américas Business Process Services bajo el principio del menor privilegio.
4.9.2. Alcance
La presente política de control de acceso aplica para todos los empleados de Américas Business
Process Services, proveedores, contratistas, clientes y terceras partes que interactúen con sistemas de
información de la compañía y de nuestros clientes.
4.9.3. Generalidades
Los empleados de Américas Business Process Services, proveedores, contratistas, clientes y terceras
partes que cuenten con acceso a los sistemas de información y plataformas tecnológicas de la
compañía deben cumplir con las siguientes normas:
✓ La dirección responsable de cada una de las plataformas de información definirá un procedimiento formal de registro de usuarios para otorgar y revocar el acceso a todos los sistemas, bases de datos y servicios de información de Américas Business Process Services.
✓ Se limitará y controlará la asignación y uso de privilegios de cada una de las plataformas y sistemas de información de Américas Business Process Services.
✓ La asignación de contraseñas de cada una de las plataformas y sistemas de información se controlará a través de la correcta aplicación de la política de gestión de contraseñas de Américas Business Process Services.
✓ Con el objetivo de mantener un control eficaz del acceso a los datos y servicios de información de Américas Business Process Services, el propietario de la información llevará a cabo un proceso formal de verificación de los derechos de acceso del personal a su cargo, dicha verificación deberá realizarse como mínimo cada 12 meses.
✓ Se controlará el acceso a los servicios de red tanto internos como externos mediante la aplicación
del procedimiento transversal PR TEC 040406 Control de acceso a la red de Américas BPS; el área
de seguridad de la información en compañía del propietario de la información realizará una evaluación de riesgos con el propósito de determinar el mecanismo más seguro de conexión.
✓ El área de seguridad de la información definirá los controles para solicitar y aprobar el acceso a internet y asignación de conexiones VPN, los accesos serán solicitados formalmente por el director del área o campaña a cargo del personal que lo requiera y la autorización será otorgada por el área de seguridad de la información previa verificación de la justificación de la solicitud, teniendo en cuenta los requerimientos del negocio, las políticas, procedimientos, controles y buenas prácticas de seguridad de la información implementadas en Américas Business Process Services.
✓ Es responsabilidad de la dirección de la mesa de servicios e infraestructura tecnológica, garantizar la aplicación y mantenimiento de las diferentes políticas, procedimientos, controles tecnológicos, y buenas prácticas de seguridad de la información implementadas en los equipos de cómputo y telecomunicaciones a su cargo en las diferentes sedes de la compañía.
✓ Todos los usuarios (incluido el personal de soporte técnico, como los operadores, administradores de red, programadores de sistemas y administradores de bases de datos) tendrán un identificador
MANUAL DE POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN AMÉRICAS BUSINESS PROCESS SERVICES
DOCUMENTO PRIVADO
Código: MA1 TEC 0404 Versión: 12 Fecha: 16/04/2018 Pág. 24 de 50
único (ID de usuario) personal e intransferible de uso exclusivo para el correcto desempeño de sus funciones.
✓ Es responsabilidad del personal administrativo realizar el acompañamiento del personal visitante que ingrese y permanece en las instalaciones de Américas Business Process Services, deben garantizar que la persona que ingresa a nuestras instalaciones esté debidamente identificada, permanezca acompañado durante su estadía y recorrido dentro de nuestras instalaciones, de igual manera debe garantizar el cumplimento a las diferentes políticas, procedimientos, controles, normas y buenas prácticas descritas en este manual.
✓ Es responsabilidad del personal que tiene a su cargo tarjetas de acceso para el ingreso a las instalaciones físicas donde funcionan los procesos que requieren encerramiento, registrar la entrada y salida a las instalaciones asignadas a cada uno de los procesos que por las características de negocio así lo requiera.
✓ Es responsabilidad del personal que tiene a su cargo tarjetas de acceso para el ingreso a las instalaciones físicas donde funcionan los procesos que requieren encerramiento realizar un correcto uso de las tarjetas asignadas y no compartirlas ya que son personales e intransferibles, así mismo se debe tener en cuenta que las acciones registradas con las tarjetas de acceso serán responsabilidad del empleado al que se asignó la tarjeta.
4.9.4. Responsabilidades
La aprobación de la política de control de acceso será realizada por el comité de seguridad de la
información. Cualquier cambio, corrección o actualización en el presente documento deben ser
propuestos por el coordinador de seguridad de la información y objeto de aprobación del comité de
seguridad de la información.
4.9.5. Periodo de revisión
La presente política será objeto de revisión y evaluación anual.
4.10. Política Uso de Internet, Intranet y Almacenamiento en la Nube
Américas Business Process Services establece las directrices para la utilización de los servicios de Internet,
Intranet y Almacenamiento en la Nube, todos los usuarios de estos servicios son completamente
responsables por la aplicación de estas directrices y de igual manera deben velar por la correcta aplicación
de las diferentes políticas, procedimientos, controles, normas y buenas prácticas definidas para garantizar
la integridad, confidencialidad y disponibilidad de la información, sistemas de información y plataforma
tecnológica de la compañía.
4.10.1. Objetivos de la política Establecer las directrices para la adecuada utilización de los servicios de Internet, intranet y
Almacenamiento en la Nube al interior de las diferentes sedes de Américas Business Process
Services.
MANUAL DE POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN AMÉRICAS BUSINESS PROCESS SERVICES
DOCUMENTO PRIVADO
Código: MA1 TEC 0404 Versión: 12 Fecha: 16/04/2018 Pág. 25 de 50
4.10.2. Alcance
La presente política de Uso de Internet, Intranet y Almacenamiento en la Nube aplica para todos los
empleados de Américas Business Process Services, proveedores, contratistas, clientes y terceras
partes que utilicen los servicios de Internet, Intranet y Almacenamiento en la Nube.
4.10.3. Generalidades
Uso de Internet:
Américas Business Process Services provee el servicio de internet para empleados, proveedores,
contratistas, clientes y terceras partes que se encuentren dentro de nuestras instalaciones y requieran
de la prestación de este servicio, con el propósito de garantizar la seguridad de los sistemas de
información y de la infraestructura tecnológica del negocio se debe dar estricto cumplimiento a las
siguientes directrices:
✓ El servicio de Internet esta designado para el uso en la investigación y búsqueda de información relacionada a las funciones de su cargo, cualquier uso inadecuado de este servicio será considerado una falta grave y se aplicará el procedimiento de sanciones disciplinarias establecido por Américas Business Process Services.
✓ Con el propósito de garantizar la seguridad de la información y de la infraestructura tecnológica de la compañía Américas Business Process Services se reserva el derecho de filtrar el contenido al que el usuario puede acceder a través de internet desde los recursos y servicios propiedad de la compañía, así como a monitorizar y registrar los accesos realizados desde los mismos.
✓ De ser necesario que un usuario acceda a una dirección restringida se debe diligenciar el formato F1 TEC 0404 Solicitud Permisos (SGSI) el cual debe estar correctamente diligenciado, autorizado y firmado por las partes interesadas, una vez diligenciado el formato este debe ser remitido al área de aseguramiento de la información quien determinara si se otorga o rechaza la solicitud realizada.
✓ Por motivos de seguridad y para evitar la infección de virus, se prohíbe la descarga de software desde Internet; en caso de requerir algún programa se debe recurrir al procedimiento PR TEC 040105 Administración de Software.
✓ De ser necesaria la descargar de información desde internet los usuarios deberán respetar y dar cumplimiento a las disposiciones legales de derechos de autor, marcas registradas y derechos de propiedad intelectual.
✓ Está prohibido la descarga de material gráfico que contenga actividad sexual, nudismo, violencia o cualquier otra actividad que vaya en contra de los valores corporativos de la compañía de evidenciarse el incumplimiento de esta norma será considerada una falta grave y se sancionara de acuerdo con el procedimiento de sanciones disciplinarias establecido por la compañía.
✓ El servicio de internet no se podrá utilizar para realizar ninguna actividad ilegal o que atente contra la ética y buen nombre de Américas Business Process Services.
✓ A través del servicio de Internet se puede acceder a otras redes de diferentes países, cada uno con normatividad diferente en cuanto al uso de la información dispuesta para sus visitantes, en todo caso el usuario deberá observar el respeto y el cumplimiento a las leyes dispuestas en cada uno para no comprometer en nada el nombre de la Compañía.
✓ Se recomienda no dejar abiertas páginas que se actualizan periódicamente ni varias conexiones simultáneas, ya que consumen recursos y congestionan la de red innecesariamente.
✓ No está permitido la utilización de aplicaciones de Mensajería Instantánea (Por ejemplo, MSN Messenger o Yahoo Messenger) o Voz Sobre IP (VoIP) (Por ejemplo, Skype) sin previa autorización la cual debe estar debidamente soportada con el formato F1 TEC 0404 Solicitud Permisos (SGSI) el cual debe estar correctamente diligenciado, autorizado y firmado por las partes interesadas.
MANUAL DE POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN AMÉRICAS BUSINESS PROCESS SERVICES
DOCUMENTO PRIVADO
Código: MA1 TEC 0404 Versión: 12 Fecha: 16/04/2018 Pág. 26 de 50
✓ La información usada, consultada, publicada o transmitida a través de internet debe ser de uso únicamente corporativo por lo tanto no está permitido el almacenamiento, acceso, transmisión y retransmisión de:
➢ Mensajes difamatorios, calumniosos, amenazantes o lesivos a los intereses de Américas Business Process Services, de los colaboradores o de otras personas o instituciones, cualquiera sea su naturaleza.
➢ Mensajes de naturaleza racial, política, bélica o religiosa. ➢ Cartas de cadena, cualquiera que sea su naturaleza. ➢ Publicidad, ventas, mercadeo, promociones, apuestas, etc., a título personal del
colaborador. ➢ Material que viole la propiedad intelectual: derechos de autor, marcas registradas, patentes,
secretos de mercadeo, publicidad, música, video, fotos e imágenes, etc.
✓ Es responsabilidad de los empleados de Américas Business Process Services, proveedores, contratistas, clientes y terceras partes a quienes se les otorgue acceso al servicio de internet hacer buen uso de los recursos informáticos que la compañía le suministra para el desarrollo de sus actividades.
✓ Es responsabilidad de los empleados de Américas Business Process Services, proveedores, contratistas, clientes y terceras partes a quienes se les otorgue acceso al servicio de internet no gestionar inscripciones a boletines y/o notificaciones vía correo electrónico que no se encuentren asociadas estrictamente a temas laborales.
✓ Es responsabilidad del jefe inmediato garantizar que los colaboradores a su cargo cuenten con el conocimiento adecuado de las políticas, procedimientos, controles, normas y buenas prácticas establecidas en la compañía para el uso eficiente del servicio de internet.
✓ Es responsabilidad del jefe inmediato en acompañamiento con el área de Aseguramiento de la Información asignar perfiles de acceso y navegación en internet, de acuerdo con el cargo y las funciones desempeñadas por los colaboradores.
✓ Es responsabilidad de la Dirección del área de mercadeo y comunicaciones de Américas Business Process Services aprobar el contenido de las publicaciones oficiales en internet (portales, páginas y aplicativos accedidos vía web) y las publicaciones internas (intranet, Red de Carteleras Digitales, Canal Institucional, Mailling, Wallpaper), conservando registro de los responsables de estos contenidos.
✓ Todo acceso a internet de proveedores, contratistas, clientes, visitantes y terceras partes debe ser aprobado por el área de Aseguramiento de la Información y gestionado por el colaborador que tramita el ingreso (siempre y cuando la infraestructura tecnológica lo permita), quien gestionará el tiempo de asignación del permiso, de acuerdo con el tipo de conexión requerido y a los procedimientos definidos por la compañía.
✓ Los administradores del servicio de internet (Infraestructura Tecnológica Ingenieros IT) con el apoyo del área de Aseguramiento de la Información podrán tomar acciones correctivas con aquellos accesos que generen consumo excesivo del recurso y que impacten negativamente la calidad del servicio, así mismo podrán restringir de manera unilateral el acceso a sitios y páginas que por alguna circunstancia vayan en contra de las políticas corporativas de Américas Business Process Services o que representen un riesgo para los sistemas y la infraestructura tecnológica de la compañía.
✓ El no cumplimiento de esta política atenta contra la seguridad de la información de Américas Business Process Services y será sancionado de acuerdo con el procedimiento definido.
MANUAL DE POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN AMÉRICAS BUSINESS PROCESS SERVICES
DOCUMENTO PRIVADO
Código: MA1 TEC 0404 Versión: 12 Fecha: 16/04/2018 Pág. 27 de 50
Uso de la Intranet:
La Intranet es una herramienta desarrollada por Américas Business Process Services y es utilizada para
dar a conocer a todo el personal, información de interés general para la compañía, a continuación, se
dan a conocer las directrices para la gestión y utilización de esta herramienta:
✓ Es responsabilidad de la Dirección del área de mercadeo y comunicaciones de Américas Business Process Services aprobar el contenido de las publicaciones oficiales en internet (portales, páginas y aplicativos accedidos vía web) y las publicaciones internas (intranet, Red de Carteleras Digitales, Canal Institucional, Mailling, Wallpaper), conservando registro de los responsables de estos contenidos.
✓ La información disponible en la intranet es para uso interno y no puede ser reproducida o retransmitida a terceros.
Uso de Almacenamiento en la Nube:
La herramienta (OneDrive para la Empresa) fue seleccionada por Américas Business Process Services
como la herramienta corporativa para realizar el almacenamiento de información en la Nube, el uso de
esta herramienta se autoriza para aquellas cuentas de correo electrónico corporativo catalogadas como
E1 y E3 todos aquellos usuarios a los que se les asigne una cuenta con estas características o a los
que se autorice la utilización de la herramienta (OneDrive para la Empresa) deben dar cumplimiento a
las siguientes directrices:
✓ No se considera almacenamiento corporativo en la nube servicios no licenciados por la compañía, por tal razón no está permitido almacenar información propiedad de la empresa en dichos servicios, el único servicio autorizado para almacenamiento en la nube es el ofrecido por las cuentas de correo electrónico corporativo catalogadas como E1 y E3 las cuales cuentan con la herramienta de (OneDrive para la Empresa).
✓ Sera responsabilidad del usuario al que se le asigno la cuenta garantizar que la información que se almacene en la herramienta (OneDrive para la Empresa) cumpla con la política de Clasificación, Etiquetado y Manejo de la información definida por la compañía.
✓ No es permitido almacenar en el sitio corporativo (OneDrive para la Empresa) definido por Américas Business Process Services información personal que no corresponda a asuntos propios de la actividad laboral realizada en la compañía.
✓ Es responsabilidad del usuario al que se asignó la cuenta dar un adecuado manejo a la información almacenada en (OneDrive para la Empresa) así como asignar y gestionar los permisos que asignen a otras personas para acceder a la información almacenada.
✓ Es responsabilidad del usuario al que se asignó la cuenta realizar periódicamente backup a la información que se encuentra almacenada en la herramienta (OneDrive para la Empresa).
✓ Si la cuenta debe ser eliminada, es responsabilidad del usuario al que se asignó la cuenta, facilitar la custodia de la información entregando copia de esta a su jefe inmediato.
4.10.4. Responsabilidades
La aprobación de la política de Uso de Internet, Intranet y Almacenamiento en la Nube será realizada
por el comité de seguridad de la información. Cualquier cambio, corrección o actualización en el
presente documento debe ser propuesto por el coordinador de seguridad de la información y objeto de
aprobación del comité de seguridad de la información.
MANUAL DE POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN AMÉRICAS BUSINESS PROCESS SERVICES
DOCUMENTO PRIVADO
Código: MA1 TEC 0404 Versión: 12 Fecha: 16/04/2018 Pág. 28 de 50
4.10.5. Periodo de revisión
La presente política será objeto de revisión y evaluación anual.
4.11. Política Relación con Proveedores
Américas Business Process Services define las políticas, procedimientos, controles, normas y buenas
prácticas de seguridad de la información con el objetivo de garantizar la Confidencialidad, Integridad,
Disponibilidad, Procesamiento y Tratamiento de la Información de la información nuestra y de nuestros
clientes por lo que exigirá su estricto cumplimiento por parte de los proveedores, contratistas,
subcontratistas y terceras partes que presten servicios, interactúen con los sistemas de información,
ingresen a las áreas de procesamiento de información, procesen, almacenen, gestionen y trasmitan
información de la compañía o de nuestros clientes.
4.11.1. Objetivos de la política
✓ Dar a conocer a los proveedores, contratistas, subcontratistas, terceras partes y en general a todas aquellas personas que prestan servicios a Américas Business Process Services, las políticas, procedimientos, controles, normas y buenas prácticas de seguridad de la información implementadas en la compañía para garantizar la seguridad de la información nuestra y de nuestros clientes.
✓ Garantizar la seguridad de la información y de la infraestructura tecnológica de la compañía mediante el cumplimiento por parte de los proveedores, contratistas, subcontratistas, terceras partes y en general a todas aquellas personas que prestan servicios a Américas Business Process Services, de las políticas, procedimientos, controles, normas y buenas prácticas de seguridad de la información implementadas en la compañía.
4.11.2. Alcance
La presente política de Relación con Proveedores aplica para proveedores, contratistas,
subcontratistas, terceras partes y en general a todas aquellas personas que prestan servicios a
Américas Business Process Services.
4.11.3. Generalidades
A continuación, se describen las directrices que deben acatar los proveedores, contratistas,
subcontratistas, terceras partes y en general a todas aquellas personas que prestan servicios a
Américas Business Process Services en nuestras instalaciones o cuando se realicen conexiones a
nuestros sistemas de información:
✓ Verificar y cumplir la Política Relación con Proveedores la cual se encuentra disponible en la página web de la compañía http://americasbps.com en link de Políticas y Procedimientos.
✓ Al ingresar a las diferentes sedes de Américas Business Process Services se debe anunciar la llegada del visitante a la persona responsable quien realizara el acompañamiento correspondiente mientras permanezca en las instalaciones de la compañía.
✓ Se debe portar en un lugar visible y en todo momento el carnet de identificación proporcionado para permanecer dentro de las instalaciones de la compañía.
✓ Cuando se vaya a realizar algún trabajo dentro de las instalaciones de Américas Business Process Services se debe adjuntar la fotocopia de la planilla del último pago de Seguridad Social (ARL, EPS, AFP) de cada una de las personas que ingresaran a nuestras instalaciones; si se van a realizar
MANUAL DE POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN AMÉRICAS BUSINESS PROCESS SERVICES
DOCUMENTO PRIVADO
Código: MA1 TEC 0404 Versión: 12 Fecha: 16/04/2018 Pág. 29 de 50
trabajos en alturas, se debe adjuntar certificado de aptitud para trabajo en alturas vigente de las personas que realizaran el trabajo.
✓ Es responsabilidad de los proveedores, contratistas, subcontratistas, terceras partes y en general a todas aquellas personas que prestan servicios a Américas Business Process Services que ingresen computador portátil, equipo de cómputo o equipos de comunicaciones (celular) a las instalaciones de la compañía velar por la seguridad e integridad del equipo dentro de las instalaciones de Américas Business Process Services.
✓ Los usuarios a los cuales se les otorga el permiso de ingreso y manipulación de equipos o computadores portátiles solo deben realizar labores estrictamente necesarias para el cumplimiento de su función.
✓ Si el usuario debe conectar el equipo o computador portátil a la red de la compañía para la ejecución de sus actividades, es necesario cumplir con el procedimiento de Control de Acceso a la Red de Américas Business Process Services.
✓ Es responsabilidad de los empleados de Américas Business Process Services dar a conocer y garantizar el cumplimiento de cada una de las políticas, procedimientos, controles, normas y buenas prácticas implementadas en la compañía a cada uno de los proveedores, contratistas, subcontratistas, terceras partes y en general a todas aquellas personas que prestan servicios a Américas Business Process Services y que se encuentren a cargo del empleado de la compañía.
4.11.4. Responsabilidades
La aprobación de la política de Relación con Proveedores será realizada por el comité de seguridad de
la información. Cualquier cambio, corrección o actualización en el presente documento debe ser
propuesto por el coordinador de seguridad de la información y objeto de aprobación del comité de
seguridad de la información.
4.11.5. Periodo de revisión
La presente política será objeto de revisión y evaluación anual.
4.12. Política Gestión de Piso
Américas Business Process Services define las directrices para garantizar una sana convivencia, así como
el orden que se debe mantener en los puestos y áreas de trabajo por parte de los empleados que
conforman las diferentes áreas y campañas al interior de la compañía con el objetivo de garantizar una
correcta gestión de piso.
4.12.1. Objetivos de la política
Definir las directrices para la organización, ingreso y permanencia al interior de cada una de las áreas y
operaciones de la compañía por parte del personal operativo, administrativo, clientes, terceras partes y
trabajadores en misión que ingresen y permanezcan en las instalaciones de Américas Business Process
Services.
4.12.2. Alcance
La presente política Gestión de Piso, aplica para todos los empleados, proveedores, contratistas,
clientes y terceras partes que ingresen a las diferentes sedes de Américas Business Process Services.
MANUAL DE POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN AMÉRICAS BUSINESS PROCESS SERVICES
DOCUMENTO PRIVADO
Código: MA1 TEC 0404 Versión: 12 Fecha: 16/04/2018 Pág. 30 de 50
4.12.3. Generalidades
✓ Al encontrase en operación todos los coordinadores de las campañas deben estar correctamente
identificados con su respectivo chaleco.
✓ Al encontrase en operación y en salas de capacitación todos los entrenadores deben estar
correctamente identificados con su respectivo chaleco.
✓ Al encontrase en operación todos los monitores de calidad deben estar correctamente identificados
con su respectivo chaleco.
✓ Al encontrase en operación todos los controller (GTR) deben estar correctamente identificados con
su respectivo chaleco.
✓ Al encontrase en las diferentes sedes de la compañía todos los brigadistas deben estar
correctamente identificados con su respectivo chaleco.
✓ No está permitido al interior de las campañas y áreas de procesamiento de datos de Américas
Business Process Services el ingreso y manipulación de dispositivos móviles (celulares, tabletas,
reproductores de música, cámaras fotográficas, etc.) sin la debida autorización, la cual debe estar
registrada en el formato F1 TEC 0404 Solicitud Permisos (SGSI).
✓ Al interior de los espacios físicos destinados para la adecuada gestión de las diferentes campañas
de Américas Business Process Services no está permitido el ingreso de maletas, bolsos y
paquetes, estos deberán permanecer en el locker o cajonera asignada por el área administrativa a
cada agente de la compañía o al personal administrativo que lo requiera.
✓ Al interior de los espacios físicos destinados para la adecuada gestión de las diferentes campañas
de Américas Business Process Services no está permitido el ingreso de sustancias químicas
(pegantes, disolventes, etc.,), plantas (bambús, cactus, etc.,).
✓ Al interior de las zonas comunes (cafetería, salas de descanso, pasillos, baños, etc.) y los espacios
físicos destinados para la adecuada gestión de las diferentes campañas de Américas Business
Process Services no está permitido el ingreso de cobijas, almohadas, colchones, etc.
✓ No está permitido sin la respectiva autorización (Ver instructivo de decoración) pegar o colgar
ningún tipo de material en las paredes, ductos de aire acondicionado, puertas, ventanas, así como
obstaculizar los elementos de seguridad industrial de cada uno de los diferentes espacios físicos
destinados para el correcto funcionamiento de las áreas, campañas y zonas comunes que
conforman Américas Business Process Services.
✓ No está permitido el ingreso y consumo de alimentos al interior de los espacios físicos destinados
para cada una de las campañas de Américas Business Process Services.
✓ Al encontrase en operación los agentes y coordinadores únicamente podrán ingresar bebidas
(agua) en recipientes debidamente tapados que impidan el escape del líquido contenido en dichos
recipientes.
✓ Se prohíbe el ingreso y consumo de bebidas calientes en los puestos de trabajo destinados para
cada una de las campañas de Américas Business Process Services.
✓ Para el personal administrativo está prohibido la manipulación de dispositivos móviles (celulares,
tabletas, reproductores de música, cámaras fotográficas, etc.) al interior de las campañas y áreas
de procesamiento de datos (Datacenter y Centros de Cableado) de la compañía.
✓ Está prohibido el almacenamiento de documentos físicos sin la protección requerida al interior de
los espacios físicos destinados a las áreas y campañas de Américas Business Process Services.
✓ Está prohibido el ingreso y la conexión de dispositivos eléctricos y electrónicos (ventiladores,
cafeteras, neveras, cargadores, etc.) en la toma de corriente regulada y no regulada de las zonas
MANUAL DE POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN AMÉRICAS BUSINESS PROCESS SERVICES
DOCUMENTO PRIVADO
Código: MA1 TEC 0404 Versión: 12 Fecha: 16/04/2018 Pág. 31 de 50
comunes (cafetería, salas de descanso, pasillos, baños, etc.) y de los espacios físicos destinados a
las campañas de Américas Business Process Services.
✓ Está prohibido el ingreso y conexión de dispositivos eléctricos y electrónicos (ventiladores,
cafeteras, neveras, calentadores, etc.) diferentes a los suministrados por la empresa en la toma de
corriente regulada y no regulada de las áreas administrativas de Américas Business Process
Services.
✓ Está prohibida la toma de fotografías sin la autorización del área de aseguramiento de la
información al interior de los espacios físicos destinados a las áreas y campañas que conforman
Américas Business Process Services.
✓ El personal operativo, administrativo y clientes que cuenten con una oficina asignada al interior de
las instalaciones de Américas Business Process Services debe garantizar la protección de los
elementos asignados que se encuentren dentro de la oficina garantizando que siempre que se
ausenten de su oficina esta permanezca con llave.
✓ Es responsabilidad del personal administrativo realizar el acompañamiento del personal visitante
que ingrese y permanece en las instalaciones de Américas Business Process Services, deben
garantizar que la persona que ingresa a nuestras instalaciones esté debidamente identificada,
permanezca acompañado durante su estadía y recorrido dentro de nuestras instalaciones de igual
manera debe garantizar el cumplimento a las diferentes políticas, procedimientos, controles, normas
y buenas prácticas descritas en este manual.
✓ Está prohibido el almacenamiento sin la protección requerida de dispositivos de cómputo,
electrónicos, armarios, gavetas, etc., en los espacios físicos destinados para las áreas y campañas
de Américas Business Process Services.
✓ Está prohibida la venta, distribución y comercialización de todo tipo de productos al interior de las
diferentes sedes de Américas Business Process Services.
✓ No está permitida la decoración de los elementos de emergencia tales como extintores, gabinetes
de incendio, botones de pánico, alarmas, salidas de emergencia, camillas, botiquín de primeros
auxilios, etc., estos deben estar despejados y visibles en todo momento.
✓ No se debe obstaculizar la utilización de los elementos de emergencia tales como extintores,
gabinetes de incendio, botones de pánico, alarmas, salidas de emergencia, camillas, botiquín de
primeros auxilios, etc., estos deben estar despejados y visibles en todo momento.
4.12.4. Responsabilidades
La aprobación de la política de Gestión de Piso será realizada por el comité de seguridad de la
información. Cualquier cambio, corrección o actualización en el presente documento debe ser propuesto
por el coordinador de seguridad de la información y objeto de aprobación del comité de seguridad de la
información.
4.12.5. Periodo de revisión
La presente política será objeto de revisión y evaluación anual.
4.13. Política Gestión del Riesgo
Américas Business Process Services establece los elementos y el marco general de actuación para la
gestión integral de los riesgos identificados en cada uno de sus procesos y campañas, con el propósito de
MANUAL DE POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN AMÉRICAS BUSINESS PROCESS SERVICES
DOCUMENTO PRIVADO
Código: MA1 TEC 0404 Versión: 12 Fecha: 16/04/2018 Pág. 32 de 50
asegurar su sostenibilidad y garantizar la continuidad del negocio frente a los diferentes riesgos a los que
se encuentre expuesta, tomando como línea base la Metodología de Valoración del Riesgo definida por la
compañía para identificar, analizar, evaluar y tratar de manera adecuada los riesgos que se identifiquen.
4.13.1. Objetivos de la política
✓ Garantizar la sostenibilidad de Américas Business Process Services y la continuidad del negocio.
✓ Analizar, evaluar y gestionar los riesgos asociados a los procesos y campañas teniendo en cuenta
el impacto en la compañía y la probabilidad de ocurrencia.
4.13.2. Alcance
La presente política de Gestión del Riesgo aplica para todos los empleados de Américas Business
Process Services y debe ser implementada en cada proceso y campaña de la compañía.
4.13.3. Generalidades
✓ Se deben identificar riesgos para todos los procesos y campañas que conforman Américas
Business Process Services, la identificación debe realizarse aplicando la metodología D1 TEC 0404
(Metodología de valoración del riesgo) y el procedimiento PR THU 010402 (Identificación,
valoración y control de los riesgos) definidos por la compañía.
✓ Se debe realizar la verificación y actualización de los riesgos identificados en cada uno de los
procesos y campañas que conforman Américas Business Process Services por lo menos una vez al
año, cada vez que se identifique un nuevo riesgo o al presentarse un accidente fatal o grave.
✓ Es responsabilidad de los directores de procesos y campañas, así como de su personal a cargo
realizar la identificación y verificación de riesgos con el apoyo de las áreas de seguridad y salud en
el trabajo y de aseguramiento de la información.
✓ Es responsabilidad de los directores de los procesos y campañas realizar la gestión
correspondiente a la notificación y seguimiento de los riesgos identificados frente a los proveedores
y clientes a su cargo.
✓ Teniendo en cuenta la identificación y priorización de riesgos realizada, se debe gestionar primero
los riesgos en nivel alto, seguidos del nivel medio.
✓ Para los riesgos identificados con nivel alto, seguidos del nivel medio la decisión de mitigar, aceptar
o transferir el riesgo estará a cargo del comité directivo de Américas Business Process Services.
4.13.4. Responsabilidades
La aprobación de la política de Gestión del Riesgo será realizada por el comité de seguridad de la
información. Cualquier cambio, corrección o actualización en el presente documento debe ser propuesto
por el coordinador de seguridad de la información y objeto de aprobación del comité de seguridad de la
información.
4.13.5. Periodo de revisión
La presente política será objeto de revisión y evaluación anual.
MANUAL DE POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN AMÉRICAS BUSINESS PROCESS SERVICES
DOCUMENTO PRIVADO
Código: MA1 TEC 0404 Versión: 12 Fecha: 16/04/2018 Pág. 33 de 50
4.14. Política Controles Criptográficos
Américas Business Process Services establece las directrices para el aseguramiento de la información
nuestra y de nuestros clientes mediante la aplicación de controles criptográficos que nos permitan
garantizar la confidencialidad, integridad y disponibilidad de la información que se almacena, procesa y
trasmite en nuestros sistemas de información, equipos de cómputo y medios de entrega y recepción de
información utilizados en la compañía por nuestros empleados y clientes.
4.14.1. Objetivos de la política
✓ Garantizar la confidencialidad, integridad, y disponibilidad de la información nuestra y de nuestros
clientes mediante la aplicación de controles criptográficos.
4.14.2. Alcance
La presente política de Controles Criptográficos aplica para todos los empleados que almacenen,
procesen y trasmitan información de Américas Business Process Services o de nuestros clientes a
través de los diferentes sistemas de información, equipos de cómputo y dispositivos móviles asignados
por la compañía.
4.14.3. Generalidades
✓ Todos los equipos de cómputo portátiles asignados por la compañía a los empleados, clientes,
proveedores, o terceras partes deberán contar con la herramienta de cifrado debidamente instalada.
✓ Todos los equipos de cómputo portátiles asignados por la compañía a los empleados, clientes,
proveedores, o terceras partes deberán estar debidamente cifrados con la herramienta definida por
la compañía.
✓ Todos los equipos MAC de la compañía deberán contar con la implementación de la herramienta de
cifrado Filevault o la suministrada por el fabricante del dispositivo.
✓ Para los dispositivos móviles (teléfono celular, tabletas, iPad, discos duros extraíbles, dispositivos
de almacenamiento masivo USB, etc.) asignados por la compañía de ser posible deberán estar
debidamente cifrados por la herramienta suministrada por la compañía, de no ser posible deberán
estar habilitados los controles de aseguramiento y criptografía suministrados por el fabricante del
dispositivo.
✓ Se deben implementar controles criptográficos de acuerdo con la herramienta definida por la
compañía para:
➢ La protección de claves de acceso a sistemas, datos y servicios.
➢ La transmisión de información clasificada.
➢ El almacenamiento de la información contenida en las unidades compartidas.
➢ El almacenamiento y transmisión de información contenida en dispositivos móviles, correos
electrónicos y en la nube (discos duros externos, dispositivos de almacenamiento masivo
USB, CD/DVD, teléfonos celulares (smartphone) OneDrive, SFTP).
✓ Sera responsabilidad de cada dueño de información garantizar la que información que tengan a su
cargo se encuentre debidamente cifrada con la herramienta suministrada por la compañía donde
quiera que se almacene dicha información (computadores portátiles, computadores de escritorio,
MANUAL DE POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN AMÉRICAS BUSINESS PROCESS SERVICES
DOCUMENTO PRIVADO
Código: MA1 TEC 0404 Versión: 12 Fecha: 16/04/2018 Pág. 34 de 50
discos duros extraíbles, dispositivos de almacenamiento masivo USB, celulares, tabletas, OneDrive
para la Empresa, SFTP y en general almacenamiento en la nube) y a través de los diferentes
medios de transmisión que se utilicen.
4.14.4. Responsabilidades
La aprobación de la política de Controles Criptográficos será realizada por el comité de seguridad de la
información. Cualquier cambio, corrección o actualización en el presente documento debe ser propuesto
por el coordinador de seguridad de la información y objeto de aprobación del comité de seguridad de la
información.
4.14.5. Periodo de revisión
La presente política será objeto de revisión y evaluación anual.
4.15. Política Control Código Malicioso
Américas Business Process Services establece las directrices para realizar el aseguramiento de nuestros
sistemas de información y de los diferentes dispositivos de red de su propiedad (computadores de
escritorio, computadores portátiles, servidores, tabletas, celulares, y todos aquellos dispositivos que
permitan la instalación de una herramienta antivirus) conectados a la red de la compañía.
4.15.1. Objetivos de la política
✓ Garantizar el correcto funcionamiento de nuestros sistemas de información realizando un adecuado
aseguramiento de los dispositivos de red (computadores de escritorio, computadores portátiles,
servidores, tabletas, celulares, y todos aquellos dispositivos que permitan la instalación de una
herramienta antivirus) conectados a la red de Américas Business Process Services.
4.15.2. Alcance
La presente política de Control Código Malicioso aplica para todos dispositivos de red propiedad de la
compañía (computadores de escritorio, computadores portátiles, servidores, tabletas, celulares, y todos
aquellos dispositivos que permitan la instalación de una herramienta antivirus) que se conecten a la red
de Américas Business Process Services.
4.15.3. Generalidades
Américas Business Process Services implementa una herramienta antivirus y a continuación define los
mecanismos de administración y actualización de la misma:
✓ Todos los dispositivos de red (computadores de escritorio, computadores portátiles, servidores,
tabletas, celulares, y todos aquellos dispositivos que permitan la instalación de una herramienta
antivirus) sin excepción deben contar con la herramienta de antivirus definida por la compañía
debidamente instalada y en correcto funcionamiento.
MANUAL DE POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN AMÉRICAS BUSINESS PROCESS SERVICES
DOCUMENTO PRIVADO
Código: MA1 TEC 0404 Versión: 12 Fecha: 16/04/2018 Pág. 35 de 50
✓ En caso de requerirse la desactivación de la herramienta antivirus en cualquiera de los dispositivos
de red (computadores de escritorio, computadores portátiles, servidores, tabletas, celulares, etc.) se
deberá solicitar aprobación al área de Aseguramiento de la Información de Américas Business
Process Services.
✓ Se debe configurar la herramienta antivirus para que esta ejecute las actualizaciones de las firmas
de virus de forma automática sin que el usuario pueda detenerlas.
✓ Para los servidores con sistema operativo Linux de no ser posible la instalación de la herramienta
antivirus definida por la compañía, deberán ser analizados periódicamente para verificar que se
encuentran libres de amenazas.
✓ El área de Aseguramiento de la Información es la única autorizada para ingresar y gestionar las
consolas de administración de la herramienta antivirus definida por la compañía.
✓ La herramienta antivirus definida por la compañía deberá contar con el registro de logs habilitados
por 60 días como mínimo en línea y 365 días de resguardo de auditoría y deberán estar disponibles
en caso de que el Oficial de Seguridad los requiera.
✓ El antivirus deberá ser capaz de detectar cualquier amenaza ya identificada por el fabricante.
✓ La herramienta antivirus definida por la compañía deberá estar en la capacidad de bloquear todos
los medios extraíbles (dispositivos del almacenamiento masivo USB, smartphone, CD/DVD, etc.) y
su uso estará autorizado de acuerdo con el acceso otorgado a cada usuario previa verificación por
parte del área de Aseguramiento de la Información.
✓ Para los equipos que tienen activo los medios extraíbles, el antivirus debe:
➢ Bloquear la ejecución automática (autorun)
➢ Realizar el escaneo automático de los medios extraíbles
✓ Una vez al año se deben renovar los permisos otorgados para tener acceso a los dispositivos de
almacenamiento masivo USB, unidades de CD/DVD mediante el diligenciamiento del formato F1
TEC 0404 Solicitud Permisos (SGSI).
✓ El área de Aseguramiento de la Información realizará la configuración y administración de la
plataforma de antivirus de acuerdo con los lineamientos establecidos en el requisito número 5 del
Estándar de Seguridad de Datos de la Industria de Pagos con Tarjeta (PCI DSS V3.1).
4.15.4. Responsabilidades
La aprobación de la política de Control Código Malicioso será realizada por el comité de seguridad de la
información. Cualquier cambio, corrección o actualización en el presente documento debe ser propuesto
por el coordinador de seguridad de la información y/o el administrador de la plataforma antivirus, objeto
de aprobación del comité de seguridad de la información.
4.15.5. Periodo de revisión
La presente política será objeto de revisión y evaluación anual.
MANUAL DE POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN AMÉRICAS BUSINESS PROCESS SERVICES
DOCUMENTO PRIVADO
Código: MA1 TEC 0404 Versión: 12 Fecha: 16/04/2018 Pág. 36 de 50
4.16. Política Realización de Backup
Américas Business Process Services implementa la presente política con el propósito de contrarrestar las
interrupciones que se puedan presentar en los sistemas de información de la compañía, protegiendo sus
procesos críticos contra los efectos de fallas importantes y desastres, asegurando su recuperación
oportuna, manteniendo la confidencialidad, integridad y disponibilidad de la información nuestra y de
nuestros clientes contenida en los repositorios de información de la compañía.
4.16.1. Objetivos de la política
✓ Proteger, garantizar y asegurar la disponibilidad de la información digital almacenada en los
diferentes dispositivos suministrados por la compañía, con el objetivo de que se mantenga
respaldada y sea fácilmente recuperable en el momento que sea requerido.
4.16.2. Alcance
Esta política aplica para todos los empleados, proveedores, contratistas, clientes y terceras partes que
interactúen con sistemas de información de la compañía y almacenen información digital nuestra y de
nuestros clientes en los diferentes dispositivos suministrados por Américas Business Process Services
(computadores de escritorio, computadores portátiles, servidores, discos duros extraíbles, dispositivos
de almacenamiento masivo, unidades compartidas, almacenamiento en la nube (herramienta autorizada
por la compañía), buzones de correo electrónico (PST) y en general todos aquellos medios donde se
almacene información digital).
4.16.3. Generalidades
✓ El backup debe ser archivado en un sistema de almacenamiento distinto al lugar donde se encuentra la información original.
✓ Es responsabilidad del custodio de la información garantizar que esta se encuentre almacenada en las unidades compartidas asignadas a cada proceso que compone Américas Business Process Services.
✓ Es responsabilidad del Director de Infraestructura Tecnológica garantizar que se cuente con la disponibilidad de la plataforma requerida para llevar a cabo el almacenamiento y copia de respaldo de la información contenida en los servidores de archivos de la compañía donde se almacena la información de los procesos y campañas que componen Américas Business Process Services.
✓ Es responsabilidad de la Dirección de la Mesa de Servicios garantizar que cada tres meses y cuatro veces al año se realice el backup de la información contenida en cada uno de los computadores portátiles y computadores de escritorio asignados por la compañía a los empleados, clientes, contratistas y terceras partes que los requieran.
✓ Es responsabilidad de todos los empleados, clientes, contratistas y terceras partes que cuenten con un computador portátil o computador de escritorio asignado por la compañía y a los cuales se les haya realizado backup, solicitar teniendo en cuenta los ANS establecidos, la restauración del backup con el objetivo de verificar que se está manteniendo la integridad de la información a la que se realizó la correspondiente copia de seguridad.
MANUAL DE POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN AMÉRICAS BUSINESS PROCESS SERVICES
DOCUMENTO PRIVADO
Código: MA1 TEC 0404 Versión: 12 Fecha: 16/04/2018 Pág. 37 de 50
✓ Es responsabilidad de todos los empleados, clientes, contratistas y terceras partes que solicitan la restauración de un backup realizado con las herramientas definidas por la compañía, verificar la integridad de la información restaurada y de ser necesario solicitar nuevamente la realización del backup con el objetivo de conservar la integridad de la información a la cual se está realizando la copia de seguridad.
✓ Es responsabilidad de los ingenieros de la Mesa de Servicios una vez se realice el backup informar al solicitante el medio donde fue almacenada la información, numero de cinta y lugar de almacenamiento.
✓ Es responsabilidad de la Dirección de la Mesa de Servicios y de la Dirección de Infraestructura Tecnológica garantizar una adecuada custodia y almacenamiento de la información a la que se realiza backup en las herramientas, medios y servicios destinados por la compañía para dicho fin.
✓ Es responsabilidad de la Dirección de la Mesa de Servicios y de la Dirección de Infraestructura Tecnológica garantizar que siempre que se implemente un nuevo proceso o campaña al interior de la compañía se garantice la realización del backup de la información que se manejara en dicho proceso o campaña teniendo en cuenta las directrices definidas en este procedimiento.
✓ Es responsabilidad de la Dirección de la Mesa de Servicios y de la Dirección de Infraestructura Tecnológica con el acompañamiento del Oficial de Seguridad de la compañía, garantizar la correcta implementación de los diferentes controles que permitan garantizar la confidencialidad, integridad y disponibilidad de la información a la que se está realizando backup.
✓ Es responsabilidad de la Dirección de la Mesa de Servicios y de la Dirección de Infraestructura Tecnológica garantizar que una vez al mes los ingenieros responsables de la realización del backup lleven a cabo pruebas de restauración de backup, esto con el objetivo de verificar que se está manteniendo la integridad de la información a la que se realiza backup, la evidencia de la realización de estas pruebas debe ser entregada a través de correo electrónico al área de Aseguramiento de la Información de la compañía.
✓ Es responsabilidad de la Dirección de la Mesa de Servicios y de la Dirección de Infraestructura
Tecnológica garantizar que se realice el backup a cada una de las plataformas a su cargo para lo
que se aplicaran las directrices descritas en esta política.
✓ Es responsabilidad de la Dirección de la Mesa de Servicios y de la Dirección de Infraestructura
Tecnológica garantizar que se realice el backup a cada una de las plataformas a su cargo, cada vez
que se apruebe un cambio sobre determinada plataforma, para lo que se aplicaran las directrices
descritas en esta política.
4.16.4. Responsabilidades
La aprobación de la política de realización de backup será realizada por el comité de seguridad de la
información. Cualquier cambio, corrección o actualización en el presente documento debe ser propuesto
por el coordinador de seguridad de la información y objeto de aprobación del comité de seguridad de la
información.
4.16.5. Periodo de revisión
La presente política será objeto de revisión y evaluación anual.
MANUAL DE POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN AMÉRICAS BUSINESS PROCESS SERVICES
DOCUMENTO PRIVADO
Código: MA1 TEC 0404 Versión: 12 Fecha: 16/04/2018 Pág. 38 de 50
4.17. Política Contingencia y continuidad del negocio
Américas Business Process Services es críticamente dependiente de la continuidad de sus servicios,
cualquier pérdida de acceso a los servidores, sistemas, red de comunicaciones o cualquier otro recurso por
un período extendido de tiempo, puede tener un impacto serio en la compañía, esta política define las
directrices para asegurar la contingencia de los servicios misionales del negocio y de ser necesario prestar
la continuidad solicitada a los procesos que así lo requieran.
4.17.1. Objetivos de la política
✓ Asegurar la adecuada gestión de los activos informáticos y de información ante un evento de
desastre dentro de unos márgenes de tiempo apropiados a las necesidades del negocio de
Américas Business Process Services.
✓ Definir las directrices para asegurar la contingencia y continuidad de los sistemas de información
críticos de la compañía.
✓ Definir las directrices para asegurar la contingencia y continuidad de los procesos críticos que
conforman Américas Business Process Services.
✓ Definir las directrices para asegurar la contingencia y continuidad de los procesos que
contractualmente lo requieran.
4.17.2. Alcance
La presente política de contingencia y continuidad del negocio aplica para los sistemas de información
que soportan los procesos críticos de Américas Business Process Services en Colombia, para los
procesos críticos de la compañía y para aquellos procesos que contractualmente así lo requieran.
4.17.3. Generalidades
4.17.3.1. Contingencia
✓ El comité directivo de Américas Business Process Services debe garantizar los recursos
requeridos para asegurar la alta disponibilidad de los sistemas de información críticos del
negocio, así como su respectivo mantenimiento y actualización cuando sea necesario.
✓ El comité directivo de Américas Business Process Services debe prestar el apoyo requerido
para llevar a cabo la realización de las pruebas de contingencia del “PL01 TEC 040401 PLAN
CONTINUIDAD DEL NEGOCIO AMÉRICAS BUSINESS PROCESS SERVICES “definido para
la compañía y para cada uno de los procesos que así lo requieran.
✓ La Gerencia de Tecnología con el apoyo de las Direcciones de Infraestructura Tecnológica y
Soporte Tecnológico deben garantizar que toda la plataforma tecnológica que preste servicios
críticos a los diferentes procesos de la compañía cuente con la contingencia requerida para
asegurar su disponibilidad.
✓ La dirección de Infraestructura Tecnológica debe garantizar que se implementen los controles
requeridos para asegurar que toda la plataforma tecnológica que presta servicios críticos a los
diferentes procesos de la compañía se encuentre adecuadamente configurada en alta
disponibilidad.
MANUAL DE POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN AMÉRICAS BUSINESS PROCESS SERVICES
DOCUMENTO PRIVADO
Código: MA1 TEC 0404 Versión: 12 Fecha: 16/04/2018 Pág. 39 de 50
✓ La Gerencia de Tecnología con el apoyo de las Direcciones de Infraestructura Tecnológica y
Soporte Tecnológico deben garantizar que toda la plataforma tecnológica que preste servicios
críticos a los diferentes procesos de la compañía reciba el mantenimiento requerido que
asegure su adecuado funcionamiento.
✓ El proceso de Aseguramiento de la Información debe realizar verificaciones periódicas a los
sistemas críticos del negocio con el propósito de validar que los sistemas de información se
encuentren debidamente asegurados y configurados en alta disponibilidad.
✓ Si se identifican sistemas de información críticos que no cuenten con la contingencia requerida
o que no se encuentren configurados en alta disponibilidad se ejecutará el procedimiento PR
TEC 040402 Reporte Eventos e Incidentes de Seguridad.
✓ La Gerencia de Tecnología con el apoyo de las Direcciones de Infraestructura Tecnológica y
Soporte Tecnológico debe contar con un acta de aceptación del riesgo por parte del comité
directivo de la compañía para aquellos sistemas de información críticos que no cuentan con
contingencia, no están configurados en alta disponibilidad, no se les realiza soporte preventivo,
correctivo o no cuenten con actualizaciones para su adecuado funcionamiento.
✓ La Gerencia de Tecnología con el apoyo de las Direcciones de Infraestructura Tecnológica y
Soporte Tecnológico deben desarrollar e implementar los planes de contingencia para cada uno
de los sistemas de información críticos que soportan los servicios de la compañía y así mismo
deben programar y ejecutar las respectivas pruebas de los planes elaborados.
✓ La Gerencia de Tecnología con el apoyo de las Direcciones de Infraestructura Tecnológica y
Soporte Tecnológico deben asegurarse de incluir planes de recuperación de desastres dentro
de la negociación de nuevos servicios y ampliar el alcance para servicios críticos existentes
tercerizados que no cuenten con dichos planes.
✓ El proceso de Aseguramiento de la Información debe realizar la verificación de la de la
adecuada elaboración de los planes de contingencia elaborados, así como de la ejecución de
las pruebas de contingencia de cada uno de los planes diseñados para los sistemas de
información críticos que soportan los servicios de la compañía.
4.17.3.2. Continuidad
✓ El comité directivo de Américas Business Process Services debe garantizar los recursos
requeridos para asegurar la continuidad de los sistemas de información críticos del negocio, así
como su respectivo mantenimiento y actualización cuando sea necesario.
✓ El comité directivo de Américas Business Process Services debe conocer y aprobar el “PL01
TEC 040401 PLAN CONTINUIDAD DEL NEGOCIO AMÉRICAS BUSINESS PROCESS
SERVICES “definido para la compañía.
✓ El comité directivo de Américas Business Process Services debe prestar el apoyo requerido
para llevar a cabo la realización de las pruebas del “PL01 TEC 040401 PLAN CONTINUIDAD
DEL NEGOCIO AMÉRICAS BUSINESS PROCESS SERVICES “definido para la compañía.
✓ El proceso de Aseguramiento de la Información debe documentar los planes de continuidad de
cada uno de los procesos que lo requirieran.
✓ Las direcciones de Infraestructura Tecnológica y Soporte Tecnológico deben verificar, aprobar e
identificar oportunidades de mejora en los diseños de los planes de continuidad de cada uno de
los procesos que así lo requieran.
✓ El proceso de Aseguramiento de la Información debe coordinar las pruebas de continuidad de
cada uno de los planes diseñados para los procesos que así lo requieran.
MANUAL DE POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN AMÉRICAS BUSINESS PROCESS SERVICES
DOCUMENTO PRIVADO
Código: MA1 TEC 0404 Versión: 12 Fecha: 16/04/2018 Pág. 40 de 50
✓ El proceso de Aseguramiento de la Información debe mantener actualizado y documentado el
documento “PL01 TEC 040401 PLAN CONTINUIDAD DEL NEGOCIO AMÉRICAS BUSINESS
PROCESS SERVICES “.
✓ La Gerencia de Tecnología con el apoyo de las direcciones de Infraestructura Tecnológica y
Soporte Tecnológico deben verificar, aprobar e identificar oportunidades de mejora para el
“PL01 TEC 040401 PLAN CONTINUIDAD DEL NEGOCIO AMÉRICAS BUSINESS PROCESS
SERVICES “.
✓ El proceso de Aseguramiento de la Información debe realizar las pruebas definidas para
identificar el adecuado funcionamiento y oportunidades de mejora del “PL01 TEC 040401 PLAN
CONTINUIDAD DEL NEGOCIO AMÉRICAS BUSINESS PROCESS SERVICES “.
4.17.4. Responsabilidades
La aprobación de la política continuidad del negocio será realizada por el comité de seguridad de la
información. Cualquier cambio, corrección o actualización en el presente documento debe ser propuesto
por el coordinador de seguridad de la información y objeto de aprobación del comité de seguridad de la
información.
4.17.5. Periodo de revisión
La presente política será objeto de revisión y evaluación anual.
4.18. Política Tecnologías Criticas
Las tecnologías críticas son aquellas tecnologías no habituales o que no han sido autorizadas formalmente
por Américas Business Process Services y que debido al riesgo que pueden representar, deberán ser
autorizadas por el Oficial de Seguridad de la Información quien aprobará el uso de estas mediante un acta
firmada que incluye la justificación para el uso de la tecnología especifica.
4.18.1. Objetivos de la política
✓ Garantizar la correcta utilización de las tecnologías criticas definidas por Américas Business
Process Services para el adecuado aseguramiento y funcionamiento de los procesos del negocio
que así lo requieran.
4.18.2. Alcance
Esta política aplica para todos los empleados, proveedores, contratistas, clientes y terceras partes que
interactúen con sistemas de información de la compañía prestando, recibiendo o gestionando servicios
dentro y fuera de las instalaciones de la empresa y mediante la utilización de dispositivos de tecnología
critica suministrados por Américas Business Process Services.
4.18.3. Generalidades
Las tecnologías criticas definidas por Américas Business Process Services son:
MANUAL DE POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN AMÉRICAS BUSINESS PROCESS SERVICES
DOCUMENTO PRIVADO
Código: MA1 TEC 0404 Versión: 12 Fecha: 16/04/2018 Pág. 41 de 50
✓ Equipos portátiles
✓ Memorias de almacenamiento USB o discos externos
✓ Smartphones y tablets
✓ Acceso a internet sin restricciones
✓ Acceso a correos electrónicos no corporativos
✓ Dispositivos de acceso inalámbrico
✓ Dispositivos de captura de datos con tarjetas crédito o debito
✓ Conexiones de acceso remoto a la red de Américas Business Process Services
El uso de este tipo de tecnologías está restringido solo a usuarios autorizados y plenamente
identificados, por lo que será necesario garantizar que el uso de tecnologías criticas este precedido de
autenticación de acuerdo con las políticas de control de acceso y gestión de contraseñas, el área de
Aseguramiento de la Información deberá mantener un listado actualizado con los productos o
tecnologías criticas autorizadas, el personal asignado y la justificación de uso de las mismas, este
listado deberá actualizarse anualmente.
4.18.3.1. Conexiones remotas
Para las conexiones remotas se deberá garantizar el uso de múltiple factor de autenticación y se debe realizar el correspondiente monitoreo bajo el periodo de tiempo autorizado a la conexión según lo establecido en el requisito 8 del estándar PCI DSS, una vez finalizado el periodo autorizado se debe desactivar de manera inmediata, se debe tener presente que el tiempo de time out definido para las conexiones VPN es de trecientos segundos de inactividad.
En el caso del personal que tiene acceso a los datos del titular de la tarjeta mediante tecnologías de acceso remoto, se prohíbe copiar, mover y almacenar los datos del titular de la tarjeta en unidades de disco locales y en dispositivos electrónicos extraíbles, a menos que sea autorizado explícitamente por Oficial de Seguridad de la Información para una necesidad comercial legitima. 4.18.3.2. Software autorizado
Solo se podrá utilizar software aprobado por la organización y que se encuentre debidamente
licenciado, en caso de utilizar programas de software libre o bajo licencia GNU, este deberá ser
autorizado formalmente por el Oficial de Seguridad de la Información. La instalación de software sin
autorización será considerada como una violación a las políticas de seguridad de la información
definidas por la compañía.
4.18.3.3. Uso aceptable
Las tecnologías denominadas críticas que han sido aprobadas formalmente solo podrán ser
utilizadas para el desarrollo de actividades estrictamente relacionadas con los objetivos del negocio
y no podrán ser utilizadas para fines de uso personal o de terceros.
4.18.3.4. Ubicación aceptable
Las tecnologías denominadas críticas que han sido aprobadas formalmente solo podrán estar
físicamente ubicadas dentro de las instalaciones de la organización (ejemplo: equipos de red), en
caso de requerir el uso de la tecnología o servicio critico fuera de las instalaciones de la compañía,
se debe contar con autorización del Oficial de Seguridad de la Información.
MANUAL DE POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN AMÉRICAS BUSINESS PROCESS SERVICES
DOCUMENTO PRIVADO
Código: MA1 TEC 0404 Versión: 12 Fecha: 16/04/2018 Pág. 42 de 50
4.18.4. Responsabilidades
La aprobación de la política tecnologías criticas será realizada por el comité de seguridad de la
información. Cualquier cambio, corrección o actualización en el presente documento debe ser propuesto
por el coordinador de seguridad de la información y objeto de aprobación del comité de seguridad de la
información. 4.18.5. Periodo de revisión
La presente política será objeto de revisión y evaluación anual.
4.19. Política Gestión de LOG y Registros de Auditoria
Américas Business Process Services busca conocer el comportamiento de la plataforma tecnológica que
soporta los sistemas de información que prestan servicio a las operaciones del negocio y dentro de los
cuales se encuentran los que están dispuestos para prestar los servicios de PCI DSS en el CDE definido
para dicho fin, esto con el propósito de determinar los planes de acción requeridos para trata los eventos
que se puedan presentar en la plataforma tecnológica, con el objetivo de fortalecer el aseguramiento de
esta.
4.19.1. Objetivos de la política
Conocer el comportamiento de la plataforma tecnológica que soporta los sistemas de información con los
cuales se prestan servicios a los diferentes clientes operativos y administrativos que conforman Américas
BPS.
4.19.2. Alcance
Esta política aplica para todos los dispositivos de la plataforma tecnológica que conforman el CDE
definido por Américas Business Process Services, para la prestación de servicios de PCI DSS a cada
uno de los procesos y subprocesos que lo requieran.
4.19.3. Generalidades
✓ El comité directivo de Américas Business Process Services debe garantizar los recursos financieros
y tecnológicos requeridos para la contratación de un SOC (Centro de Operaciones de Seguridad)
que dé cumplimiento con los requerido por la norma PCI DSS.
✓ Se debe contar con los servicios de un SOC (Centro de Operaciones de Seguridad) para llevar a
cabo la recolección, análisis, identificación y almacenamiento de los logs del CDE definido por
Américas Business Process Services.
✓ Los reportes suministrados por el proveedor del servicio de SOC deben ser emitidos de acuerdo
con lo dispuesto en requisito 10 numerales 10.6.1, 10.6.2, 10.6.3 y 10.7 de la norma PCI DSS.
✓ El proveedor de servicios de SOC (Centro de Operaciones de Seguridad) debe garantizar el
almacenamiento de logs de eventos y auditoria al menos un año con un mínimo de disponibilidad
de tres meses en línea, de acuerdo con lo definido en la norma PCI DSS requisito 10 numeral 10.7.
MANUAL DE POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN AMÉRICAS BUSINESS PROCESS SERVICES
DOCUMENTO PRIVADO
Código: MA1 TEC 0404 Versión: 12 Fecha: 16/04/2018 Pág. 43 de 50
✓ El proveedor de servicios de SOC (Centro de Operaciones de Seguridad) debe garantizar el
monitoreo diario de:
➢ Todos los eventos de seguridad.
➢ Registros de todos los componentes del sistema que almacenan, procesan o transmiten CHD
y/o SAD
➢ Registros de todos los componentes críticos del sistema.
➢ Registros de todos los servidores y componentes del sistema que realizan funciones de
seguridad (por ejemplo, firewalls, IDS/IPS [sistemas de intrusión-detección y sistemas de
intrusión-prevención], servidores de autenticación, servidores de redireccionamiento de
comercio electrónico, etc.).
➢ El seguimiento de la ejecución de las acciones correctivas por parte de los administradores la
realizara el área de aseguramiento de la información.
✓ Será de estricto cumplimiento por parte de cada uno de los administradores de la plataforma que
soporta el CDE el procedimiento “PR TEC 040413 Gestión de LOG y Registros de Auditoria”.
4.19.4. Responsabilidades
La aprobación de la política Gestión de LOG y Registros de Auditoria será realizada por el comité de
seguridad de la información. Cualquier cambio, corrección o actualización en el presente documento
debe ser propuesto por el coordinador de seguridad de la información y objeto de aprobación del comité
de seguridad de la información.
4.19.5. Periodo de revisión
La presente política será objeto de revisión y evaluación anual.
4.20. Política Gestión de Vulnerabilidades
Américas Business Process Services define las directrices para llevar a cabo la gestión de vulnerabilidades
técnicas como proceso continuo para asegurar el adecuado funcionamiento de cada uno de los dispositivos
que forman parte de la plataforma tecnológica con el propósito de asegurar el adecuado funcionamiento y
gestión de las operaciones del negocio.
4.20.1. Objetivos de la política
Definir las directrices para llevar a cabo la identificación, seguimiento, control y atención de las
vulnerabilidades técnicas identificadas mediante la realización de pruebas de ethical hacking y análisis
de vulnerabilidades internas y externas ejecutados en los diferentes sistemas de información, dispositivos
conectados a la red y plataformas tecnológicas de Américas Business Process Services, con el propósito
de mantener un aseguramiento adecuado de la plataforma tecnológica, mitigando siempre que sea
posible los diferentes riesgos asociados a las vulnerabilidades identificadas.
MANUAL DE POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN AMÉRICAS BUSINESS PROCESS SERVICES
DOCUMENTO PRIVADO
Código: MA1 TEC 0404 Versión: 12 Fecha: 16/04/2018 Pág. 44 de 50
4.20.2. Alcance
Esta política aplica para todos los dispositivos de la plataforma tecnológica de Américas Business
Process Services.
4.20.3. Generalidades
4.20.3.1. Gestión de vulnerabilidades técnicas
✓ Es responsabilidad del Área de Seguridad de la Información, crear y mantener un procedimiento
operativo regular para identificar las vulnerabilidades técnicas en todos los activos de
información de Américas Business Process Services.
✓ Como resultado del procedimiento operativo “PR TEC 040404 Gestión de Vulnerabilidades
Técnicas” las normas de configuración de seguridad se actualizan, según sea necesario, para
reflejar la identificación de nuevas vulnerabilidades.
4.20.3.2. Test o pruebas de Vulnerabilidad
El Área de Aseguramiento de la Información es responsable de realizar y/o gestionar la realización
del escaneo de las redes internas y externas al menos cada trimestre y después de cualquier
cambio significativo en la red (por ejemplo. La instalación de nuevos componentes, los cambios en
la topología de la red, las reglas de firewall, actualizaciones de producto).
El análisis de vulnerabilidad externa debe ser realizada por un proveedor aprobado de escaneo
(ASV), aprobado por el Consejo de Normas de Seguridad de Tarjetas de Pago Industry (PCI SSC).
Los escaneos externos de vulnerabilidad realizados después de cambios en la red y todos los
escaneos de vulnerabilidades internas deben ser llevados a cabo por personal interno calificado, a
condición de que dicho personal sea independiente organizativamente o este desligado de
responsabilidad del ambiente en prueba.
Los resultados de cada exploración deben cumplir con los requisitos del programa ASV (ej., no hay
vulnerabilidades calificadas con la puntuación más alta o igual a 4,0 por CVSSv2 sin fallos
automáticos o cualquier vulnerabilidad que se considere "alto", de acuerdo con la configuración de
esta política).
4.20.3.3. Test de Penetración Internos y Externos
Las Pruebas de penetración interna y externa a nivel de red y aplicación se deben realizar cada
seis meses o después de cualquier cambio significativo (como, por ejemplo, la instalación de
nuevos componentes del sistema, cambios en la topología de la red, modificaciones en las normas
de firewall, actualizaciones de productos).
La prueba en la capa de red debe incluir componentes que apoyan las funciones de red y sistemas
operativos. La prueba en la capa de aplicación debe incluir al menos las vulnerabilidades que
MANUAL DE POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN AMÉRICAS BUSINESS PROCESS SERVICES
DOCUMENTO PRIVADO
Código: MA1 TEC 0404 Versión: 12 Fecha: 16/04/2018 Pág. 45 de 50
figuran en la POTEC 040301 Política de Desarrollo Seguro de Aplicaciones definida por la
compañía.
El Área de Aseguramiento de la Información coordinará la realización de las pruebas de
penetración externas e internas usando una empresa de seguridad calificada o una fuente interna
calificada que tenga conocimientos en la realización de pruebas de penetración y hacking ético. Si
se elige el personal interno para llevar a cabo una prueba de penetración, dicho personal debe
estar separado de la administración del entorno a evaluar, así mismo no debe tener responsabilidad
alguna sobre el ambiente que se está probando.
Todas las vulnerabilidades explotables identificadas deben corregirse en el menor tiempo posible,
así mismo una vez se confirme su corrección debe repetirse la prueba con el objetivo de validar la
remediación de la vulnerabilidad identificada.
Para llevar a cabo la realización de las pruebas de penetración y análisis de vulnerabilidades
externos e internos el proveedor seleccionado debe utilizar una metodología que incluya lo
siguiente:
a) Que esté basada en los enfoques de pruebas de penetración aceptados por la industria (por
ejemplo, NIST SP800- 115).
b) Que incluya cobertura de todo el perímetro del CDE (entorno de datos del titular de la tarjeta) y
de los sistemas críticos.
c) Que incluya pruebas del entorno interno y externo de la red.
d) Que Incluya pruebas para validar cualquier segmentación y controles de reducción del alcance.
e) Que defina las pruebas de penetración de la capa de la aplicación para que incluyan, al menos,
las vulnerabilidades enumeradas en el Requisito 6.5.
f) Que defina las pruebas de penetración de la capa de la red para que incluyan los componentes
que admiten las funciones de red y los sistemas operativos.
g) Que incluya la revisión y evaluación de las amenazas y vulnerabilidades ocurridas en los
últimos 12 meses.
h) Que especifique la retención de los resultados de las pruebas de penetración y los resultados
de las actividades de corrección.
4.20.3.4. Escaneo de puntos de acceso inalámbrico no autorizados
Por lo menos trimestralmente, el área de Aseguramiento de la Información o el proveedor definido
debe ejecutar una búsqueda de presencia de puntos de acceso inalámbrico no autorizado en todas
las instalaciones de la compañía en las cuales se procesen, almacenen y/o transmitan datos de
tarjetahabiente, utilizando una combinación de análisis de redes inalámbricas, inspecciones físicas
y lógicas de los componentes del sistema y la infraestructura, el control de acceso a red (NAC) o un
inalámbrico IDS / IPS. Cualquier de estos métodos utilizados, debe ser suficiente para detectar e
identificar los dispositivos inalámbricos no autorizados, incluyendo por lo menos los siguiente:
1. Adaptadores Wireless insertados en componentes del sistema.
2. Dispositivos Wireless portables conectados a componentes del sistema (vía USB, Por ejemplo).
3. Dispositivos Wireless conectados a puntos de red o dispositivos de red.
MANUAL DE POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN AMÉRICAS BUSINESS PROCESS SERVICES
DOCUMENTO PRIVADO
Código: MA1 TEC 0404 Versión: 12 Fecha: 16/04/2018 Pág. 46 de 50
En los casos en que se utilice un mecanismo de detección de intrusos automático (por ejemplo, IDS
/ IPS inalámbrico, NAC, etc.), los equipos deben estar configurados para generar alertas al personal
correspondiente. Si usted sospecha de dispositivos inalámbricos no autorizados, el procedimiento
PR TEC 040402 Reporte Eventos e Incidentes de Seguridad debe ser activado y las medidas
adecuadas adoptadas para hacer frente a las posibles consecuencias.
4.20.4. Responsabilidades
La aprobación de la política Gestión de Vulnerabilidades será realizada por el comité de seguridad de la
información. Cualquier cambio, corrección o actualización en el presente documento debe ser propuesto
por el coordinador de seguridad de la información y objeto de aprobación del comité de seguridad de la
información.
4.20.5. Periodo de revisión
La presente política será objeto de revisión y evaluación anual.
4.21. Política Despliegue de Actualizaciones
Américas Business Process Services define las directrices para llevar a cabo la adecuada actualización
e instalación de actualizaciones y parches de seguridad para cada uno de los dispositivos que forman
parte de la infraestructura tecnológica que soporta las operaciones del negocio, con el objetivo de
asegurar una adecuada prestación de los servicios.
4.21.1. Objetivos de la política
Llevar a cabo la adecuada instalación, actualización y despliegue de las diferentes actualizaciones y
parches de seguridad requeridos para el adecuado funcionamiento y aseguramiento de cada uno de los
dispositivos que conforman la plataforma tecnológica de Américas Business Process Services.
4.21.2. Alcance
Esta política aplica para llevar a cabo el despliegue de actualizaciones y parches de seguridad de cada
uno de los dispositivos y sistemas de información que forman parte de la plataforma tecnológica que
soporta las operaciones del negocio de Américas Business Process Services.
4.21.3. Generalidades
A continuación, se definen las directrices para llevar a cabo la adecuada instalación de actualizaciones
y parches de seguridad requeridos para asegurar el adecuado funcionamiento de los diferentes
dispositivos y sistemas de información que conforman la plataforma tecnológica de Américas Business
Process Services:
✓ Es responsabilidad de cada uno de los administradores de plataforma ejecutar el procedimiento PR
TEC 040114 Gestión de Cambios para llevar a cabo la implementación de cada una de las
MANUAL DE POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN AMÉRICAS BUSINESS PROCESS SERVICES
DOCUMENTO PRIVADO
Código: MA1 TEC 0404 Versión: 12 Fecha: 16/04/2018 Pág. 47 de 50
actualizaciones de seguridad requeridas para el adecuado aseguramiento de las diferentes
plataformas tecnológicas y sistemas de información de la compañía.
✓ Es responsabilidad de cada uno de los administradores de plataforma ejecutar el procedimiento PR
TEC 040243 Actualización Plataformas Tecnológicas para llevar a cabo la implementación de cada
una de las actualizaciones de seguridad requeridas para el adecuado aseguramiento de las
diferentes plataformas tecnológicas y sistemas de información de la compañía.
✓ Es responsabilidad de los administradores de cada plataforma llevar a cabo la instalación de las
actualizaciones o parches de seguridad emitidos por el fabricante y/o desarrollador.
✓ Es responsabilidad de los administradores de cada plataforma llevar a cabo el despliegue e
instalación de las actualizaciones o parches de seguridad emitidos por el fabricante dentro de los
noventa días siguientes a la liberación de la actualización por parte del fabricante y/o desarrollador.
✓ Es responsabilidad de los administradores de cada plataforma llevar a cabo el despliegue e
instalación de las actualizaciones o parches de seguridad emitidos por el fabricante y/o
desarrollador dentro de los treinta días siguientes a la liberación de la actualización por parte del
fabricante y/o desarrollador, esta directriz aplica para los dispositivos y sistemas de información que
hacen parte del alcance definido para dar cumplimiento a la norma PCI DSS V3.2.
✓ Es responsabilidad de los administradores de cada plataforma descargar las actualizaciones o
parches de seguridad a instalar, directamente de las paginas autorizadas por el fabricante y/o
desarrollador.
✓ Es responsabilidad de los administradores de cada plataforma realizar pruebas de las
actualizaciones o parches de seguridad emitidos por el fabricante y/o desarrollador antes de realizar
el despliegue en los dispositivos que se encuentran en producción con el propósito de mitigar las
fallas que se puedan presentar en cada uno de los dispositivos a intervenir.
4.21.4. Responsabilidades
La aprobación de la política Despliegue de Actualizaciones será realizada por el comité de seguridad de
la información. Cualquier cambio, corrección o actualización en el presente documento debe ser
propuesto por el coordinador de seguridad de la información y objeto de aprobación del comité de
seguridad de la información.
4.21.5. Periodo de revisión
La presente política será objeto de revisión y evaluación anual.
Aprobada por
Maria Victoria Gantivar Suarez
Américas Business Process Services S.A.
Representante Legal Suplente
MANUAL DE POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN AMÉRICAS BUSINESS PROCESS SERVICES
DOCUMENTO PRIVADO
Código: MA1 TEC 0404 Versión: 12 Fecha: 16/04/2018 Pág. 48 de 50
CONTROL DE CAMBIOS
VERSIÓN DESCRIPCIÓN DEL CAMBIO ELABORÓ APROBÓ
00 del 25/05/2012 Creación del documento. Richard Mauricio Sanabria Bello
Coordinador Seguridad de la información
Jorge Enrique Cote Velosa Gerente General
01 del 19/06/2012 Actualización Política y objetivos de seguridad de la información.
Richard Mauricio Sanabria Bello Coordinador Seguridad de la
información
Jorge Enrique Cote Velosa Gerente General
02 del 15/10/2013 Actualización Política Uso de Computadores Portátiles por Terceras Partes y adición de la política control de acceso.
Richard Mauricio Sanabria Bello Coordinador Seguridad de la
información
Jorge Enrique Cote Velosa Gerente General
03 del 20-08-2014 Actualización de imagen corporativa (logo). Diana Buelvas
Documentadora Jorge Enrique Cote Velosa
Gerente General
04 del 01/10/2014 Actualización, política uso del correo electrónico corporativo, actualización de imagen corporativa (logo, nombre).
Richard Mauricio Sanabria Bello Coordinador Seguridad de la
información
Jorge Enrique Cote Velosa Gerente General
05 del 30/06/2015
Inclusión de la política de Clasificación, etiquetado y manejo de la información, actualización de la política y objetivos de seguridad de la información
Richard Mauricio Sanabria Bello Coordinador Seguridad de la
información
Jorge Enrique Cote Velosa Gerente General
06 del 05/10/2015
Se realizan ajustes a la política de correo electrónico corporativo donde se incluyen nuevas normas corporativas, se modifica la política de Uso de Computadores Portátiles Empleados Américas Business Process Services y se establece como Uso de Computadores Portátiles y Dispositivos Móviles por Empleados de Américas Business Process Services se ingresan nuevas normas para la utilización de dispositivos móviles, se anexan las políticas de: Uso de internet, Intranet y Almacenamiento en la Nube. Política de relación con Proveedores
Richard Mauricio Sanabria Bello Coordinador Seguridad de la
información
Juan Pablo Ruiz Hernandez Gerente General
07 del 10/03/2016
Se retira la política de Clasificación, etiquetado y manejo de la información, se realiza la actualización de la política y objetivos de seguridad de la información con el propósito de dar alcance a la norma PCI, se anexan las políticas de: Política Gestión de Piso Política Gestión del Riesgo Política Controles Criptográficos
Richard Mauricio Sanabria Bello Coordinador Seguridad de la
información
Juan Pablo Ruiz Hernandez Gerente General
08 del 21/06/2016
Se realizó la modificación a la Política y Objetivos de Seguridad de la Información en específico al párrafo que hacía referencia a la valoración del riesgo donde se indicaba que se tenía como línea base la NTC ISO 27005, se incluyó la NTC ISO 31000. Se realiza la actualización de los Objetivos del SGSI se retiran los objetivos: ✓ Aumentar el nivel de confianza en los clientes
actuales y en los potenciales. ✓ Garantizar la seguridad de la infraestructura física y
tecnológica de las operaciones del negocio. ✓ Proteger la Información de la organización y de
nuestros clientes. ✓ Facilitar el cumplimiento legal y regulatorio en torno
a los datos corporativos. Y se implementan los nuevos objetivos: ✓ Aumentar el nivel de confianza en los clientes. ✓ Proporcionar las directrices y herramientas para
garantizar la confidencialidad, integridad y disponibilidad de los activos de información de los procesos del negocio y del cliente.
✓ Proporcionar las directrices y herramientas para garantizar el cumplimiento legal y regulatorio en torno a los datos corporativos.
Richard Mauricio Sanabria Bello Coordinador Seguridad de la
información
Juan Pablo Ruiz Hernandez Gerente General
MANUAL DE POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN AMÉRICAS BUSINESS PROCESS SERVICES
DOCUMENTO PRIVADO
Código: MA1 TEC 0404 Versión: 12 Fecha: 16/04/2018 Pág. 49 de 50
09 del 30/09/2016
Se realiza la inclusión de 2 nuevas políticas al Manual de Políticas de Seguridad de la Información Américas Business Process Services: ✓ Política Control Código Malicioso
✓ Política Backup
Se realiza una modificación a la política de control de
acceso y puntualmente a la siguiente directriz:
✓ El área de seguridad de la información definirá los
controles para solicitar y aprobar el acceso a
internet, los accesos serán solicitados formalmente
por el director del área o campaña a cargo del
personal que lo requiera y la autorización será
otorgada por el área de seguridad de la información
previa verificación de la justificación de la solicitud,
teniendo en cuenta los requerimientos del negocio,
las políticas, procedimientos, controles y buenas
prácticas de seguridad de la información
implementadas en Américas Business Process
Services.
La cual se modifica con la siguiente directriz:
✓ El área de seguridad de la información definirá los controles para solicitar y aprobar el acceso a internet y asignación de conexiones VPN, los accesos serán solicitados formalmente por el director del área o campaña a cargo del personal que lo requiera y la autorización será otorgada por el área de seguridad de la información previa verificación de la justificación de la solicitud, teniendo en cuenta los requerimientos del negocio, las políticas, procedimientos, controles y buenas prácticas de seguridad de la información implementadas en Américas Business Process Services.
Richard Mauricio Sanabria Bello Coordinador Seguridad de la
información
Juan Pablo Ruiz Hernandez Gerente General
10 del 30/06/2017
Se realizo un ajuste a la siguiente directriz de la Política de Control de Acceso: ✓ Con el objetivo de mantener un control eficaz del
acceso a los datos y servicios de información de
Américas Business Process Services, el propietario
de la información llevará a cabo un proceso formal
de verificación de los derechos de acceso del
personal a su cargo, dicha verificación deberá
realizarse como mínimo cada 12 meses.
La cual se modifica con la siguiente directriz: ✓ Con el objetivo de mantener un control eficaz del
acceso a los datos y servicios de información de
Américas Business Process Services, el propietario
de la información llevará a cabo un proceso formal
de verificación de los derechos de acceso del
personal a su cargo, dicha verificación deberá
realizarse como mínimo cada 6 meses.
Richard Mauricio Sanabria Bello Coordinador Seguridad de la
información
Juan Pablo Ruiz Hernandez Gerente General
MANUAL DE POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN AMÉRICAS BUSINESS PROCESS SERVICES
DOCUMENTO PRIVADO
Código: MA1 TEC 0404 Versión: 12 Fecha: 16/04/2018 Pág. 50 de 50
11 del 22/01/2018
Se realiza a modificación de la política de Gestión de Piso y se incluyen las siguientes directrices: ➢ No está permitida la decoración de los elementos
de emergencia tales como extintores, gabinetes de incendio, botones de pánico, alarmas, salidas de emergencia, camillas, botiquín de primeros auxilios, etc., estos deben estar despejados y visibles en todo momento.
➢ No se debe obstaculizar la utilización de los elementos de emergencia tales como extintores, gabinetes de incendio, botones de pánico, alarmas, salidas de emergencia, camillas, botiquín de primeros auxilios, etc., estos deben estar despejados y visibles en todo momento.
Se realizo la inclusión de las siguientes políticas:
➢ Política de Continuidad del Negocio ➢ Política Uso de Tecnologías Criticas
Richard Mauricio Sanabria Bello Coordinador Seguridad de la
información
Juan Pablo Ruiz Hernandez Gerente General
12 del 16/04/2018
Se realizo la inclusión de las siguientes políticas:
➢ Política Gestión de LOG y Registros de Auditoria.
➢ Política Gestión de Vulnerabilidades. ➢ Política Despliegue Actualizaciones
Richard Mauricio Sanabria Bello Coordinador Seguridad de la
información
Juan Pablo Ruiz Hernandez Gerente General