Política Seguridad Información

1.SEGURIDAD DE LA INFORMACIÓN

1.1.VIGENCIA

La presente Política ha sido aprobada por el comité de seguridad.

Cualquier modificación posterior entrará en vigor inmediatamente después de su publicación y las versiones anteriores quedarán anuladas por la última versión de esta Política.

1.2.GLOSARIO

  • TIC         Tecnologías de la Información y las comunicaciones.
  • IT            Tecnología de la Información
  • Proxy    Servidor intermediario de las conexiones a Internet
  • Spam    Correo electrónico masivo no solicitado
  • PIN        Número o código de identificación personal

1.3.INTRODUCCIÓN

SOGEOSA es consciente de que la seguridad de la información es una necesidad fundamental y que es necesario garantizar la calidad de la información y la prestación continuada de los servicios, actuando preventivamente, supervisando la actividad diaria y reaccionando con agilidad a los incidentes.

Por ello, los sistemas TIC deben ser administrados con diligencia, tomando las medidas adecuadas para protegerlos frente a daños accidentales o deliberados que puedan afectar a la disponibilidad, integridad o confidencialidad de la información tratada o los servicios prestados.

Además, los sistemas TIC deben estar protegidos contra amenazas de rápida evolución con potencial para incidir en la confidencialidad, integridad, disponibilidad, uso previsto y valor de la información y los servicios. Para defenderse de estas amenazas, se requiere realizar un seguimiento continuo de los niveles de prestación de servicios, seguir y analizar las vulnerabilidades reportadas, y preparar una respuesta efectiva a los incidentes para garantizar la continuidad de los servicios prestados.

1.4.ALCANCE

Esta política se aplica a todos los sistemas TIC de SOGEOSA y a todos los miembros de la compañía, sin excepciones.

1.5.OBJETIVOS

Los departamentos y sistemas deben estar preparados para prevenir, detectar, reaccionar y recuperarse de incidentes.

Los departamentos deben evitar, o al menos prevenir en la medida de lo posible, que la información o los servicios se vean perjudicados por incidentes de seguridad. Las medidas de prevención deben eliminar o, al menos reducir, la posibilidad de que las amenazas lleguen a materializarse con perjuicio para los sistemas. Para ello se deben implementar las medidas mínimas de seguridad necesarias, así como cualquier control adicional identificado a través de una evaluación de amenazas y riesgos.

 

 

Como medidas preventivas, se deben llevar a cabo las siguientes:

  • Evaluar regularmente la seguridad, incluyendo evaluaciones de los cambios de configuración realizados de forma rutinaria, que permita adecuar su eficacia a la continua evolución de los sistemas de protección frente a nuevos ataques o riesgos.
  • Solicitar la revisión periódica por parte de terceros con el fin de obtener una evaluación independiente.

Se establecerán mecanismos de monitorización, detección, análisis y reporte que lleguen a los responsables regularmente o cuando se produzca una desviación significativa de los parámetros que se hayan preestablecido como normales.

Las medidas de detección estarán acompañadas de medidas de reacción, de forma que los incidentes de seguridad se atajen a tiempo.

Además, para garantizar la disponibilidad de los servicios críticos, se desarrollarán planes de continuidad de los sistemas TIC como parte del plan general de continuidad de negocio y actividades de recuperación.

1.6.RESPONSABILIDADES Y FUNCIONES

El Comité de Seguridad Corporativa estará formado por:

  • Dirección
  • El responsable del SGI
  • El responsable de Administración

El secretario del Comité de Seguridad será el responsable del SGI y tendrá las funciones de coordinar y organizar las reuniones del comité.

El Comité de Seguridad Corporativa tendrá las siguientes funciones:

  • Coordinar todas las funciones de seguridad de la compañía.
  • Velar por el cumplimiento de la normativa de aplicación legal, regulatoria y sectorial.
  • Elaboración y aprobación de la Política Global de Seguridad.
  • Aprobar las políticas de seguridad de las diferentes áreas.
  • Coordinar y aprobar las propuestas recibidas de proyectos de seguridad presentados.
  • Estudiar las diferentes inquietudes de la Alta Dirección.
  • Recabar de los responsables de seguridad informes regulares del estado de la seguridad de la organización y de los posibles incidentes.
  • Coordinar y dar respuesta a las inquietudes transmitidas a través de los responsables de la Seguridad.

1.7.DATOS DE CARÁCTER PERSONAL

SOGEOSA trata datos de carácter personal. El Documento de Seguridad y el Registro de Tratamiento, al que tendrán acceso sólo las personas autorizadas, recoge los ficheros afectados y los responsables correspondientes. Todos los sistemas de información de SOGEOSA se ajustarán a los niveles de seguridad requeridos por las normativas y reglamentos en protección de datos para la naturaleza y finalidad de los datos de carácter personal recogidos.

1.8.GESTIÓN DE RIESGOS

Se llevará a cabo un análisis de riesgos TIC de todos los sistemas sujetos a esta Política, que permitirá evaluar las amenazas y los riesgos a los que están expuestos. Este análisis se repetirá regularmente y al menos una vez al año.

1.9.DESARROLLO DE LAS POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN

Esta Política de Seguridad de la Información se complementa las políticas de seguridad de SOGEOSA en diferentes materias. Entre las políticas de seguridad que se incluyen en la compañía, se encuentran las siguientes:

2.Política Clasificación y manejo de la información

3.Política de uso aceptable

4.Política para cuentas y contraseñas

5.Política de uso de medios sociales

6.Política de uso de dispositivos móviles

1.10.OBLIGACIONES DEL PERSONAL

Todos los miembros de SOGEOSA tienen la obligación de conocer y cumplir esta Política de Seguridad de la Información y la Política de uso aceptable, siendo responsabilidad del Comité de Seguridad disponer los medios necesarios para que la información llegue a los afectados.

Se establecerá un programa de concienciación continua para atender a todos los miembros de SOGEOSA, en particular a los de nueva incorporación.

1.11.TERCERAS PARTES

Cuando SOGEOSA preste servicios a otras compañías o maneje información de otras compañías, se les hará partícipes de esta Política de Seguridad de la Información, se establecerán canales para reporte y coordinación de los respectivos Comités de Seguridad TIC y se establecerán procedimientos de actuación para la reacción ante incidentes de seguridad.

Cuando SOGEOSA utilice servicios de terceros o ceda información a terceros, se les hará partícipes de esta Política de Seguridad y de la Política de uso aceptable que aplique a dichos servicios o información. Dicha tercera parte quedará sujeta a las obligaciones establecidas en dicha política, pudiendo desarrollar sus propios procedimientos operativos para satisfacerla. Se establecerán procedimientos específicos de reporte y resolución de incidencias. Se garantizará que el personal de terceros está adecuadamente concienciado en materia de seguridad, al menos al mismo nivel que el establecido en esta Política.

Cuando algún aspecto de la Política no pueda ser satisfecho por una tercera parte según se requiere en los párrafos anteriores, se requerirá un informe del Responsable de Seguridad que precise los riesgos en que se incurre y la forma de tratarlos. Se requerirá la aprobación de este informe por los responsables de la información y los servicios afectados antes de seguir adelante.

2.POLÍTICA DE CLASIFICACIÓN Y MANEJO DE LA DOCUMENTACIÓN

2.1.INTRODUCCIÓN

Uno de los riesgos más críticos para cualquier negocio es la fuga de información y por ello es necesario asegurar que la información de SOGEOSA y de sus clientes tiene las medidas de seguridad necesarias para evitar dichas fugas.

En función de la importancia de los diferentes activos de información, es necesario llevar a cabo una clasificación que permita determinar las medidas de seguridad oportunas que se tienen que llevar a cabo en función de esta clasificación. Ya que si se desconoce el valor de la información que trata la compañía, no será posible diseñar ni implementar las medidas de protección adecuada.

2.2.OBJETIVO

Con esta política se pretende clasificar y asegurar la información para evitar fugas que puedan poner en riesgo el negocio.

Aunque para la clasificación de la información se deben considerar las propiedades de confidencialidad, integridad y disponibilidad, teniendo en cuenta también su valor estratégico, se va a tener en cuenta solamente la confidencialidad ya que la fuga de información no es más que una pérdida de confidencialidad de la misma, de forma que personal no autorizado accede a información privilegiada.

2.3.ALCANCE

Los activos a tratar serán todos los que contengan información tanto de SOGEOSA como de sus clientes.

Las medidas de seguridad a aplicar a los activos de información de la compañía se proyectarán sobre las empresas que colaboren (proveedores, subcontratas, etc.) si la actividad puede afectar a la información de SOGEOSA y ser un riesgo para el negocio.

2.4.ÁMBITO

La presente Política es de ámbito global y de obligado cumplimiento para todo SOGEOSA y es aplicable a todas las personas, procesos y tecnologías que transmitan, almacenen o procesen información de SOGEOSA.

SOGEOSA deberán divulgar y fomentar el cumplimiento de esta y otras políticas que se generen, dotando de los medios necesarios para su ejecución.

 

 

2.5.CLASIFICACIÓN DE LA INFORMACIÓN

La información necesita ser protegida contra:

  • Pérdidas: disponibilidad
  • Manipulación: integridad
  • Publicación no deseada: confidencialidad

Por ello, la información debe ser clasificada de acuerdo al nivel de protección demandado.

A continuación, se indica la clasificación de la información junto con su definición y tratamiento.

CATEGORÍA

DEFINICIÓN

TRATAMIENTO

Público

Cualquier material de la compañía sin restricción de difusión.

Por ejemplo, materiales comerciales.

Esta información no está sujeta a ningún tipo de tratamiento especial.

Interno

Información propia de la compañía, accesible para todos los empleados.

Por ejemplo, políticas de seguridad o información accesible en la Intranet de la compañía.

Esta información debe marcarse adecuadamente y estar accesible para todo el personal.

No debe difundirse a terceros salvo autorización expresa de la dirección.

Confidencial

Información sensible para la compañía.

Su acceso está restringido únicamente a la Dirección y a aquellos empleados que necesiten conocerla para el desempeño de sus funciones.

Se incluye la información que contenga datos de carácter personal.

Esta información debe marcarse adecuadamente.

Se deben implementar todos los controles necesarios para limitar el acceso a la misma únicamente a los empleados que necesiten conocerla.

En caso de sacarla de las instalaciones de la empresa en formato digital o enviada por correo electrónico, debe ser cifrada.

Secreto

Información altamente sensible para la compañía.

Su acceso está restringido únicamente a la Dirección.

Esta información debe marcarse adecuadamente.

Se deben implementar todos los controles necesarios para limitar el acceso a la misma únicamente a la dirección.

En caso de sacarla de las instalaciones de la empresa en formato digital o enviada por correo electrónico, debe ser cifrada.

 

 

 

2.6.MEDIDAS DE SEGURIDAD

Dependiendo del nivel de protección de la información, las medidas de seguridad definidas en cada normativa o procedimiento deben ser aplicadas.

Esta protección se aplica en base a los grupos de usuarios, y dentro de estos grupos mediante los permisos para cada usuario.

Los documentos llevarán en el pie de página la identificación del nivel de clasificación, con la excepción de los Documentos Internos que no llevarán esta identificación.

2.7.AYUDA A LA CLASIFICACIÓN

Para ayudar a saber cómo clasificar la información se tendrá a disposición de los empleados una guía llamada “ayuda para clasificar la información” que servirá de referencia para saber qué tipo de información se está manejando.

 

 

3.POLÍTICA DE USO ACEPTABLE

3.1.OBJETIVO

El objetivo de esta política es determinar unas normas de uso que permitan a los individuos hacer el mejor uso posible de los recursos tecnológicos e informáticos de forma segura que permitan lograr lo siguiente:

  • Proteger a SOGEOSA de consecuencias dañinas de seguridad o de ámbito legal.
  • Asegurar que el uso tecnológico y de la información cumpla con las normas, leyes y reglamentos establecidos.
  • Velar por la integridad de los equipos, sistemas, programas, redes y datos de SOGEOSA, independientemente de su ubicación.

3.2.ÁMBITO DE APLICACIÓN

Esta política de uso aceptable cubre la seguridad y uso de toda la información, equipos informáticos y de telecomunicaciones de SOGEOSA.

Esta política es aplicable a todos los empleados, subcontratados, personal externo o visitas (en adelante “individuos”). El desconocimiento de la existencia de esta Política o de alguna parte de la misma no exime de su cumplimento a los individuos.

Esta política es aplicable también a toda la información, independientemente del formato, relacionada con todas las actividades de negocio de SOGEOSA y toda la información tratada mediante la relación con otras compañías con las que tiene acuerdos. También cubre todos los servicios de tecnología e información operados por SOGEOSA o en su nombre.

3.3.CONTROL DE ACCESO A EQUIPOS INFORMÁTICOS

El acceso a los sistemas IT de SOGEOSA está controlado mediante el acceso por identificador de usuario y contraseña. Todos los identificadores de usuario y contraseñas son asignados de forma única a un individuo y en consecuencia los individuos son responsables todas las acciones en los sistemas IT con su identificador.

Los individuos no pueden:

  • Permitir a otro individuo usar su usuario y contraseña en los sistemas IT de SOGEOSA.
  • Usar el usuario y la contraseña de otro individuo en los sistemas IT de SOGEOSA.
  • Dejar desatendido un ordenador con una sesión de usuario iniciada sin bloquear.
  • Dejar una contraseña desprotegida (por ejemplo, escribiéndola en un pósit)
  • Realizar cualquier cambio no autorizado en la información o sistemas IT de SOGEOSA.
  • Intentar acceder a datos de los cuales no tienen autorización para usar o acceder.
  • Exceder los límites de autorización a acceso específico necesario para indagar en el sistema o datos.
  • Conectar un dispositivo no autorizado a la red o sistemas IT de SOGEOSA.
  • Almacenar datos de SOGEOSA en dispositivos o sistemas no autorizados.
  • Dar o transferir datos o software de SOGEOSA a cualquier persona u organización sin la autorización pertinente.

 

 

3.4.CONDICIONES DE USO DE REDES INALÁMBRICAS, INTERNET Y CORREO ELECTRÓNICO

El uso de Internet y correo electrónico está destinado para uso empresarial. El uso personal está permitido siempre y cuando dicho uso no afecte a su trabajo, no sea perjudicial de ninguna manera para SOGEOSA, no incumpla ningún término ni condición laboral y no coloque al individuo o a SOGEOSA en una situación de violación de las leyes u otras obligaciones legales.

Todos los individuos son responsables de sus acciones tanto en el uso de Internet como del correo electrónico.

La organización asegura que las redes inalámbricas de la empresa cuentan con métodos de autentificación y cifrado que evitan el acceso no autorizado.

Los individuos no pueden:

  • Usar Internet o el correo electrónico con el propósito de acoso o abuso.
  • Usar lenguaje obsceno o comentarios despectivos en las comunicaciones.
  • Acceder, descargar, enviar o recibir cualquier dato (incluidas imágenes) que SOGEOSA considere ofensivo, injurioso o difamatorio, incluido contenido ilícito o sexualmente explícito.
  • Usar Internet o el correo electrónico para obtener ganancias personales o llevar a cabo un negocio personal.
  • Usar Internet o el correo electrónico para realizar apuestas.
  • Usar el sistema de correo electrónico de manera que pueda afectar su funcionamiento y rendimiento, por ejemplo, distribuyendo cadenas de emails o spam.
  • Incluir información en Internet que relacione a SOGEOSA, modificar información sobre este o expresar opiniones en nombre de SOGEOSA sin la autorización específica de SOGEOSA.
  • Enviar de forma externa información confidencial, restringida o sensible de forma no segura o sin autorización expresa.
  • Enviar o reenviar correos electrónicos empresariales a cuentas de correo personales (por ejemplo, una cuenta personal de Gmail o Hotmail).
  • Hacer promesas o compromisos de forma oficial a través de Internet o correo electrónico en nombre de SOGEOSA sin la autorización expresa.
  • Descargar material con derechos de autor como archivos de música, películas o vídeos sin la aprobación expresa.
  • Descargar software de Internet sin la previa autorización del departamento de sistemas.
  • De ninguna manera, infringir los derechos de autor, bases de datos, marcas registradas u otra propiedad intelectual.
  • Conectar dispositivos de SOGEOSA a Internet mediante conexiones no estándar (por ejemplos proxies online).

 

 

3.5.SEGURIDAD FÍSICA

Para reducir el riesgo de accesos no autorizados y robo de información, SOGEOSA impone unas medidas de control de acceso a las instalaciones y despachos de la siguiente manera:

  • El acceso a las instalaciones estará siempre cerrado, de forma que quien quiera entrar sea necesario que llame a un timbre y que la puerta sea abierta por el personal de SOGEOSA con control visual de quien accede a las instalaciones.
  • Las oficinas estarán protegidas por un sistema de alarma conectada con una central de alarmas y con grabación de imágenes en caso de emergencia.
  • El acceso a los despachos será limitado mediante el uso de cerraduras en las puertas de acceso a los mismo evitando.
  • Todos los despachos en los que se guarde o maneje documentación secreta o confidencial deben estar cerrados con llave cuando no haya personal en los mismos.
  • Todos los archivos físicos que contengan documentación secreta o confidencial deben estar cerrados con llave.
  • Las llaves de acceso a las oficinas, despachos y archivos se controlarán de forma que quede registrado quien tiene las llaves y cuantas copias hay de las mismas.

3.6.MESAS LIMPIAS Y PANTALLA LIMPIA (SEGURIDAD FÍSICA)

Para reducir el riesgo de accesos no autorizados y robo de información, SOGEOSA impone unas medidas de mesas limpias y pantalla limpia de la siguiente manera:

  • La información personal o confidencial de SOGEOSA debe ser protegida usando características de seguridad, por ejemplo, impresión segura en impresoras.
  • No se debe dejar información confidencial de SOGEOSA desatendida en las mesas.
  • Los ordenadores deber ser bloqueados, cerrada la sesión o protegidos con un mecanismo de bloqueo de pantalla mediante contraseña cuando son desatendidos durante un periodo superior a 5 minutos.
  • Se debe tener cuidado de no dejar material confidencial en impresoras o fotocopiadoras.
  • Todo el material impreso relacionado con SOGEOSA debe ser eliminado utilizando destructoras de papel (documentos clasificados como secretos o confidenciales) o contenedores preparados para su destrucción.

3.7.TRABAJO FUERA DE LA OFICINA Y TELETRABAJO

Aunque es aceptado que los portátiles y dispositivos móviles corporativos salgan de la oficina, los siguientes controles deben ser aplicados:

  • Los equipos y materiales sacados de las oficinas no deben ser desatendidos en lugares públicos y no dejados a la vista en los vehículos.
  • Los portátiles y dispositivos móviles deben ser llevados como equipaje de mano cuando se viaje.
  • La información debe ser protegida evitando ser comprometida o perdida cuando se trabaje remotamente (por ejemplo, en casa o en lugares públicos). Los portátiles deben ser, si es posible, cifrados.
  • Se debe tener especial cuidado con el uso de dispositivos como portátiles, móviles, smartphones y tablets. Tienen que ser protegidos al menos con una contraseña o PIN y si es posible cifrarlos.

 

 

3.8.DISPOSITIVOS DE ALMACENAMIENTO PORTABLE

Dispositivos portables como pendrives, CDs, DVDs o discos duros extraíbles deben ser usados solo en situaciones cuando la conectividad de red no está disponible y no hay otro método seguro para transferir datos. Sólo los dispositivos portables autorizados por SOGEOSA con cifrado habilitado deben ser usados cuando se transfiere información sensible o confidencial.

3.9.SOFTWARE

Los empleados deben usar solo software autorizado por SOGEOSA en ordenadores de SOGEOSA. El software autorizado debe ser usado de acuerdo con los acuerdos de licencia del software. Todo el software de los ordenadores y otros equipos de SOGEOSA debe ser aprobado he instalado por el departamento de sistemas.

Los individuos no pueden:

  • Almacenar ficheros tales como música, vídeo, fotografías o juegos en equipos de SOGEOSA.

3.10.VIRUS

El departamento de sistemas ha implementado, centralizado y automatizado la detección de virus y la actualización de antivirus dentro de SOGEOSA. Todos los ordenadores tienen software antivirus instalado para detectar o eliminar cualquier virus de forma automática.

Los individuos no pueden:

  • Eliminar o deshabilitar el software antivirus aprobado por SOGEOSA.
  • Intentar eliminar archivos infectados con virus o limpiar la infección, que no sea mediante el uso de software o procedimientos antivirus aprobados por SOGEOSA.

3.11.CONDICIONES DE USO DEL EQUIPO TELEFÓNICO

El uso del equipo telefónico de SOGEOSA está previsto para uso empresarial. Los individuos no pueden usar los servicios de voz y datos para realizar o recibir comunicaciones privadas o asuntos personales, excepto en circunstancias excepcionales. Todas las comunicaciones personales no urgentes deben ser realizadas mediante el uso de medios alternativos de comunicación.

Los individuos no pueden:

  • Usar los medios de voz y datos de SOGEOSA para asuntos privados.
  • Realizar amenazas, bromas o engaños mediante llamadas internas o externas.
  • Aceptar llamadas a cobro revertido nacionales o internacionales, excepto que esté relacionado con temas laborales.
  • Descargar audio, imágenes o vídeos que no estén relacionados con el uso empresarial.

3.12.ACCIONES UNA VEZ TERMINADA LA RELACIÓN LABORAL

Todos los equipos e información de SOGEOSA, por ejemplo, portátiles y dispositivos móviles incluidos teléfonos, smartphones, pendrives o CDs, deben ser devueltos a SOGEOSA al término del contrato o en caso de suspensión del mismo (bajas de larga duración, excendecias, etc).

Toda la información o propiedad intelectual de SOGEOSA desarrollada o adquirida durante el periodo de contratación pertenece a SOGEOSA y no puede ser retenida tras la finalización del contrato o reutilizada para otro propósito.

3.13.MONITORIZACIÓN

Todos los datos o información que son creados y almacenados en ordenadores de SOGEOSA son propiedad de SOGEOSA y no hay ninguna cláusula oficial para la privacidad de los datos individuales, sin embargo y cuando sea posible SOGEOSA evitará abrir correos electrónicos personales.

Se realizarán controles en los sistemas IT donde corresponda y se realizarán investigaciones en el caso que exista una sospecha razonable de una violación de esta u otra política. SOGEOSA tiene el derecho (bajo ciertas condiciones) de monitorizar la actividad en sus sistemas, incluido el uso de Internet y el correo electrónico, para garantizar la seguridad de los sistemas, el funcionamiento efectivo y para la protección contra el mal uso.

Cualquier monitorización se llevará a cabo de acuerdo a los procesos internos de auditoría y control, en consonancia con el reglamento europeo de protección de datos y la reforma del código penal de 2015 en sus artículos 31 bis, 197, 270, 169, 205, 248, 263, 187 y 189.

Es tu responsabilidad informar de las posibles infracciones de las políticas de seguridad sin demora a tu responsable directo, al departamento de sistemas o al departamento de ciberseguridad.

Todas las infracciones de las políticas de seguridad serán investigadas. Si la investigación revela una mala conducta, se podrán llevan a cabo acciones disciplinarias en consonancia con el procedimiento disciplinario de SOGEOSA.

 

 

4.POLÍTICA PARA CUENTAS Y CONTRASEÑAS

4.1.INTRODUCCIÓN

Las cuentas de usuario sirven para identificar a una persona, funciones o procesos automatizados en los sistemas IT o en las aplicaciones. Dichas cuentas habilitan el acceso a la información en función del perfil de autorización definido en los sistemas IT o en las aplicaciones.

Las contraseñas sirven para proteger el acceso con las cuentas de usuario y además proporciona un sistema básico de autenticación a usuarios, funciones o servicios a sistemas IT o aplicaciones.

4.2.OBJETIVO

Este documento pretende definir la política relacionada con la creación y uso de cuentas de usuario además de las reglas que establecen la creación de contraseñas robustas, su protección y la frecuencia de cambio. Con el objetivo de identificar a las personas durante el proceso de inicio de sesión con una cuenta y autenticación con una contraseña.

4.3.ALCANCE

Esta política es aplicable a todas las personas (empleados, proveedores, asesores u otro tipo de trabajador) que tengan o sean responsables de una cuenta de acceso a cualquier sistema, dispositivo o red de comunicación que sea usado para acceder a información de SOGEOSA.

Además, también está dirigida a todos los empleados que instalen o mantengan sistemas IT dentro de la actividad de su trabajo o funciones e implementen los mecanismos de seguridad con respecto a las cuentas y contraseñas (normalmente el personal de sistemas IT).

Esta política aplica también a todas las contraseñas incluyendo, pero no limitando a las cuentas de usuarios, cuentas de sistema, cuentas de email, protectores salva pantallas o cuentas de software utilizado.

Finalmente, esta política también incluye a todo el personal que tenga o sea responsable de una cuenta (o cualquier tipo de acceso que soporte o requiera una contraseña) en cualquier sistema que resida en cualquier servicio de SOGEOSA, tenga acceso a la red de SOGEOSA o almacene cualquier información no pública de SOGEOSA.

 

 

4.4.CUENTAS DE USUARIO

Una cuenta de usuario autoriza a una persona física a acceder a información específica de acuerdo a su perfil de autorización.

4.4.1.Tipos de cuentas

Una cuenta de usuario autoriza a una persona física a acceder a una información específica de acuerdo al perfil de autorización que tenga.

Una cuenta genérica (de mantenimiento, test, operativa, etc.) autoriza el acceso a una información específica que es necesaria para realizar una tarea específica. En este caso, no es necesario que esté asignada a una persona física.

4.4.2.Políticas básicas sobre cuentas

Todas las cuentas deben estar protegidas por una contraseña.

Una cuenta de usuario debe referirse a una persona física con un nombre identificativo (con extensiones, si se requiere, para diferenciar entre nombres idénticos). En caso de crearse una cuenta temporal (por ejemplo, empleados temporales formadores, etc.), esta deberá ser bloqueada cuando ya no se use y eliminada en un plazo máximo de un mes.

Una cuenta genérica tiene que ser creada cuando no sea posible asignarla como una cuenta de usuario a una persona física y será gestionada de forma restrictiva. Las cuentas que no son asignadas a personas físicas deben ser restringidas al trabajo para el que han sido creadas mediante perfiles de acceso. Las cuentas genéricas deben ser asignadas a una persona física responsable de dicha cuenta, esta persona debe asegurar el manejo adecuado de la cuenta. Para estas cuentas es necesario aplicar el principio de necesidad de tenerla. La cuenta de administrador, que es un tipo de cuenta genérica, debe asignarse de forma muy restrictiva.

Medidas a llevar a cabo con las cuentas

  • La identificación de las cuentas de usuarios se formará de la siguiente manera: nombre@SOGEOSA.es / nombre@SOGEOSAformacion.com o nombre+primer apellido, para diferenciar entre nombres idénticos.
  • Si no son usadas, tienen que ser bloqueadas automáticamente como muy tarde después de un mes (si técnicamente es posible).
  • Si no son usadas durante tres meses, tienen que ser eliminadas automáticamente (si técnicamente es posible).
  • Si pertenecen a personal retirado/jubilado o socios, tienen que ser eliminadas inmediatamente después de su dimisión.
  • Los derechos de acceso de empleados o socios transferidos a otros departamentos deben ser ajustados inmediatamente a dicha transferencia.

Las cuentas predefinidas de invitado, especialmente a nivel de sistema operativo, tienen que ser bloqueadas o eliminadas donde tenga sentido hacerlo.

Las cuentas de empleados externos tienen que ser provistas del sufijo “-ext” y limitadas en el tiempo. Tras expirar el tiempo indicado, la cuenta tiene que ser inmediatamente borrada.

El departamento de sistemas tiene que poder mostrar el estado de todas las cuentas creadas, incluso mediante funciones analíticas.

Para la administración (creación, modificación o eliminación) de cuentas, deben definirse normas claras que garanticen la adhesión a esta política mediante una completa documentación. Un procedimiento (por ejemplo, un proceso de aprobación por escrito) que garantice los derechos de acceso debe ser definido y documentado por el creador/operador de la información a completar. Cualquier excepción debe ser justificada y documentada.

Si es necesario asignar información específica de un usuario (por ejemplo, datos del perfil, certificados, dirección) para la cuenta asignada:

  • Tiene que ser implementada inmediatamente (incluido si se almacenará temporalmente).
  • Si la información ya no es requerida tiene que ser eliminada inmediatamente.

4.5.CONTRASEÑAS

Las contraseñas sirven para proteger cuentas o accesos. Sin embargo, una contraseña mal creada puede dar como resultado comprometer el acceso a un sistema, datos o red.

4.5.1.Creación de contraseñas

Todas las contraseñas deben cumplir las reglas indicadas en el documento “normas de creación y uso de contraseñas”.

Además, se tendrá en cuenta lo siguiente:

  • Todas las contraseñas de cualquier nivel de usuario o sistema deben ajustarse a la creación de contraseñas indicada.
  • En el primer inicio de sesión (nuevo usuario) una “contraseña inicial” debería ser asignada y modificada durante el primer proceso de inicio de sesión. Si técnicamente es posible, la contraseña debería ser creada individualmente y comunicada de forma segura.
  • Si la contraseña tiene que ser restablecida, una contraseña de un solo uso tiene que ser creada y comunicada de forma segura (consultar el procedimiento de “normas de creación y uso de contraseñas”). Si técnicamente es posible, la contraseña debería ser válida por un máximo de 3 días.
  • Donde sea posible, los usuarios no deben usar la misma contraseña para acceder a diferentes entornos de acceso de la compañía.
  • Las cuentas de usuario que tienen privilegios a nivel de sistema otorgados a través de ser miembro de grupos o de programas como sudo, deben tener una contraseña única para todas las otras cuentas en poder de ese usuario para acceder a privilegios de nivel de sistema.
  • Los usuarios deben cambiar las contraseñas ellos mismos (no aplica a las cuentas genéricas).
  • Las contraseñas por defecto (por ejemplo, de fabricantes en sus sistemas) tienen que ser cambiadas de inmediato (por ejemplo, durante la instalación).
  • Cuando sea usado el Protocolo simple de administración de redes (SNMP), el nombre o palabra clave que se usa para la autenticación de la comunidad debe definirse como algo distinto de los valores predeterminados estándar de los sistemas público, privado y del sistema, y deben ser diferentes de las contraseñas utilizadas para iniciar sesión de manera interactiva. El nombre o palabra clave de autenticación debe ajustarse a la creación de contraseñas indicada.

 

 

4.5.1.1.Medidas excepcionales

Si fuese necesario restablecer una contraseña durante la ausencia de un usuario (por ejemplo, debido a una enfermedad prolongada), los administradores de sistemas podrán realizarlo cuando les sea requerido siempre bajo la autorización y supervisión del responsable del departamento del empleado y del comité de empresa que se asegurará que el acceso a la información se hará de forma correcta. Además, el usuario deberá ser informado de forma apropiada.

Si una contraseña de cuenta de administrador o con privilegios elevados tiene que ser dada por una emergencia, por un lado, está puede ser usada por sustituto legítimo del administrador y por otro lado será protegida de accesos no autorizados. El uso de esta contraseña tendrá que ser documentado.

4.5.2.Cambio de contraseñas

  • Todas las contraseñas a nivel de sistema (por ejemplo, root, enable, NT admin, cuentas de administración de aplicaciones, etc.) deben ser cambiadas al menos cada 6 meses.
  • Todas las contraseñas a nivel de usuario (por ejemplo, email, web, sesión acceso a pc, etc.) deben ser cambiadas al menos cada 6 meses. Y no se puede establecer una contraseña ya utilizada en los últimos 3 años.
  • El intento de adivinación o crackeo de contraseñas puede ser realizado de forma periódica o aleatoria por el departamento de ciberseguridad. Si una contraseña es obtenida en uno de estos análisis, se pedirá al usuario que cambie de contraseña para que cumpla los requerimientos indicados en la creación de contraseñas.

4.5.3.Desarrollo de aplicaciones

Los desarrolladores de aplicaciones deben asegurar que sus programas contienen, al menos, las siguientes medidas de seguridad:

  • Las aplicaciones deben soportar autenticación de usuarios individuales y no grupos.
  • Las aplicaciones no deben guardar las contraseñas en texto claro o en cualquier formato definido como inseguro (por ejemplo, md5).
  • Las aplicaciones no pueden transmitir las contraseñas en texto claro por la red o Internet.
  • Las aplicaciones deben proporcionar algún tipo de gestión de roles, de modo que un usuario pueda usar si se requiere de las funciones de otro usuario sin necesidad de conocer la contraseña.

4.6.CUMPLIMIENTO

4.6.1.Medidas

El comité de seguridad de la información verificará el cumplimiento de esta política mediante diferentes métodos (incluyendo, pero no limitando) como herramientas de reporte, monitorización o auditorías internas y externas.

4.6.2.Excepciones

Cualquier excepción a esta política será aprobada por el comité de seguridad por adelantado.

4.6.3.No cumplimiento

Si algún empleado o miembro de esta compañía transgrede esta política será sujeto a una acción disciplinaria en consonancia con el procedimiento disciplinario de SOGEOSA.

5.POLÍTICA USO DE MEDIOS SOCIALES

5.1.OBJETIVO

El objetivo de la presente normativa es indicar cómo se debe hacer uso de las redes sociales o cualquier otro medio social, ya sea en la labor diaria dentro de su jornada laboral o donde esté involucrado el nombre de SOGEOSA.

Este documento se considera de uso interno y por tanto no podrá ser divulgado salvo autorización.

5.2.ALCANCE

Esta normativa aplica a todos los empleados de SOGEOSA o proveedores que creen, colaboren o hagan uso de medios sociales de comunicación como blogs, wikis, mundos virtuales, redes sociales o cualquier otro que pueda ser creado o usado.

5.3.REVISIÓN Y EVALUACIÓN

La gestión de esta política corresponde al departamento de seguridad, que es competente para:

  • Interpretar las dudas que puedan surgir en su aplicación.
  • Proceder a su revisión, cuando sea necesario para actualizar su contenido.
  • Verificar su efectividad.

5.4.PRINCIPIOS

Aunque SOGEOSA cree importante el uso y participación en medios sociales, se espera que todos los empleados y proveedores que participen en el uso de dichos medios entiendan y sigan las simples pero importantes normas incluidas en este documento.

Por ello, estas normas que pueden parecer estrictas se basan en un objetivo general muy simple:

  • Hacer un uso respetuoso
  • Proteger la reputación de la compañía
  • Cumplir lo establecido en reglamentos, normativas y leyes

5.5.NORMAS DE COMPORTAMIENTO

  • Asegúrate que tu actividad online no interfiere en la realización, responsabilidad y compromiso con tu trabajo y los clientes.
  • Nunca divulgues información de la compañía que sea sensible (interna, confidencial o secreta), ni publiques información que pueda contravenir los compromisos de SOGEOSA. Asegúrate de que la información que publicas se ajusta a nuestro “Código de Conducta”.
  • Asegúrate que no infringes ninguna ley de propiedad intelectual o industrial.
  • Cuando hables en nombre de SOGEOSA, indica siempre quién eres y el cargo que tienes.
  • Tú eres responsable de los comentarios que publiques en los medios sociales. Ten en cuenta que los comentarios que publiques estarán publicados en Internet por muchos años. Piensa en tu protección, tu privacidad y en la información sensible de SOGEOSA.
  • Excepto que tengas permiso de SOGEOSA, habla siempre en primera persona, ya que es tu opinión personal, y usa un descargo de responsabilidad como el siguiente: “esta opinión es personal y no representa el punto de vista de SOGEOSA”.
  • Los clientes, partners o proveedores no deben ser citados, referenciados o compartida su información sin el permiso adecuado y nunca se deben discutir detalles confidenciales o acuerdos de clientes.
  • No entres en discusiones, no utilices insultos étnicos, personales, obscenidades, ni participes en ninguna conducta que sería inaceptable en tu lugar de trabajo. Sé conciliador y respetuoso.
  • Si realizas un comentario u otra acción incorrecta, corrígela rápidamente para ayudar a restaurar la certeza de lo comentado.
  • No intercambies credenciales o contraseñas, de cualquier sistema o para cualquier finalidad a través de las redes sociales.
  • Antes de usar un medio social revisa las condiciones de servicio y la política de privacidad.
  • Configura de forma segura tu red social para evitar accesos indebidos o filtraciones de información.

 

 

6.POLÍTICA DE DISPOSITIVOS MÓVILES

El progresivo aumento en cuanto a capacidades y prestaciones de los dispositivos móviles hace que estén sujetos a amenazas de seguridad, de la misma forma o incluso superior a cualquier otro activo que contenga o acceda a información.

El presente documento, tiene por tanto como objeto regular la utilización de los dispositivos móviles propiedad de SOGEOSA, que son asignados y utilizados por los trabajadores en el marco de sus funciones laborales en la empresa.

Estos usuarios de los dispositivos son responsables de no abusar de su utilización, y de respetar las directrices de seguridad detalladas en este documento.

6.1.ALCANCE

Se entiende por ‘móvil’, y por tanto le aplica el presente documento, a los siguientes dispositivos:

  • Portátiles: Ordenador de propósito general autorizado a salir fuera de las instalaciones corporativas.
  • Smartphones: Dispositivo móvil con capacidad de hacer y recibir llamadas utilizando redes de telefonía móvil y de conectarse a redes de datos de las operadoras telefónicas, utilizados por miembros de la dirección, mandos intermedios y asociados a necesidad del usuario. Los sistemas operativos autorizados sobre dichos dispositivos son los siguientes:
    • Windows 7 o superior (versión profesional)
    • IOS versión 8 o superior.
    • Android versión 4.4 o superior

6.2.RESPONSABILIDADES

Actividades

Roles

Aplicar las medias sobre los dispositivos previas a su asignación a los usuarios

Sistemas /TI

Actualizar el registro de usuarios & dispositivos asignados

Seguir las directrices de uso establecidas en este documento

Usuarios con dispositivos asignados

 

6.3.DIRECTRICES DE OBLIGADO CUMPLIMIENTO

  • El usuario del dispositivo debe velar por la protección de la información a la que tenga acceso.
  • Si el usuario extravía el dispositivo móvil, o le es robado, debe:
  1. Reportar el extravío o pérdida al equipo de soporte a Sistemas.
  2. En el panel de autoservicio de gestión de dispositivos en movilidad:
  • Bloquear el dispositivo.
  • Eliminar la información empresarial del dispositivo remotamente.
  • El usuario tiene la obligación de comunicar cualquier incidente que atente contra la integridad, confidencialidad y disponibilidad de la información.
  • No se desactivará el PIN de la tarjeta SIM. Se recomienda modificarlo antes del primer uso y evitar secuencias sencillas del tipo 0000 o 1234. Se puede utilizar patrón de desbloqueo, no es recomendable utilizar el desbloqueo a través de huella dactilar o reconocimiento facial.
  • Se debe bloquear la pantalla del dispositivo tras 5 minutos de inactividad. La pantalla de bloqueo del dispositivo debe estar protegida por PIN o patrón de desbloqueo
  • Está prohibido modificar la configuración del dispositivo, en especial de las cuentas de correo electrónico corporativo.
  • No se permite la conexión a redes WIFI abiertas (sin contraseña) o de fuentes desconocidas.
  • El usuario no debe borrar las aplicaciones preinstaladas o instaladas en el dispositivo.
  • En los teléfonos móviles, deberá aprobarse por el departamento correspondiente, la instalación del correo electrónico corporativo.
  • Solo se podrán descargar aplicaciones de los Play Store / App Store del  oficiales del fabricante.

6.4.MEDIDAS DE SEGURIDAD A APLICAR

Medida

Portátil

Smartphone

Borrado seguro en remoto

X

X

Bloqueo por inactividad (tras 5 minutos)

O

O

Cifrado del almacenamiento

O

O

Política de pin/contraseña

6 dígitos / Patrón / Biométrico

6 dígitos / Patrón / Biométrico

Antimalware

O

O

Geolocalización

X

X

Backup remoto

X

X

Acceso a la red interna

O

O

Privilegios (instalar software, administrar controladores, acceder a los ficheros del sistema operativo, etc…)

O

 

O

Instalar email corporativo

O

O
 

O: Obligatoria / X: no se aplica

6.5.SOPORTE Y MANTENIMIENTO

  • Los dispositivos son entregados a los usuarios por parte del Departamento de Sistemas, una vez se recibe notificación y aprobación del responsable de área/departamento correspondiente.  También se encargan de solicitar y recoger los dispositivos una vez que cesa la asignación al usuario.
  • El inventario actualizado de dispositivos asignados se mantiene a través de inventario-de-hardware, que ofrece capacidades de búsqueda robustas para identificar dispositivos asignados a cada usuario, aplicaciones y otras características del dispositivo (p.ej. sistema operativo, versiones, etc.).
  • Los usuarios disponen de capacidades de autoservicio para la gestión de actividades de sus dispositivos en movilidad.
    • Bloquear y borrar sus dispositivos si sospechan que han sido robados.
    • Gestionar las contraseñas/PIN del dispositivo.

 

ABRIL 2023

image

Alfonso Espinosa de los Monteros

Gerente de SOCIEDAD GENERAL DE OBRAS, S.A.