manual de polÍticas de seguridad de la informaciÓn...

MANUAL DE POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN AMÉRICAS BUSINESS PROCESS

SERVICES

Código: MA1 TEC 0404

Versión: 12

Bogotá D.C., 16/04/2018

MANUAL DE POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN AMÉRICAS BUSINESS PROCESS SERVICES

DOCUMENTO PRIVADO

Código: MA1 TEC 0404 Versión: 12 Fecha: 16/04/2018 Pág. 2 de 50

Tabla de contenido

1. Definiciones ............................................................................................................................................7

2. Objetivo ...................................................................................................................................................7

3. Alcance ....................................................................................................................................................7

4. Políticas seguridad de la información Américas Business Process Services ..............................7

4.1. Política y objetivos de seguridad de la información .....................................................................7

4.1.1. Objetivos del SGSI ........................................................................................................................8

4.1.2. Alcance ............................................................................................................................................8

4.1.3. Responsabilidades ........................................................................................................................8

4.1.4. Periodo de revisión ........................................................................................................................8

4.2. Política Gestión de contraseñas ......................................................................................................8

4.2.1. Objetivos de la política ..................................................................................................................8

4.2.2. Alcance ............................................................................................................................................9

4.2.3. Asignación de contraseñas seguras ...........................................................................................9

4.2.4. Manejo de contraseñas .................................................................................................................9

4.2.5. Activación de políticas de seguridad a nivel de usuarios ..................................................... 10

4.2.6. Responsabilidades ..................................................................................................................... 11

4.2.7. Periodo de revisión ..................................................................................................................... 11

4.3. Política Escritorio Despejado Y Pantalla Despejada ................................................................. 11

4.3.1. Objetivos de la política ............................................................................................................... 11

4.3.2. Alcance ......................................................................................................................................... 11

4.3.3. Limpieza de Escritorio ................................................................................................................ 12

4.3.4. Limpieza de pantalla................................................................................................................... 12



4.4. Política Uso de la mensajería instantánea.................................................................................. 13


4.4.2. Alcance ......................................................................................................................................... 13


DOCUMENTO PRIVADO


4.4.3. Generalidades ............................................................................................................................. 13



4.5. Política Uso de los Recursos Compartidos en la Red (Carpetas) .......................................... 14


4.5.2. Alcance ......................................................................................................................................... 14

4.5.3. Generalidades ............................................................................................................................. 15



4.6. Política Uso de Computadores Portátiles por Terceros ............................................................ 15


4.6.2. Alcance ......................................................................................................................................... 16

4.6.3. Generalidades ............................................................................................................................. 16



4.7. Política Uso del Correo Electrónico Corporativo ........................................................................ 17


4.7.2. Alcance ......................................................................................................................................... 17

4.7.3. Generalidades ............................................................................................................................. 17



4.8. Política Uso de Computadores Portátiles y Dispositivos Móviles por Empleados de

Américas Business Process Services ..................................................................................................... 20


4.8.2. Alcance ......................................................................................................................................... 20

4.8.3. Generalidades ............................................................................................................................. 21



4.9. Política Control de Acceso ............................................................................................................ 22



DOCUMENTO PRIVADO


4.9.2. Alcance ......................................................................................................................................... 23

4.9.3. Generalidades ............................................................................................................................. 23



4.10. Política Uso de Internet, Intranet y Almacenamiento en la Nube ........................................ 24

4.10.1. Objetivos de la política ........................................................................................................... 24

4.10.2. Alcance ..................................................................................................................................... 25

4.10.3. Generalidades ......................................................................................................................... 25

4.10.4. Responsabilidades ................................................................................................................. 27

4.10.5. Periodo de revisión ................................................................................................................. 28

4.11. Política Relación con Proveedores .......................................................................................... 28


4.11.2. Alcance ..................................................................................................................................... 28

4.11.3. Generalidades ......................................................................................................................... 28



4.12. Política Gestión de Piso ............................................................................................................. 29


4.12.2. Alcance ..................................................................................................................................... 29

4.12.3. Generalidades ......................................................................................................................... 30



4.13. Política Gestión del Riesgo ....................................................................................................... 31


4.13.2. Alcance ..................................................................................................................................... 32

4.13.3. Generalidades ......................................................................................................................... 32



4.14. Política Controles Criptográficos .............................................................................................. 33



DOCUMENTO PRIVADO


4.14.2. Alcance ..................................................................................................................................... 33

4.14.3. Generalidades ......................................................................................................................... 33



4.15. Política Control Código Malicioso ............................................................................................. 34


4.15.2. Alcance ..................................................................................................................................... 34

4.15.3. Generalidades ......................................................................................................................... 34



4.16. Política Realización de Backup ................................................................................................ 36


4.16.2. Alcance ..................................................................................................................................... 36

4.16.3. Generalidades ......................................................................................................................... 36



4.17. Política Contingencia y continuidad del negocio .................................................................... 38


4.17.2. Alcance ..................................................................................................................................... 38

4.17.3. Generalidades ......................................................................................................................... 38



4.18. Política Tecnologías Criticas ..................................................................................................... 40


4.18.2. Alcance ..................................................................................................................................... 40

4.18.3. Generalidades ......................................................................................................................... 40



4.19. Política Gestión de LOG y Registros de Auditoria ................................................................. 42



DOCUMENTO PRIVADO


4.19.2. Alcance ..................................................................................................................................... 42

4.19.3. Generalidades ......................................................................................................................... 42



4.20. Política Gestión de Vulnerabilidades ....................................................................................... 43


4.20.2. Alcance ..................................................................................................................................... 44

4.20.3. Generalidades ......................................................................................................................... 44

4.20.3.1. Gestión de vulnerabilidades técnicas .................................................................................. 44

4.20.3.2. Test o pruebas de Vulnerabilidad ......................................................................................... 44

4.20.3.3. Test de Penetración Internos y Externos ............................................................................ 44

4.20.3.4. Escaneo de puntos de acceso inalámbrico no autorizados ............................................. 45



4.21. Política Despliegue de Actualizaciones ................................................................................... 46


4.21.2. Alcance ..................................................................................................................................... 46

4.21.3. Generalidades ......................................................................................................................... 46




DOCUMENTO PRIVADO


1. Definiciones

Manual: Instrumento de trabajo que contiene el conjunto de normas y directrices que debe seguir cada

empleado en el desarrollo de sus actividades laborales diarias.

Política: Es la actividad concerniente a la toma de decisiones que conducirán el accionar de la compañía para

alcanzar ciertos objetivos.

Directrices: Es una instrucción o norma que se tiene en cuenta para la ejecución de las diferentes actividades

labores desarrolladas a diario en la compañía.

2. Objetivo

Dar a conocer las diferentes políticas generadas por la compañía las cuales son de estricto cumplimiento para

garantizar la integridad, confidencialidad y disponibilidad de la información.

3. Alcance

El presente Manual de Seguridad de la Información Américas Business Process Services, aplica para todos los

empleados, proveedores, contratistas, clientes y terceras partes que interactúen con sistemas de información de

la compañía y de nuestros clientes.

4. Políticas seguridad de la información Américas Business Process Services

A continuación, se dan a conocer las directrices definidas por el área de seguridad de la información, aprobadas

por la gerencia general las cuales deben ser de estricto cumplimiento por parte de todos los empleados,

proveedores, contratistas, clientes y terceras partes que interactúan con los sistemas de información de

Américas Business Process Services.

4.1. Política y objetivos de seguridad de la información

Américas Business Process Services en su misión de proveer servicios de procesos de negocio, agregando

valor y contribuyendo al desarrollo de la estrategia de nuestros clientes, garantiza la confidencialidad,

integridad, disponibilidad, procesamiento y tratamiento de la información como mecanismo para fortalecer el

relacionamiento y la confianza con el cliente.

Nuestro enfoque de valoración del riesgo tiene como línea base las Normas Técnicas Colombianas ISO

27005 e ISO 31000, las cuales fueron adaptadas a los procedimientos, objetivos y estrategias de la

organización, que pretenden establecer unas actividades coordinadas para dirigir y controlar los riesgos que

podrían comprometer la seguridad de la información de la organización.

Américas Business Process Services asegura que los colaboradores, contratistas, proveedores, clientes y

terceras partes conozcan, acepten y apliquen las directrices establecidas para garantizar la seguridad de la

información conforme a las disposiciones contractuales, legales y regulatorias establecidas por los

diferentes organismos.


DOCUMENTO PRIVADO


4.1.1. Objetivos del SGSI

✓ Aumentar el nivel de confianza en los clientes. ✓ Proporcionar las directrices y herramientas para garantizar la confidencialidad, integridad y

disponibilidad de los activos de información de los procesos del negocio y del cliente. ✓ Proporcionar las directrices y herramientas para garantizar el cumplimiento legal y regulatorio en

torno a los datos corporativos.

4.1.2. Alcance

La presente política de seguridad aplica para la comercialización, administración, diseño,

implementación y gestión de operaciones en la prestación de servicios BPO con el propósito de

garantizar la confidencialidad, integridad, disponibilidad, procesamiento y tratamiento de la información

como mecanismo para fortalecer el relacionamiento y la confianza con el cliente.

4.1.3. Responsabilidades

La aprobación de la política de seguridad será realizada por la Gerencia General. Cualquier cambio,

corrección o actualización en el presente documento deben ser propuestos por el comité de seguridad

de la información y objeto de aprobación de la Gerencia General.

4.1.4. Periodo de revisión

La aprobación de la política de seguridad será realizada por la Gerencia General. Cualquier cambio,

corrección o actualización en el presente documento deben ser propuestos por el comité de seguridad y

objeto de aprobación de la Gerencia General.

4.2. Política Gestión de contraseñas

Las contraseñas son un medio común de verificación de la identidad de un usuario antes de darle acceso a

un sistema o servicio de información.

Américas Business Process Services establece las directrices para proteger el acceso a nuestros sistemas

de información, es importante que las contraseñas que usemos sean seguras y fuertes, para evitar que un

usuario no autorizado pueda obtenerlas y usarlas para propósitos no deseados.

Los administradores de sistemas de información y redes deben velar por la aplicación permanente de esta

política y de los diferentes controles tecnológicos establecidos para la gestión de contraseñas por parte de

todos los empleados de Américas Business Process Services y terceras partes (proveedores, consultores,

contratistas, clientes, outsourcing, etc.) así como conocer los mecanismos del dominio de la compañía para

establecer políticas a nivel de usuario.

4.2.1. Objetivos de la política

✓ El propósito de esta política es establecer los lineamientos para el uso, manejo de cambios y elaboración de contraseñas seguras de las aplicaciones Internas y Externas de Américas Business Process Services.


DOCUMENTO PRIVADO


✓ Dar a conocer a los empleados de Américas Business Process Services, terceras partes (proveedores, consultores, contratistas, clientes, outsourcing, etc.) los lineamentos establecidos por la compañía para la gestión de contraseñas.

✓ Garantizar la correcta gestión de contraseñas para permitir el ingreso a los diferentes sistemas de información de Américas Business Process Services y de sus clientes.

4.2.2. Alcance

La presente política de gestión de contraseñas aplica para todos los empleados de Américas Business

Process Services, proveedores, contratistas, clientes y terceras partes que interactúen con sistemas de

información de la compañía y de nuestros clientes.

4.2.3. Asignación de contraseñas seguras

Los criterios que se establecen para la selección de las contraseñas son:

✓ La contraseña debe ser difícil de adivinar, pero fácil de recordar. ✓ La longitud de la contraseña debe ser mínima de 8 caracteres. ✓ Las aplicaciones en las cuales la tecnología utilizada no contemple una longitud mínima de ocho

caracteres, la longitud mínima deberá ser la máxima contemplado por el sistema. ✓ La contraseña debe estar compuesta por una combinación de letras Mayúsculas, minúsculas,

caracteres numéricos y símbolos especiales como los siguientes: ` ~ ! @ # $ % ^ & * ( ) _ + - = { } | [ ] \ : " ; ' < > ? , . /

✓ No debe usarse una palabra o nombre común que aparezca en un diccionario. ✓ No debe haber una relación obvia con el usuario, sus familiares, el grupo de trabajo u otras

asociaciones parecidas. ✓ Las contraseñas que se transmitan a través de redes públicas deberán ser protegidas contra

acceso no autorizado mientras se encuentren en tránsito, por ejemplo, utilizar técnicas de cifrado para la contraseña o restringiendo la utilización de la misma a una ventana de tiempo limitado.

4.2.4. Manejo de contraseñas

Debido a que las contraseñas representan la forma más común de identificación y control de acceso,

se deben proteger meticulosamente y evitar que sean vistas por otras personas en forma inadvertida.

A continuación, se listan los criterios sobre el manejo apropiado de las contraseñas.

✓ Nunca debe compartirse la contraseña con otras personas, por ejemplo, amigos, parientes o compañeros de trabajo. Él hacerlo expone a las consecuencias por las acciones que los otros hagan con esa contraseña.

✓ No se debe utilizar una única contraseña para todos los propósitos. En particular, debe utilizarse una contraseña distinta para conectarse a la red.

✓ El administrador del sistema debe utilizar contraseñas diferentes como usuario y como administrador.

✓ La autenticación de la contraseña deberá implementarse para todos los usuarios que accedan a los sistemas y redes internas y externas.

✓ Cuando se utilicen contraseñas para autenticación, las mismas deberán ser cambiadas al menos cada 30 días.

✓ Si hay razón para creer que una contraseña ha sido comprometida, debe cambiarse inmediatamente.

✓ No deben usarse contraseñas que sean idénticas o substancialmente similares a contraseñas previamente empleadas. Siempre que sea posible, debe impedirse que los usuarios vuelvan a usar contraseñas anteriores.

✓ La contraseña inicial emitida a un nuevo usuario sólo debe ser válida para la primera sesión, en


DOCUMENTO PRIVADO


ese momento, el usuario debe cambiar obligatoriamente la contraseña. ✓ Es responsabilidad del administrador del sistema comunicar la contraseña asignada al usuario de

la manera más confidencial que sea posible. ✓ No se debe escribir la contraseña en papeles y dejarla en sitios donde pueda ser encontrada. ✓ Se debe tener cuidado a la hora de guardar la contraseña en la computadora. Algunos cuadros de

diálogo, como los de conexiones de accesos remotos o telefónicos, presentan una opción para guardar o recordar la contraseña; no debe seleccionarse esa opción. Tampoco se debe guardar en forma legible en dispositivos de almacenamiento masivo como USB, CD/DVD, discos extraíbles o en el disco duro.

✓ Se debe almacenar las contraseñas en forma cifrada. ✓ Se debe configurar el protector de pantalla del computador para que opere al cabo de un cierto

periodo de inactividad (por ejemplo, 3 minutos) y que requiera una contraseña al reasumir la actividad.

✓ El usuario debe activar el protector de pantalla manualmente cada vez que se ausente del puesto de trabajo.

✓ No debe permitirse el uso de contraseñas de grupo para facilitar el acceso a archivos, aplicaciones, bases de datos, computadoras, redes y otros recursos del sistema.

✓ Las contraseñas predefinidas que traen los equipos y aplicaciones deben cambiarse inmediatamente al ponerse en servicio de operación.

✓ Para prevenir ataques, cuando el software del sistema lo permita, debe limitarse a 3 el número consecutivo de intentos infructuosos de introducir la contraseña, luego de lo cual la cuenta involucrada debe quedar bloqueada o suspendida y se debe alertar al administrador del sistema para realizar su debida gestión.

✓ Las contraseñas deben cambiarse cuando una persona que tiene acceso a cuentas privilegiadas compartidas ha sido relevada de sus deberes a causa de alguna actividad sospechosa o se ausenta por un periodo extenso (permiso, licencia o vacaciones).

✓ Los usuarios deberán recibir un aviso por parte de la aplicación de por lo menos 5 días antes que expire la contraseña.

✓ Si olvida su contraseña personal, deberá comunicarse con la Mesa de Servicios (extensión. 43300). Le harán ciertas preguntas para verificar su identidad antes de expedirle una nueva contraseña, la cual deberá cambiar inmediatamente.

✓ No use una contraseña que le dé acceso a sistemas de información de Américas Business Process Servicesen sistemas que no sean de la empresa, acceso a cuenta de correo en Internet o servicios en línea.

✓ Si no se está seguro acerca de la seguridad del ambiente de un sistema de información en particular, tal como una aplicación en una terminal, no ingrese a la plataforma hasta que la mesa de servicios verifique la seguridad del ambiente.

4.2.5. Activación de políticas de seguridad a nivel de usuarios

Se deben habilitar las siguientes características de contraseñas en las políticas de cuentas de usuario

del dominio y se deben verificar periódicamente:

✓ Duración: antes de expirar 30 días ✓ Longitud Mínima: 8 caracteres ✓ Recordación: 3 contraseñas anteriores ✓ Bloqueo de cuentas: después de 5 intentos ✓ Resetear el conteo de intentos de acceso después de 30 minutos ✓ Duración del bloqueo 2 minutos ✓ Notificación de cambio de clave con 7 días de anticipación.


DOCUMENTO PRIVADO


Para los equipos de comunicaciones como enrutadores y Firewall que requieren contraseñas para

examinar o modificar configuraciones se debe también conservar el estándar de las contraseñas y

aplicar la presente política.

Todas las contraseñas de los equipos que sean instalados e ingresados a la red deben ser cambiadas

por contraseñas que cumplan con los parámetros indicados anteriormente.


La aprobación de la política de gestión de contraseñas será realizada por el comité de seguridad de la

información. Cualquier cambio, corrección o actualización en el presente documento deben ser

propuestos por el coordinador de seguridad de la información y objeto de aprobación del comité de

seguridad de la información.


La presente política será objeto de revisión y evaluación anual.

4.3. Política Escritorio Despejado Y Pantalla Despejada

Américas Business Process Services establece la política de Escritorio Despejado y Pantalla Despejada

para reducir los riesgos de acceso no autorizado, pérdida o daño a la información durante y fuera de las

horas normales de trabajo. Archivadores, cajoneras u otras formas de almacenamiento seguro pueden

también proteger la información almacenada dentro de ellas contra desastres tales como incendios,

terremotos, inundaciones o explosiones.

Los usuarios de los sistemas de información de Américas Business Process Services y de sus clientes son

responsables de proteger el acceso a dichos sistemas, siguiendo los diferentes lineamientos y

procedimientos establecidos para garantizar la seguridad de la información, el desconocimiento o no uso de

estos es sancionado de acuerdo con el procedimiento definido.


✓ Establecer las directrices que los empleados de Américas Business Process Services, proveedores,

contratistas, clientes y terceras partes deben seguir para mantener la integridad, disponibilidad y

confidencialidad de la información.

✓ Sensibilizar a los usuarios de los sistemas de información sobre la importancia que tiene la correcta

ejecución de los controles y procedimientos establecidos para salvaguardar la información y

ejecutar las mejores prácticas que garanticen la seguridad de la misma.

4.3.2. Alcance

La presente política de Limpieza de Pantalla y Escritorio aplica para todos los empleados de Américas

Business Process Services, proveedores, contratistas, clientes y terceras partes que interactúen con

sistemas de información de la compañía y de nuestros clientes.


DOCUMENTO PRIVADO


4.3.3. Limpieza de Escritorio

El proceso de limpieza de escritorio se realiza ejecutando las siguientes actividades:

✓ Almacenar de manera segura (con llave u otro control) medios de almacenamiento como (CD/DVD,

dispositivos de almacenamiento masivo (memorias USB, discos extraíbles)), papelería y otros

elementos que puedan contener información sensible; mientras no estén en uso, en ausencia del

responsable o cuando se termine la jornada laboral.

✓ Los documentos que contengan información sensible se deberían retirar inmediatamente de las

impresoras, una vez estos sean impresos.

✓ Bloquear o proteger con algún mecanismo de seguridad (código de acceso) las fotocopiadoras u

otros dispositivos de recepción de información fuera del horario de trabajo.

✓ No ingresar ni ingerir alimentos en el puesto de trabajo.

✓ Al finalizar la jornada laboral o al ausentarse del puesto de trabajo se deben asegurar con llave los

cajones, gabinetes y/o archivadores.

4.3.4. Limpieza de pantalla

El proceso de limpieza de pantalla se realiza ejecutando las siguientes actividades:

✓ Ejecutar el bloqueo de pantalla siempre que el responsable o usuario del equipo se ausente de la

terminal, ejecutando la combinación de teclas CTRL + ALT + SUPR y seleccionar bloquear equipo.

✓ Cerrar sesiones de usuario cuando no se requiera los servicios del equipo durante tiempos

superiores a 5 minutos.

✓ Configurar el bloqueo de equipo de manera automática utilizando para ello las propiedades de

pantalla, protector de pantalla, seleccionar inicio de sesión o el equivalente.

✓ En caso de usar medios físicos de autenticación tipo tokens o tarjetas inteligentes se deberá definir

en las políticas de la maquina o de dominio el bloqueo de la estación al retirar el medio físico.

✓ Ejecutar el procedimiento de clasificación, etiquetado y manejo de la información de forma segura y

ordenada en rutas de acceso recordables.

✓ En la pantalla no debe permanecer ningún icono, acceso directo o archivo, esta debe estar

completamente despejada para los equipos de personal administrativo.

✓ Para el personal operativo en la pantalla solo deben permanecer los iconos de acceso directo a las

diferentes herramientas de gestión de la campaña, no deben permanecer archivos digitales de

ningún tipo.


La aprobación de la política de escritorio despejado y pantalla despejada será realizada por el comité de

seguridad de la información. Cualquier cambio, corrección o actualización en el presente documento

deben ser propuestos por el coordinador de seguridad de la información y objeto de aprobación del

comité de seguridad de la información.




DOCUMENTO PRIVADO


4.4. Política Uso de la mensajería instantánea

Américas Business Process Services, restringe el uso de programas de Mensajería Instantánea, como

(Messenger MSN, Yahoo Messenger, Google Talk, páginas web de conexión para mensajería instantánea,

como Ebuddy, Iloveim, Sinmessenger, páginas web de chat, Skype, páginas de redes sociales, etc.), con el

objetivo de incorporar buenas prácticas sobre la seguridad de la información y productividad en la

compañía.

Ningún empleado de Américas Business Process Services debe tener instalados programas de mensajería

instantánea y hacer uso de páginas web con conexión para mensajería instantánea; excepto si tiene

aprobación de la gerencia del área.

La gerencia del área a la que pertenece el empleado de Américas Business Process Services que realiza la

solicitud, es la encargada de autorizar el uso de programas de mensajería instantánea, para realizar la

autorización se debe contar con la respectiva justificación de uso, el empleado se comprometerá a utilizar

este programa únicamente para fines laborales.


✓ Establecer lo lineamentos para la correcta utilización del servicio de mensajería instantánea al interior de Américas Business Process Services.

✓ Garantizar la seguridad de la información mediante la implementación de buenas prácticas al hacer uso de programas de mensajería instantánea minimizando los riesgos que se puedan presentar.

4.4.2. Alcance

La presente política de uso de la mensajería instantánea aplica para todos los empleados de Américas

Business Process Services, proveedores, contratistas, clientes y terceras partes.

4.4.3. Generalidades

Los empleados de Américas Business Process Services, proveedores, contratistas, clientes y terceras

partes que cuenten con la aprobación de la respectiva gerencia para el uso de mensajería instantánea

deben cumplir con las siguientes normas:

✓ No se pueden enviar o recibir ningún tipo de archivos entre usuarios, solo se intercambiarán mensajes de texto.

✓ Los programas de mensajería instantánea son de uso laboral; se deben utilizar solo para contactar a clientes, proveedores o comunicaciones internas del proceso.

✓ Se prohíbe el uso de vocabulario grotesco, vulgar, intimidación, difamación en los mensajes enviados, se debe ser respetuoso y cordial al escribir para recibir el mismo trato.

✓ No aceptar invitaciones o link de conexión a páginas desconocidas, muchas de estas invitaciones las utilizan los hackers para descargar Virus, Malware, Spyware (gusanos, troyanos, etc.).

✓ Es responsabilidad del usuario al cual se le aprobó la utilización del programa de mensajería instantánea garantizar su correcta utilización.

✓ El programa de mensajería instantánea únicamente podrá ser utilizado por la persona a la que se autorizó su uso y solo deberá ser empleado para actividades laborales.

✓ No está permitido el ingreso a los programas de mensajería instantánea de las páginas de redes sociales como (Facebook, Twitter, Skype, hi5, Sonico, myspace, Orkut, Tuenti, etc.).


DOCUMENTO PRIVADO


✓ El no cumplimiento de esta política atenta contra la seguridad de la información y será sancionado de acuerdo con el procedimiento definido


La aprobación de la política de uso de la mensajería instantánea será realizada por el comité de






4.5. Política Uso de los Recursos Compartidos en la Red (Carpetas)

Américas Business Process Services, crea recursos compartidos en la red para el intercambio seguro de la

información de forma temporal entre procesos operativos y administrativos. Estos recursos compartidos

tienen las restricciones y permisos de seguridad, que garantizan que solo los usuarios autorizados por el

administrador de la información tendrán acceso a la misma.

La administración de los recursos compartidos está a cargo de la mesa de servicios quien realiza la gestión

teniendo en cuenta las solicitudes recibidas por los administradores de la información a través de la

herramienta de gestión definida por la compañía.

Es responsabilidad de cada uno de los administradores de la información aplicar la política de Clasificación,

etiquetado y manejo de la información) e identificar regularmente quienes tienen acceso a la información

con el propósito de actualizar los permisos y verificar en compañía de mesa de servicios la implementación

de los diferentes controles de seguridad que garanticen su integridad, disponibilidad y confidencialidad de la

información.


✓ Establecer los lineamentos para la utilización de los recursos de red asignados por Américas Business Process Services.

✓ Implementar el procedimiento (PR TEC 040401 Clasificación, etiquetado y manejo de la información) en cada uno de los recursos compartidos asignados por Américas Business Process Services.

✓ Identificar y aplicar las buenas prácticas para el tratamiento de la información almacenada en los recursos de red de Américas Business Process Services garantizando su correcta utilización.

4.5.2. Alcance

La presente política de Uso de los Recursos Compartidos en la Red (Carpetas), aplica para todos los

empleados de Américas Business Process Services, proveedores, contratistas, clientes y terceras

partes que interactúen con sistemas de información de la compañía y de nuestros clientes.


DOCUMENTO PRIVADO




partes que tengan acceso a los recursos compartidos de la compañía deben cumplir con las siguientes

normas:

✓ Se prohíbe guardar o intercambiar archivos de audio en cualquier formato (Wav, Mp3, etc.) para fines personales.

✓ Para grabaciones de audio de las campañas se utilizará el formato Wav. ✓ Se prohíbe guardar o intercambiar archivos de videos y/o fotografías personales en cualquier

formato. ✓ Se prohíbe guardar archivos que no sean de uso laboral. ✓ Antes de eliminar cualquier información del recurso compartido, verifique con el administrador de la

información que esta va a hacer borrada. ✓ Se debe guardar únicamente información del área o campaña donde se está trabajando. ✓ El usuario de la unidad del recurso compartido debe reportar al jefe inmediato si encuentra

información que no es de su área. ✓ Si en las carpetas se encuentran archivos de música, fotos, videos, etc. de carácter personal, estos

serán borrados inmediatamente sin notificarle al usuario. ✓ El tiempo de retención de la información es de 6 meses, una vez transcurrido este tiempo se realiza

depuración de la información. ✓ El no cumplimiento de esta política atenta contra la seguridad de la información y es sancionado de

acuerdo con el procedimiento definido.


La aprobación de la política Uso de los Recursos Compartidos en la Red (Carpetas) será realizada por

el comité de seguridad de la información. Cualquier cambio, corrección o actualización en el presente

documento deben ser propuestos por el coordinador de seguridad de la información y objeto de

aprobación del comité de seguridad de la información.



4.6. Política Uso de Computadores Portátiles por Terceros

Américas Business Process Services controla y restringe el uso de equipos o computadores portátiles para

todos los empleados de la compañía que no cuenten con un computador portátil asignado, para

proveedores, contratistas, clientes y terceras partes que requieran la utilización de estos dispositivos en las

instalaciones de la compañía, estos deben cumplir con las directrices establecidas en la presente política.

Es responsabilidad de los empleados de Américas Business Process Services y del personal de vigilancia

cumplir y hacer cumplir la presente política a cada uno de los visitantes y empleados de la compañía.


✓ Establecer los lineamentos para el ingreso y manipulación de computadores o equipos portátiles en las sedes de Américas Business Process Services.


DOCUMENTO PRIVADO


✓ Adoptar las medidas de seguridad apropiadas para la protección derivada del uso de computadores y equipos portátiles en las sedes de Américas Business Process Services.

✓ Generar cultura organizacional a la hora de permitir el ingreso y manipulación de los computadores y equipos portátiles en las sedes de Américas Business Process Services garantizando la confidencialidad, integridad y disponibilidad de la información.

4.6.2. Alcance

La presente política de Uso de Computadores Portátiles por Terceras Partes aplica para todos los

empleados de Américas Business Process Services que no cuenten con un computador portátil

asignado por la compañía y para proveedores, contratistas, consultores, clientes, outsourcing y terceras

partes que requieran ingresar equipos o computadores portátiles a las instalaciones de Américas

Business Process Services.


Los empleados de Américas Business Process Services que no cuenten con un computador portátil

asignado por la compañía y los proveedores, contratistas, clientes y terceras partes que requieran

ingresar equipos o computadores portátiles a las instalaciones de la compañía deben cumplir con las

siguientes normas:

✓ Se prohíbe a los empleados de Américas Business Process Services el ingreso de equipos o computadores portátiles personales a las sedes de la empresa, de ser necesario su ingreso estos deben permanecer en los casilleros asignados para su depósito y custodia en cada una de las porterías de las diferentes sedes de la compañía.

✓ Se prohíbe a los empleados de Américas Business Process Services la manipulación de equipos o computadores portátiles personales dentro de las instalaciones de la compañía.

✓ Es responsabilidad del personal de vigilancia registrar todos los equipos o computadores portátiles en la bitácora de ingreso y salida de elementos ubicadas en las porterías de cada una de las sedes de Américas Business Process Services.

✓ Los usuarios a los cuales se les otorga el permiso de ingreso y manipulación de equipos o computadores portátiles solo deben realizar labores estrictamente necesarias para el cumplimiento de su función.

✓ Si el usuario debe conectar el equipo o computador portátil a la red de la compañía para la ejecución de sus actividades, es necesario cumplir con el procedimiento de Control de Acceso a la Red de Américas Business Process Services.

✓ Es responsabilidad de proveedores, contratistas, consultores, clientes, outsourcing y terceras partes que ingresen un computador portátil, equipo de cómputo o comunicaciones a las instalaciones de Américas Business Process Services velar por la seguridad e integridad del equipo dentro de las instalaciones de la compañía.

✓ El no cumplimiento de esta política atenta contra la seguridad de la información de Américas Business Process Services y será sancionado de acuerdo con el procedimiento definido.


La aprobación de la política Uso de Computadores Portátiles por Terceras Partes será realizada por el

comité de seguridad de la información. Cualquier cambio, corrección o actualización en el presente

documento deben ser propuestos por el coordinador de seguridad de la información y objeto de



DOCUMENTO PRIVADO




4.7. Política Uso del Correo Electrónico Corporativo

El correo electrónico es una de las herramientas más utilizadas al interior de la compañía para establecer

comunicación con los colaboradores, clientes y proveedores, debido a su nivel de utilización lo convierte en

uno de los medios más utilizados de difusión de software malicioso y de contenidos no solicitados que

atentan contra la seguridad de la información que se transmite por este medio de comunicación.

Américas Business Process Services establece las directrices y buenas prácticas que garantizan una

correcta utilización del correo electrónico y las cuales son de estricto cumplimiento para todas aquellas

personas u organizaciones que cuenten con una cuenta de correo electrónico suministrada por la

compañía.


✓ Establecer los lineamentos para el buen uso del correo electrónico corporativo permitiendo garantizar la seguridad de la información que se intercambia por medio de este servicio.

✓ Garantizar la implementación de las mejores prácticas en la utilización del servicio de correo electrónico.

4.7.2. Alcance

La presente política de Uso del Correo Electrónico Corporativo aplica para todos los empleados de

Américas Business Process Services, proveedores, contratistas, clientes y terceras partes que cuenten

con una cuenta de correo electrónico suministrada por la compañía.


✓ Los usuarios son completamente responsables de todas las actividades realizadas con sus cuentas de correo electrónico asociadas a Américas Business Process Services.

✓ Se debe ser respetuoso y utilizar un vocabulario adecuado al momento de redactar un correo electrónico.

✓ La cuenta de correo electrónico que proporciona Américas Business Process Services es personal e intransferible, por lo que no debe proporcionarse a otras personas.

✓ Se deben firmar todos y cada uno de los correos electrónicos que se creen, reenvíen o respondan. ✓ No está permitido distribuir de forma masiva grandes cantidades de mensajes con contenidos

inapropiados para Américas Business Process Services o correos SPAM de cualquier índole. Se consideran correos SPAM aquellos no relacionados con las funciones específicas a los procesos de trabajo.

✓ Para efectos de esta política, se entenderá por correo masivo aquellos envíos que cumplan con las siguientes características: ➢ Que tengan como destinatarios toda una empresa. ➢ Envíos a listados personalizados que contengan más de 100 destinatarios.

✓ Toda solicitud de envío de correos electrónicos masivos internos en Américas Business Process Services debe ser gestionada y procesada por el área de Mercadeo y Comunicaciones.


DOCUMENTO PRIVADO


✓ El envío de correos masivos con información comercial, solo se autorizará cuando se trate de aspectos promocionales de productos y/o servicios de interés de Américas Business Process Services.

✓ Es responsabilidad del colaborador solicitante del envío del correo masivo, revisar el contenido y estructura del mensaje, así como la definición de los destinatarios que lo recibirán.

✓ No se debe utilizar el correo electrónico para propósitos comerciales ajenos a Américas Business Process Services.

✓ No se deben enviar o reenviar mensajes con contenido difamatorio, ofensivo, racista u obsceno. ✓ No se debe copiar ilegalmente o reenviar mensajes sin tener la autorización del remitente original

para hacerlo. ✓ No se deben usar seudónimos y enviar mensajes anónimos, así como aquellos que consignen

títulos, cargos o funciones no oficiales. ✓ No se permite utilizar mecanismos y sistemas que intenten ocultar o suplantar la identidad del

emisor de correo. ✓ No se debe modificar o alterar la configuración preestablecida por los ingenieros de la mesa de

servicios para el correcto funcionamiento del correo electrónico. ✓ Las firmas de correo electrónico no deben contener imágenes y deben tener un formato similar al

siguiente:

Nombre Completo

Cargo que desempeña

Américas Business Process Services

O: (+571) 4251700 Ext. 24257

E: nombre de [email protected]

W: http://americasbps.com

Por favor no imprima este e-mail a menos que sea necesario. Este mensaje y sus anexos, enviado

mediante correo electrónico, contiene información confidencial. Si usted no es el destinatario

autorizado, y recibió este mensaje por error, absténgase de utilizarlo o revelarlo de cualquier forma.

Por favor informe al remitente y posteriormente bórrelo de su sistema sin conservar copia del

mismo. La utilización o difusión no autorizada de este mensaje está prohibida por la ley.

This message, including any attachments, contains confidential information. If you are not the

intended recipient and received this email by mistake, please refrain from using or revealing it in any

way. Please inform the sender and delete it. Any unauthorized use, disclosure or distribution of this

message is strictly prohibited.

✓ Si se recibe un correo de origen desconocido, consúltelo inmediatamente con la mesa de servicios, bajo ningún aspecto se debe abrir o ejecutar archivos adjuntos de correos dudosos, ya que podrían contener códigos maliciosos (virus, troyanos, keyloogers, gusanos, etc.).

✓ No está permitido el acceso a las cuentas de correo electrónico personales durante la jornada laboral y desde los equipos de Américas Business Process Services.

http://americasbps.com/


DOCUMENTO PRIVADO


✓ Para acceder a su cuenta de correo electrónico, utilice una contraseña, para definirla apóyese en la Política Gestión de Contraseñas.

✓ Se debe configurar la contraseña de ingreso al administrador de correo (Outlook Express, Microsoft Outlook, etc.).

✓ No utilice la opción de "guardar contraseña" para ingresar al administrador de correos. ✓ No abra los mensajes que le ofrezcan dudas en cuanto a su origen o posible contenido sin

asegurarse que han sido analizados por el software antivirus de la compañía. ✓ No proporcione su dirección de correo electrónico si no está seguro de las intenciones de aquél que

se la requiere. ✓ Evite difundir cuando no sea necesario las direcciones de correo electrónico de otras personas. ✓ Es responsabilidad de los usuarios dar aviso al área de seguridad de la información y mesa de

servicios de cualquier fallo de seguridad de su cuenta de correo electrónico, incluyendo su uso no autorizado, pérdida de la contraseña o configuración, etc.

✓ Las herramientas que le sean asignadas al trabajador por parte de Américas Business Process Services serán de propiedad de ésta última y el trabajador se compromete a utilizarlas para fines estrictamente laborales, razón por la cual el Trabajador autoriza a Américas Business Process Services a realizar la inspección y/o monitoreo a que haya lugar a efectos de verificar la correcta utilización de tales herramientas, garantizando, en todo caso, el derecho a la intimidad y privacidad propias del trabajador.

✓ Es responsabilidad de los empleados de Américas Business Process Services, proveedores, contratistas, clientes y terceras partes que cuenten con una cuenta de correo electrónico suministrada por la compañía y configurada en los dispositivos de comunicación celular (BlackBerry, Iphone, Ipad etc.) implementar los diferentes controles de seguridad y buenas prácticas suministrados por el fabricante del dispositivo para garantizar la seguridad de la información.

✓ Es responsabilidad de los usuarios hacer un adecuado uso, consulta o transmisión del correo electrónico el cual debe ser utilizado exclusivamente para las actividades relacionadas con el trabajo y funciones a cargo.

✓ Es responsabilidad de los jefes ante un retiro de un colaborador a su cargo, solicitar la entrega formal de la información de la compañía, previa a la fecha de retiro de la empresa por parte del colaborador.

✓ Es responsabilidad de los jefes ante el incumplimiento del punto anterior, tramitar previo al retiro del colaborador, la autorización firmada por el colaborador para acceso a la cuenta del correo electrónico e información que se encuentre a su cargo de no contar con esta autorización no se podrá autorizar el acceso a la información.

✓ Es responsabilidad de los jefes ante la creación de cuentas de correo electrónico genéricas, asignar un responsable para cada cuenta creada.

✓ Es responsabilidad de los jefes contar con un inventario de cuentas de correo electrónico genéricas y su respectivo responsable.

✓ Al reportar un retiro de cuenta de correo electrónico este quedará en estado inactivo por 30 días, pasado este tiempo, toda la información de la cuenta será borrada definitivamente, sin lugar a recuperarla si así fuera necesario.

✓ Todo colaborador que por error reciba un mensaje correo electrónico dirigido a otro destinatario, debe devolverlo al remitente de inmediato, protegiendo la información contenida y sin hacer uso indebido de la misma.

✓ Los mensajes de correo electrónico son considerados prueba legal, ante las autoridades competentes, es por esto por lo que la organización podrá hacer uso de estos, como instrumento probatorio de requerirlo.

✓ No está permitido el direccionamiento automático, envió o almacenamiento de correos de la empresa en cuentas de correo personales no corporativas

✓ El personal administrativo debe completar su perfil de correo electrónico, con una foto que considere los siguientes aspectos:


DOCUMENTO PRIVADO


➢ Foto tipo carnet, reciente, a color, del rostro del usuario de la cuenta. La imagen debe ser profesional y corporativa, no debe incluir: hijos, gafas oscuras, mascotas, símbolos, paisajes y similares.

➢ Es responsabilidad del jefe inmediato, velar porque las condiciones anteriormente mencionadas se cumplan.



La aprobación de la política de Uso del Correo Electrónico Corporativo será realizada por el comité de






4.8. Política Uso de Computadores Portátiles y Dispositivos Móviles por Empleados de Américas Business Process Services

Américas Business Process Services establece las directrices para controlar y restringir el uso de

computadores portátiles y dispositivos móviles asignados a los empleados para el correcto desempeño de

sus funciones dentro y fuera de las instalaciones de la compañía.

Es responsabilidad de los empleados de Américas Business Process Services y del personal de vigilancia

cumplir y hacer cumplir la presente política en cada una de las sedes de la compañía.


✓ Establecer los lineamentos para la entrega, ingreso y manipulación de computadores portátiles y dispositivos móviles en las sedes de Américas Business Process Services.

✓ Adoptar las medidas de seguridad apropiadas para la protección derivada del uso de computadores portátiles y dispositivos móviles en las sedes de Américas Business Process Services.

✓ Generar cultura organizacional a la hora recibir y manipular los computadores portátiles y dispositivos móviles asignados a los empleados de Américas Business Process Services garantizando la confidencialidad, integridad y disponibilidad de la información mediante la implementación de buenas prácticas de seguridad.

4.8.2. Alcance

La presente política de Uso de Computadores Portátiles y Dispositivos Móviles por Empleados de

Américas Business Process Services, aplica para todos los empleados de Américas Business Process

Services que cuenten con un computador portátil y/o dispositivo móvil asignado por la compañía.


DOCUMENTO PRIVADO



Los empleados de Américas Business Process Services que cuenten con un computador portátil y/o

dispositivo móvil asignado por la compañía deben cumplir con las siguientes normas:

✓ Es responsabilidad de todos los empleados de Américas Business Process Services cumplir con la política de Uso de Computadores Portátiles por Terceras Partes.

✓ Todos los usuarios deben conocer y aplicar las políticas, procedimientos y controles de seguridad implementados por Américas Business Process Services.

✓ Es responsabilidad de todos los empleados de Américas Business Process Services reportar al personal de vigilancia el ingreso o salida de los equipos o computadores portátiles que tienen a su cargo en las porterías de cada una de las sedes de Américas Business Process Services.

✓ Es responsabilidad del personal de vigilancia registrar todos los computadores portátiles en la bitácora de ingreso y salida de elementos ubicadas en las porterías de cada una de las sedes de Américas Business Process Services.

✓ Es responsabilidad de la mesa de servicios entregar los computadores portátiles con todas las aplicaciones instaladas debidamente licenciadas, instalar y actualizar las herramientas de seguridad, instalar las últimas actualizaciones de seguridad de sistema operativo y hacer entrega del acta de computadores portátiles.

✓ Es responsabilidad de los empleados de Américas Business Process Services que cuentan con un computador portátil asignado por la compañía, conocer, aceptar y firmar el acta de entrega de computadores portátiles suministrada por la mesa de servicios.

✓ Es responsabilidad de todos los empleados de Américas Business Process Services a los que les asigna un computador portátil verificar que cumpla con los requisitos de seguridad establecidos por la compañía.

✓ Es responsabilidad de todos los empleados de Américas Business Process Services a los que se les asigna un computador portátil velar por la seguridad e integridad del equipo entregado dentro y fuera de las instalaciones de la compañía.

✓ Es responsabilidad de todos los empleados de Américas Business Process Services a los que les asigna un computador portátil utilizarlo únicamente para realizar labores estrictamente necesarias para el cumplimiento de su función.

✓ Es responsabilidad de todos los empleados de Américas Business Process Services que tengan asignado a su cargo un computador portátil la correcta utilización de la guaya de seguridad entregada para la protección del equipo.

✓ Es responsabilidad de todos los empleados de Américas Business Process Services que tengan asignado a su cargo un computador portátil solicitar la instalación y garantizar la correcta utilización de la herramienta de cifrado establecida por la compañía.

✓ Es responsabilidad de los empleados de Américas Business Process Services a los que se les asigne un dispositivo móvil o de quienes configuren accesos a las diferentes plataformas de información de la compañía en sus dispositivos móviles, garantizar la correcta aplicación de las diferentes opciones de seguridad suministradas por el fabricante.

✓ Es responsabilidad de todos los empleados de Américas Business Process Services a los que se asigne un dispositivo móvil o de quienes configuren accesos a las diferentes plataformas de información de la compañía en sus dispositivos móviles el no aceptar conexiones de dispositivos que no conozcan para evitar transferencias de contenidos no deseados.

✓ Es responsabilidad de todos los empleados de Américas Business Process Services a los que se les asigne un dispositivo móvil donde se configure el acceso a las plataformas de información de la compañía solicitar la instalación de la herramienta antivirus definida por Américas Business Process Services.

✓ Es responsabilidad de todos los empleados de Américas Business Process Services a los que se les asigne un dispositivo móvil o de quienes configuren accesos a las diferentes plataformas de


DOCUMENTO PRIVADO


información de la compañía en sus dispositivos móviles ignorar y eliminar SMS o MMS de origen desconocido que inducen a descargas o accesos a sitios potencialmente peligrosos.

✓ Es responsabilidad de todos los empleados de Américas Business Process Services a los que se les asigne un dispositivo móvil o de quienes configuren accesos a las diferentes plataformas de información de la compañía en sus dispositivos móviles activar el acceso mediante PIN o patrón (al bluetooth y al móvil) para que sólo quién conozca este código pueda acceder a las funcionalidades del dispositivo.

✓ Es responsabilidad de todos los empleados de Américas Business Process Services a los que se les asigne un dispositivo móvil o de quienes configuren accesos a las diferentes plataformas de información de la compañía en sus dispositivos móviles no descargar software de sitios poco fiables o sospechosos para impedir la entrada por esta vía de códigos potencialmente maliciosos.

✓ Es responsabilidad de todos los empleados de Américas Business Process Services a los que se les asigne un dispositivo móvil bloquear la tarjeta SIM en caso de pérdida para evitar que terceros carguen gastos a su cuenta de igual manera se debe realizar el respectivo denuncio ante las autoridades.

✓ Es responsabilidad de todos los empleados de Américas Business Process Services a los que se les asigne un dispositivo móvil en caso de pérdida o robo realizar el respectivo denuncio ante las autoridades competentes y entregar copia del mismo al área administrativa de la compañía.



La aprobación de la política “Uso de Computadores Portátiles y Dispositivos Móviles por Empleados de

Américas Business Process Services” será realizada por el comité de seguridad de la información.

Cualquier cambio, corrección o actualización en el presente documento deben ser propuestos por el

coordinador de seguridad de la información y objeto de aprobación del comité de seguridad de la

información.



4.9. Política Control de Acceso

Con el objetivo de impedir el acceso no autorizado a la información se cuenta con procedimientos formales

para controlar la asignación de derechos de acceso a los sistemas, datos y servicios de información de


Los controles de acceso son tanto lógicos como físicos y se deben consideran en conjunto; el acceso a la

información, a los servicios de procesamiento de información y a los procesos del negocio se deben

controlar con base en los requisitos de seguridad y del negocio.

Se deben implementar mecanismos y controles que aseguren un efectivo registro, identificación y

autenticación de los clientes y usuarios de dichos servicios, así mismo, se deben implementar mecanismos

y controles que aseguren el acceso bajo el principio del menor privilegio necesario para realizar únicamente

las labores que corresponden a cada cliente o usuario de dichos servicios.


DOCUMENTO PRIVADO



✓ Impedir el acceso no autorizado a los sistemas de información, bases de datos, servicios de información y áreas de procesamiento de información de Américas Business Process Services.

✓ Concientizar a los usuarios respecto de su responsabilidad frente a la utilización de usuarios, contraseñas y equipos.

✓ Garantizar la seguridad de la información cuando se utilizan conexiones desde nuestra red a redes externas o de redes externas a nuestra red.

✓ Implementar mecanismos y controles que aseguren el acceso a los sistemas de información de Américas Business Process Services bajo el principio del menor privilegio.

4.9.2. Alcance

La presente política de control de acceso aplica para todos los empleados de Américas Business

Process Services, proveedores, contratistas, clientes y terceras partes que interactúen con sistemas de

información de la compañía y de nuestros clientes.



partes que cuenten con acceso a los sistemas de información y plataformas tecnológicas de la

compañía deben cumplir con las siguientes normas:

✓ La dirección responsable de cada una de las plataformas de información definirá un procedimiento formal de registro de usuarios para otorgar y revocar el acceso a todos los sistemas, bases de datos y servicios de información de Américas Business Process Services.

✓ Se limitará y controlará la asignación y uso de privilegios de cada una de las plataformas y sistemas de información de Américas Business Process Services.

✓ La asignación de contraseñas de cada una de las plataformas y sistemas de información se controlará a través de la correcta aplicación de la política de gestión de contraseñas de Américas Business Process Services.

✓ Con el objetivo de mantener un control eficaz del acceso a los datos y servicios de información de Américas Business Process Services, el propietario de la información llevará a cabo un proceso formal de verificación de los derechos de acceso del personal a su cargo, dicha verificación deberá realizarse como mínimo cada 12 meses.

✓ Se controlará el acceso a los servicios de red tanto internos como externos mediante la aplicación

del procedimiento transversal PR TEC 040406 Control de acceso a la red de Américas BPS; el área

de seguridad de la información en compañía del propietario de la información realizará una evaluación de riesgos con el propósito de determinar el mecanismo más seguro de conexión.

✓ El área de seguridad de la información definirá los controles para solicitar y aprobar el acceso a internet y asignación de conexiones VPN, los accesos serán solicitados formalmente por el director del área o campaña a cargo del personal que lo requiera y la autorización será otorgada por el área de seguridad de la información previa verificación de la justificación de la solicitud, teniendo en cuenta los requerimientos del negocio, las políticas, procedimientos, controles y buenas prácticas de seguridad de la información implementadas en Américas Business Process Services.

✓ Es responsabilidad de la dirección de la mesa de servicios e infraestructura tecnológica, garantizar la aplicación y mantenimiento de las diferentes políticas, procedimientos, controles tecnológicos, y buenas prácticas de seguridad de la información implementadas en los equipos de cómputo y telecomunicaciones a su cargo en las diferentes sedes de la compañía.

✓ Todos los usuarios (incluido el personal de soporte técnico, como los operadores, administradores de red, programadores de sistemas y administradores de bases de datos) tendrán un identificador


DOCUMENTO PRIVADO


único (ID de usuario) personal e intransferible de uso exclusivo para el correcto desempeño de sus funciones.

✓ Es responsabilidad del personal administrativo realizar el acompañamiento del personal visitante que ingrese y permanece en las instalaciones de Américas Business Process Services, deben garantizar que la persona que ingresa a nuestras instalaciones esté debidamente identificada, permanezca acompañado durante su estadía y recorrido dentro de nuestras instalaciones, de igual manera debe garantizar el cumplimento a las diferentes políticas, procedimientos, controles, normas y buenas prácticas descritas en este manual.

✓ Es responsabilidad del personal que tiene a su cargo tarjetas de acceso para el ingreso a las instalaciones físicas donde funcionan los procesos que requieren encerramiento, registrar la entrada y salida a las instalaciones asignadas a cada uno de los procesos que por las características de negocio así lo requiera.

✓ Es responsabilidad del personal que tiene a su cargo tarjetas de acceso para el ingreso a las instalaciones físicas donde funcionan los procesos que requieren encerramiento realizar un correcto uso de las tarjetas asignadas y no compartirlas ya que son personales e intransferibles, así mismo se debe tener en cuenta que las acciones registradas con las tarjetas de acceso serán responsabilidad del empleado al que se asignó la tarjeta.


La aprobación de la política de control de acceso será realizada por el comité de seguridad de la

información. Cualquier cambio, corrección o actualización en el presente documento deben ser

propuestos por el coordinador de seguridad de la información y objeto de aprobación del comité de




4.10. Política Uso de Internet, Intranet y Almacenamiento en la Nube

Américas Business Process Services establece las directrices para la utilización de los servicios de Internet,

Intranet y Almacenamiento en la Nube, todos los usuarios de estos servicios son completamente

responsables por la aplicación de estas directrices y de igual manera deben velar por la correcta aplicación

de las diferentes políticas, procedimientos, controles, normas y buenas prácticas definidas para garantizar

la integridad, confidencialidad y disponibilidad de la información, sistemas de información y plataforma

tecnológica de la compañía.

4.10.1. Objetivos de la política Establecer las directrices para la adecuada utilización de los servicios de Internet, intranet y

Almacenamiento en la Nube al interior de las diferentes sedes de Américas Business Process

Services.


DOCUMENTO PRIVADO


4.10.2. Alcance

La presente política de Uso de Internet, Intranet y Almacenamiento en la Nube aplica para todos los

empleados de Américas Business Process Services, proveedores, contratistas, clientes y terceras

partes que utilicen los servicios de Internet, Intranet y Almacenamiento en la Nube.


Uso de Internet:

Américas Business Process Services provee el servicio de internet para empleados, proveedores,

contratistas, clientes y terceras partes que se encuentren dentro de nuestras instalaciones y requieran

de la prestación de este servicio, con el propósito de garantizar la seguridad de los sistemas de

información y de la infraestructura tecnológica del negocio se debe dar estricto cumplimiento a las

siguientes directrices:

✓ El servicio de Internet esta designado para el uso en la investigación y búsqueda de información relacionada a las funciones de su cargo, cualquier uso inadecuado de este servicio será considerado una falta grave y se aplicará el procedimiento de sanciones disciplinarias establecido por Américas Business Process Services.

✓ Con el propósito de garantizar la seguridad de la información y de la infraestructura tecnológica de la compañía Américas Business Process Services se reserva el derecho de filtrar el contenido al que el usuario puede acceder a través de internet desde los recursos y servicios propiedad de la compañía, así como a monitorizar y registrar los accesos realizados desde los mismos.

✓ De ser necesario que un usuario acceda a una dirección restringida se debe diligenciar el formato F1 TEC 0404 Solicitud Permisos (SGSI) el cual debe estar correctamente diligenciado, autorizado y firmado por las partes interesadas, una vez diligenciado el formato este debe ser remitido al área de aseguramiento de la información quien determinara si se otorga o rechaza la solicitud realizada.

✓ Por motivos de seguridad y para evitar la infección de virus, se prohíbe la descarga de software desde Internet; en caso de requerir algún programa se debe recurrir al procedimiento PR TEC 040105 Administración de Software.

✓ De ser necesaria la descargar de información desde internet los usuarios deberán respetar y dar cumplimiento a las disposiciones legales de derechos de autor, marcas registradas y derechos de propiedad intelectual.

✓ Está prohibido la descarga de material gráfico que contenga actividad sexual, nudismo, violencia o cualquier otra actividad que vaya en contra de los valores corporativos de la compañía de evidenciarse el incumplimiento de esta norma será considerada una falta grave y se sancionara de acuerdo con el procedimiento de sanciones disciplinarias establecido por la compañía.

✓ El servicio de internet no se podrá utilizar para realizar ninguna actividad ilegal o que atente contra la ética y buen nombre de Américas Business Process Services.

✓ A través del servicio de Internet se puede acceder a otras redes de diferentes países, cada uno con normatividad diferente en cuanto al uso de la información dispuesta para sus visitantes, en todo caso el usuario deberá observar el respeto y el cumplimiento a las leyes dispuestas en cada uno para no comprometer en nada el nombre de la Compañía.

✓ Se recomienda no dejar abiertas páginas que se actualizan periódicamente ni varias conexiones simultáneas, ya que consumen recursos y congestionan la de red innecesariamente.

✓ No está permitido la utilización de aplicaciones de Mensajería Instantánea (Por ejemplo, MSN Messenger o Yahoo Messenger) o Voz Sobre IP (VoIP) (Por ejemplo, Skype) sin previa autorización la cual debe estar debidamente soportada con el formato F1 TEC 0404 Solicitud Permisos (SGSI) el cual debe estar correctamente diligenciado, autorizado y firmado por las partes interesadas.


DOCUMENTO PRIVADO


✓ La información usada, consultada, publicada o transmitida a través de internet debe ser de uso únicamente corporativo por lo tanto no está permitido el almacenamiento, acceso, transmisión y retransmisión de:

➢ Mensajes difamatorios, calumniosos, amenazantes o lesivos a los intereses de Américas Business Process Services, de los colaboradores o de otras personas o instituciones, cualquiera sea su naturaleza.

➢ Mensajes de naturaleza racial, política, bélica o religiosa. ➢ Cartas de cadena, cualquiera que sea su naturaleza. ➢ Publicidad, ventas, mercadeo, promociones, apuestas, etc., a título personal del

colaborador. ➢ Material que viole la propiedad intelectual: derechos de autor, marcas registradas, patentes,

secretos de mercadeo, publicidad, música, video, fotos e imágenes, etc.

✓ Es responsabilidad de los empleados de Américas Business Process Services, proveedores, contratistas, clientes y terceras partes a quienes se les otorgue acceso al servicio de internet hacer buen uso de los recursos informáticos que la compañía le suministra para el desarrollo de sus actividades.

✓ Es responsabilidad de los empleados de Américas Business Process Services, proveedores, contratistas, clientes y terceras partes a quienes se les otorgue acceso al servicio de internet no gestionar inscripciones a boletines y/o notificaciones vía correo electrónico que no se encuentren asociadas estrictamente a temas laborales.

✓ Es responsabilidad del jefe inmediato garantizar que los colaboradores a su cargo cuenten con el conocimiento adecuado de las políticas, procedimientos, controles, normas y buenas prácticas establecidas en la compañía para el uso eficiente del servicio de internet.

✓ Es responsabilidad del jefe inmediato en acompañamiento con el área de Aseguramiento de la Información asignar perfiles de acceso y navegación en internet, de acuerdo con el cargo y las funciones desempeñadas por los colaboradores.

✓ Es responsabilidad de la Dirección del área de mercadeo y comunicaciones de Américas Business Process Services aprobar el contenido de las publicaciones oficiales en internet (portales, páginas y aplicativos accedidos vía web) y las publicaciones internas (intranet, Red de Carteleras Digitales, Canal Institucional, Mailling, Wallpaper), conservando registro de los responsables de estos contenidos.

✓ Todo acceso a internet de proveedores, contratistas, clientes, visitantes y terceras partes debe ser aprobado por el área de Aseguramiento de la Información y gestionado por el colaborador que tramita el ingreso (siempre y cuando la infraestructura tecnológica lo permita), quien gestionará el tiempo de asignación del permiso, de acuerdo con el tipo de conexión requerido y a los procedimientos definidos por la compañía.

✓ Los administradores del servicio de internet (Infraestructura Tecnológica Ingenieros IT) con el apoyo del área de Aseguramiento de la Información podrán tomar acciones correctivas con aquellos accesos que generen consumo excesivo del recurso y que impacten negativamente la calidad del servicio, así mismo podrán restringir de manera unilateral el acceso a sitios y páginas que por alguna circunstancia vayan en contra de las políticas corporativas de Américas Business Process Services o que representen un riesgo para los sistemas y la infraestructura tecnológica de la compañía.



DOCUMENTO PRIVADO


Uso de la Intranet:

La Intranet es una herramienta desarrollada por Américas Business Process Services y es utilizada para

dar a conocer a todo el personal, información de interés general para la compañía, a continuación, se

dan a conocer las directrices para la gestión y utilización de esta herramienta:

✓ Es responsabilidad de la Dirección del área de mercadeo y comunicaciones de Américas Business Process Services aprobar el contenido de las publicaciones oficiales en internet (portales, páginas y aplicativos accedidos vía web) y las publicaciones internas (intranet, Red de Carteleras Digitales, Canal Institucional, Mailling, Wallpaper), conservando registro de los responsables de estos contenidos.

✓ La información disponible en la intranet es para uso interno y no puede ser reproducida o retransmitida a terceros.

Uso de Almacenamiento en la Nube:

La herramienta (OneDrive para la Empresa) fue seleccionada por Américas Business Process Services

como la herramienta corporativa para realizar el almacenamiento de información en la Nube, el uso de

esta herramienta se autoriza para aquellas cuentas de correo electrónico corporativo catalogadas como

E1 y E3 todos aquellos usuarios a los que se les asigne una cuenta con estas características o a los

que se autorice la utilización de la herramienta (OneDrive para la Empresa) deben dar cumplimiento a

las siguientes directrices:

✓ No se considera almacenamiento corporativo en la nube servicios no licenciados por la compañía, por tal razón no está permitido almacenar información propiedad de la empresa en dichos servicios, el único servicio autorizado para almacenamiento en la nube es el ofrecido por las cuentas de correo electrónico corporativo catalogadas como E1 y E3 las cuales cuentan con la herramienta de (OneDrive para la Empresa).

✓ Sera responsabilidad del usuario al que se le asigno la cuenta garantizar que la información que se almacene en la herramienta (OneDrive para la Empresa) cumpla con la política de Clasificación, Etiquetado y Manejo de la información definida por la compañía.

✓ No es permitido almacenar en el sitio corporativo (OneDrive para la Empresa) definido por Américas Business Process Services información personal que no corresponda a asuntos propios de la actividad laboral realizada en la compañía.

✓ Es responsabilidad del usuario al que se asignó la cuenta dar un adecuado manejo a la información almacenada en (OneDrive para la Empresa) así como asignar y gestionar los permisos que asignen a otras personas para acceder a la información almacenada.

✓ Es responsabilidad del usuario al que se asignó la cuenta realizar periódicamente backup a la información que se encuentra almacenada en la herramienta (OneDrive para la Empresa).

✓ Si la cuenta debe ser eliminada, es responsabilidad del usuario al que se asignó la cuenta, facilitar la custodia de la información entregando copia de esta a su jefe inmediato.


La aprobación de la política de Uso de Internet, Intranet y Almacenamiento en la Nube será realizada

por el comité de seguridad de la información. Cualquier cambio, corrección o actualización en el

presente documento debe ser propuesto por el coordinador de seguridad de la información y objeto de



DOCUMENTO PRIVADO




4.11. Política Relación con Proveedores

Américas Business Process Services define las políticas, procedimientos, controles, normas y buenas

prácticas de seguridad de la información con el objetivo de garantizar la Confidencialidad, Integridad,

Disponibilidad, Procesamiento y Tratamiento de la Información de la información nuestra y de nuestros

clientes por lo que exigirá su estricto cumplimiento por parte de los proveedores, contratistas,

subcontratistas y terceras partes que presten servicios, interactúen con los sistemas de información,

ingresen a las áreas de procesamiento de información, procesen, almacenen, gestionen y trasmitan

información de la compañía o de nuestros clientes.


✓ Dar a conocer a los proveedores, contratistas, subcontratistas, terceras partes y en general a todas aquellas personas que prestan servicios a Américas Business Process Services, las políticas, procedimientos, controles, normas y buenas prácticas de seguridad de la información implementadas en la compañía para garantizar la seguridad de la información nuestra y de nuestros clientes.

✓ Garantizar la seguridad de la información y de la infraestructura tecnológica de la compañía mediante el cumplimiento por parte de los proveedores, contratistas, subcontratistas, terceras partes y en general a todas aquellas personas que prestan servicios a Américas Business Process Services, de las políticas, procedimientos, controles, normas y buenas prácticas de seguridad de la información implementadas en la compañía.

4.11.2. Alcance

La presente política de Relación con Proveedores aplica para proveedores, contratistas,

subcontratistas, terceras partes y en general a todas aquellas personas que prestan servicios a



A continuación, se describen las directrices que deben acatar los proveedores, contratistas,

subcontratistas, terceras partes y en general a todas aquellas personas que prestan servicios a

Américas Business Process Services en nuestras instalaciones o cuando se realicen conexiones a

nuestros sistemas de información:

✓ Verificar y cumplir la Política Relación con Proveedores la cual se encuentra disponible en la página web de la compañía http://americasbps.com en link de Políticas y Procedimientos.

✓ Al ingresar a las diferentes sedes de Américas Business Process Services se debe anunciar la llegada del visitante a la persona responsable quien realizara el acompañamiento correspondiente mientras permanezca en las instalaciones de la compañía.

✓ Se debe portar en un lugar visible y en todo momento el carnet de identificación proporcionado para permanecer dentro de las instalaciones de la compañía.

✓ Cuando se vaya a realizar algún trabajo dentro de las instalaciones de Américas Business Process Services se debe adjuntar la fotocopia de la planilla del último pago de Seguridad Social (ARL, EPS, AFP) de cada una de las personas que ingresaran a nuestras instalaciones; si se van a realizar

http://americasbps.com/


DOCUMENTO PRIVADO


trabajos en alturas, se debe adjuntar certificado de aptitud para trabajo en alturas vigente de las personas que realizaran el trabajo.

✓ Es responsabilidad de los proveedores, contratistas, subcontratistas, terceras partes y en general a todas aquellas personas que prestan servicios a Américas Business Process Services que ingresen computador portátil, equipo de cómputo o equipos de comunicaciones (celular) a las instalaciones de la compañía velar por la seguridad e integridad del equipo dentro de las instalaciones de Américas Business Process Services.

✓ Los usuarios a los cuales se les otorga el permiso de ingreso y manipulación de equipos o computadores portátiles solo deben realizar labores estrictamente necesarias para el cumplimiento de su función.

✓ Si el usuario debe conectar el equipo o computador portátil a la red de la compañía para la ejecución de sus actividades, es necesario cumplir con el procedimiento de Control de Acceso a la Red de Américas Business Process Services.

✓ Es responsabilidad de los empleados de Américas Business Process Services dar a conocer y garantizar el cumplimiento de cada una de las políticas, procedimientos, controles, normas y buenas prácticas implementadas en la compañía a cada uno de los proveedores, contratistas, subcontratistas, terceras partes y en general a todas aquellas personas que prestan servicios a Américas Business Process Services y que se encuentren a cargo del empleado de la compañía.


La aprobación de la política de Relación con Proveedores será realizada por el comité de seguridad de

la información. Cualquier cambio, corrección o actualización en el presente documento debe ser

propuesto por el coordinador de seguridad de la información y objeto de aprobación del comité de




4.12. Política Gestión de Piso

Américas Business Process Services define las directrices para garantizar una sana convivencia, así como

el orden que se debe mantener en los puestos y áreas de trabajo por parte de los empleados que

conforman las diferentes áreas y campañas al interior de la compañía con el objetivo de garantizar una

correcta gestión de piso.


Definir las directrices para la organización, ingreso y permanencia al interior de cada una de las áreas y

operaciones de la compañía por parte del personal operativo, administrativo, clientes, terceras partes y

trabajadores en misión que ingresen y permanezcan en las instalaciones de Américas Business Process

Services.

4.12.2. Alcance

La presente política Gestión de Piso, aplica para todos los empleados, proveedores, contratistas,

clientes y terceras partes que ingresen a las diferentes sedes de Américas Business Process Services.


DOCUMENTO PRIVADO



✓ Al encontrase en operación todos los coordinadores de las campañas deben estar correctamente

identificados con su respectivo chaleco.

✓ Al encontrase en operación y en salas de capacitación todos los entrenadores deben estar

correctamente identificados con su respectivo chaleco.

✓ Al encontrase en operación todos los monitores de calidad deben estar correctamente identificados

con su respectivo chaleco.

✓ Al encontrase en operación todos los controller (GTR) deben estar correctamente identificados con

su respectivo chaleco.

✓ Al encontrase en las diferentes sedes de la compañía todos los brigadistas deben estar

correctamente identificados con su respectivo chaleco.

✓ No está permitido al interior de las campañas y áreas de procesamiento de datos de Américas

Business Process Services el ingreso y manipulación de dispositivos móviles (celulares, tabletas,

reproductores de música, cámaras fotográficas, etc.) sin la debida autorización, la cual debe estar

registrada en el formato F1 TEC 0404 Solicitud Permisos (SGSI).

✓ Al interior de los espacios físicos destinados para la adecuada gestión de las diferentes campañas

de Américas Business Process Services no está permitido el ingreso de maletas, bolsos y

paquetes, estos deberán permanecer en el locker o cajonera asignada por el área administrativa a

cada agente de la compañía o al personal administrativo que lo requiera.

✓ Al interior de los espacios físicos destinados para la adecuada gestión de las diferentes campañas

de Américas Business Process Services no está permitido el ingreso de sustancias químicas

(pegantes, disolventes, etc.,), plantas (bambús, cactus, etc.,).

✓ Al interior de las zonas comunes (cafetería, salas de descanso, pasillos, baños, etc.) y los espacios

físicos destinados para la adecuada gestión de las diferentes campañas de Américas Business

Process Services no está permitido el ingreso de cobijas, almohadas, colchones, etc.

✓ No está permitido sin la respectiva autorización (Ver instructivo de decoración) pegar o colgar

ningún tipo de material en las paredes, ductos de aire acondicionado, puertas, ventanas, así como

obstaculizar los elementos de seguridad industrial de cada uno de los diferentes espacios físicos

destinados para el correcto funcionamiento de las áreas, campañas y zonas comunes que

conforman Américas Business Process Services.

✓ No está permitido el ingreso y consumo de alimentos al interior de los espacios físicos destinados

para cada una de las campañas de Américas Business Process Services.

✓ Al encontrase en operación los agentes y coordinadores únicamente podrán ingresar bebidas

(agua) en recipientes debidamente tapados que impidan el escape del líquido contenido en dichos

recipientes.

✓ Se prohíbe el ingreso y consumo de bebidas calientes en los puestos de trabajo destinados para

cada una de las campañas de Américas Business Process Services.

✓ Para el personal administrativo está prohibido la manipulación de dispositivos móviles (celulares,

tabletas, reproductores de música, cámaras fotográficas, etc.) al interior de las campañas y áreas

de procesamiento de datos (Datacenter y Centros de Cableado) de la compañía.

✓ Está prohibido el almacenamiento de documentos físicos sin la protección requerida al interior de

los espacios físicos destinados a las áreas y campañas de Américas Business Process Services.

✓ Está prohibido el ingreso y la conexión de dispositivos eléctricos y electrónicos (ventiladores,

cafeteras, neveras, cargadores, etc.) en la toma de corriente regulada y no regulada de las zonas


DOCUMENTO PRIVADO


comunes (cafetería, salas de descanso, pasillos, baños, etc.) y de los espacios físicos destinados a

las campañas de Américas Business Process Services.

✓ Está prohibido el ingreso y conexión de dispositivos eléctricos y electrónicos (ventiladores,

cafeteras, neveras, calentadores, etc.) diferentes a los suministrados por la empresa en la toma de

corriente regulada y no regulada de las áreas administrativas de Américas Business Process

Services.

✓ Está prohibida la toma de fotografías sin la autorización del área de aseguramiento de la

información al interior de los espacios físicos destinados a las áreas y campañas que conforman


✓ El personal operativo, administrativo y clientes que cuenten con una oficina asignada al interior de

las instalaciones de Américas Business Process Services debe garantizar la protección de los

elementos asignados que se encuentren dentro de la oficina garantizando que siempre que se

ausenten de su oficina esta permanezca con llave.

✓ Es responsabilidad del personal administrativo realizar el acompañamiento del personal visitante

que ingrese y permanece en las instalaciones de Américas Business Process Services, deben

garantizar que la persona que ingresa a nuestras instalaciones esté debidamente identificada,

permanezca acompañado durante su estadía y recorrido dentro de nuestras instalaciones de igual

manera debe garantizar el cumplimento a las diferentes políticas, procedimientos, controles, normas

y buenas prácticas descritas en este manual.

✓ Está prohibido el almacenamiento sin la protección requerida de dispositivos de cómputo,

electrónicos, armarios, gavetas, etc., en los espacios físicos destinados para las áreas y campañas

de Américas Business Process Services.

✓ Está prohibida la venta, distribución y comercialización de todo tipo de productos al interior de las

diferentes sedes de Américas Business Process Services.

✓ No está permitida la decoración de los elementos de emergencia tales como extintores, gabinetes

de incendio, botones de pánico, alarmas, salidas de emergencia, camillas, botiquín de primeros

auxilios, etc., estos deben estar despejados y visibles en todo momento.

✓ No se debe obstaculizar la utilización de los elementos de emergencia tales como extintores,

gabinetes de incendio, botones de pánico, alarmas, salidas de emergencia, camillas, botiquín de

primeros auxilios, etc., estos deben estar despejados y visibles en todo momento.


La aprobación de la política de Gestión de Piso será realizada por el comité de seguridad de la

información. Cualquier cambio, corrección o actualización en el presente documento debe ser propuesto

por el coordinador de seguridad de la información y objeto de aprobación del comité de seguridad de la

información.



4.13. Política Gestión del Riesgo

Américas Business Process Services establece los elementos y el marco general de actuación para la

gestión integral de los riesgos identificados en cada uno de sus procesos y campañas, con el propósito de


DOCUMENTO PRIVADO


asegurar su sostenibilidad y garantizar la continuidad del negocio frente a los diferentes riesgos a los que

se encuentre expuesta, tomando como línea base la Metodología de Valoración del Riesgo definida por la

compañía para identificar, analizar, evaluar y tratar de manera adecuada los riesgos que se identifiquen.


✓ Garantizar la sostenibilidad de Américas Business Process Services y la continuidad del negocio.

✓ Analizar, evaluar y gestionar los riesgos asociados a los procesos y campañas teniendo en cuenta

el impacto en la compañía y la probabilidad de ocurrencia.

4.13.2. Alcance

La presente política de Gestión del Riesgo aplica para todos los empleados de Américas Business

Process Services y debe ser implementada en cada proceso y campaña de la compañía.


✓ Se deben identificar riesgos para todos los procesos y campañas que conforman Américas

Business Process Services, la identificación debe realizarse aplicando la metodología D1 TEC 0404

(Metodología de valoración del riesgo) y el procedimiento PR THU 010402 (Identificación,

valoración y control de los riesgos) definidos por la compañía.

✓ Se debe realizar la verificación y actualización de los riesgos identificados en cada uno de los

procesos y campañas que conforman Américas Business Process Services por lo menos una vez al

año, cada vez que se identifique un nuevo riesgo o al presentarse un accidente fatal o grave.

✓ Es responsabilidad de los directores de procesos y campañas, así como de su personal a cargo

realizar la identificación y verificación de riesgos con el apoyo de las áreas de seguridad y salud en

el trabajo y de aseguramiento de la información.

✓ Es responsabilidad de los directores de los procesos y campañas realizar la gestión

correspondiente a la notificación y seguimiento de los riesgos identificados frente a los proveedores

y clientes a su cargo.

✓ Teniendo en cuenta la identificación y priorización de riesgos realizada, se debe gestionar primero

los riesgos en nivel alto, seguidos del nivel medio.

✓ Para los riesgos identificados con nivel alto, seguidos del nivel medio la decisión de mitigar, aceptar

o transferir el riesgo estará a cargo del comité directivo de Américas Business Process Services.


La aprobación de la política de Gestión del Riesgo será realizada por el comité de seguridad de la



información.




DOCUMENTO PRIVADO


4.14. Política Controles Criptográficos

Américas Business Process Services establece las directrices para el aseguramiento de la información

nuestra y de nuestros clientes mediante la aplicación de controles criptográficos que nos permitan

garantizar la confidencialidad, integridad y disponibilidad de la información que se almacena, procesa y

trasmite en nuestros sistemas de información, equipos de cómputo y medios de entrega y recepción de

información utilizados en la compañía por nuestros empleados y clientes.


✓ Garantizar la confidencialidad, integridad, y disponibilidad de la información nuestra y de nuestros

clientes mediante la aplicación de controles criptográficos.

4.14.2. Alcance

La presente política de Controles Criptográficos aplica para todos los empleados que almacenen,

procesen y trasmitan información de Américas Business Process Services o de nuestros clientes a

través de los diferentes sistemas de información, equipos de cómputo y dispositivos móviles asignados

por la compañía.


✓ Todos los equipos de cómputo portátiles asignados por la compañía a los empleados, clientes,

proveedores, o terceras partes deberán contar con la herramienta de cifrado debidamente instalada.

✓ Todos los equipos de cómputo portátiles asignados por la compañía a los empleados, clientes,

proveedores, o terceras partes deberán estar debidamente cifrados con la herramienta definida por

la compañía.

✓ Todos los equipos MAC de la compañía deberán contar con la implementación de la herramienta de

cifrado Filevault o la suministrada por el fabricante del dispositivo.

✓ Para los dispositivos móviles (teléfono celular, tabletas, iPad, discos duros extraíbles, dispositivos

de almacenamiento masivo USB, etc.) asignados por la compañía de ser posible deberán estar

debidamente cifrados por la herramienta suministrada por la compañía, de no ser posible deberán

estar habilitados los controles de aseguramiento y criptografía suministrados por el fabricante del

dispositivo.

✓ Se deben implementar controles criptográficos de acuerdo con la herramienta definida por la

compañía para:

➢ La protección de claves de acceso a sistemas, datos y servicios.

➢ La transmisión de información clasificada.

➢ El almacenamiento de la información contenida en las unidades compartidas.

➢ El almacenamiento y transmisión de información contenida en dispositivos móviles, correos

electrónicos y en la nube (discos duros externos, dispositivos de almacenamiento masivo

USB, CD/DVD, teléfonos celulares (smartphone) OneDrive, SFTP).

✓ Sera responsabilidad de cada dueño de información garantizar la que información que tengan a su

cargo se encuentre debidamente cifrada con la herramienta suministrada por la compañía donde

quiera que se almacene dicha información (computadores portátiles, computadores de escritorio,


DOCUMENTO PRIVADO


discos duros extraíbles, dispositivos de almacenamiento masivo USB, celulares, tabletas, OneDrive

para la Empresa, SFTP y en general almacenamiento en la nube) y a través de los diferentes

medios de transmisión que se utilicen.


La aprobación de la política de Controles Criptográficos será realizada por el comité de seguridad de la



información.



4.15. Política Control Código Malicioso

Américas Business Process Services establece las directrices para realizar el aseguramiento de nuestros

sistemas de información y de los diferentes dispositivos de red de su propiedad (computadores de

escritorio, computadores portátiles, servidores, tabletas, celulares, y todos aquellos dispositivos que

permitan la instalación de una herramienta antivirus) conectados a la red de la compañía.


✓ Garantizar el correcto funcionamiento de nuestros sistemas de información realizando un adecuado

aseguramiento de los dispositivos de red (computadores de escritorio, computadores portátiles,

servidores, tabletas, celulares, y todos aquellos dispositivos que permitan la instalación de una

herramienta antivirus) conectados a la red de Américas Business Process Services.

4.15.2. Alcance

La presente política de Control Código Malicioso aplica para todos dispositivos de red propiedad de la

compañía (computadores de escritorio, computadores portátiles, servidores, tabletas, celulares, y todos

aquellos dispositivos que permitan la instalación de una herramienta antivirus) que se conecten a la red

de Américas Business Process Services.


Américas Business Process Services implementa una herramienta antivirus y a continuación define los

mecanismos de administración y actualización de la misma:

✓ Todos los dispositivos de red (computadores de escritorio, computadores portátiles, servidores,

tabletas, celulares, y todos aquellos dispositivos que permitan la instalación de una herramienta

antivirus) sin excepción deben contar con la herramienta de antivirus definida por la compañía

debidamente instalada y en correcto funcionamiento.


DOCUMENTO PRIVADO


✓ En caso de requerirse la desactivación de la herramienta antivirus en cualquiera de los dispositivos

de red (computadores de escritorio, computadores portátiles, servidores, tabletas, celulares, etc.) se

deberá solicitar aprobación al área de Aseguramiento de la Información de Américas Business

Process Services.

✓ Se debe configurar la herramienta antivirus para que esta ejecute las actualizaciones de las firmas

de virus de forma automática sin que el usuario pueda detenerlas.

✓ Para los servidores con sistema operativo Linux de no ser posible la instalación de la herramienta

antivirus definida por la compañía, deberán ser analizados periódicamente para verificar que se

encuentran libres de amenazas.

✓ El área de Aseguramiento de la Información es la única autorizada para ingresar y gestionar las

consolas de administración de la herramienta antivirus definida por la compañía.

✓ La herramienta antivirus definida por la compañía deberá contar con el registro de logs habilitados

por 60 días como mínimo en línea y 365 días de resguardo de auditoría y deberán estar disponibles

en caso de que el Oficial de Seguridad los requiera.

✓ El antivirus deberá ser capaz de detectar cualquier amenaza ya identificada por el fabricante.

✓ La herramienta antivirus definida por la compañía deberá estar en la capacidad de bloquear todos

los medios extraíbles (dispositivos del almacenamiento masivo USB, smartphone, CD/DVD, etc.) y

su uso estará autorizado de acuerdo con el acceso otorgado a cada usuario previa verificación por

parte del área de Aseguramiento de la Información.

✓ Para los equipos que tienen activo los medios extraíbles, el antivirus debe:

➢ Bloquear la ejecución automática (autorun)

➢ Realizar el escaneo automático de los medios extraíbles

✓ Una vez al año se deben renovar los permisos otorgados para tener acceso a los dispositivos de

almacenamiento masivo USB, unidades de CD/DVD mediante el diligenciamiento del formato F1

TEC 0404 Solicitud Permisos (SGSI).

✓ El área de Aseguramiento de la Información realizará la configuración y administración de la

plataforma de antivirus de acuerdo con los lineamientos establecidos en el requisito número 5 del

Estándar de Seguridad de Datos de la Industria de Pagos con Tarjeta (PCI DSS V3.1).


La aprobación de la política de Control Código Malicioso será realizada por el comité de seguridad de la


por el coordinador de seguridad de la información y/o el administrador de la plataforma antivirus, objeto

de aprobación del comité de seguridad de la información.




DOCUMENTO PRIVADO


4.16. Política Realización de Backup

Américas Business Process Services implementa la presente política con el propósito de contrarrestar las

interrupciones que se puedan presentar en los sistemas de información de la compañía, protegiendo sus

procesos críticos contra los efectos de fallas importantes y desastres, asegurando su recuperación

oportuna, manteniendo la confidencialidad, integridad y disponibilidad de la información nuestra y de

nuestros clientes contenida en los repositorios de información de la compañía.


✓ Proteger, garantizar y asegurar la disponibilidad de la información digital almacenada en los

diferentes dispositivos suministrados por la compañía, con el objetivo de que se mantenga

respaldada y sea fácilmente recuperable en el momento que sea requerido.

4.16.2. Alcance

Esta política aplica para todos los empleados, proveedores, contratistas, clientes y terceras partes que

interactúen con sistemas de información de la compañía y almacenen información digital nuestra y de

nuestros clientes en los diferentes dispositivos suministrados por Américas Business Process Services

(computadores de escritorio, computadores portátiles, servidores, discos duros extraíbles, dispositivos

de almacenamiento masivo, unidades compartidas, almacenamiento en la nube (herramienta autorizada

por la compañía), buzones de correo electrónico (PST) y en general todos aquellos medios donde se

almacene información digital).


✓ El backup debe ser archivado en un sistema de almacenamiento distinto al lugar donde se encuentra la información original.

✓ Es responsabilidad del custodio de la información garantizar que esta se encuentre almacenada en las unidades compartidas asignadas a cada proceso que compone Américas Business Process Services.

✓ Es responsabilidad del Director de Infraestructura Tecnológica garantizar que se cuente con la disponibilidad de la plataforma requerida para llevar a cabo el almacenamiento y copia de respaldo de la información contenida en los servidores de archivos de la compañía donde se almacena la información de los procesos y campañas que componen Américas Business Process Services.

✓ Es responsabilidad de la Dirección de la Mesa de Servicios garantizar que cada tres meses y cuatro veces al año se realice el backup de la información contenida en cada uno de los computadores portátiles y computadores de escritorio asignados por la compañía a los empleados, clientes, contratistas y terceras partes que los requieran.

✓ Es responsabilidad de todos los empleados, clientes, contratistas y terceras partes que cuenten con un computador portátil o computador de escritorio asignado por la compañía y a los cuales se les haya realizado backup, solicitar teniendo en cuenta los ANS establecidos, la restauración del backup con el objetivo de verificar que se está manteniendo la integridad de la información a la que se realizó la correspondiente copia de seguridad.


DOCUMENTO PRIVADO


✓ Es responsabilidad de todos los empleados, clientes, contratistas y terceras partes que solicitan la restauración de un backup realizado con las herramientas definidas por la compañía, verificar la integridad de la información restaurada y de ser necesario solicitar nuevamente la realización del backup con el objetivo de conservar la integridad de la información a la cual se está realizando la copia de seguridad.

✓ Es responsabilidad de los ingenieros de la Mesa de Servicios una vez se realice el backup informar al solicitante el medio donde fue almacenada la información, numero de cinta y lugar de almacenamiento.

✓ Es responsabilidad de la Dirección de la Mesa de Servicios y de la Dirección de Infraestructura Tecnológica garantizar una adecuada custodia y almacenamiento de la información a la que se realiza backup en las herramientas, medios y servicios destinados por la compañía para dicho fin.

✓ Es responsabilidad de la Dirección de la Mesa de Servicios y de la Dirección de Infraestructura Tecnológica garantizar que siempre que se implemente un nuevo proceso o campaña al interior de la compañía se garantice la realización del backup de la información que se manejara en dicho proceso o campaña teniendo en cuenta las directrices definidas en este procedimiento.

✓ Es responsabilidad de la Dirección de la Mesa de Servicios y de la Dirección de Infraestructura Tecnológica con el acompañamiento del Oficial de Seguridad de la compañía, garantizar la correcta implementación de los diferentes controles que permitan garantizar la confidencialidad, integridad y disponibilidad de la información a la que se está realizando backup.

✓ Es responsabilidad de la Dirección de la Mesa de Servicios y de la Dirección de Infraestructura Tecnológica garantizar que una vez al mes los ingenieros responsables de la realización del backup lleven a cabo pruebas de restauración de backup, esto con el objetivo de verificar que se está manteniendo la integridad de la información a la que se realiza backup, la evidencia de la realización de estas pruebas debe ser entregada a través de correo electrónico al área de Aseguramiento de la Información de la compañía.

✓ Es responsabilidad de la Dirección de la Mesa de Servicios y de la Dirección de Infraestructura

Tecnológica garantizar que se realice el backup a cada una de las plataformas a su cargo para lo

que se aplicaran las directrices descritas en esta política.

✓ Es responsabilidad de la Dirección de la Mesa de Servicios y de la Dirección de Infraestructura

Tecnológica garantizar que se realice el backup a cada una de las plataformas a su cargo, cada vez

que se apruebe un cambio sobre determinada plataforma, para lo que se aplicaran las directrices

descritas en esta política.


La aprobación de la política de realización de backup será realizada por el comité de seguridad de la



información.




DOCUMENTO PRIVADO


4.17. Política Contingencia y continuidad del negocio

Américas Business Process Services es críticamente dependiente de la continuidad de sus servicios,

cualquier pérdida de acceso a los servidores, sistemas, red de comunicaciones o cualquier otro recurso por

un período extendido de tiempo, puede tener un impacto serio en la compañía, esta política define las

directrices para asegurar la contingencia de los servicios misionales del negocio y de ser necesario prestar

la continuidad solicitada a los procesos que así lo requieran.


✓ Asegurar la adecuada gestión de los activos informáticos y de información ante un evento de

desastre dentro de unos márgenes de tiempo apropiados a las necesidades del negocio de


✓ Definir las directrices para asegurar la contingencia y continuidad de los sistemas de información

críticos de la compañía.

✓ Definir las directrices para asegurar la contingencia y continuidad de los procesos críticos que

conforman Américas Business Process Services.

✓ Definir las directrices para asegurar la contingencia y continuidad de los procesos que

contractualmente lo requieran.

4.17.2. Alcance

La presente política de contingencia y continuidad del negocio aplica para los sistemas de información

que soportan los procesos críticos de Américas Business Process Services en Colombia, para los

procesos críticos de la compañía y para aquellos procesos que contractualmente así lo requieran.


4.17.3.1. Contingencia

✓ El comité directivo de Américas Business Process Services debe garantizar los recursos

requeridos para asegurar la alta disponibilidad de los sistemas de información críticos del

negocio, así como su respectivo mantenimiento y actualización cuando sea necesario.

✓ El comité directivo de Américas Business Process Services debe prestar el apoyo requerido

para llevar a cabo la realización de las pruebas de contingencia del “PL01 TEC 040401 PLAN

CONTINUIDAD DEL NEGOCIO AMÉRICAS BUSINESS PROCESS SERVICES “definido para

la compañía y para cada uno de los procesos que así lo requieran.

✓ La Gerencia de Tecnología con el apoyo de las Direcciones de Infraestructura Tecnológica y

Soporte Tecnológico deben garantizar que toda la plataforma tecnológica que preste servicios

críticos a los diferentes procesos de la compañía cuente con la contingencia requerida para

asegurar su disponibilidad.

✓ La dirección de Infraestructura Tecnológica debe garantizar que se implementen los controles

requeridos para asegurar que toda la plataforma tecnológica que presta servicios críticos a los

diferentes procesos de la compañía se encuentre adecuadamente configurada en alta

disponibilidad.


DOCUMENTO PRIVADO



Soporte Tecnológico deben garantizar que toda la plataforma tecnológica que preste servicios

críticos a los diferentes procesos de la compañía reciba el mantenimiento requerido que

asegure su adecuado funcionamiento.

✓ El proceso de Aseguramiento de la Información debe realizar verificaciones periódicas a los

sistemas críticos del negocio con el propósito de validar que los sistemas de información se

encuentren debidamente asegurados y configurados en alta disponibilidad.

✓ Si se identifican sistemas de información críticos que no cuenten con la contingencia requerida

o que no se encuentren configurados en alta disponibilidad se ejecutará el procedimiento PR

TEC 040402 Reporte Eventos e Incidentes de Seguridad.


Soporte Tecnológico debe contar con un acta de aceptación del riesgo por parte del comité

directivo de la compañía para aquellos sistemas de información críticos que no cuentan con

contingencia, no están configurados en alta disponibilidad, no se les realiza soporte preventivo,

correctivo o no cuenten con actualizaciones para su adecuado funcionamiento.


Soporte Tecnológico deben desarrollar e implementar los planes de contingencia para cada uno

de los sistemas de información críticos que soportan los servicios de la compañía y así mismo

deben programar y ejecutar las respectivas pruebas de los planes elaborados.


Soporte Tecnológico deben asegurarse de incluir planes de recuperación de desastres dentro

de la negociación de nuevos servicios y ampliar el alcance para servicios críticos existentes

tercerizados que no cuenten con dichos planes.

✓ El proceso de Aseguramiento de la Información debe realizar la verificación de la de la

adecuada elaboración de los planes de contingencia elaborados, así como de la ejecución de

las pruebas de contingencia de cada uno de los planes diseñados para los sistemas de

información críticos que soportan los servicios de la compañía.

4.17.3.2. Continuidad

✓ El comité directivo de Américas Business Process Services debe garantizar los recursos

requeridos para asegurar la continuidad de los sistemas de información críticos del negocio, así

como su respectivo mantenimiento y actualización cuando sea necesario.

✓ El comité directivo de Américas Business Process Services debe conocer y aprobar el “PL01

TEC 040401 PLAN CONTINUIDAD DEL NEGOCIO AMÉRICAS BUSINESS PROCESS

SERVICES “definido para la compañía.

✓ El comité directivo de Américas Business Process Services debe prestar el apoyo requerido

para llevar a cabo la realización de las pruebas del “PL01 TEC 040401 PLAN CONTINUIDAD

DEL NEGOCIO AMÉRICAS BUSINESS PROCESS SERVICES “definido para la compañía.

✓ El proceso de Aseguramiento de la Información debe documentar los planes de continuidad de

cada uno de los procesos que lo requirieran.

✓ Las direcciones de Infraestructura Tecnológica y Soporte Tecnológico deben verificar, aprobar e

identificar oportunidades de mejora en los diseños de los planes de continuidad de cada uno de

los procesos que así lo requieran.

✓ El proceso de Aseguramiento de la Información debe coordinar las pruebas de continuidad de

cada uno de los planes diseñados para los procesos que así lo requieran.


DOCUMENTO PRIVADO


✓ El proceso de Aseguramiento de la Información debe mantener actualizado y documentado el

documento “PL01 TEC 040401 PLAN CONTINUIDAD DEL NEGOCIO AMÉRICAS BUSINESS

PROCESS SERVICES “.

✓ La Gerencia de Tecnología con el apoyo de las direcciones de Infraestructura Tecnológica y

Soporte Tecnológico deben verificar, aprobar e identificar oportunidades de mejora para el

“PL01 TEC 040401 PLAN CONTINUIDAD DEL NEGOCIO AMÉRICAS BUSINESS PROCESS

SERVICES “.

✓ El proceso de Aseguramiento de la Información debe realizar las pruebas definidas para

identificar el adecuado funcionamiento y oportunidades de mejora del “PL01 TEC 040401 PLAN

CONTINUIDAD DEL NEGOCIO AMÉRICAS BUSINESS PROCESS SERVICES “.


La aprobación de la política continuidad del negocio será realizada por el comité de seguridad de la



información.



4.18. Política Tecnologías Criticas

Las tecnologías críticas son aquellas tecnologías no habituales o que no han sido autorizadas formalmente

por Américas Business Process Services y que debido al riesgo que pueden representar, deberán ser

autorizadas por el Oficial de Seguridad de la Información quien aprobará el uso de estas mediante un acta

firmada que incluye la justificación para el uso de la tecnología especifica.


✓ Garantizar la correcta utilización de las tecnologías criticas definidas por Américas Business

Process Services para el adecuado aseguramiento y funcionamiento de los procesos del negocio

que así lo requieran.

4.18.2. Alcance

Esta política aplica para todos los empleados, proveedores, contratistas, clientes y terceras partes que

interactúen con sistemas de información de la compañía prestando, recibiendo o gestionando servicios

dentro y fuera de las instalaciones de la empresa y mediante la utilización de dispositivos de tecnología

critica suministrados por Américas Business Process Services.


Las tecnologías criticas definidas por Américas Business Process Services son:


DOCUMENTO PRIVADO


✓ Equipos portátiles

✓ Memorias de almacenamiento USB o discos externos

✓ Smartphones y tablets

✓ Acceso a internet sin restricciones

✓ Acceso a correos electrónicos no corporativos

✓ Dispositivos de acceso inalámbrico

✓ Dispositivos de captura de datos con tarjetas crédito o debito

✓ Conexiones de acceso remoto a la red de Américas Business Process Services

El uso de este tipo de tecnologías está restringido solo a usuarios autorizados y plenamente

identificados, por lo que será necesario garantizar que el uso de tecnologías criticas este precedido de

autenticación de acuerdo con las políticas de control de acceso y gestión de contraseñas, el área de

Aseguramiento de la Información deberá mantener un listado actualizado con los productos o

tecnologías criticas autorizadas, el personal asignado y la justificación de uso de las mismas, este

listado deberá actualizarse anualmente.

4.18.3.1. Conexiones remotas

Para las conexiones remotas se deberá garantizar el uso de múltiple factor de autenticación y se debe realizar el correspondiente monitoreo bajo el periodo de tiempo autorizado a la conexión según lo establecido en el requisito 8 del estándar PCI DSS, una vez finalizado el periodo autorizado se debe desactivar de manera inmediata, se debe tener presente que el tiempo de time out definido para las conexiones VPN es de trecientos segundos de inactividad.

En el caso del personal que tiene acceso a los datos del titular de la tarjeta mediante tecnologías de acceso remoto, se prohíbe copiar, mover y almacenar los datos del titular de la tarjeta en unidades de disco locales y en dispositivos electrónicos extraíbles, a menos que sea autorizado explícitamente por Oficial de Seguridad de la Información para una necesidad comercial legitima. 4.18.3.2. Software autorizado

Solo se podrá utilizar software aprobado por la organización y que se encuentre debidamente

licenciado, en caso de utilizar programas de software libre o bajo licencia GNU, este deberá ser

autorizado formalmente por el Oficial de Seguridad de la Información. La instalación de software sin

autorización será considerada como una violación a las políticas de seguridad de la información

definidas por la compañía.

4.18.3.3. Uso aceptable

Las tecnologías denominadas críticas que han sido aprobadas formalmente solo podrán ser

utilizadas para el desarrollo de actividades estrictamente relacionadas con los objetivos del negocio

y no podrán ser utilizadas para fines de uso personal o de terceros.

4.18.3.4. Ubicación aceptable

Las tecnologías denominadas críticas que han sido aprobadas formalmente solo podrán estar

físicamente ubicadas dentro de las instalaciones de la organización (ejemplo: equipos de red), en

caso de requerir el uso de la tecnología o servicio critico fuera de las instalaciones de la compañía,

se debe contar con autorización del Oficial de Seguridad de la Información.


DOCUMENTO PRIVADO



La aprobación de la política tecnologías criticas será realizada por el comité de seguridad de la



información. 4.18.5. Periodo de revisión


4.19. Política Gestión de LOG y Registros de Auditoria

Américas Business Process Services busca conocer el comportamiento de la plataforma tecnológica que

soporta los sistemas de información que prestan servicio a las operaciones del negocio y dentro de los

cuales se encuentran los que están dispuestos para prestar los servicios de PCI DSS en el CDE definido

para dicho fin, esto con el propósito de determinar los planes de acción requeridos para trata los eventos

que se puedan presentar en la plataforma tecnológica, con el objetivo de fortalecer el aseguramiento de

esta.


Conocer el comportamiento de la plataforma tecnológica que soporta los sistemas de información con los

cuales se prestan servicios a los diferentes clientes operativos y administrativos que conforman Américas

BPS.

4.19.2. Alcance

Esta política aplica para todos los dispositivos de la plataforma tecnológica que conforman el CDE

definido por Américas Business Process Services, para la prestación de servicios de PCI DSS a cada

uno de los procesos y subprocesos que lo requieran.


✓ El comité directivo de Américas Business Process Services debe garantizar los recursos financieros

y tecnológicos requeridos para la contratación de un SOC (Centro de Operaciones de Seguridad)

que dé cumplimiento con los requerido por la norma PCI DSS.

✓ Se debe contar con los servicios de un SOC (Centro de Operaciones de Seguridad) para llevar a

cabo la recolección, análisis, identificación y almacenamiento de los logs del CDE definido por


✓ Los reportes suministrados por el proveedor del servicio de SOC deben ser emitidos de acuerdo

con lo dispuesto en requisito 10 numerales 10.6.1, 10.6.2, 10.6.3 y 10.7 de la norma PCI DSS.

✓ El proveedor de servicios de SOC (Centro de Operaciones de Seguridad) debe garantizar el

almacenamiento de logs de eventos y auditoria al menos un año con un mínimo de disponibilidad

de tres meses en línea, de acuerdo con lo definido en la norma PCI DSS requisito 10 numeral 10.7.


DOCUMENTO PRIVADO


✓ El proveedor de servicios de SOC (Centro de Operaciones de Seguridad) debe garantizar el

monitoreo diario de:

➢ Todos los eventos de seguridad.

➢ Registros de todos los componentes del sistema que almacenan, procesan o transmiten CHD

y/o SAD

➢ Registros de todos los componentes críticos del sistema.

➢ Registros de todos los servidores y componentes del sistema que realizan funciones de

seguridad (por ejemplo, firewalls, IDS/IPS [sistemas de intrusión-detección y sistemas de

intrusión-prevención], servidores de autenticación, servidores de redireccionamiento de

comercio electrónico, etc.).

➢ El seguimiento de la ejecución de las acciones correctivas por parte de los administradores la

realizara el área de aseguramiento de la información.

✓ Será de estricto cumplimiento por parte de cada uno de los administradores de la plataforma que

soporta el CDE el procedimiento “PR TEC 040413 Gestión de LOG y Registros de Auditoria”.


La aprobación de la política Gestión de LOG y Registros de Auditoria será realizada por el comité de


debe ser propuesto por el coordinador de seguridad de la información y objeto de aprobación del comité

de seguridad de la información.



4.20. Política Gestión de Vulnerabilidades

Américas Business Process Services define las directrices para llevar a cabo la gestión de vulnerabilidades

técnicas como proceso continuo para asegurar el adecuado funcionamiento de cada uno de los dispositivos

que forman parte de la plataforma tecnológica con el propósito de asegurar el adecuado funcionamiento y

gestión de las operaciones del negocio.


Definir las directrices para llevar a cabo la identificación, seguimiento, control y atención de las

vulnerabilidades técnicas identificadas mediante la realización de pruebas de ethical hacking y análisis

de vulnerabilidades internas y externas ejecutados en los diferentes sistemas de información, dispositivos

conectados a la red y plataformas tecnológicas de Américas Business Process Services, con el propósito

de mantener un aseguramiento adecuado de la plataforma tecnológica, mitigando siempre que sea

posible los diferentes riesgos asociados a las vulnerabilidades identificadas.


DOCUMENTO PRIVADO


4.20.2. Alcance

Esta política aplica para todos los dispositivos de la plataforma tecnológica de Américas Business

Process Services.


4.20.3.1. Gestión de vulnerabilidades técnicas

✓ Es responsabilidad del Área de Seguridad de la Información, crear y mantener un procedimiento

operativo regular para identificar las vulnerabilidades técnicas en todos los activos de

información de Américas Business Process Services.

✓ Como resultado del procedimiento operativo “PR TEC 040404 Gestión de Vulnerabilidades

Técnicas” las normas de configuración de seguridad se actualizan, según sea necesario, para

reflejar la identificación de nuevas vulnerabilidades.

4.20.3.2. Test o pruebas de Vulnerabilidad

El Área de Aseguramiento de la Información es responsable de realizar y/o gestionar la realización

del escaneo de las redes internas y externas al menos cada trimestre y después de cualquier

cambio significativo en la red (por ejemplo. La instalación de nuevos componentes, los cambios en

la topología de la red, las reglas de firewall, actualizaciones de producto).

El análisis de vulnerabilidad externa debe ser realizada por un proveedor aprobado de escaneo

(ASV), aprobado por el Consejo de Normas de Seguridad de Tarjetas de Pago Industry (PCI SSC).

Los escaneos externos de vulnerabilidad realizados después de cambios en la red y todos los

escaneos de vulnerabilidades internas deben ser llevados a cabo por personal interno calificado, a

condición de que dicho personal sea independiente organizativamente o este desligado de

responsabilidad del ambiente en prueba.

Los resultados de cada exploración deben cumplir con los requisitos del programa ASV (ej., no hay

vulnerabilidades calificadas con la puntuación más alta o igual a 4,0 por CVSSv2 sin fallos

automáticos o cualquier vulnerabilidad que se considere "alto", de acuerdo con la configuración de

esta política).

4.20.3.3. Test de Penetración Internos y Externos

Las Pruebas de penetración interna y externa a nivel de red y aplicación se deben realizar cada

seis meses o después de cualquier cambio significativo (como, por ejemplo, la instalación de

nuevos componentes del sistema, cambios en la topología de la red, modificaciones en las normas

de firewall, actualizaciones de productos).

La prueba en la capa de red debe incluir componentes que apoyan las funciones de red y sistemas

operativos. La prueba en la capa de aplicación debe incluir al menos las vulnerabilidades que


DOCUMENTO PRIVADO


figuran en la POTEC 040301 Política de Desarrollo Seguro de Aplicaciones definida por la

compañía.

El Área de Aseguramiento de la Información coordinará la realización de las pruebas de

penetración externas e internas usando una empresa de seguridad calificada o una fuente interna

calificada que tenga conocimientos en la realización de pruebas de penetración y hacking ético. Si

se elige el personal interno para llevar a cabo una prueba de penetración, dicho personal debe

estar separado de la administración del entorno a evaluar, así mismo no debe tener responsabilidad

alguna sobre el ambiente que se está probando.

Todas las vulnerabilidades explotables identificadas deben corregirse en el menor tiempo posible,

así mismo una vez se confirme su corrección debe repetirse la prueba con el objetivo de validar la

remediación de la vulnerabilidad identificada.

Para llevar a cabo la realización de las pruebas de penetración y análisis de vulnerabilidades

externos e internos el proveedor seleccionado debe utilizar una metodología que incluya lo

siguiente:

a) Que esté basada en los enfoques de pruebas de penetración aceptados por la industria (por

ejemplo, NIST SP800- 115).

b) Que incluya cobertura de todo el perímetro del CDE (entorno de datos del titular de la tarjeta) y

de los sistemas críticos.

c) Que incluya pruebas del entorno interno y externo de la red.

d) Que Incluya pruebas para validar cualquier segmentación y controles de reducción del alcance.

e) Que defina las pruebas de penetración de la capa de la aplicación para que incluyan, al menos,

las vulnerabilidades enumeradas en el Requisito 6.5.

f) Que defina las pruebas de penetración de la capa de la red para que incluyan los componentes

que admiten las funciones de red y los sistemas operativos.

g) Que incluya la revisión y evaluación de las amenazas y vulnerabilidades ocurridas en los

últimos 12 meses.

h) Que especifique la retención de los resultados de las pruebas de penetración y los resultados

de las actividades de corrección.

4.20.3.4. Escaneo de puntos de acceso inalámbrico no autorizados

Por lo menos trimestralmente, el área de Aseguramiento de la Información o el proveedor definido

debe ejecutar una búsqueda de presencia de puntos de acceso inalámbrico no autorizado en todas

las instalaciones de la compañía en las cuales se procesen, almacenen y/o transmitan datos de

tarjetahabiente, utilizando una combinación de análisis de redes inalámbricas, inspecciones físicas

y lógicas de los componentes del sistema y la infraestructura, el control de acceso a red (NAC) o un

inalámbrico IDS / IPS. Cualquier de estos métodos utilizados, debe ser suficiente para detectar e

identificar los dispositivos inalámbricos no autorizados, incluyendo por lo menos los siguiente:

1. Adaptadores Wireless insertados en componentes del sistema.

2. Dispositivos Wireless portables conectados a componentes del sistema (vía USB, Por ejemplo).

3. Dispositivos Wireless conectados a puntos de red o dispositivos de red.


DOCUMENTO PRIVADO


En los casos en que se utilice un mecanismo de detección de intrusos automático (por ejemplo, IDS

/ IPS inalámbrico, NAC, etc.), los equipos deben estar configurados para generar alertas al personal

correspondiente. Si usted sospecha de dispositivos inalámbricos no autorizados, el procedimiento

PR TEC 040402 Reporte Eventos e Incidentes de Seguridad debe ser activado y las medidas

adecuadas adoptadas para hacer frente a las posibles consecuencias.


La aprobación de la política Gestión de Vulnerabilidades será realizada por el comité de seguridad de la



información.



4.21. Política Despliegue de Actualizaciones

Américas Business Process Services define las directrices para llevar a cabo la adecuada actualización

e instalación de actualizaciones y parches de seguridad para cada uno de los dispositivos que forman

parte de la infraestructura tecnológica que soporta las operaciones del negocio, con el objetivo de

asegurar una adecuada prestación de los servicios.


Llevar a cabo la adecuada instalación, actualización y despliegue de las diferentes actualizaciones y

parches de seguridad requeridos para el adecuado funcionamiento y aseguramiento de cada uno de los

dispositivos que conforman la plataforma tecnológica de Américas Business Process Services.

4.21.2. Alcance

Esta política aplica para llevar a cabo el despliegue de actualizaciones y parches de seguridad de cada

uno de los dispositivos y sistemas de información que forman parte de la plataforma tecnológica que

soporta las operaciones del negocio de Américas Business Process Services.


A continuación, se definen las directrices para llevar a cabo la adecuada instalación de actualizaciones

y parches de seguridad requeridos para asegurar el adecuado funcionamiento de los diferentes

dispositivos y sistemas de información que conforman la plataforma tecnológica de Américas Business

Process Services:

✓ Es responsabilidad de cada uno de los administradores de plataforma ejecutar el procedimiento PR

TEC 040114 Gestión de Cambios para llevar a cabo la implementación de cada una de las


DOCUMENTO PRIVADO


actualizaciones de seguridad requeridas para el adecuado aseguramiento de las diferentes

plataformas tecnológicas y sistemas de información de la compañía.

✓ Es responsabilidad de cada uno de los administradores de plataforma ejecutar el procedimiento PR

TEC 040243 Actualización Plataformas Tecnológicas para llevar a cabo la implementación de cada

una de las actualizaciones de seguridad requeridas para el adecuado aseguramiento de las

diferentes plataformas tecnológicas y sistemas de información de la compañía.

✓ Es responsabilidad de los administradores de cada plataforma llevar a cabo la instalación de las

actualizaciones o parches de seguridad emitidos por el fabricante y/o desarrollador.

✓ Es responsabilidad de los administradores de cada plataforma llevar a cabo el despliegue e

instalación de las actualizaciones o parches de seguridad emitidos por el fabricante dentro de los

noventa días siguientes a la liberación de la actualización por parte del fabricante y/o desarrollador.

✓ Es responsabilidad de los administradores de cada plataforma llevar a cabo el despliegue e

instalación de las actualizaciones o parches de seguridad emitidos por el fabricante y/o

desarrollador dentro de los treinta días siguientes a la liberación de la actualización por parte del

fabricante y/o desarrollador, esta directriz aplica para los dispositivos y sistemas de información que

hacen parte del alcance definido para dar cumplimiento a la norma PCI DSS V3.2.

✓ Es responsabilidad de los administradores de cada plataforma descargar las actualizaciones o

parches de seguridad a instalar, directamente de las paginas autorizadas por el fabricante y/o

desarrollador.

✓ Es responsabilidad de los administradores de cada plataforma realizar pruebas de las

actualizaciones o parches de seguridad emitidos por el fabricante y/o desarrollador antes de realizar

el despliegue en los dispositivos que se encuentran en producción con el propósito de mitigar las

fallas que se puedan presentar en cada uno de los dispositivos a intervenir.


La aprobación de la política Despliegue de Actualizaciones será realizada por el comité de seguridad de

la información. Cualquier cambio, corrección o actualización en el presente documento debe ser

propuesto por el coordinador de seguridad de la información y objeto de aprobación del comité de




Aprobada por

Maria Victoria Gantivar Suarez

Américas Business Process Services S.A.

Representante Legal Suplente


DOCUMENTO PRIVADO


CONTROL DE CAMBIOS

VERSIÓN DESCRIPCIÓN DEL CAMBIO ELABORÓ APROBÓ

00 del 25/05/2012 Creación del documento. Richard Mauricio Sanabria Bello

Coordinador Seguridad de la información

Jorge Enrique Cote Velosa Gerente General

01 del 19/06/2012 Actualización Política y objetivos de seguridad de la información.

Richard Mauricio Sanabria Bello Coordinador Seguridad de la

información


02 del 15/10/2013 Actualización Política Uso de Computadores Portátiles por Terceras Partes y adición de la política control de acceso.


información


03 del 20-08-2014 Actualización de imagen corporativa (logo). Diana Buelvas

Documentadora Jorge Enrique Cote Velosa

Gerente General

04 del 01/10/2014 Actualización, política uso del correo electrónico corporativo, actualización de imagen corporativa (logo, nombre).


información


05 del 30/06/2015

Inclusión de la política de Clasificación, etiquetado y manejo de la información, actualización de la política y objetivos de seguridad de la información


información


06 del 05/10/2015

Se realizan ajustes a la política de correo electrónico corporativo donde se incluyen nuevas normas corporativas, se modifica la política de Uso de Computadores Portátiles Empleados Américas Business Process Services y se establece como Uso de Computadores Portátiles y Dispositivos Móviles por Empleados de Américas Business Process Services se ingresan nuevas normas para la utilización de dispositivos móviles, se anexan las políticas de: Uso de internet, Intranet y Almacenamiento en la Nube. Política de relación con Proveedores


información

Juan Pablo Ruiz Hernandez Gerente General

07 del 10/03/2016

Se retira la política de Clasificación, etiquetado y manejo de la información, se realiza la actualización de la política y objetivos de seguridad de la información con el propósito de dar alcance a la norma PCI, se anexan las políticas de: Política Gestión de Piso Política Gestión del Riesgo Política Controles Criptográficos


información


08 del 21/06/2016

Se realizó la modificación a la Política y Objetivos de Seguridad de la Información en específico al párrafo que hacía referencia a la valoración del riesgo donde se indicaba que se tenía como línea base la NTC ISO 27005, se incluyó la NTC ISO 31000. Se realiza la actualización de los Objetivos del SGSI se retiran los objetivos: ✓ Aumentar el nivel de confianza en los clientes

actuales y en los potenciales. ✓ Garantizar la seguridad de la infraestructura física y

tecnológica de las operaciones del negocio. ✓ Proteger la Información de la organización y de

nuestros clientes. ✓ Facilitar el cumplimiento legal y regulatorio en torno

a los datos corporativos. Y se implementan los nuevos objetivos: ✓ Aumentar el nivel de confianza en los clientes. ✓ Proporcionar las directrices y herramientas para

garantizar la confidencialidad, integridad y disponibilidad de los activos de información de los procesos del negocio y del cliente.

✓ Proporcionar las directrices y herramientas para garantizar el cumplimiento legal y regulatorio en torno a los datos corporativos.


información



DOCUMENTO PRIVADO


09 del 30/09/2016

Se realiza la inclusión de 2 nuevas políticas al Manual de Políticas de Seguridad de la Información Américas Business Process Services: ✓ Política Control Código Malicioso

✓ Política Backup

Se realiza una modificación a la política de control de

acceso y puntualmente a la siguiente directriz:

✓ El área de seguridad de la información definirá los

controles para solicitar y aprobar el acceso a

internet, los accesos serán solicitados formalmente

por el director del área o campaña a cargo del

personal que lo requiera y la autorización será

otorgada por el área de seguridad de la información

previa verificación de la justificación de la solicitud,

teniendo en cuenta los requerimientos del negocio,

las políticas, procedimientos, controles y buenas

prácticas de seguridad de la información

implementadas en Américas Business Process

Services.

La cual se modifica con la siguiente directriz:

✓ El área de seguridad de la información definirá los controles para solicitar y aprobar el acceso a internet y asignación de conexiones VPN, los accesos serán solicitados formalmente por el director del área o campaña a cargo del personal que lo requiera y la autorización será otorgada por el área de seguridad de la información previa verificación de la justificación de la solicitud, teniendo en cuenta los requerimientos del negocio, las políticas, procedimientos, controles y buenas prácticas de seguridad de la información implementadas en Américas Business Process Services.


información


10 del 30/06/2017

Se realizo un ajuste a la siguiente directriz de la Política de Control de Acceso: ✓ Con el objetivo de mantener un control eficaz del

acceso a los datos y servicios de información de

Américas Business Process Services, el propietario

de la información llevará a cabo un proceso formal

de verificación de los derechos de acceso del

personal a su cargo, dicha verificación deberá

realizarse como mínimo cada 12 meses.

La cual se modifica con la siguiente directriz: ✓ Con el objetivo de mantener un control eficaz del

acceso a los datos y servicios de información de

Américas Business Process Services, el propietario

de la información llevará a cabo un proceso formal

de verificación de los derechos de acceso del

personal a su cargo, dicha verificación deberá

realizarse como mínimo cada 6 meses.


información



DOCUMENTO PRIVADO


11 del 22/01/2018

Se realiza a modificación de la política de Gestión de Piso y se incluyen las siguientes directrices: ➢ No está permitida la decoración de los elementos

de emergencia tales como extintores, gabinetes de incendio, botones de pánico, alarmas, salidas de emergencia, camillas, botiquín de primeros auxilios, etc., estos deben estar despejados y visibles en todo momento.

➢ No se debe obstaculizar la utilización de los elementos de emergencia tales como extintores, gabinetes de incendio, botones de pánico, alarmas, salidas de emergencia, camillas, botiquín de primeros auxilios, etc., estos deben estar despejados y visibles en todo momento.

Se realizo la inclusión de las siguientes políticas:

➢ Política de Continuidad del Negocio ➢ Política Uso de Tecnologías Criticas


información


12 del 16/04/2018

Se realizo la inclusión de las siguientes políticas:

➢ Política Gestión de LOG y Registros de Auditoria.

➢ Política Gestión de Vulnerabilidades. ➢ Política Despliegue Actualizaciones


información


manual de polÍticas de seguridad de la informaciÓn...

Documents