Transparencia

Mecanismos de contacto con el sujeto obligado

Estimado Usuario, Promoambiental Distrito S.A.S. E.S.P., ha destinado esta sección de transparencia para facilitar el acceso a la información de interés público que genera la Entidad. Lo invitamos a conocer su contenido.

Política de seguridad de la información

En la actualidad la información de la compañía ha crecido considerablemente, llegando a reconocerse como un activo muy valioso y a medida que los sistemas de información apoyan cada vez más los procesos misionales, se requiere contar con estrategias de que permitan el control y administración efectiva de los datos.

Los sistemas y redes de información por más pequeños que sean siempre están expuestos a amenazas de seguridad que incluyen, entre muchas otras: el fraude por computador, espionaje, sabotaje, fuego o robo. Las posibilidades de daño y pérdida de información por causa de virus o mal uso se hacen cada vez más comunes.

Con el establecimiento de la presente Política de Seguridad de la Información Central Colombiana de Aseo S.A. E.S.P establece su compromiso con el proceso de gestión responsable de la información, que tiene como objetivo garantizar la integridad, confidencialidad y disponibilidad de este importante activo, teniendo como eje el cumplimiento de los objetivos misionales de la compañía.

ACERCA DE LA SEGURIDAD DE LA INFORMACIÓN

La seguridad de la información se entiende como la preservación, aseguramiento y cumplimiento de las siguientes características de la información:

  • Confidencialidad: los activos de información solo pueden ser accedidos y custodiados por usuarios que tengan permisos para ello.
  • Integridad: El contenido de los activos de información debe permanecer inalterado y completo. Las modificaciones realizadas deben ser registradas asegurando su confiabilidad.
  • Disponibilidad: Los activos de información sólo pueden ser obtenidos a corto plazo por los usuarios que tengan los permisos adecuados.

Para ello es necesario considerar aspectos tales como:

  • Autenticidad: Los activos de información los crean, editan y custodian usuarios reconocidos quienes validan su contenido.
  • Posibilidad de Auditoría: Se mantienen evidencias de todas las actividades y acciones que afectan a los activos de información.
  • Protección a la duplicación: Los activos de información son objeto de clasificación, y se llevan registros de las copias generadas de aquellos catalogados como confidenciales.
  • No repudio: Los autores, propietarios y custodios de los activos de información se pueden identificar plenamente.

La información es un recurso que, como el resto de los activos, tiene valor para la empresa y por consiguiente debe ser debidamente protegida. El establecimiento, seguimiento, mejora continua y aplicación de la Política de Seguridad de la Información garantiza un compromiso obligatorio de protección a la misma, frente a una amplia gama de amenazas. Con esta política se contribuye a minimizar los riesgos asociados de daño y se asegura el eficiente cumplimiento de las funciones sustantivas de la entidad apoyadas en un correcto sistema de información.

Esta política es de aplicación en el conjunto de áreas que componen la organización, a sus recursos, a la totalidad de los procesos internos o externos vinculados está a través de contratos o acuerdos con terceros y a todo el personal cualquiera sea su situación contractual, la dependencia a la cual se encuentre asociado y el nivel de las tareas que desempeñe.

Establecer las medidas organizacionales, técnicas, físicas y legales, necesarias para proteger los activos de información contra acceso no autorizado, divulgación, duplicación, interrupción de sistemas, modificación, destrucción, pérdida, robo, o mal uso, que se pueda producir en forma intencional o accidental.

RESPONSABILIDAD

Es responsabilidad de cada proceso hacer uso de la política de Seguridad de la Información, como parte de sus herramientas de gestión, acoplándolos a sus procedimientos o lineamientos, garantizando su cumplimiento.

CUMPLIMIENTO

El cumplimiento de la política de seguridad de la Información es obligatorio. Si los empleados, consultores o terceras partes violan estas políticas, la organización se reserva el derecho de tomar las medidas correspondientes.

EXCEPCIONES

Las excepciones a cualquier cumplimiento de política de seguridad de la información deben ser aprobadas por la Gerencia general. Todas las excepciones a la política deben ser formalmente documentadas, registradas y revisadas.

ADMINISTRACIÓN DE LAS POLÍTICAS

El área de T.I. mantiene, administra la implementación de esta política dentro de la compañía con el fin de velar por su cumplimiento. Por otro lado las modificaciones o adiciones de la política de seguridad de la información serán propuestas a la gerencia, quien realizará su respectiva verificación y/o aprobación.

Esta política debe ser revisada como mínimo una vez al año o cuando sea necesario.

Todo el personal de la organización, cualquiera sea su situación contractual, la dependencia a la cual se encuentre asignado y el nivel de las tareas que desempeñe debe tener asociado un perfil de uso de los recursos de información, incluyendo el hardware y software asociado. El área de T.I. en coordinación con la Gerencia debe mantener un directorio completo y actualizado de tales perfiles.

  • El área de T.I. determina cuales son los atributos que deben definirse para los diferentes perfiles.
  • La responsabilidad de custodia de cualquier archivo mantenido, usado o producido por el personal que se retira, o cambia de cargo, recae en el líder de proceso; en todo caso el proceso de cambio en la cadena de custodia de la información debe hacer parte integral del procedimiento de terminación de la relación contractual o de cambio de cargo.

RESPONSABILIDADES PARA LA SEGURIDAD DE LA INFORMACIÓN.

Central Colombiana de Aseo S.A. E.S.P es el propietario de la información. Su tenencia y manejo es delegada a los gerentes de la compañía, quienes son responsables de la custodia de la información que se genera y se copia en los servidores y discos externos asociados al backup. Por ello los gerentes deben ser conscientes de los riesgos a la que está expuesta la información a su cargo, de forma que deben estar siempre al frente tratando de disminuir estos riesgos.

RESPONSABILIDADES PARA EL PERSONAL

El T.I. se encargará de crear, actualizar, mantener y ejecutar un plan de capacitación en seguridad de la información que se enfoque en el crecimiento continuo de la conciencia individual y colectiva en temas de seguridad de la información.

Es responsabilidad del personal tener presente estas capacitaciones al igual que asistir a estas. Adicional a esto y para una seguridad efectiva se requiere la cooperación activa del personal, quienes dentro de sus responsabilidades deben realizar de controles de acceso, en particular, aquellos con referencia al uso de contraseñas.

El área de T.I. implementará los procedimientos necesarios que permitan controlar la creación, modificación, desactivación y eliminación de usuarios, administración de contraseñas y permisos de acceso a los recursos tecnológicos y a la información.

El área de apoyo se encargará también de crear y mantener un centro documental de acceso general con información relacionada con temas de seguridad de la información tales como responsabilidad en la administración de archivos, buenas prácticas, amenazas de seguridad, entre otros.

USUARIOS INVITADOS Y SERVICIOS DE ACCESO PÚBLICO

El acceso de usuarios no registrados solo se debe permitir por medio de aplicaciones desarrolladas para clientes o terceros como la página web en lo relacionado con PQR. El acceso y uso a cualquier otro tipo de recurso de información y TI no es permitido a usuarios invitados o no registrados.

El cuarto de servidores y de equipos de TIC, debe de estar en un área protegidas físicamente contra el acceso no autorizado, daño o interferencia.

CONTROLES DE ACCESO FÍSICO

El acceso a áreas TIC restringidas sólo se debe permitir para:

  • Desarrollo de operaciones tecnológicas.
  • Tareas de aseo (monitoreado por personal especializado).
  • Pruebas de equipos.
  • Almacenamiento de equipos.
  • Implementación o mantenimiento de los controles ambientales.


USO DE EQUIPOS PERSONALES

El uso de equipos portátiles personales que no sean de la organización está prohibido por cuanto se pierde el nivel de control y aseguramiento de la información allí contenida.

De la misma forma se debe restringir el ingreso de equipos portátiles, USB, discos duros de uso personal a la compañía.

ESCRITORIO LIMPIO

La implementación de una directriz de escritorio limpio permitirá reducir el riesgo de acceso no autorizado o daño a medios y documentos.

Los computadores deben bloquearse después de diez (10) minutos de inactividad, el usuario tendrá que autenticarse antes de reanudar su actividad. Todos los, consultores o terceras partes, deben bloquear la sesión al alejarse de su computador.

SEGURIDAD EN LOS EQUIPOS

Para prevenir la pérdida de información daño de los activos de información y la interrupción de las actividades de cada proceso, los equipos deben estar conectados a la toma regulada o estabilizador.

Los servidores que contengan información y servicios corporativos deben ser mantenidos en un ambiente seguro y protegido por los menos con:

  • Controles de acceso y seguridad física.
  • Detección de incendio y sistemas de extinción de conflagraciones.
  • Controles de humedad y temperatura
  • Sistemas eléctricos regulados y respaldados por fuentes de potencia ininterrumpida (UPS).


El área de T.I. debe asegurar mediante un programa de mantenimiento la infraestructura de servicios de TI y el soporte adecuado de software.

Las estaciones de trabajo deben estar correctamente aseguradas por personal de la compañía, el cual debe estar capacitado acerca del contenido de esta política y de las responsabilidades personales en el uso y administración de su información.

Cada proceso tiene la responsabilidad de adoptar y cumplir las normas definidas para la creación y el manejo de copias de seguridad.

REPORTE E INVESTIGACIÓN DE INCIDENTES DE SEGURIDAD.

El personal de la compañía debe reportar inmediatamente presuntas violaciones de seguridad a través de su coordinador de proceso, al área de T.I..

PROTECCIÓN CONTRA SOFTWARE MALICIOSO Y HACKING

Todos los sistemas informáticos deben ser protegidos teniendo en cuenta un enfoque multinivel que involucre controles humanos, físicos técnicos y administrativos. El Área de T.I. elaborará y mantendrá un conjunto de políticas, procedimientos y guías que garanticen la mitigación de riesgos asociados a amenazas de software malicioso y técnicas de hacking.

En todo caso y como control mínimo, los equipos de la compañía deben estar protegidos un por software antivirus con capacidad de actualización automática en cuanto a firmas de virus. Los usuarios de estos equipos no están autorizados a deshabilitar este control.

COPIAS DE SEGURIDAD

Toda información corporativa o que sea de interés para un proceso o de misión crítica debe ser respaldada por copias de seguridad tomadas de acuerdo a los procedimientos documentados por área de T.I. Dicho procedimiento debe incluir las actividades de almacenamiento de las copias en sitios seguros.

El área de apoyo debe realizar pruebas controladas para asegurar que las copias de seguridad pueden ser correctamente leídas y restauradas. Las copias de seguridad de información crítica deben ser mantenidas de acuerdo a cronogramas definidos y publicados por el área de T.I..

La creación de copias de seguridad de archivos usados, custodiados o producidos por usuarios individuales es responsabilidad exclusiva de dichos usuarios.

ADMINISTRACIÓN DE CONFIGURACIONES DE RED

La configuración de enrutadores, switches, firewall, y otros dispositivos de seguridad de red; debe ser documentada, respaldada por copia de seguridad y mantenida por el área de T.I.

INTERNET Y CORREO ELECTRÓNICO.

Las normas de uso de Internet y de los servicios de correo electrónico serán elaboradas, mantenidas y actualizadas por el área de T.I. y en todo caso este comité debe velar por el cumplimiento del código de ética institucional y el manejo responsable de los recursos de tecnologías de la información.

INSTALACIÓN DE SOFTWARE

Todas las instalaciones de software que se realicen sobre equipos de la compañía deben ser aprobadas por área de T.I., de acuerdo a los procedimientos elaborados para tal fin.

No se permite la instalación de software que viole las leyes de propiedad intelectual y derechos de autor y relacionadas. El área de T.I. debe desinstalar cualquier software ilegal.

CATEGORÍAS DE ACCESO

El acceso a los recursos de tecnologías de información debe estar restringido según los perfiles de usuario definidos por el área de T.I.

CONTROL DE CLAVES Y NOMBRES DE USUARIO

El acceso interno a software de información y los datos que contienen es responsabilidad exclusiva del personal encargado de tales sistemas.

El control de las contraseñas de red y uso de equipos es responsabilidad del área de T.I., Dichas contraseñas deben ser codificadas y almacenadas de forma segura.

Las claves de administrador de los sistemas deben ser conservadas por área de T.I. y deben ser cambiadas en intervalos regulares de tiempo y en todo caso cuando el personal responsable las cambie.

El área de T.I. debe elaborar, mantener y actualizar el procedimiento y las guías para la correcta definición, uso y complejidad de claves de usuario.

Como requisito para la terminación de relación contractual o laboral del personal se debe realizar el cambio inmediato de contraseñas de cada recurso utilizado por la persona que deja el cargo.

GENERALIDADES

Para apoyar los procesos operativos y estratégicos la compañía se debe hacer uso intensivo de las tecnologías de la información y las comunicaciones. Los sistemas de software utilizados pueden ser adquiridos a través de terceras partes o desarrollados por personal propio.

En caso de un desarrollo propio dentro de la compañía, el área de T.I. elige, elabora, mantener y difunde un método de desarrollo de sistemas software que incluya lineamientos, procesos, buenas prácticas, plantillas y demás artefactos que sirvan para regular los desarrollos de software internos en un ambiente de mitigación del riesgo y aseguramiento de la calidad.

SEGURIDAD DE LAS APLICACIONES DEL SISTEMA.

Se deben desarrollar estándares que indiquen cómo se deben asegurar los diferentes sistemas, aplicaciones y desarrollos, para minimizar la aparición de errores, pérdidas y modificaciones no autorizadas o usos indebidos en la información de las aplicaciones.

Se deben diseñar controles adecuados en las aplicaciones, para garantizar un correcto procesamiento. Se debe incluir la validación de los datos introducidos, el procesamiento interno y los datos resultantes.

Las aplicaciones que se desarrollen deben cumplir unos requerimientos mínimos de seguridad, conforme a las buenas prácticas en seguridad de la información y a esta política de seguridad.

SEGURIDAD DE LOS SISTEMAS DE ARCHIVOS.

Se debe controlar el acceso al sistema de archivos y al código fuente de los programas. La actualización del las aplicaciones y las librerías, sólo debe ser llevada a cabo por el área de T.I.

SEGURIDAD DE LOS PROCESOS DE DESARROLLO Y SOPORTE

Se requiere de un control estricto en la implementación de cambios. Los procedimientos de control de cambios deben validar que los procesos de seguridad y control no estén comprometidos; dichos cambios deben ser aprobados con un procedimiento adecuado y con la documentación correspondiente.

Todo uso y seguimiento de uso a los recursos de TI de la compañía debe estar de acuerdo a las normas y estatutos internos así como a la legislación nacional en la materia, incluido pero no restringido a:

  • Constitución Política de Colombia
  • Ley 5271999 Ley de comercio electrónico.
  • ISO9001
  • NTC 27001:2006. Sistema de Gestión de Seguridad de la Información
  • ISO/IEC 17799:2005 Information technology Security techniques Code of practice for information security management.