Return to previous page

Políticas Especificas

Políticas Especificas de Seguridad de la Información

1. INTRODUCCIÓN

Las amenazas que vulneran la seguridad de la información pueden afectar considerablemente la imagen, el desarrollo de proyectos de FilmFlow  y de sus partes interesadas, así como sus activos de información más críticos, consientes de estos impactos, y como respuesta a su compromiso de la preservación de los pilares del  seguridad de la información, la Alta Gerencia de FilmFlow  desarrolla y aprueba la presente política para proteger y garantizar la disponibilidad, confidencialidad e integridad de la información, así como el establecimiento, implementación, mantenimiento y mejora continua de su sistema de gestión de seguridad de la información.

2. GLOSARIO

Activo: En relación con la seguridad de la información, se refiere a cualquier información o elemento relacionado con el tratamiento de esta (sistemas, soportes, edificios, personas…) que tenga valor para la organización. (ISO/IEC 27000).

Amenazas: Causa potencial de un incidente no deseado, que puede provocar daños a un sistema o a la organización. (ISO/IEC 27000).

Análisis de Riesgo:  Proceso para comprender la naturaleza del riesgo y determinar el nivel de riesgo. (ISO/IEC 27000)

Auditoría: Proceso sistemático, independiente y documentado para obtener evidencias de auditoría y obviamente para determinar el grado en el que se cumplen los criterios de auditoría. (ISO/IEC 27000). 

Autorización: Consentimiento previo, expreso e informado del Titular para llevar a cabo el Tratamiento de datos personales (Ley 1581 de 2012, art 3) 

Apetito riesgo: Es la exposición al nivel de riesgo que una organización está dispuesta a asumir en el desarrollo de su actividad con el fin de alcanzar sus objetivos estratégicos y cumplir con su plan de negocios. Es una ponderación de alto nivel de cuanto riesgo la administración y la junta están dispuestos aceptar en el logro de sus metas.

Bases de Datos Personales: Conjunto organizado de datos personales que sea objeto de Tratamiento (Ley 1581 de 2012, art 3)

Ciberseguridad: Capacidad del Estado para minimizar el nivel de riesgo al que están expuestos los ciudadanos, ante amenazas o incidentes de naturaleza cibernética. (CONPES 3701). 

Ciberamenaza o amenaza cibernética: Aparición de una situación potencial o actual que pudiera convertirse en un ciberataque.

Control: Son las políticas, los procedimientos, las prácticas y las estructuras organizativas concebidas para mantener los riesgos de seguridad de la información por debajo del nivel de riesgo asumido. Control es también utilizado como sinónimo de salvaguarda o contramedida. En una definición más simple, es una medida que modifica el riesgo.

Confidencialidad: Hace referencia a la protección de información cuya divulgación no está autorizada. (ISO/IEC 27000).

Datos Personales: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables. (Ley 1581 de 2012, art 3). 

Datos Personales Públicos: Es el dato que no sea semiprivado, privado o sensible. Son considerados datos públicos, entre otros, los datos relativos al estado civil de las personas, a su profesión u oficio y a su calidad de comerciante o de servidor público. Por su naturaleza, los datos públicos pueden estar contenidos, entre otros, en registros públicos, documentos públicos, gacetas y boletines oficiales y sentencias judiciales debidamente ejecutoriadas que no estén sometidas a reserva. (Decreto 1377 de 2013, art 3) 

Datos Personales Privados: Es el dato que por su naturaleza íntima o reservada sólo es relevante para el titular. (Ley 1581 de 2012, art 3 literal h) 

Datos Personales Sensibles: Se entiende por datos sensibles aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición, así como los datos relativos a la salud, a la vida sexual, y los datos biométricos. (Decreto 1377 de 2013, art 3) 

Declaración de aplicabilidad: Documento que enumera los controles aplicados por el Sistema de Gestión de Seguridad de la Información – SGSI, de la organización tras el resultado de los procesos de evaluación y tratamiento de riesgos y su justificación, así como la justificación de las exclusiones de controles del anexo A de ISO 27001. (ISO/IEC 27000).

Disponibilidad: La información debe estar en el momento y en el formato que se requiera ahora y en el futuro, al igual que los recursos necesarios para su uso. (ISO/IEC 27000).

Encargado del Tratamiento de Datos: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el Tratamiento de datos personales por cuenta del responsable del Tratamiento. (Ley 1581/2012, art 3). 

Evaluación de Riesgos: Proceso de la entidad para identificar y analizar riesgos relevantes para el logro de sus objetivos, formando las bases para determinar cómo se deben administrar los riesgos.

Gestión de incidentes de seguridad de la información: Procesos para detectar, reportar, evaluar, responder, tratar y aprender de los incidentes de seguridad de la información. (ISO/IEC 27000). 

Incidentes de seguridad de la información: Evento único o serie de eventos de seguridad de la información inesperados o no deseados que poseen una probabilidad significativa de amenazar la seguridad de la información. (ISO/IEC 27000).

Índice de Información clasificada y reservada. Los sujetos obligados deberán mantener un índice actualizado de los actos, documentos e informaciones calificados como clasificados o reservados, de conformidad a esta ley. El índice incluirá sus denominaciones, la motivación y la individualización del acto en que conste tal calificación. Ley 1712 de 2014, Articulo 20

Información. Se refiere a un conjunto organizado de datos contenido en cualquier documento que los sujetos obligados generen, obtengan, adquieran, transformen o controlen. Ley 1712 de 2014, Articulo 6. Definiciones

Información pública. Es toda información que un sujeto obligado genere, obtenga, adquiera, o controle en su calidad de tal. Ley 1712 de 2014, Articulo 6. Definiciones

Información Pública Clasificada: Es aquella información que estando en poder o custodia de un sujeto obligado en su calidad de tal, pertenece al ámbito propio, particular y privado o semiprivado de una persona natural o jurídica por lo que su acceso podrá ser negado o exceptuado, siempre que se trate de las circunstancias legítimas y necesarias y los derechos particulares o privados consagrados en el artículo 18 de la Ley 1712 de 2014, Articulo 6. Definiciones

Información Pública Reservada: Es aquella información que estando en poder o custodia de un sujeto obligado en su calidad de tal, es exceptuada de acceso a la ciudadanía por daño a intereses públicos y bajo cumplimiento de la totalidad de los requisitos consagrados en el artículo 19 de la Ley 1712 de 2014 Ley 1712 de 2014, Articulo 6. Definiciones

Integridad: La información debe ser precisa, coherente y completa desde su creación hasta su destrucción. (ISO/IEC 27000).

Mecanismos de protección de datos personales: Lo constituyen las distintas alternativas con que cuentan las entidades destinatarias para ofrecer protección a los datos personales de los titulares tales como acceso controlado, anonimización o cifrado. 

Plan de continuidad del negocio: Plan orientado a permitir la continuación de las principales funciones misionales o del negocio en el caso de un evento imprevisto que las ponga en peligro. (ISO/IEC 27000). 

Plan de tratamiento de riesgos: Documento que define las acciones para gestionar los riesgos de seguridad de la información inaceptables e implantar los controles necesarios para proteger la misma. (ISO/IEC 27000). 

Registro Nacional de Bases de Datos: Directorio público de las bases de datos sujetas a Tratamiento que operan en el país. (Ley 1581 de 2012, art 25) 

Responsable del Tratamiento de Datos: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el Tratamiento de los datos. (Ley 1581 de 2012, art 3). 

Riesgo: Posibilidad de que una amenaza concreta pueda explotar una vulnerabilidad para causar una pérdida o daño en un activo de información. Suele considerarse como una combinación de la probabilidad de un evento y sus consecuencias. (ISO/IEC 27000). 

Riesgo Inherente: Nivel de riesgo propio de la actividad, sin tener en cuenta el efecto de los controles. En otras palabras, Riesgo Inherente es la probabilidad de que una Entidad pueda incurrir una pérdida material como resultado de su exposición a, y de la incertidumbre que surge de, potenciales eventos adversos futuros. Una pérdida material es una pérdida o combinación de pérdidas que puede dañar/deteriorar la

Riesgo Residual: También conocido como riesgo neto, es el resultado de la mitigación de los riesgos inherentes por parte de la gestión operativa y las funciones de supervisión. En otras palabras, es el riesgo que permanece tras haberse ejecutado. los controles y se hayan tomado las medidas preventivas para dar respuesta a los riesgos identificados.

Seguridad de la información: Preservación de la confidencialidad, integridad, y disponibilidad de la información. (ISO/IEC 27000). 

Sistema de Gestión de Seguridad de la Información SGSI: Conjunto de elementos interrelacionados o interactuantes (estructura organizativa, políticas, planificación de actividades, responsabilidades, procesos, procedimientos y recursos) que utiliza una organización para establecer una política y unos objetivos de seguridad de la información y alcanzar dichos objetivos, basándose en un enfoque de gestión y de mejora continua. (ISO/IEC 27000). 

Titulares de la información: Personas naturales cuyos datos personales sean objeto de Tratamiento. (Ley 1581 de 2012, art 3) 

Tratamiento de Datos Personales: Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión. (Ley 1581 de 2012, art 3). 

Vulnerabilidad: Debilidad de un activo o control que puede ser explotada por una o más amenazas. (ISO/IEC 27000). 

Partes interesadas (Stakeholder): Persona u organización que puede afectar a, ser afectada por o percibirse a sí misma como afectada por una decisión o actividad.

3. OBJETIVO

Proteger los activos de información de FilmFlow, gestionando y cumpliendo con los principios generales que preserven la seguridad de la información a través de la definición de políticas, identificación y gestión de riesgos y controles de SI, roles y responsabilidades del personal clave que intervienen en el sistema de gestión de seguridad de la información (SGSI) de la organización.

4. ALCANCE

Las políticas específicas de seguridad de la información aplican a todos los empleados directos, temporales, contratistas y proveedores críticos que en el ejercicio de sus funciones utilicen información clasificada, servicios, plataformas e infraestructura tecnológica de FilmFlow.

5. ROLES Y RESPONSABILIDADES TRANSVERSALES

5.1 Roles y responsabilidades transversales

Gestión de TI:

  • Asegurar el mantenimiento y disponibilidad de la plataforma tecnológica de la Organización.

Gestión Humana:

  • Aplicar las sanciones administrativas y/o disciplinarias por el incumplimiento de la presente política.
  • Facilitar las condiciones que permitan la generación de conciencia y capacitación a los colaboradores, contratistas proveedores y terceros críticos.

Gestión Comercial:

  • Poner a disposición los canales de comunicación para la generación de cultura y conciencia de la presente política para los empleados directos, temporales y contratistas de FilmFlow. 

Responsable de SGI:

  • Asegurar el cumplimiento de las políticas especificas de seguridad de la información.
  • Actualizar la presente política. 
  • Generar la cultura y concientización.
  •  Monitorear el buen uso de los activos de información.

Empleados, temporales, contratistas:

  • Cumplir las políticas y lineamientos descritos en el presente documento.
  • Reportar incidentes de SI.
  • Acatar las recomendaciones y buenas prácticas de SI.

6. POLÍTICA PARA USO DE DISPOSITIVOS MÓVILES

FilmFlow establece los lineamientos para el uso y manejo de dispositivos móviles como: (teléfonos inteligentes, tabletas, portátiles), entre otros, suministrados por la organización y que almacene y procese información confidencial y confidencial restringida.

6.1 Roles y responsabilidades:

Gestión de TI:

  • Instalar los controles y aplicaciones de seguridad en dispositivos
  • Solucionar oportunamente los incidentes de SI reportados
  • Asegurar el borrador de la información corporativa y desinstalación del correo corporativo en caso de robo o perdida

Administrador de dispositivos móviles

  • Cumplir con los lineamientos y recomendaciones
  • Uso adecuado y para sus funciones 
  • Reportar los dispositivos en caso de robo o perdida

Responsable del SGSI:

  • Gestionar los incidentes de SI que se generé a partir de la pérdida o robo del dispositivo móvil

6.2. Lineamientos:

Se deben configurar las restricciones de seguridad en dispositivos móviles autorizados que cuenten con acceso a las cuentas de correo corporativo o almacenen información de la organización.

Instalar en los dispositivos móviles corporativos con acceso al correo electrónico corporativo, aplicaciones que permitan su ubicación o localización en caso de perdida, así como un software para la protección contra código malicioso.

Todo usuario o administrador en caso de pérdida o hurto debe cambiar inmediatamente la contraseña del correo electrónico y reportar el robo del dispositivo al proveedor del servicio de celular y posteriormente al área de gestión TI y/o el responsable de seguridad de la información.

Se debe evitar usar los dispositivos móviles, en lugares que no ofrezcan garantías de seguridad física necesarias para prevenir pérdidas o robos.

Los administradores de los dispositivos móviles corporativos aplicables no están autorizados para cambiar la configuración, a desinstalar software, formatear o hacer restauraciones de fábrica a los dispositivos móviles.

Los administradores de dispositivos móviles corporativos deben tener instaladas únicamente las aplicaciones distribuidas, autorizadas y configuradas por el área de TI. Los dispositivos móviles corporativos deben tener contraseña de ingreso y bloqueo del equipo de manera automática y manual.

Evitar hacer uso de redes inalámbricas de acceso público o redes que no ofrezcan garantías de seguridad. 

Los administradores de dispositivos móviles no deben conectarlos a computadores o puertos USB de acceso público como: (Aeropuertos, Hoteles, café internet, centros comerciales).

7. POLÍTICA DE TRABAJO EN REMOTO – HOME OFFICE

El trabajo remoto o home office permite a los empleados directos, temporales y contratistas poder acceder a la informatización clasificada de FilmFlow  por medio de conexiones seguras (VPN), así como una estrategia de continuidad de negocio de la organización.

7.1. Roles y responsables:

Gestión de TI

  • Proveedor la plataforma tecnológica para la conexión remota
  • Asegurar la disponibilidad de la plataforma y los canales de comunicaciones
  • Definir e implementar los controles de seguridad en los equipos para la conexión remota.
  • Gestionar los reportes de los incidentes de SI

7.2. Lineamientos:

FilmFlow autorizará únicamente estas actividades si se firman los acuerdos de confidencialidad y los controles de seguridad se encuentran implementados de acuerdo con esta política especifica de seguridad de la información.

Las siguientes medidas deben ser aplicadas:

  • Usar conexiones VPN para acceder a los activos de información de la organización, una vez hayan obtenido las aprobaciones definidas por los procesos la organización y lineamientos del SGSI.
  • Usar equipos corporativos para la conexión, o en caso de requerir el uso de equipos personales, se deben asegurar los permisos pertinentes y los controles de seguridad mínimos establecidos por el SGSI.
  • Revocar los permisos de VPN una vez finalice la contingencia, por acuerdos entre las partes, venza los permisos otorgados
  • Devolución de los equipos corporativos cuando finalicen los contratos o proyectos
  • Aplicar las recomendaciones de seguridad definidas en el plan de capacitación y sensibilización de Seguridad de la Información y socializadas a las empleados directos, temporales, contratistas por los medios definidos.
  • Instalar software para el código malicioso en equipos corporativos y personales.

8. POLÍTICA DE ACTIVOS DE INFORMACIÓN

FilmFlow entiende que la información es el activo más importante de la organización, así mismo es consciente sobre el valor y la importancia de protegerlo contra riesgos que afecte la confidencialidad, integridad y disponibilidad de estos.

8.1. Roles y responsabilidades

Administrador de Activos de Información

  • Toda la información de FilmFlow, debe tener un administrador que sea responsable por su gestión, custodia y uso aceptable. Los administradores pueden ser CEO, CFO, CTO, COO y Jefes. 
  • Son responsables de la identificación, clasificación, etiquetado, documentación, mantenimiento y actualización del inventario de activos de información a su cargo, así como de la asignación y revisión periódica de los permisos de accesos otorgados a los empleados de acuerdo con sus funciones y competencias.

Custodios:

  • Se entiende que los custodios de los activos de información son los empleados directos, temporales y contratitas de FilmFlow  y son responsables del uso, almacenamiento de la información confidencial y confidencial restringida de la Organización y de los clientes, dicha información pude esta contenida en digital o física.
  • El área de TI son los responsables de realizar los respaldos de los activos de información críticos y su correspondiente restauración, así mismo cada proceso de FilmFlow  tendrá a su cargo custodias particulares.

Usuarios:

  • Se considera usuario a cualquier empleado directo, temporal o contratista que utilice la información como parte de su trabajo.
  • Entre sus responsabilidades está el uso adecuado de la información a la cual tenga acceso, así mismo el trámite de permisos.

8.2. Lineamientos:

La información y los activos de información son propiedad de FilmFlow y los responsables por esto, son denominamos administradores, los cuales están conformados principalmente por CEO, CTO, CFO, COO y jefes. 

Toda información de FilmFlow debe tener asignado un administrador que se responsabilice por su gestión, custodia y adecuada utilización, así como la asignación de los custodios de estos.

Es responsabilidad de los empleados directos, temporales y contratistas que accedan a la información de la Organización o de sus clientes, hacer el correcto uso de esta y solo para fines pertinentes.

Cada área de FilmFlow debe identificar la información confidencial, confidencial restringida y privada que tenga a su cargo de acuerdo con lo definido en la presente política.

Para todo nuevo activo o producto que se desarrolle en las áreas de FilmFlow, el administrador será responsable de aplicar el proceso de identificación y realizar su respectiva clasificación y de definir y aprobar los privilegios de acceso al activo de información.

Es responsabilidad del administrador del activo reportar al área de TI la eliminación de permisos o privilegios, así como la necesidad de la generación de una copia de seguridad.

8.2.1. Niveles de Clasificación

Es responsabilidad de cada administrador de los activos de información de FilmFlow que, al momento de generar información, establezcan el nivel de clasificación para la misma de acuerdo con los siguientes criterios:

8.2.2. Confidencial restringido

Esta clasificación debe aplicarse para la información que por su naturaleza puede ocasionar graves e irreparables consecuencias en la continuidad, imagen, competitividad, seguridad y operación de FilmFlow, el conocimiento de esta información es exclusivo del administrador de esta, comité directivo o de un grupo muy selecto de la Organización. Ejemplo:

  • Claves y algoritmos de cifrado
  • Material audiovisual original en set de grabación
  • Resúmenes ejecutivos
  • Datos de autenticación de empleados

8.2.3. Confidencial

Esta clasificación debe aplicarse para la información relacionada con los clientes de FilmFlow, igualmente se considera confidencial la información estratégica para la organización cuya revelación puede ocasionar perdida de oportunidades comerciales, el conocimiento de esta información es exclusivo de un grupo de trabajo directamente relacionados con la misma. Ejemplo:

  • Prospectos o nuevos negocios
  • Diagrama de red
  • Estrategias comerciales
  • Informes de análisis de vulnerabilidades.
  • Proyectos o procesos de investigación que serán usados como estrategias de ventas y/o comerciales.

8.2.4. Interna

Esta clasificación aplica para toda la información requerida por los empleados directos, temporales y contratistas de FilmFlow para el desarrollo de sus funciones, el conocimiento de esta información es exclusivo de un grupo de trabajo de acuerdo con las funciones asignadas, sin embargo, no debe ser divulgada fuera de la Organización.

Ejemplo:

  • Información de clientes
  • Normas, procedimiento, instructivos
  • Nombre y números de extensión de los empleados

8.2.5. Pública

Información que puede ser utilizada por cualquier empleado, tanto interno como externo de FilmFlow, su divulgación no afecta el negocio y no genera impacto negativo para la Organización, puede ser conocida y utilizada tanto por empleados como terceros.

Ejemplo:

  • Políticas de SGSI
  • Página WEB
  • Portafolio de productos

9. POLÍTICA DE USO ACEPTABLE DE ACTIVOS DE INFORMACIÓN

9.1. Roles y responsabilidades:

Gestión de TI:

  • Facilitar las condiciones tecnológicas que permitan el monitoreo del buen uso de los activos de información tecnológicos, para cumplimiento de esta política. 
  • Otorgar las condiciones tecnológicas que permitan el cumplimiento de los controles para preservar la seguridad de información y la ciberseguridad de los activos. 
  • Establecer los procedimientos de planeación de continuidad y de contingencias para cada uno de los activos críticos de información.
  • Proponer al responsable de SGSI, la revisión e implementación de controles en cualquier modificación, eliminación y/o actualización que se realice sobre activos y procesos críticos de FilmFlow.

Empleados directos, temporales, contratistas:

  • Informarse del contenido de la presente política, cumplirla y hacerla cumplir en el desarrollo de sus tareas habituales. 
  • Hacer uso de la información única y exclusivamente para el desarrollo de las labores para las cuales fueron contratados. 
  • Utilizar los sistemas y el acceso a la red únicamente para propósitos aprobados de trabajo, evitando cualquier otro uso de carácter personal. 
  • Reportar al responsable del SGSI en el momento que se requiera, información acerca de alertas, amenazas e incidentes que afecten los componentes de infraestructura tecnológica, procesos y/o activos críticos de información. 

9.2. Lineamientos:

Todos los empleados directos, temporales, contratistas, terceros y/o partes subcontratadas que tengan alguna relación contractual con FilmFlow, deben hacer uso de los activos de información corporativa, productos, servicios y canales de forma responsable y para actividades propias de la Organización, por lo cual está prohibido: 

  • Copiar, capturar, reproducir o consultar información de empleados, contratistas, clientes, terceros y/o relacionada con actividades internas como políticas, procedimientos, manuales, actas, entre otros, sin autorización comprobada por parte de administradores de los activos de información. 
  • Almacenar, copiar y procesar información clasificada como confidencial, confidencial restringida y/o privada en dispositivos de cómputo personales o de almacenamiento sin la debida autorización. 
  • Proporcionar información de los colaboradores, clientes y terceros, a otras entidades sin la debida autorización. 
  • Remitir mensajes o imágenes que puedan ofender las creencias de raza, género, nacionalidad, orientación sexual, religión, preferencias políticas y/o discapacidad. 
  • Alterar y/o modificar la funcionalidad de los activos de información.
  • Almacenar información, videos, imágenes, música o cualquier otro tipo de archivo que no esté soportado con las funciones propias de cada empleado o del área donde labora.
  • Usar la información clasificada para fines comerciales, personales o diferentes al ejercicio de sus funciones.

Todo el software usado en la plataforma tecnológica de FilmFlow debe tener su respectiva licencia proveniente de una adquisición formal por parte de la Organización y estar acorde con los derechos de autor.

El uso de programas sin la respectiva licencia y autorización de FilmFlow, obtenidos a partir de otras fuentes (internet, dispositivos de almacenamiento externo, o cualquier otra fuente no confiable) puede implicar amenazas legales y de seguridad de la información para la Organización, por lo que esta práctica no está autorizada y quedarán sujetos a las acciones disciplinarias establecidas por la Organización o las sanciones que especifique la ley.

Los empleados directos, indirectos o contratistas del proceso de gestión de TI no podrán utilizar usuarios genéricos para la instalación de aplicaciones, Software, sistemas de información o plataformas de información licenciadas.

Los privilegios de acceso, permisos y/o dispositivos de autenticación asignados a cada empleado para el uso o conexión remota a los activos de información de FILMFLOW  y el acceso a portales de administración de recursos financieros deben ser resguardados de forma segura y no deben ser compartidos.

Todo empleado directo, indirectos, contratista con acceso a sistemas de información se debe comprometer a generar una contraseña que cumpla con lo establecido con el procedimiento de gestión de usuarios.

El uso de dispositivos de almacenamiento externo (Smartphone, DVD, memorias USB, memoria flash, Discos Externos, etc.) puede ocasionalmente generar riesgos de fuga de información e infección de malware entre otros, al ser conectados a los computadores de la Organización, ya que son susceptibles de transmisión de virus informáticos o pueden ser utilizados para la extracción de información no autorizada. Para utilizar dispositivos de almacenamiento externo se debe obtener aprobación formal del responsable de seguridad de la información, previa solicitud y VoBo por escrito por parte del jefe inmediato, bajo cualquier otra circunstancia los puertos USB de los computadores corporativos deberán estar deshabilitados en las funciones de lectura y escritura.

Almacenamiento: FilmFlow suministrará una plataforma de almacenamiento en la nube administrada por un tercero y gestionada por la Organización con los permisos necesarios para que cada usuario guarde la información clasificada y sobre ella se garantizará la disponibilidad y control de acceso.

Es responsabilidad de cada administrador, custodio o usuario de los activos de información almacenar y asegurar el control de acceso únicamente a las personas autorizadas en las plataformas corporativas.

Los usuarios sólo tendrán acceso a la información y recursos tecnológicos autorizados por FilmFlow y conforme a su rol o cargo, adicionalmente serán responsables disciplinaria y legalmente de la divulgación no autorizada de esta información.

Cualquier evento o posible incidente que afecte la confidencialidad, integridad y disponibilidad de la información, debe ser reportado inmediatamente al responsable del SGSI, a través de los procesos establecidos para tal fin.

Confidencialidad de la información: Los empleados directos, temporales y contratistas de FilmFlow se comprometen a no revelar a terceras personas, la información a la que tengan acceso en el ejercicio de sus funciones y de acuerdo con el nivel de clasificación establecido por la Organización para evitar su divulgación indebida, pérdida o fuga de información.

Todo documento físico que se encuentre obsoleto que contenga información confidencial restringido, confidencial o privada de clientes, terceros e interna deberá cursar el proceso de eliminación de forma manual aprobado por la organización y disposición segura a través de los procesos y mecanismos establecidos por FilmFlow.

Toda documentación física con información confidencial, confidencial restringida y privada, así como aquellos documentos que fueron generados a través de fotocopias e impresiones, no debe emplearse como material reutilizable.

9.2.1. Correo Electrónico y Navegación en Internet:

9.2.1.1 Roles y responsabilidades

Gestión de TI

  • Asegurar la disponibilidad de la plataforma de correo corporativo y filtrado de navegación.
  • Implementar los controles de seguridad necesarios para cumplir con la presente política.
  • Registrar las reglas y modificaciones para la navegación en internet

Empleado directos, temporales y contratistas

  • Dar buen uso al servicio de acceso a internet
  • Cumplir con los descrito en la presente política
  • Notificar cualquier técnica de ingeniería social como: Phishing, spam, malware etc., que se pueda generar por acceso a internet o correos que ingresan.

Responsable del SGSI: 

  • Definir y verificar el cumplimiento de los perfiles y grupos de navegación a internet
  • Asignar los colaboradores autorizados al grupo de navegación

FilmFlow permite el acceso a servicio de internet, estableciendo lineamientos que garanticen la navegación segura y el uso adecuado de la red por parte de los usuarios finales, evitando errores, pérdidas, modificaciones no autorizadas o uso inadecuado de la información en las aplicaciones web.

El área de gestión de TI implementará herramientas para evitar la descarga de software no autorizado y/o código malicioso en los equipos corporativos, así mismo, controla el acceso a la información contenida en portales de almacenamiento en internet, previniendo fugas de información.

Los usuarios de la red corporativa tienen restringido el acceso a redes sociales, sistemas de mensajería instantánea no autorizada, páginas de Streaming, acceso a sistemas de almacenamiento no autorizados y cuentas de correo no institucional. En caso de ser requerido por las funciones del cargo, el jefe inmediato debe remitir la solicitud al área de TI, con justificaciones aplicables. 

El correo electrónico corporativo deberá ser utilizado únicamente con propósito oficial, como apoyo al desempeño de las funciones de los empleados directos y temporales.

De acuerdo con la necesidad del cliente se manejan listas blancas para el envío y recepción de información, las cuales son actualizables a medida de la necesidad y permanecerán activas únicamente por la vigencia del proyecto o actividad que lo amerite.

El envío de activos de información a terceros debe realizarse únicamente a través de las plataformas corporativas autorizadas por FilmFlow; las plataformas para transferencia de información pública, tales como “MediaFire”, “Dropbox”, “SkyDrive, “WeTransfer”, etc., no se encuentran autorizadas para este uso.

9.2.1.2. Usos Inaceptables:

  • Enviar mensajes utilizando su cuenta, sin validar información del remitente, como nombre, cargo y cuenta del dominio.
  • Abrir correos con archivos adjuntos o enlaces considerados peligrosos, así mismo, abrir correos provenientes de cuentas no seguras. 
  • Propagar intencionalmente virus o código malicioso en general, a través del correo corporativo.
  • Utilizar el correo electrónico o cualquier otro medio para suministrar información confidencial o propia de FilmFlow a terceros sin autorización.
  • Enviar o reenviar (forward) mensajes, imágenes o videos que incluyan contenidos sexuales o que ofendan sobre la base del género, nacionalidad, orientación sexual, raza, religión, orientación política o discapacidad.
  • Enviar mensajes conocidos como “Cadenas”.
  • Usar el correo corporativo para solicitar donativos, promover obras de beneficencia, avisos clasificados, boletines de cualquier índole diferente al trabajo.

 10. POLÍTICA DE ACCESO

10.1. Acceso físico

El acceso de personal a las instalaciones de FilmFlow se controla mediante el uso de un sistema de registro biométrico, así mismo, el acceso a zonas restringidas como el Laboratorio Digital, Bodega y el data center se encuentra restringido para visitantes y proveedores; solo se permite el acceso, mediante la solicitud de acceso aprobada por el jefe Operativo o CTO, diligenciando el formato de Registro de ingreso a zonas restringidas.  

Las puertas de las zonas de acceso restringido deben permanecer cerradas; si por alguna circunstancia se requiere ingresar y salir de la zona de acceso restringido el empleado directo, temporal y/o Contratista responsable de la actividad debe ubicarse dentro de la zona de acceso restringido.

La grabación de vídeo en las zonas de acceso restringido debe estar expresamente autorizada por el jefe Operativo y el CTO y exclusivamente para las actividades de negocio.

El CTO debe garantizar que el control a las zonas de acceso restringido, se gestione por medio del registro biométrico para su ingreso y que estén autorizados únicamente los usuarios que para la realización de sus actividades deban acceder a la zona, los cuales serán definidos por el jefe Operativo y el CTO.

La limpieza y aseo de las zonas restringidas será coordinada por el área administrativa y debe efectuarse en presencia del responsable del área o su delegado. El personal de limpieza debe ser ilustrado respecto a las precauciones mínimas a seguir durante el proceso de limpieza.

Está prohibido el acceso a zonas restringidas del personal de limpieza con maletas o elementos que no sean estrictamente necesarios para su labor de limpieza y aseo.

En las zonas de acceso restringido, no está permitido:

  • Fumar
  • Consumir alimentos o bebidas
  • El porte de armas de fuego, corto punzantes o similares
  • Mover, desconectar y/o conectar equipo de cómputo sin autorización
  • Alterar o dañar las etiquetas de identificación de los sistemas de información o sus conexiones físicas

Todos los colaboradores de FilmFlow deben portar el carnet en un lugar visible que los identifique, mientras permanezcan en las instalaciones.

Los visitantes deben ser anunciados para autorizar su ingreso a las instalaciones, y deben permanecer en compañía del empleado que atienda la visita. Si el visitante requiere realizar tránsito por las instalaciones, deberá portar el carnet de visitante en un lugar visible. 

El acceso al área restringida no está autorizada al público, debido a que se limita a los colaboradores de FilmFlow y acompañantes que sean debidamente autorizados e identificados.

Los permisos de ingreso físico para los empleados a través del dispositivo biométrico serán solicitados por parte del COO y serán otorgados por el equipo de TI, y cuando el empleado se desvincule de la organización, se deberá asegurar su eliminación de la base de datos del biométrico por parte del equipo de TI y evidenciar la actividad por medio del Formato Acta de paz y salvo.

El equipo de TI debe realizar revisiones periódicas de los privilegios de ingreso físico otorgados a los usuarios y realizar ajustes cuando sea necesario.

La zona donde está ubicados los servidores, deberá estar provista de:

  • Sistema de refrigeración por aire acondicionado de precisión. Este equipo debe ser redundante para que en caso de falla se pueda continuar con la refrigeración.
  • Unidades de potencia ininterrumpida UPS, que proporcionen respaldo al mismo, con el fin de garantizar el servicio de energía eléctrica durante una falla momentánea del fluido eléctrico de la red pública.
  • Alarmas de detección de humo y los mecanismos de extinción de fuego, deben estar instalados en áreas de acceso restringido y ser probados periódicamente de acuerdo con las recomendaciones del fabricante o al menos una vez cada 6 meses y estas pruebas deberán estar previstas en los procedimientos de mantenimiento y de control.
  • Mecanismos de extinción de fuego, como extintores de incendios, deben ser debidamente probados y contar con la capacidad de detener el fuego generado por equipo eléctrico o papel.
  • El cableado de la red debe ser protegido de interferencias por ejemplo usando canaletas que lo protejan.
  • Los cables de potencia deben estar separados de los de comunicaciones, siguiendo las normas técnicas.

El CTO deberá garantizar que todos los equipos del centro de datos cuenten con un sistema alterno de respaldo de energía.

Cuando se requiera realizar alguna actividad sobre algún armario (rack), este debe quedar ordenado, cerrado y con llave, cuando se finalice la actividad. Mientras no se encuentre personal dentro de las instalaciones de las zonas de acceso restringido, las luces deben permanecer apagadas.

Los equipos de las zonas de acceso restringido que lo requieran deben estar monitoreados para poder detectar las fallas que se puedan presentar.

EL CLIENTE será responsable de garantizar las condiciones de seguridad física mínimas en los sets de grabación, sitios públicos y las movilizaciones del personal, equipos y material de grabación, asegurando así la confidencialidad, integridad y disponibilidad de los activos de información requeridos para estas actividades misionales. El protocolo de seguridad y equipos en set, detallan los controles aplicables a estas actividades fuera de las instalaciones de FilmFlow.  

10.2. Acceso lógico

Las necesidades de acceso serán determinadas por el CEO, CTO, CFO, COO y Jefes de las diferentes áreas, en función de las tareas asignadas al cargo del Empleado o Contratista.

Todos los empleados y contratistas deben tener acceso sólo a la información que requieren para el desarrollo legítimo de sus actividades en FilmFlow. La asignación de privilegios y accesos a los activos de información (correo electrónico institucional, software, aplicaciones, carpetas compartidas, etc.) deben estar basados en las necesidades de los diferentes departamentos y aprobados por el propietario de los activos de información. 

Para todo medio de procesamiento de información al que se necesite conceder accesos (Entre los que se encuentran los servidores, discos de tráfico, RAIDS, aplicaciones, carpetas compartidas, base de datos, etc.), el dueño de la información en conjunto con el CTO, serán los encargados de autorizar los permisos de acceso.  Para los Contratistas, adicionalmente asignarán el tiempo de acceso correspondiente al periodo por el cual estarán vinculados a FilmFlow. 

Cualquier intento de acceso no autorizado a los equipos, carpetas compartidas, sistemas de información será considerado un incidente grave, por lo que debe reportarse de inmediato al Encargado de Seguridad de la Información.

Sólo se pueden conceder accesos a personas externas a FilmFlow, previa autorización del CTO y el dueño de la información. Las cuentas de acceso a terceros deben tener especificado un tiempo de expiración, que debe ser controlado por el CTO. 

Cada empleado directo o temporal debe usar una cuenta de usuario corporativa para acceder a la red LAN de la Organización con los privilegios de acceso según el perfil de cargo, los cuales deberán ser notificados inmediatamente a través de un proceso seguro, así mismo, los empleados son responsable de las actividades que se realicen utilizando el usuario que se le asigne.

Todos los empleados directo o temporal con usuario corporativo deben velar por la privacidad de sus(s) clave(s) de acceso a la red y aplicaciones, evitando comunicarla(s) a terceros. En caso de que la clave de acceso (contraseña) pudiese estar en conocimiento de terceras personas, el usuario deberá solicitar el cambio de la(s) clave(s) de manera inmediata a través de la mesa de ayuda.

Para personal externo que requieren acceso a algún equipo de trabajo, se deberá adecuar el equipo con las restricciones de seguridad que correspondan y asignar un usuario general para que se pueda iniciar la sesión, previa autorización del área responsable del usuario externo y del responsable de seguridad de la información, al finalizar las actividades se deben retirar todos los permisos habilitados.

Los equipos de cómputo corporativos deben tener políticas para la restricción del uso de los puertos USB, CD y demás que permitan la extracción de información, así como el acceso a internet y correos electrónicos, de acuerdo con los privilegios aprobados para cada cargo.

El área de gestión de TI debe asegurar que las redes inalámbricas de FilmFlow cuenten con métodos de autenticación que evite accesos no autorizados.

Los equipos de uso personal, que no son de propiedad de FilmFlow, sólo tendrán acceso Wi-Fi a servicios limitados destinados a invitados o visitantes, estos equipos deben ser autorizados por el área de gestión de TI conectados a los puntos de acceso autorizados y definidos por la organización.

 11. POLÍTICAS CIFRADO Y USO DE TOKENS, FIRMAS Y CERTIFICADOS DIGITALES

11.1. Roles y Responsabilidades:

Gestión de TI: 

  • Asegurar las condiciones tecnológicas que permitan el cumplimiento de la presente política

11.2. Lineamientos

11.2.1. Algoritmos de Seguridad

Lo controles criptográficos implementados por FILMFLOW  deben estar basados según corresponda a la necesidad del negocio y la capacidad técnica de la infraestructura tecnología de la Organización, bajo los o de terceras partes bajo los algoritmos de cifrado descritos y periodo máximo para su renovación:

11.2.2. Intercambio de información:

11.2.2.1. Terceros:

El intercambio de información de redes inseguras como internet, redes inalámbricas, canales ISP dedicados o redes de servicio móviles debe ser cifrado en la capa de transporte del modelo OSI, utilizando protocolos que se relacionan a continuación:

11.2.2.2. Red Interna:

La información confidencial y confidencial restringida que sea intercambiada entre los componentes de infraestructura tecnológica de FilmFlow debe estar cifrada a nivel de capa de transporte; en el escenario que no sea posible implementar un control criptográfico a nivel de capa de transporte, se deberá implementar un control complementario a nivel de contenido (dato o archivo) antes de su transmisión.

Se debe implementar control criptográfico al intercambio de información confidencial restringida entre las áreas de FilmFlow.

FilmFlow a través de su CTO encriptará los discos de tráfico asignados al proyecto con claves de acuerdo la política de control de acceso (FF-LID-POL-005) y al procedimiento de seguridad de los discos de tráfico (FF-PS-PRO-003).

11.2.2.3. Certificados Digitales / Token de seguridad

Los certificados digitales empleados para el intercambio de información entre sistemas de información o portales web de la Organización pueden utilizar entidades certificadoras acreditadas

FilmFlow debe nombrar a un administrador único para los tokens de seguridad, firmas y certificados digitales, quien a su vez tiene la responsabilidad de asignar estos dispositivos a los usuarios que los requieran para el desarrollo de sus actividades. Los administradores de los tokens de seguridad deben:

  • Procesar las solicitudes de estos dispositivos según los requerimientos de cada entidad proveedora de tokens, firmas y certificados digitales y adjuntar la documentación necesaria para su adquisición o actualización
  • Hacer la recepción y activación necesaria en los respectivos portales o sitios de uso para poder ejecutar operaciones por medio de ellos.
  • Entregar a los colaboradores designados, la información (usuario y serial) de los dispositivos que le sean asignados para su uso, así mismo, formalizar la entrega por medio de acta de custodia.
  • Notificar a las entidades emisoras como: (bancos, entidades emisoras de certificados y firmas digitales) en caso de robo o pérdida de estos con el fin de efectuar el bloqueo respectivo y la reposición de estos.
  • Realizar el cambio de estos activos, cuando se presente mal funcionamiento, caducidad, cambio de funciones o cambio del titular, reportando a la entidad emisora y devolviendo los dispositivos asignados.

Los usuarios deben:

  • Devolver el token asignado en estado operativo al Administrador de los tokens cuando el vínculo laboral con FilmFlow se dé por terminado o haya cambio de cargo.
  • Almacenar los tokens y credenciales de autenticación de las firmas y certificados digitales bajo estrictas medidas de seguridad, de tal forma que se mantengan fuera del alcance de personal no autorizado.
  • Notificar al Administrador de los tokens, firmas y certificados digitales en caso de robo, pérdida, mal funcionamiento o caducidad de los dispositivos.
  • Impedir que terceras personas visualicen la clave que genera el token, así como evitar la ayuda de terceros para su utilización.
  • Los usuarios deben responder por las transacciones electrónicas que se efectúen con la cuenta de usuario, clave y el token asignado, así como los documentos firmados en el desarrollo de las actividades, en caso de que suceda algún evento irregular con los tokens los usuarios deben asumir la responsabilidad administrativa, disciplinaria y económica.
  • Evitar exponer los tokens a campos magnéticos, temperaturas extremas, golpes o cualquier otra manipulación indebida.
  • En lo posible no usar los tokens fuera de las instalaciones de FILMFLOW  para evitar pérdida o robo de estos.

 12. POLÍTICA DE ESCRITORIO Y PANTALLA LIMPIA

Es responsabilidad de todos colaboradores y contratistas de seguir las buenas prácticas de seguridad de la información y lineamientos establecidos por FilmFlow, estas incluyen los siguientes compromisos:

  • Abstenerse de dejar descuidados y/o desatendidos los equipos tecnológicos o elementos que estén bajo su custodia
  • Bloquear manualmente la sesión del computador, al momento de ausentarse del puesto de trabajo.
  • Apagar la estación de trabajo al finalizar la jornada laboral.
  • Asegurar el Datalab y otros equipos de Infraestructura Tecnológica que contengan información o recursos informáticos asignados a su cargo.
  • Traslade los equipos cuando se encuentren en condiciones no seguras, evitando su exposición a daños o hurtos.
  • No permita a personas no autorizadas destapar los equipos tecnológicos, extraer, manipular y/o cambiar sus partes
  • Asegurar los dispositivos móviles en un lugar seguro bajo llave, cuando se ausente por largos periodos de tiempo del puesto de trabajo.
  • Asegurar la información clasificada, en lugares seguros como cajonera de puesto de trabajo o archivo de gestión del proceso.
  • Evitar exponer información confidencial en lugares públicos, como salas de reuniones de terceros y asegurar el borrado la información expuesta en los tableros.
  • Asegurar y mantener el fondo de escritorio del computador asignado, libre de archivos
  • Asegurar la información clasificada en la plataforma de almacenamiento corporativo y restringir el acceso solo a las personas autorizadas.
  • Asegurar la no utilización de hojas reutilizables con información confidencial o dato personal como: (HV, Información, Financiera, Certificaciones laborales, Arquitecturas, Ofertas comerciales, dato personal etc.)
  • Reportar dispositivos de almacenamiento externos USB olvidados en las instalaciones y asegurar no conectarla en los equipos de cómputos corporativos.
  • Seguir los lineamientos para la disposición final de información clasificada
  • Asegurar la confidencialidad de las contraseñas y el cambio de estas.

13. POLÍTICA DE RESPALDO Y RESTAURACIÓN DE LA INFORMACIÓN

El área de gestión de TI, debe proporcionar medios de respaldo adecuados para asegurar que los activos de información puedan recuperarse después de una falla tecnológica, ataques informáticos, errores humanos, eventos naturales u otros escenarios no deseados. 

El área de gestión de TI, serán los administradores de las plataformas de backup de FilmFlow y deberán verificar la correcta funcionamiento y disponibilidad

La información respaldada en medios removibles debe ser cifrada y mantenerse bajo custodia del CEO, para proceder con su respectivo almacenamiento seguro en un sitio externo a las sedes de FilmFlow, mientras que la copia secundaria redundante, estará bajo la custodia del área de gestión de TI y mantenida en un lugar seguro en instalaciones de físicas de la Organización.

Los administradores de los activos de información deben solicitar al área de gestión de TI, la ejecución de pruebas de restauración sobre las copias de respaldo, de acuerdo con los controles definidos para cada activo, así mismo, se debe mantener registro de estas actividades. 

Los medios que vayan a ser eliminados o que cumplan el periodo de retención deben surtir un proceso de borrado seguro y ser destruidos de forma apropiada.

14. POLÍTICA PARA LA TRANSFERENCIA DE INFORMACIÓN

FilmFlow podrá realizar el intercambio de información con clientes, terceros y demás partes interesadas, el cual debe estar controlado y cumplir todas las legislaciones y normas que correspondan.

La información que es almacenada en medios como: USB, Discos Externos, tarjetas de cámaras, etc., debe estar protegida contra accesos no autorizados, uso inadecuado o corrupción durante su trasporte físico.

El área de TI debe implementar el uso de técnicas criptográficas en medios de almacenamientos para proteger la confidencialidad e integridad de la información de la información.

14.1 Medios digitales o magnéticos 

Toda información clasificada como confidencial, confidencial restringida debe estar almacenada en las plataformas oficiales de la organización, y los administradores de la información debe asegurar la confidencialidad, integridad y disponibilidad de esta.

Para la transferencia de información digital clasificada, se debe realizar a través del proceso definido y por medio de las plataformas de almacenamiento o repositorio corporativo. 

La información confidencial o confidencial restringida que sea intercambiada con terceros debe ser transmitida de forma segura a nivel de capa de transporte haciendo uso de los controles criptográficos aprobados por la Organización.

14.2 Medios Físicos en Tránsito

Los activos de información en físico como: cheques, contratos, poderes, información de proyectos, clientes entre otros, pueden ser vulnerables a accesos no autorizados, usos indebidos y pérdidas o corrupción durante este tránsito, por ende, los siguientes controles deben ser aplicados:

  • Ser transportadas por el mensajero de la Organización o por medio de empresas de mensajería confiables y que se tenga algún convenio formal.
  • El embalaje debe ser apropiado para proteger los contenidos de cualquier daño físico, por ejemplo: Sobres de seguridad cerrados, guacales, sobres con cubrimiento antiestático para componentes electrónicos entre otros.
  • Llevar planillas de control de las entregas o recepciones de información transportada por estos medios físicos.

15. POLÍTICA DE DESARROLLO, ADQUISICIÓN Y MANTENIMIENTO DE SISTEMAS DE INFORMACIÓN.

La adquisición de nuevo hardware y/o software que se vaya a incorporar a la infraestructura tecnológica de FilmFlow por parte de una iniciativa, actualización o proyecto etc., deberá ser validada previamente por el área de gestión de TI, de manera que se asegure su correcta integración y cumplimiento con los estándares de seguridad aplicables.

El área de gestión de TI implementará reglas y herramientas que restrinjan la instalación de software no autorizado en los activos de información de FilmFlow. 

La adquisición, mantenimiento o actualización de equipos de infraestructura o sistemas de información, se debe gestionar de acuerdo con las directrices del procedimiento de gestión de cambios tecnológicos.

16. POLÍTICA PARA PROVEEDORES

Para la selección de nuevos proveedores, se debe considerar criterios claves que aseguren que estos proveedores sean confiables, incluyendo: la experiencia y reputación de proveedores, certificaciones y recomendaciones de otros clientes, estabilidad financiera y cumplimiento de requisitos de seguridad definidos por la Organización.

Se deben establecer mecanismos de control en las relaciones contractuales a través de cláusulas y requisitos de SI, con el objetivo de asegurar que la información a la que tengan acceso cumpla con las políticas de seguridad de la información definidas por FilmFlow.

En los casos en que los acercamientos o acuerdos comerciales entre las partes requieran la entrega de información “confidencial o confidencial restringida” por parte de FILMFLOW  a terceros, se deberá subscribir un acuerdo de confidencialidad, o un contrato que incluya una cláusula de confidencialidad.

En los contratos o acuerdos con los proveedores se debe incluir una causal de terminación del acuerdo o contrato de servicios, cuando se evidencie incumplimiento de las políticas de seguridad de la información.

Los proveedores previo al inicio de las actividades deben aceptar y firmar el acuerdo de confidencialidad y la autorización de datos personales establecido por FilmFlow.

El área de gestión de IT debe identificar los riesgos para la información y los servicios tercerizados. El resultado del análisis de riesgos será la base para el establecimiento de los controles.

Facebook
Instagram
Whatsapp