Manual de Políticas de seguridad de la información
1. INTRODUCCIÓN
CARDIOVIDA COLOMBIA S.A.S. , en adelante CARDIOVIDA, reconoce la información y los datos
personales como uno de sus principales activos, necesaria para el desarrollo de sus operaciones,
requiriendo un ambiente físico y tecnológico seguro para el tratamiento (recolección, almacenamiento,
uso, circulación y supresión) que se realice, independientemente de la forma en la que la información
sea tratada.
Este documento describe las políticas y normas de seguridad de la información definidas por
CARDIOVIDA COLOMBIA S.A.S. a través de su modelo de aplicación de buenas prácticas, y en
cumplimiento de los principios de acceso y circulación restringida, seguridad y confidencialidad
enmarcados en el artículo 4 de la Ley 1581 de 2012 sobre protección de datos personales.
Las políticas que se detallan en el presente manual se incorporan al cuadro normativo de CARDIOVIDA
COLOMBIA S.A.S. y a la lista de controles que el Fondo tiene para contrarrestar las diferentes amenazas
a las que la información se encuentra expuesta.
Para CARDIOVIDA COLOMBIA S.A.S. es una prioridad la protección de la información y en especial la
relacionada con datos personales, por lo cual, es responsabilidad de todos los colaboradores velar por
el cumplimiento de cada una de estas políticas.
2. COMPROMISO DE LA DIRECCIÓN
El Gerente General de CARDIOVIDA COLOMBIA S.A.S. aprueba y adopta el presente manual de políticas
de seguridad de la información, las cuales generan directriz y marco de actuación en el tratamiento de
la información, en especial la relacionada con datos personales de todas las partes interesadas de
CARDIOVIDA.
El Gerente General y el equipo de la alta dirección de CARDIOVIDA COLOMBIA S.A.S. demuestran su
compromiso frente a la seguridad de la información a través de:
- Aprobación y puesta en operación del manual de políticas de seguridad de la información.
Revisión anual, como mínimo, del cumplimiento del manual de políticas de seguridad de la información.
Asignación de recursos anuales para el fortalecimiento de controles en seguridad de la información, así como para consultoría y formación de los colaboradores.
Divulgación interna del manual de políticas de seguridad de la información en CARDIOVIDA COLOMBIA S.A.S.
3. POLÍTICA GENERAL DE SEGURIDAD DE LA INFORMACIÓN
CARDIOVIDA COLOMBIA S.A.S. consciente de la importancia de mitigar los riesgos asociados con la confidencialidad,
integridad y disponibilidad de su información y la de sus partes interesadas, así, como con el
cumplimiento de la legislación colombiana aplicable, trabaja permanentemente en la gestión de
políticas, procedimientos y mecanismos de control, manuales y/o automatizados, que permitan reducir
los riesgos en materia de seguridad de la información a niveles aceptables.
Las políticas adoptadas como norma interna incluyen:
-
Política de control de acceso
-
Política de contraseñas
-
Política de escritorios y pantallas limpias
-
Política de transferencia de información
-
Política de copias de respaldo
Definiciones clave:
-
Confidencialidad: Principio de seguridad de la información que establece que la
información no está disponible o no puede ser comunicada a personas, entidades o procesos no autorizados. -
Disponibilidad: La información estará disponible cuando sea requerida por una persona o entidad autorizada.
-
Integridad: La información no deberá ser alterada en ninguna circunstancia,
permaneciendo exacta y confiable.
Aplicabilidad:
Esta política es obligatoria para proveedores, contratistas y empleados de CARDIOVIDA COLOMBIA S.A.S.
4. POLÍTICA DE CONTROL DE ACCESO
4.1 Objetivo
Establecer los lineamientos mediante los cuales CARDIOVIDA COLOMBIA S.A.S. controlará el acceso
lógico a la información y demás activos asociados utilizados en cada proceso o área en el desarrollo
de las actividades empresariales.
4.2 Alcance
El cumplimiento de esta política aplica para los colaboradores de todos los procesos o áreas de
CARDIOVIDA, así también como para los proveedores y contratistas que realicen una labor para
esta.
4.3 Definiciones
Activo de información
Un activo de información en términos de seguridad de la información es cualquier elemento o
persona dentro de las categorías de software, hardware, telecomunicaciones, personas, bases de
2
datos, documentos e instalaciones, que tiene valor para CARDIOVIDA COLOMBIA S.A.S. y que
posibilitan el logro de los objetivos de los procesos y de los objetivos estratégicos de la empresa.
Para CARDIOVIDA, un activo de información se puede presentar en formato físico o electrónico. Por
ejemplo, puede ser una base de datos con información personal de usuarios que solicitan
información en un formulario físico o en un formulario electrónico.
- Clasificación de la información
Herramienta administrativa de seguridad definida por CARDIOVIDA, que, en combinación con otras
herramientas, tecnológicas y humanas, aportan en la mitigación de riesgos de pérdida de la
confidencialidad, integridad y disponibilidad de la información.
- Confidencialidad
Principio de seguridad de la información que establece que la información no está disponible o no
puede ser comunicada a personas, entidades o procesos no autorizados.
- Disponibilidad
Principio de seguridad de la información que establece que la información debe estar disponible y
puede ser utilizada por personas, entidades o procesos autorizados.
- Integridad
Principio de seguridad de la información que establece que la información no ha sido alterada o
destruida sin autorización.
- Sistema de información
Componentes interrelacionados trabajando conjuntamente para recolectar, almacenar, usar y
compartir información para soportar la toma de decisiones, la coordinación, el control y el análisis
en una organización.
4.4 Declaración
CARDIOVIDA COLOMBIA S.A.S., a través de TI implementa y monitorea permanentemente controles
humanos, administrativos, físicos y tecnológicos para reducir la probabilidad de acceso lógico y/o
físicos no autorizado, el daño e interferencia, la pérdida y/o el robo de la información y otros activos
relacionados que le pudieran generar interrupción de sus actividades e impacto financiero negativo
a CARDIOVIDA COLOMBIA S.A.S. y a sus partes interesadas.
Áreas principales cubiertas:
-
Control de acceso a computadores y correo electrónico
-
Gestión de usuarios en sistemas de información
-
Control de acceso a red privada (VPN)
-
Gestión de acceso a carpetas compartidas
4.4.1 Control de acceso a computadores y correo electrónico
S.A.S. a sus colaboradores, deberá ser realizado a través de un usuario y contraseña gestionado desde
el AD (directorio activo), esta última deberá cumplir con los parámetros definidos en la política de
contraseñas. Igualmente, el acceso a el correo electrónico deberá ser a través de usuario y contraseña
asignado a cada colaborador gestionado desde el panel de administración del proveedor de correo
electrónico (Zoho mail).
CARDIOVIDA, no podrán ser tipo administrador (A excepción de colaboradores que requieran permisos
de administrador local en los computadores de Cardiovida para instalación de software requerido para
la operación como por ejemplo software de Holter, Mapa, prueba de esfuerzo, etc.). Esta restricción se
extiende cuando se deban crear usuarios que requieran acceder a sistemas de información operados
por los colaboradores de CARDIOVIDA.
información.
el software de Holter, Mapas y prueba de esfuerzo siempre y cuando el acceso a las carpetas
compartidas sea restringido al uso relativo a dichos software, no se permite guardar archivos
personales para este tipo de usuarios.
Cualquier necesidad específica adicional que lleve a una excepción deberá contar con la aprobación de
la Gerencia de Cardiovida.
electrónico está a cargo del Profesional TI de CARDIOVIDA COLOMBIA S.A.S. o de la persona que este
designe para ello.
4.4.2 Gestión de usuarios en sistemas de información
gMedic) monitorearán y tomarán las acciones correspondientes para asegurar que el acceso a los
sistemas de información sea controlado para que sólo aquellos colaboradores y/o contratistas que se
encuentren autorizados accedan a estos y sólo puedan utilizar las opciones necesarias para cumplir
con sus responsabilidades.
última deberá en lo posible seguir los lineamientos definidos en la política de contraseñas.
información(A excepción de usuarios genéricos compartidos para personal de enfermería que realiza el
registro de historia clínica en gMedic de los diferentes procedimientos y atenciones médicas).
Cualquier necesidad específica que lleve a una excepción adicional deberá contar con la aprobación de
la Gerencia de CARDIOVIDA.
Los responsables de los diferentes sistemas de información deberán verificar semestralmente que los
accesos a los activos de información que están bajo su responsabilidad, están controlados y solo los
colaboradores y/o contratistas que se encuentren autorizados acceden a estos.
Los accesos a los diferentes sistemas de información deberán ser desactivados cuando la finalidad para
la cual hayan sido generados haya finalizado, cuando se presente un retiro de un colaborador de la
empresa, cuando la relación con el proveedor y contratista haya finalizado o cuando un evento no
deseado haya ocurrido que conlleve a la desactivación.
de CARDIOVIDA debido a que CARDIOVIDA no cuenta con servidores físicos, sino que estos se
encuentran desplegados en proveedores de servicios en la nube (AWS); debido a esto el acceso a los
recursos de CARDIOVIDA se debe realizar usando el software VPN Zerotier.
La instalación y configuración del VPN en cada computador está a cargo del líder TI de CARDIOVIDA
COLOMBIA S.A.S. o de la persona que este designe para ello.
Cada computador se identifica con un ID de nodo único, el cual debe ser autorizado desde el panel de
administración del VPN para que este sea un nodo autorizado y pueda acceder establecer
comunicación con el servidor de CARDIOVIDA.
Un computador autorizado y activo en el VPN de CARDIOVIDA únicamente permite que este se
establezca comunicación con el servidor, pero no proporciona acceso a los recursos dentro del mismo,
para acceder a los recursos se debe realizar mediante el inicio de sesion con usuario/contraseña de AD
asignado a cada persona.
demás personas que lo requieran), se tratan de redes aisladas que no proporcionan acceso a recursos
internos o a otros dispositivos en la red.
4.4.4 Gestión de acceso a carpetas compartidas
La información en el servidor de archivos de CARDIOVIDA es accesible únicamente usando el usuario y
contraseña asignados a cada usuario, y en computadores que con conexión a internet que sean nodos
autorizados de la red privada de CARDIOVIDA (VPN).
En el servidor de archivos se encuentran clasificadas 3 tipos de carpetas compartidas: públicas, con
acceso restringido y privadas
- Carpetas públicas: Estas carpetas contienen información de interés público para todos los
colaboradores de CARDIOVIDA, como por ejemplo información de servicios, portafolio,
plantillas corporativas, etc (Carpeta COMUNICACIONES, PUBLICO) . El acceso a estas carpetas
dependiendo del uso se da con permisos de visualizar o de modificar únicamente archivos
propios según sea necesario.
Todos los colaboradores que tengan usuario asignado en el AD tiene acceso a este tipo de
carpetas, incluyendo contratistas
- Carpetas con acceso restringido: Estas carpetas contienen información privada que son usadas
por las diferentes áreas o equipos que lo requieran, así como las carpetas de cada sede. El
acceso a estas se concede únicamente a personas que hagan parte de un equipo o proceso
(ejm PACIENTES INTERNACIONALES, GLOSAS Y DEVOLUCIONES, HABILITACIÓN, CONTABILIDAD,
o carpeta de sede, etc)
El acceso a cualquiera de estas carpetas debe ser autorizado por el encargado de cada proceso
- Carpetas privadas: A cada usuario se le asigna una carpeta privada la cual únicamente es
accesible con su nombre de usuario y contraseña, el acceso es restringido al resto de usuarios.
En CARDIOVIDA COLOMBIA S.A.S. , compartir archivos con extensiones ejecutables (.exe, .bat, .dll, .sys,
o cualquier otro de este tipo) está estrictamente prohibido.
Cualquier excepción deberá ser gestionada con el Profesional TI.
El líder de TI de CARDIOVIDA COLOMBIA S.A.S. deberán verificar trimestralmente que los accesos a las
carpetas compartidas que están bajo su responsabilidad, están controlados y que solo los
colaboradores y/o terceros que se encuentren autorizados acceden a estas.
Los accesos a las carpetas compartidas deberán ser removidos cuando la finalidad para la cual hayan
sido compartidos haya finalizado, cuando se presente un retiro de un colaborador de la empresa o por
un cambio de un colaborador a un nuevo cargo o por asignación a una área diferente, cuando la
relación con el proveedor haya finalizado o cuando un evento no deseado haya ocurrido frente a la
carpeta.
4.5 Procedimientos y manuales relacionados
-
Manual para la clasificación de la información de CARDIOVIDA.
4.6 Verificación al cumplimiento de la política
4.6.1 Verificación del cumplimiento
El cumplimiento de esta política será verificado por el colaborador que ejerza las funciones de
Oficial de protección de datos y por quien ejecute las funciones de auditoría interna, la cual podría
ser desarrollada también por un tercero a solicitud de CARDIOVIDA.
4.6.2 Excepciones
Deben ser evaluadas y aprobadas previamente por la Gerencia de CARDIOVIDA COLOMBIA S.A.S.
4.6.3 En caso de incumplimiento
Cualquier excepción a esta política deberá ser informada a la Gerente de CARDIOVIDA COLOMBIA S.A.S. para ser evaluada y aprobada o no, previamente.
5. POLÍTICA DE CONTRASEÑAS
5.1 Objetivo
Establecer los lineamientos mediante los cuales en CARDIOVIDA COLOMBIA S.A.S. se gestionan
(asignan, usan y protegen) las contraseñas requeridas para acceder a la información y demás activos
relacionados de CARDIOVIDA.
5.2 Alcance
Esta política aplica para todos los colaboradores, proveedores y contratistas que realicen actividades para CARDIOVIDA COLOMBIA S.A.S.
5.3 Definiciones
- Activo de información
Un activo de información en términos de seguridad de la información es cualquier elemento o
persona dentro de las categorías de software, hardware, telecomunicaciones, personas, bases de
datos, documentos e instalaciones, que tiene valor para CARDIOVIDA COLOMBIA S.A.S. y que
posibilitan el logro de los objetivos de los procesos y de los objetivos estratégicos de la empresa.
Para CARDIOVIDA, un activo de información se puede presentar en formato físico o electrónico. Por
ejemplo, puede ser una base de datos con información personal de pacientes en un formulario
físico o en un formulario electrónico. - Clasificación de la información
Herramienta administrativa de seguridad definida por CARDIOVIDA, que, en combinación con otras
herramientas, tecnológicas y humanas, aportan en la mitigación de riesgos de pérdida de la
confidencialidad, integridad y disponibilidad de la información. - Confidencialidad
Principio de seguridad de la información que establece que la información no está disponible o no
puede ser comunicada a personas, entidades o procesos no autorizados. - Contraseña
Control orientado a la preservación del principio de confidencialidad de los activos de información
en CARDIOVIDA. - Disponibilidad
Principio de seguridad de la información que establece que la información debe estar disponible y
puede ser utilizada por personas, entidades o procesos autorizados. - Integridad
Principio de seguridad de la información que establece que la información no ha sido alterada o
destruida sin autorización. - Sistema de información
Componentes interrelacionados trabajando conjuntamente para recolectar, almacenar, usar y
compartir información para soportar la toma de decisiones, la coordinación, el control y el análisis
en una organización.
5.4 Declaración
5.4.1 Creación de las contraseñas
CARDIOVIDA COLOMBIA S.A.S. ha definido la creación de contraseñas fuertes como un control
necesario para ayudar a mitigar la probabilidad de acceso no autorizado a la información y demás
activos relacionados. Todos los accesos a los computadores asignados por CARDIOVIDA COLOMBIA
S.A.S. a sus colaboradores y a los diferentes sistemas de información requerirán del uso de una
contraseña.
Para la creación de contraseñas, todos los colaboradores y terceros cuando aplique, deberán seguir los
siguientes lineamientos:
- La asignación de contraseñas para el acceso a los computadores asignados a los colaboradores de CARDIOVIDA COLOMBIA S.A.S. no podrá ser utilizando palabras de fácil recordación (ejemplo, Casa123), por el contrario, deberán ser creadas siguiendo los lineamientos descritos en esta política para la creación de contraseñas fuertes. El sistema deberá solicitar el cambio de contraseña durante el primer inicio de sesión.
- La contraseña para el acceso a los computadores asignados a los colaboradores de CARDIOVIDA
COLOMBIA S.A.S. deberá contener como mínimo ocho (8) caracteres, conformados por letras en
mayúscula y en minúscula, números y al menos un carácter especial. No podrán ser iguales al
nombre de usuario ni estar relacionados con el nombre de la empresa. Ver Anexo 1, Guía para la
creación de contraseñas definida por CARDIOVIDA. - Las contraseñas para los sistemas de información utilizados al interior de CARDIOVIDA COLOMBIA
S.A.S. o por sus colaboradores, deberán contener como mínimo ocho (8) caracteres, conformados
por letras en mayúscula y en minúscula, números y si el sistema de información lo permite deberá
contener al menos un carácter especial. No podrán ser iguales al nombre de usuario. Ver Anexo 1,
Guía para la creación de contraseñas definida por CARDIOVIDA. - La contraseña para el correo electrónico asignado por CARDIOVIDA COLOMBIA S.A.S. deberá
contener como mínimo ocho (8) caracteres, conformados por letras en mayúscula y en minúscula,
números y al menos un carácter especial. No podrá ser igual al nombre de usuario. Ver Anexo 1,
Guía para la creación de contraseñas definida por CARDIOVIDA. - Las contraseñas asignadas a los participantes de los proyectos de CARDIOVIDA COLOMBIA S.A.S.
para el uso de las plataformas digitales a través de diferentes sitios web administrados directamente
por CARDIOVIDA COLOMBIA S.A.S. o a través de un tercero, deberán contener como mínimo ocho
(8) caracteres, conformados por letras en mayúscula y en minúscula, números y al menos un
carácter especial. No podrá ser igual al nombre de usuario. Ver Anexo 1, Guía para la creación de
contraseñas definida por CARDIOVIDA. - Está prohibido en CARDIOVIDA COLOMBIA S.A.S. Escribir las contraseñas en medio físico o
electrónico y ser compartidas con compañeros de trabajo o terceros.
5.4.2 Cambio de la contraseña
La contraseña utilizada para el acceso a los portátiles asignados por CARDIOVIDA COLOMBIA S.A.S. a
sus colaboradores deberá ser cambiada de forma obligatoria al momento de iniciar la sesión por
primera vez, posteriormente, cada 60 días. El Profesional TI, debe configurar la expiración de la
contraseña para cada 60 días, de tal forma que el sistema obligue al colaborador al cambio de la
contraseña, la cual deberá cumplir con el nivel de complejidad definida para la creación de la
contraseña. El colaborador podrá igualmente por razones de seguridad realizar el cambio de
contraseña en cualquier momento.
Los colaboradores de CARDIOVIDA COLOMBIA S.A.S. que tengan asignado un usuario en otros sistemas
de información como dataico o gmedic, deberán igualmente cambiarla de forma obligatoria cada 60
días. El sistema de información debería obligar el cambio al momento de cumplirse el tiempo de
expiración de la contraseña (60 días).
Para realizar el cambio de contraseña podrá apoyarse en el Anexo 1, Guía para la creación de
contraseñas definida por CARDIOVIDA. Sin embargo, en caso de presentarse alguna dificultad o no
existir toda la información en la Guía, deberán contactar al Profesional TI para recibir el respectivo
soporte.
5.5 Procedimientos y manuales relacionados
Manual para la clasificación de la información de CARDIOVIDA
5.6 Verificación al cumplimiento de la política
5.6.1 Verificación del cumplimiento
El cumplimiento de esta política será verificado por el colaborador que ejerza las funciones de
Oficial de protección de datos y por quien ejecute las funciones de auditoría interna, la cual podría
ser desarrollada también por un tercero a solicitud de CARDIOVIDA
5.6.2 Excepciones
Cualquier excepción a esta política deberá ser informada a la Gerente de CARDIOVIDA COLOMBIA
S.A.S. para ser evaluada y aprobada o no, previamente.
5.6.3 En caso de incumplimiento
Cualquier colaborador de CARDIOVIDA COLOMBIA S.A.S. al que se le pueda demostrar que ha
violado esta política, estará sujeto a sanciones disciplinarias, las cuales pueden incluir hasta la
terminación del contrato.
6. POLÍTICA DE ESCRITORIO Y PANTALLA LIMPIA
6.1 Objetivo
Establecer los lineamientos mediante los cuales en CARDIOVIDA COLOMBIA S.A.S. Los escritorios de
trabajo de los diferentes colaboradores y las pantallas de los equipos portátiles deberán permanecer
limpios (sin documentos, archivos electrónicos o accesos directos a archivos) que pudieran ser
accedidos fácilmente por otros colaboradores o por personal externo.
6.2 Alcance
Aplica para todos los colaboradores de CARDIOVIDA COLOMBIA S.A.S.
6.3 Definiciones
- Activo de información
Un activo de información en términos de seguridad de la información es cualquier elemento o
persona dentro de las categorías de software, hardware, telecomunicaciones, personas, bases de
datos, documentos e instalaciones, que tiene valor para CARDIOVIDA COLOMBIA S.A.S. y que
posibilitan el logro de los objetivos de los procesos y de los objetivos estratégicos de la empresa.
Para CARDIOVIDA, un activo de información se puede presentar en formato físico o electrónico. Por
ejemplo, puede ser una base de datos con información personal de participantes de los proyectos
en un formulario físico o en un formulario electrónico.
- Clasificación de la información
Herramienta administrativa de seguridad definida por CARDIOVIDA, que, en combinación con otras
herramientas, tecnológicas y humanas, aportan en la mitigación de riesgos de pérdida de la
confidencialidad, integridad y disponibilidad de la información. - Confidencialidad
Principio de seguridad de la información que establece que la información no está disponible o no
puede ser comunicada a personas, entidades o procesos no autorizados. - Disponibilidad
Principio de seguridad de la información que establece que la información debe estar disponible y
puede ser utilizada por personas, entidades o procesos autorizados. - Escritorio
Mueble con divisiones en su parte interior para guardar papeles. - Escritorio limpio
Mueble que en la parte superior se encuentra sin documentos físicos que contengan información
considerada como 1semiprivada, privada o sensible de las diferentes partes interesadas de
CARDIOVIDA. - Integridad
Principio de seguridad de la información que establece que la información no ha sido alterada o
destruida sin autorización. - Pantalla
Se refiere a la interfaz gráfica de usuario que se visualiza al iniciar sesión en un portátil, computador
de escritorio, tablet, teléfono inteligente u otro dispositivo de procesamiento de información. - Pantalla limpia
Interfaz gráfica de usuario de un portátil, computador de escritorio, tablet, teléfono inteligente u
otro dispositivo de procesamiento de información sin documentos, hojas de cálculo, presentaciones
u otro tipo de archivo electrónico que contengan información considerada como 2semiprivada,
privada o sensible de las diferentes partes interesadas de CARDIOVIDA. Igualmente, se considera
que la pantalla está limpia cuando no existen accesos directos a los tipos de archivos anteriormente
mencionados. - Sistema de información
Componentes interrelacionados trabajando conjuntamente para recolectar, almacenar, usar y
compartir información para soportar la toma de decisiones, la coordinación, el control y el análisis
en una organización.
6.4 Declaración
6.4.1 Pantallas limpias
La Interfaz gráfica de usuario de los computadores portátiles o de escritorio, tablet, teléfono
inteligente u otro dispositivo de procesamiento de información asignados y operados por los
colaboradores de CARDIOVIDA COLOMBIA S.A.S. que tengan derechos de acceso a sistemas de
información y/o a bases de datos con información personal de las diferentes partes interesadas de
CARDIOVIDA, no deben almacenar documentos, hojas de cálculo, presentaciones u otro tipo de
archivo electrónico que contenga información considerada como 3
semiprivada, privada o sensible.
Igualmente, no está permitido la creación de accesos directos para ningún tipo de archivo electrónico
con información del tipo antes descrito
6.4.2 Escritorios limpios
Los escritorios o mesas de trabajo físicas deben permanecer sin documentos físicos que contengan
información considerada como 4semiprivada, privada o sensible de las diferentes partes interesadas de
CARDIOVIDA.
Estos documentos deben permanecer almacenados en los cajones del escritorio de trabajo o en
lockers, mitigando de esta forma el acceso no autorizado a estos
6.4.3 Bloqueo de pantalla
En CARDIOVIDA COLOMBIA S.A.S. el bloqueo de la pantalla por parte de los colaboradores que tienen
asignado un computador portátil o de escritorio es obligatorio.
Cada colaborador que deba levantarse del puesto de trabajo por un período mayor a treinta segundos
(30 segundos) debe bloquear la pantalla al levantarse del puesto de trabajo. Para ello pueden utilizar el
método abreviado del teclado: tecla del logotipo de Windows + la letra L
El Profesional TI, a través de herramientas tecnológicas debe establecer por defecto para que se
ejecute de forma automática el bloqueo de la pantalla después de 2 minutos de inactividad por parte
del colaborador.
El desbloqueo será realizado directamente por cada colaborador ingresando la contraseña de inicio de
sesión.
6.4.4 Tableros limpios
Cualquier tablero físico o electrónico utilizado al interior o exterior de CARDIOVIDA COLOMBIA S.A.S.
para presentar información clasificada como semiprivada, privada o sensible de las partes interesadas
de CARDIOVIDA COLOMBIA S.A.S. deberá ser borrada al finalizar una determinada reunión.
6.5 Procedimientos y manuales relacionados
Manual para la clasificación de la información de CARDIOVIDA
6.6 Verificación al cumplimiento de la política
6.6.1 Verificación del cumplimiento
El cumplimiento de esta política será verificado por el colaborador que ejerza las funciones de
Oficial de protección de datos y por quien ejecute las funciones de auditoría interna, la cual podría
ser desarrollada también por un tercero a solicitud de CARDIOVIDA.
6.6.2 Excepciones
Cualquier excepción a esta política deberá ser informada a la Gerente de CARDIOVIDA COLOMBIA
S.A.S. para ser evaluada y aprobada o no, previamente.
6.6.3 En caso de incumplimiento
Cualquier colaborador de CARDIOVIDA COLOMBIA S.A.S. al que se le pueda demostrar que ha
violado esta política, estará sujeto a sanciones disciplinarias, las cuales pueden incluir hasta la
terminación del contrato.
7. POLÍTICA DE TRANSFERENCIA DE INFORMACIÓN
7.1 Objetivo
Establecer los lineamientos mediante los cuales se transfiere la información entre CARDIOVIDA
COLOMBIA S.A.S. y sus partes interesadas.
7.2 Alcance
El cumplimiento de esta política aplica para todos los colaboradores de CARDIOVIDA, los cuales al
momento de transferir información al interior y hacia el exterior de CARDIOVIDA COLOMBIA S.A.S.
deben seguir los lineamientos definidos en este documento.
7.3 Definiciones
- Activo de información
Un activo de información en términos de seguridad de la información es cualquier elemento o
persona dentro de las categorías de software, hardware, telecomunicaciones, personas, bases de
datos, documentos e instalaciones, que tiene valor para CARDIOVIDA COLOMBIA S.A.S. y que
posibilitan el logro de los objetivos de los procesos y de los objetivos estratégicos de la empresa.
Para CARDIOVIDA, un activo de información se puede presentar en formato físico o electrónico. Por
ejemplo, puede ser una base de datos con información personal de participantes de los proyectos
en un formulario físico o en un formulario electrónico - Clasificación de la información
Herramienta administrativa de seguridad definida por CARDIOVIDA, que, en combinación con otras
herramientas, tecnológicas y humanas, aportan en la mitigación de riesgos de pérdida de la
confidencialidad, integridad y disponibilidad de la información. - Confidencialidad
Principio de seguridad de la información que establece que la información no está disponible o no
puede ser comunicada a personas, entidades o procesos no autorizados. - Disponibilidad
Principio de seguridad de la información que establece que la información debe estar disponible y
puede ser utilizada por personas, entidades o procesos autorizados. - Integridad
Principio de seguridad de la información que establece que la información no ha sido alterada o
destruida sin autorización. - Sistema de información
Componentes interrelacionados trabajando conjuntamente para recolectar, almacenar, usar y
compartir información para soportar la toma de decisiones, la coordinación, el control y el análisis
en una organización. - Protocolo seguro de transferencia de archivos (FTPS)
Servicio de la Internet utilizado para realizar transferencia segura de archivos entre computadores
conectados a una red. - Transferencia de información
Es el proceso de transferir información desde un lugar a otro, o de una persona a otra. La
transferencia puede ser realizada a través de varios métodos, incluyendo, medios físicos como la
mensajería, y medios electrónicos como el correo electrónico, protocolos seguros de transferencia
de información (FTPS), entre otros.
7.4 Declaración
CARDIOVIDA COLOMBIA S.A.S. reconoce la importancia de transferir información a sus partes
interesadas internas y/o externas de forma correcta y segura, en concordancia con la política de
seguridad de la información y la normatividad colombiana vigente.
Es responsabilidad de cada colaborador implementar las medidas de seguridad dispuestas en esta
política cada vez que vaya a realizar una transferencia de información (archivos, mensajes de texto,
mensajes de voz, correspondencia física, etc.) al interior o exterior de CARDIOVIDA.
7.4.1 Roles y responsabilidades
Los siguientes roles y sus responsabilidades son esenciales para asegurar el cumplimiento de esta
política:
Remitente
El remitente, en este caso cualquier colaborador de CARDIOVIDA, debe asegurar antes de cualquier
transferencia de información que los siguientes requerimientos de esta política se alcancen:
- Tener la autoridad para realizar la transferencia de la información o contar con la autorización
del líder de TI. - Confirmar la dirección (correo electrónico o física) del destinatario. Confirmar mientras sea
posible la identidad del destinatario. - Utilizar las medidas de seguridad dispuestas por CARDIOVIDA COLOMBIA S.A.S. para realizar la
transferencia de información.
Destinatario
El destinatario es la persona que actuando a nombre propio o a nombre de una empresa, recibe la
información enviada por un colaborador de CARDIOVIDA. El destinatario deberá utilizar la información
para el propósito específico por el cual le es transmitida la información. Igualmente, deberá conservar
la información con las medidas de seguridad que hayan sido definidas.
Profesional TI
El Profesional TI deberá suministrar las herramientas tecnológicas adecuadas y el acompañamiento a
los diferentes colaboradores para asegurar que la transferencia de la información por medios
electrónicos contenga las medidas de seguridad necesarias para mantener la confidencialidad e
integridad de esta.
7.4.2 Requerimientos de seguridad durante la transferencia
Las siguientes medidas de seguridad de la información deberán ser implementadas previo a la
transferencia de información al interior de CARDIOVIDA COLOMBIA S.A.S. o cuando sea hacia partes
interesadas externas.
- Previo a la transferencia de información personal entre CARDIOVIDA COLOMBIA S.A.S. y sus
proveedores, deberá existir una cláusula de confidencialidad en el contrato comercial existente
entre ambos, o un otrosí en caso de no haber existido desde el momento inicial. Igualmente,
deberán existir acuerdos de confidencialidad firmados por los colaboradores de CARDIOVIDA
COLOMBIA S.A.S. y los de sus proveedores. - En cumplimiento de la Ley 1581 de 2012 sobre protección de datos personales, deberá existir un
contrato de transmisión de datos personales entre las partes, siendo en este caso CARDIOVIDA
COLOMBIA S.A.S. quien actúa como Responsable del tratamiento de datos personales (quien
formula el contrato) y el proveedor como Encargado del tratamiento de los datos personales que
suministra el Responsable. Cuando la información a transferir entre las partes no incluya datos
personales, no será necesario la existencia de un contrato de transmisión de datos personales. - Cuando se requiera realizar transferencia constante de archivos entre CARDIOVIDA COLOMBIA
S.A.S. y sus proveedores para la realización de actividades relacionadas con el contrato existente
entre ambos, esta se deberá realizar a través del servicio de protocolo seguro de transferencia de
archivos, FTPS, o a través de otro medio que brinde medidas de seguridad iguales o superiores a
este. El líder de TI proveerá la herramienta y la formación en esta. - Cuando se envían archivos con información semiprivada, privada o sensible a través de correo
electrónico, estos deberán contar con medidas de cifrado de la información o con una contraseña
fuerte, siguiendo en este último caso los lineamientos definidos en la política de contraseñas. Las
contraseñas deberán ser suministradas al destinatario a través de un medio diferente al que utiliza
para enviar la información, podría ser entonces a través de un servicio de mensajería instantánea
con cifrado de extremo a extremo. - La transferencia de información a través de dispositivos de almacenamiento extraíble (USB,
memorias, CD, DVD u otros) no está permitido en CARDIOVIDA, con excepción de los casos que
cuenten con la autorización específica y comprobable del líder de TI o de la Gerente General. Si
información semiprivada, privada o sensible es autorizada para ser transportada en medios de
almacenamientos extraíble, esta deberá estar cifrada.
7.5 Procedimientos y manuales relacionados
Manual para la clasificación de la información de CARDIOVIDA
7.6 Verificación al cumplimiento de la política
7.6.1 Verificación del cumplimiento
El cumplimiento de esta política será verificado por el colaborador que ejerza las funciones de
Oficial de protección de datos y por quien ejecute las funciones de auditoría interna, la cual podría
ser desarrollada también por un tercero a solicitud de CARDIOVIDA.
7.6.2 Excepciones
Cualquier excepción a esta política deberá ser informada al líder de TI y a la Gerente de
CARDIOVIDA COLOMBIA S.A.S. para ser evaluada y aprobada o no, previamente.
7.6.3 En caso de incumplimiento
Cualquier colaborador de CARDIOVIDA COLOMBIA S.A.S. al que se le pueda demostrar que ha
violado esta política, estará sujeto a sanciones disciplinarias, las cuales pueden incluir hasta la
terminación del contrato.
8. POLÍTICA DE COPIA DE RESPALDO
8.1 Objetivo
Establecer los lineamientos mediante los cuales se realizan las copias de respaldo a la información
producida en CARDIOVIDA, con el fin de mitigar los impactos derivados de la materialización de riesgos
de pérdida de la información, secuestro de la información, entre otros
8.2 Alcance
El cumplimiento de esta política aplica para los colaboradores de todas las áreas de CARDIOVIDA
COLOMBIA S.A.S. que producen información a través de los diferentes sistemas de información o en los
programas ofimáticos.
8.3 Definiciones
- Confidencialidad
Principio de seguridad de la información que establece que la información no está disponible o no
puede ser comunicada a personas, entidades o procesos no autorizados.
Copia de respaldo (backup)
Control de tipo correctivo que tiene como objetivo mitigar el impacto producido por la materialización
de riesgos como la pérdida de la información o el secuestro de esta. - Disponibilidad
Principio de seguridad de la información que establece que la información debe estar disponible y
puede ser utilizada por personas, entidades o procesos autorizados. - Información del sistema
Se refiere a los archivos del sistema y a las configuraciones de los sistemas operativos de los servidores
y computadores necesarios para mantener los servicios de la infraestructura tecnológica disponible. - Información operacional
Es toda aquella información referente a las operaciones realizadas por los colaboradores de
CARDIOVIDA COLOMBIA S.A.S. a través de los diferentes sistemas de información (ejemplo, dataico),
como también a los documentos, hojas de cálculo, presentaciones, producciones audiovisuales,
producciones de imágenes, correos electrónicos, otros, producida por estos en el desarrollo de sus
funciones. - Integridad
Principio de seguridad de la información que establece que la información no ha sido alterada o
destruida sin autorización
8.4 Declaración
Cualquier dato que sea necesario para mantener las operaciones de CARDIOVIDA, requerirá ser
respaldado. Bases de datos con la información personal de los participantes en los proyectos,
empleados, proveedores, otros; código fuente de aplicaciones propias, registros financieros, registros
de transacciones en el portal web, registros de auditorías (log de auditoría), archivos de tipo
documento, hojas de cálculo, presentaciones, correos electrónicos, entre otros. .
8.4.1 Realización de copias de respaldo a la información operacional
La información producida a través de los diferentes sistemas de información operados por los
colaboradores de CARDIOVIDA COLOMBIA S.A.S. deberá estar soportada por copias de respaldo, dos
como mínimo y ubicadas en lugares diferentes (únicamente las copias de seguridad que pasen a ser
archivadas como las mensuales y anuales); las copias de archivo deberán ser almacenadas en una
segunda región o zona de disponibilidad diferente a la zona de disponibilidad principal de AWS donde
están desplegados los recursos de nube de Cardiovida (us-east-1).
Las copias realizadas para sistemas de información como dataico o gMedic, será responsabilidad del
proveedor del software realizarlas cada día.
La información operacional producida a través de las diferentes herramientas ofimáticas (Word, Excel,
Powerpoint, otras) o de otro tipo utilizadas por los colaboradores de CARDIOVIDA COLOMBIA S.A.S.
debe ser almacenada por cada colaborador en la carpeta correspondiente en el servidor.
El líder de TI o la persona designada por el gerente, debe establecer a través de herramientas
tecnológicas un proceso automático para la realización de las copias de respaldo a la información
operacional producida en los sistemas de información y a la producida por los colaboradores a través
de las herramientas Ofimáticas y almacenada en la carpeta privada en red de cada colaborador.
En CARDIOVIDA COLOMBIA S.A.S. no está permitido el almacenamiento de información empresarial en
dispositivos de almacenamiento removibles no administrados por CARDIOVIDA. Igualmente, no está
permitido el almacenamiento de información en una ubicación diferente al servidor de archivos.
8.4.2 Restaurar información de copias de respaldo
La restauración de la información almacenada a través de copias de respaldo es igual o incluso más
importante que realizar las copias de respaldo. En cualquier momento de la actividad empresarial, será
necesario restaurar información respaldada, debido a diferentes factores, como por ejemplo, la
materialización del riesgo de pérdida de información.
Ante lo anterior, el Profesional de TI o la persona designada debe ejecutar el procedimiento de
restauración de la información según sea el caso, y en conjunto con el líder del área afectada y/o sus
colaboradores, verificar que la restauración realizada haya sido completa y exacta a partir de la última
copia de respaldo realizada, la cual no debería superar el punto objetivo de recuperación definido por
CARDIOVIDA COLOMBIA S.A.S. de un día.
El Profesional TI o la persona designada debe realizar cada seis meses pruebas de restauración a las
copias de respaldo de la información producida en los diferentes sistemas de información asociados a
cada área de CARDIOVIDA. Las pruebas deberán ser realizadas en conjunto con el líder de cada área, o
con el colaborador que haya sido designado por este. El ejercicio de restauración deberá ser realizado
en un ambiente de pruebas y los resultados deberán estar documentados. Cuando el resultado de la
realización de la prueba de restauración no sea exitosa, deberán ser establecidos planes de mejora y
volverlas a realizar hasta lograr un resultado exitoso
8.5 Procedimientos y manuales relacionados
Procedimiento de restauración de la información
8.6 Verificación al cumplimiento de la política
8.6.1 Verificación del cumplimiento
El cumplimiento de esta política será verificado por el colaborador que ejerza las funciones de
Oficial de protección de datos y por quien ejecute las funciones de auditoría interna, la cual podría
ser desarrollada también por un tercero a solicitud de CARDIOVIDA
8.6.2 Excepciones
Cualquier excepción a esta política deberá ser informada al líder de cada área y a la Gerente de
CARDIOVIDA COLOMBIA S.A.S. para ser evaluada y aprobada o no, previamente.
8.6.3 En caso de incumplimiento
Cualquier colaborador de CARDIOVIDA COLOMBIA S.A.S. al que se le pueda demostrar que ha
violado esta política, estará sujeto a sanciones disciplinarias, las cuales pueden incluir hasta la
terminación del contrato
ANEXO 1
Guía para la creación de contraseñas definida por CARDIOVIDA
OBJETIVO
Proveer una guía clara y práctica para la construcción de contraseñas fuertes, que ayuden a prevenir accesos no autorizados a los sistemas e información de CARDIOVIDA COLOMBIA S.A.S.
ALCANCE
Aplica a todos los colaboradores, practicantes y proveedores de CARDIOVIDA COLOMBIA S.A.S. que requieran acceso a la información y activos relacionados con la compañía.
DESCRIPCIÓN
Esta guía hace parte esencial de la Política de Contraseñas, por lo que su cumplimiento es obligatorio.
Las contraseñas fuertes constituyen un control preventivo fundamental para disminuir la posibilidad de accesos no autorizados a la información institucional.
REQUISITOS DE UNA CONTRASEÑA FUERTE
Una contraseña fuerte debe cumplir con los siguientes criterios:
Contener como mínimo ocho (8) caracteres.
Incluir letras mayúsculas y minúsculas.
Incluir al menos un número.
Incluir al menos un carácter especial, como por ejemplo:
! $ % ^ & * ( ) _ + | ~ - = \{ } [ ] : ” ; ‘ < > ? , /`
BUENAS PRÁCTICAS
No anotar la contraseña en papel ni en archivos digitales sin protección.
Crear contraseñas que sean fáciles de recordar para ti, pero difíciles de adivinar para otros.
Evita usar fechas de nacimiento, nombres propios, palabras comunes o secuencias simples como
123456.
Ejemplo de construcción segura (no usar literalmente este ejemplo):
Frase base: La Tierra del Olvido
Contraseña fuerte derivada: L@Ti3rradelolvid0 o L@TdelOlvid0
Nota: No utilices estos ejemplos como contraseña real.
