Gestiona tu pago
Contáctanos
Gestiona tu pago
Contáctanos
Políticas

Política de Ciberseguridad

  1. OBJETIVO

Establecer y mantener procesos que nos permitan garantizar la seguridad y protección de toda la información de LIQUITTY, de sus clientes, proveedores y empleados, información que es procesada, transportada y almacenada a través de medios digitales y tecnológicos; así mismo, proteger y prevenir de ataques o eventos cibernéticos los procesos de la compañía, garantizando la continuidad del negocio y de la operación, mitigando el riesgo de suspensión en caso de una contingencia de tipo tecnológico.

  1. DEFINICIONES

ACTIVO DE INFORMACIÓN: Conocimiento o datos que tienen valor para la entidad o el individuo.

CIBER AMENAZA O AMENAZA CIBERNÉTICA: Aparición de una situación potencial o actual que pudiera convertirse en un ciberataque.

CIBERATAQUE O ATAQUE CIBERNÉTICO: Acción criminal organizada o premeditada de uno o más agentes que usan los servicios o aplicaciones del ciberespacio o son el objetivo de la misma, o donde el ciberespacio es fuente o herramienta de comisión de un crimen.

CIBERESPACIO: Entorno complejo resultante de la interacción de personas, software y servicios en Internet a través de dispositivos tecnológicos conectados a dicha red, el cual no existe en ninguna forma física.

CIBERIESGO O RIESGO CIBERNÉTICO: Posibles resultados negativos derivados de fallas en la seguridad de los sistemas tecnológicos o asociados a ataques cibernéticos.

CIBERSEGURIDAD: Es el desarrollo de capacidades empresariales para defender y anticipar las amenazas cibernéticas con el fin de proteger y asegurar los datos, sistemas y aplicaciones en el ciberespacio que son esenciales para la operación de la compañía.

EVENTO DE CIBERSEGURIDAD: Ocurrencia de una situación que podría afectar la protección o el aseguramiento de los datos, sistemas y aplicaciones de la empresa que son esenciales para el negocio.

INCIDENTE DE CIBERSEGURIDAD: Ocurrencia de una situación que afecta la protección o el aseguramiento de los datos, sistemas y aplicaciones de la entidad que son esenciales para el negocio.

INFORMACIÓN EN TRÁNSITO: Información que fluye a través de la red pública, como Internet, y los datos que viajan en una red privada, como una red de área local (LAN) corporativa o empresarial.

SEGURIDAD DE LA INFORMACIÓN: Es el conjunto de políticas, estrategias, metodologías, recursos, soluciones informáticas, prácticas y competencias para proteger, asegurar y preservar la confidencialidad, integridad y disponibilidad de la información que se almacene, reproduzca o procese en los sistemas informáticos de la entidad.

VULNERABILIDAD: Debilidad de un activo o control que puede ser explotado por una amenaza. Se tienen en cuenta todas aquellas amenazas que surgen por la interacción de los sistemas en el ciberespacio.

  1. ETAPAS DE GESTIÓN DE LA CIBERSEGURIDAD

3.1. PREVENCIÓN

Dentro de los controles desarrollados e implementados que nos permiten velar por la seguridad de la información y prevenir o limitar el impacto de un posible incidente de ciberseguridad, están:

3.2. Controles de acceso

Al igual que controlamos el acceso al área física para entrar en oficinas o en sus dependencias con sistemas, guardias de seguridad y videovigilancia, en el área digital controlamos el acceso a los recursos de información de la empresa, identificando quién puede acceder a dónde y para qué.

Se cuenta con el “GTPT004 – PROCEDIMIENTO CONFIGURACIÓN Y USO DE LLAVES CRIPTOGRÁFICAS”.

El control de accesos está formado por los mecanismos para hacer cumplir los criterios que se establezcan para permitir, restringir, monitorizar y proteger el acceso a nuestros servicios, sistemas, redes e información. Para ello identificamos a los usuarios, quiénes son y qué les vamos a permitir hacer.

En primer lugar, damos de alta en los sistemas a los usuarios y gestionamos de forma automática todo el ciclo de vida de sus identidades.

Para identificar a los usuarios utilizamos:

  • Credenciales como el ID de usuario y la contraseña.
  • Permisos, derechos y privilegios.
  • Atributos, como el horario o el cargo para nuestros empleados.
  • Información biométrica.

Nuestra política de control de acceso define la gestión de usuarios y la segregación de funciones.

3.2.1. Prevención de fuga de datos e información

Se tienen establecidas políticas para controlar la fuga de información de la compañía. Las políticas son:

  • Política de seguridad en el puesto de trabajo.
  • Normativa de uso de software legal o política de aplicaciones permitidas.
  • Política de uso de dispositivos personales.
  • Política de uso de portátiles.
  • Política de gestión de soportes, borrado seguro y de destrucción de la información.
  • Política de uso del correo electrónico.
  • Política de contraseñas.
  • Política de actualizaciones.
  • Checklist para detectar fraude.
  • Integración tecnología DLP (Prevención de Pérdida de Datos).

3.2.2. Copias de seguridad

Se cuenta con el procedimiento “GTPT008 – PROCEDIMIENTO DE CONTROL Y RESTAURACIÓN DE BACKUPS”, cuya ejecución nos permite mantener y resguardar en todo momento la integridad, confidencialidad y disponibilidad de la información.

Estos son los tipos de almacenamiento de información en la empresa:

  • Almacenamiento local.
  • Servicios de almacenamiento externos COA (Centro de Operación alterno) y entre sedes Cali y Bogotá.

3.2.3. Simulacros y pruebas

La empresa realiza durante todo el año diferentes pruebas y simulacros de los sistemas e infraestructura tecnológica e informática, que nos permiten prevenir y estar preparados frente a un incidente o evento de ciberseguridad, enmarcado en nuestro plan de continuidad de negocio.

Las fechas y periodicidad de los simulacros y demás actividades TI están definidas en un “CRONOGRAMA DE PLAN DE CONTINUIDAD DE NEGOCIO”.

Los simulacros son los siguientes:

  • PRUEBAS DE VULNERABILIDAD ETHICAL HACKING.
  • SIMULACRO DE CAÍDA O INHABILIDAD DEL FIREWALL UTM.
  • SIMULACRO DE ATAQUE INFORMÁTICO Y CIBERNÉTICO.
  • SIMULACRO DE CAÍDA DE PLATAFORMA DE TELEFONÍA Y BASE DE DATOS.
  • SIMULACRO DE RECUPERACIÓN DE LOS SERVIDORES.
  • SIMULACRO DE EVENTOS DE FALLA DE RED, HARDWARE O SOFTWARE.

3.2.4. Plan anual de capacitación

Nuestra normativa interna frente a la sensibilización incluye un plan anual de capacitación que va desde el momento de la contratación de los empleados y durante todo el tiempo que este permanezca en la empresa, con sesiones periódicas de formación, el cual incluye, entre otros temas, el de seguridad de la información y la ciberseguridad, realizando énfasis en aspectos como el Phishing y la recepción de correos fraudulentos.

Cuando se contrata un empleado y al resto de empleados, al menos una vez al año, se les recuerda cómo han de proteger los recursos de la empresa, entre ellos la información, los sistemas y equipos informáticos, los móviles o portátiles de empresa.

3.3. PROTECCIÓN Y DETECCIÓN

LIQUITTY ha desarrollado e implementado actividades para identificar la ocurrencia de un evento de ciberseguridad, que permiten el descubrimiento oportuno de eventos e incidentes de ciberseguridad y protegernos ante los mismos.

3.3.1. Firewall / UTM

LIQUITTY cuenta con un sistema de protección perimetral, UTM, FORTINET.

3.3.2. Sistema Antivirus

LIQUITTY cuenta con una plataforma SOPHOS ENDPOINT, que nos permite proteger frente a las permanentes amenazas de virus informáticos, malware, ransomware, etc.:

  • Una versión antivirus SOPHOS ENDPOINT, la cual maneja una plataforma de administración y actualización centralizada. Estos antivirus fueron instalados en todos los equipos de cómputo de la compañía, incluyendo estaciones de trabajo y servidores.
  • El sistema realiza automáticamente las actualizaciones del antivirus diariamente y, en la auditoría de seguridad que se realiza mensualmente, se hace el escaneo full de virus en los equipos y se revisan también las actualizaciones del antivirus. Esto queda consignado en el formato de “REVISIÓN DE SEGURIDAD DE LA INFORMACIÓN MENSUAL DE EQUIPOS”.

3.3.3. Gestión de eventos

LIQUITTY cuenta con el procedimiento “GTPT009 – PROCEDIMIENTO GESTIÓN DE LOGS”, el cual nos permite monitorear, detectar, prevenir y mitigar posibles problemas, incidentes de seguridad o deficiencias de los sistemas de información.

3.3.4. Auditorías internas de seguridad

Mensualmente se realizan auditorías de seguridad a las estaciones de trabajo y anualmente a servidores (Hardening), donde se revisan controles a los puntos críticos de estos equipos.

Se revisan los siguientes controles en las estaciones de trabajo:

  • Restricción puertos USB y unidades CD-DVD.
  • Restricción navegación internet.
  • Restricción permisos de usuarios.
  • Restricción BIOS.
  • Políticas GPO.
  • Actualizaciones Antivirus.
  • Escaneo de virus.
  • Contraseñas de acceso a archivos, aplicativos y BD de gestión.
  • Enmascaramiento de datos confidenciales en aplicativo de gestión (CRM).

3.3.5. Análisis de vulnerabilidades

Cada dos meses la compañía realiza internamente un análisis de vulnerabilidades a través de nuestro sistema de escaneo GFI LANGUARD. Esto con la finalidad de tomar acciones que nos permitan proteger y detectar vulnerabilidades de nuestra infraestructura tecnológica:

  • Intrusiones.
  • Ataques.
  • Amenazas de spyware.
  • Virus de pasarela.
  • Actividad web.

3.4. RESPUESTA Y COMUNICACIÓN

De presentarse un incidente donde se vea afectada la información, la infraestructura tecnológica o los procesos y actividades de la compañía, LIQUITTY tiene conformado un COMITÉ DE SEGURIDAD DE LA INFORMACIÓN integrado por personal de la compañía, quienes tienen la responsabilidad de poner en marcha o activar el plan de continuidad según la contingencia o evento presentado. Ver “SIGMN007 – MANUAL DE DRP Y CONTINUIDAD DEL NEGOCIO”.

3.4.1. Continuidad del negocio

LIQUITTY ha desarrollado e implementado un procedimiento para tal fin, “SIGMN007 – MANUAL DE DRP Y CONTINUIDAD DEL NEGOCIO”, que nos permite actuar y reaccionar ante incidentes de seguridad no solamente de tipo tecnológico que puedan afectar y que podrían impactar la operatividad de la compañía, tales como:

  • Las instalaciones del edificio no son accesibles.
  • Protocolo para casos de pandemias.
  • Mal funcionamiento en un servidor o un dispositivo de hardware.
  • Los datos no son accesibles o se encuentran corruptos.
  • Disponibilidad del personal y demás áreas de trabajo.
  • Incidentes presentados por ciberataques.

3.5. RECUPERACIÓN Y APRENDIZAJE

LIQUITTY tiene desarrollada su política enfocada a la gestión del riesgo y seguridad de la información. Para tal fin, tiene implementado el procedimiento “SIGMN003 – MANUAL INTEGRAL DE ACTIVOS Y RIESGOS”, que nos permite valorar los riesgos a los que están expuestos los activos de información de LIQUITTY, realizando su respectivo análisis (identificación y estimación del riesgo) y la evaluación, a fin de implementar los controles adecuados que permitan mitigar, evitar, transferir, retener o reducir los riesgos, mediante un tratamiento de forma sistémica.

Anexo a este procedimiento, LIQUITTY tiene desarrollado e implementado una matriz de riesgo “MATRIZ DE RIESGO – LIQUITTY”.