Políticas de seguridad de la información

Questions and Answers

¿Cuál es la principal razón para mantener los escritorios limpios según la política de la entidad?

• Para evitar la acumulación de polvo y suciedad en los equipos de cómputo.
• Para cumplir con las normas de estética y orden.
• Para reducir el riesgo de acceso no autorizado, pérdida o daño de la información. (correct)
• Para facilitar la limpieza del personal de mantenimiento.

¿Qué se debe hacer con los dispositivos de almacenamiento que contienen copias de respaldo de archivos magnéticos según la política de escritorios limpios?

• Guardarlos bajo llave, especialmente aquellos con copias de respaldo. (correct)
• Dejarlos sobre el escritorio para facilitar su acceso.
• Desecharlos una vez que se haya verificado la copia de seguridad.
• Entregarlos al Departamento de Informática y Telecomunicaciones.

¿Cuál de las siguientes acciones NO es una práctica recomendada según la política de escritorios limpios?

• Dejar documentos sensibles en cajones cerrados durante la hora del almuerzo.
• Dejar el equipo encendido para facilitar el acceso al regresar. (correct)
• Asignar tiempo para eliminar el papeleo innecesario.
• Revisar que el lugar de trabajo quede ordenado antes de salir.

Según la política de escritorios limpios, ¿qué ocurre si no se cumple con la política?

Se notifica al superior inmediato, con copia a Gestión Humana. (C)

En relación con el uso de credenciales de acceso, ¿qué acción está prohibida a menos que se cuente con autorización formal?

Utilizar o divulgar códigos, claves o contraseñas de acceso de otro usuario. (B)

¿Cuál es el objetivo principal de la política de contraseñas seguras?

Establecer un estándar para la creación, protección y cambio frecuente de contraseñas fuertes. (A)

Considerando la política sobre el uso de dispositivos de almacenamiento, ¿quién está autorizado a usar dispositivos de almacenamiento como CD o memorias USB?

Solo el personal autorizado por el Departamento de Informática y Telecomunicaciones. (D)

¿Qué implicación tiene la indicación 'COPIA NO CONTROLADA' en un documento según el texto?

La impresión y copia magnética del documento no están sujetas a control de versiones. (C)

¿Qué acción NO está permitida para los usuarios de equipos de cómputo de la organización según la política de seguridad?

Instalar software gratuito o juegos en el equipo asignado. (B)

¿Quién está autorizado a realizar la instalación de software en los equipos de cómputo de la organización?

Únicamente el personal de Soporte de Informática y Telecomunicaciones. (B)

Si un equipo de cómputo asignado a un usuario sufre daños, ¿quién es responsable por los costos de reparación o reemplazo?

El usuario al que se asignó dicho equipo. (A)

¿Qué medida de seguridad debe tomar un usuario al ausentarse de su oficina para prevenir el acceso no autorizado a su equipo?

Activar el protector de pantalla manualmente, oprimiendo Ctrl+Alt+Sup. (C)

Según la política de seguridad, ¿qué se requiere para reubicar o reasignar un equipo de cómputo a otro usuario?

La autorización del área de Informática y Telecomunicaciones. (D)

¿Cuál es la restricción con respecto al uso de medios de almacenamiento externos en las computadoras de la organización?

No deben usarse medios de almacenamiento externos en ninguna computadora. (A)

¿Qué información debe incluirse en la hoja de vida de los equipos de cómputo de la campaña?

Configuración, aplicativos instalados, Red, usuario, inventario general actualizado. (C)

¿Cuál es una recomendación con respecto al tamaño de los archivos adjuntos en los correos electrónicos?

El tamaño de los archivos adjuntos debe ser lo más pequeño posible. (A)

¿Cuál es el propósito principal de la gestión de riesgos y la administración de los planes de continuidad de negocio en FENALCO?

Proteger los activos de información de la organización. (B)

¿Qué acción debe tomar un funcionario de FENALCO para cumplir con la política de 'Sesión Abierta' al ausentarse de su puesto de trabajo?

Cerrar la sesión de usuario en Windows cada vez que se ausente. (D)

¿Qué tipo de sanciones se aplicarán inicialmente a los funcionarios que incumplan la política de 'Sesión Abierta' después de su implementación?

Sanciones de tipo educativo para fomentar la cultura de seguridad. (C)

¿Cuál es el objetivo principal de la política de 'Sesión Abierta' en FENALCO?

Prevenir la suplantación de identidad y proteger contra fraudes. (A)

Si un empleado observa que otro funcionario no cierra su sesión al abandonar su puesto, ¿a quién debe reportar esta situación?

Al Coordinador o Supervisor, quien a su vez reporta al Jefe Inmediato. (A)

Transcurridos 3 meses desde la implementación de la politica de seguridad de la información, ¿qué tipo de medidas se tomarán con aquellos funcionarios que la incumplan?

Se tomarán medidas disciplinarias como: llamadas de atención, suspensiones, expulsiones o despidos. (D)

¿Qué se entiende por 'Sesión Abierta' en el contexto de la política de seguridad de FENALCO?

No cerrar la sesión de usuario en Windows al abandonar el puesto de trabajo. (D)

¿Qué recursos informáticos pueden ser utilizados por los usuarios de FENALCO según las politicas de seguridad de la información?

Computador asignado por Fenalco con licenciamiento y VPN, o computador propio con conexión VPN. (D)

¿Cuál de las siguientes afirmaciones describe MEJOR la política sobre la privacidad del usuario al usar el servicio de Internet proporcionado por la empresa?

La empresa tiene la potestad de realizar seguimiento y control sobre las páginas web accedidas por el usuario. (C)

Según las políticas de uso de Internet de la empresa, ¿cuál de las siguientes actividades NO está permitida?

Acceder a páginas web con fines no laborales. (C)

¿Qué medida de seguridad es MÁS importante para prevenir la propagación de virus al descargar archivos de Internet, según las políticas de la empresa?

Evitar descargar archivos de sitios web desconocidos y fuentes sospechosas. (A)

Según las normas de uso de los computadores de la empresa, ¿qué acción requiere autorización firmada del jefe inmediato?

Retirar el computador del área de trabajo. (D)

En relación con la conexión de los equipos de cómputo, ¿cuál es la instrucción ESPECÍFICA que se debe seguir?

Conectar el computador en la toma marcada como UPS. (A)

¿Quién está autorizado para modificar la configuración estándar de los computadores entregados a los usuarios?

Únicamente el personal del área de Soporte de Sistemas con una solicitud de servicio. (D)

Si un usuario detecta una anomalía en su computador, ¿a quién debe reportarlo de manera OPORTUNA?

Al área de Sistemas o Seguridad, según el caso. (A)

Si un usuario daña un equipo de cómputo debido al consumo de alimentos cerca del mismo, ¿qué ocurre?

El usuario es responsable por el daño causado. (B)

¿Qué sanción podría enfrentar un usuario que incumple la política de seguridad de la información al divulgar secretos comerciales de la organización?

Rescisión del contrato laboral por justa causa. (A)

¿Cuál es la principal responsabilidad de un usuario de recursos de TI con respecto a la información a la que tiene acceso durante su trabajo?

Mantener absoluta reserva de los hechos, documentos e informaciones a los que acceda. (C)

¿Quién se reserva el derecho de evaluar periódicamente el cumplimiento de las políticas de riesgo dentro de la organización?

FENALCO y el tercero. (B)

En el contexto del uso indebido de software, ¿quién asume la responsabilidad directa por las sanciones legales derivadas del incumplimiento de la política?

El usuario que incumple la política. (C)

Si un usuario transmite material no requerido para sus funciones laborales, ¿qué tipo de política de seguridad estaría incumpliendo?

Política de Riesgos. (C)

¿Qué aspectos debe conocer un usuario de la organización con respecto a la política de seguridad de la información desde su ingreso?

El contenido de la política y las consecuencias de su incumplimiento. (D)

¿Qué se considera una 'copia no controlada' según el documento?

La impresión y copia magnética del documento. (C)

¿Qué criterio debe seguir la organización al aplicar acciones disciplinarias por incumplimiento de la política de seguridad de la información?

Tomar en cuenta los procedimientos establecidos y las estipulaciones legales vigentes. (B)

¿Cuál de las siguientes acciones NO es una medida preventiva contra correos electrónicos de remitentes sospechosos?

Abrir archivos adjuntos de remitentes desconocidos para evaluar su contenido. (A)

Estás navegando por un sitio web que requiere que ingreses información personal. ¿Cuál de las siguientes acciones es la MÁS recomendable para proteger tu información?

Verificar que la página inicie con 'https' para confirmar que tiene un certificado de seguridad. (D)

¿Qué medida de seguridad ayuda a proteger las cuentas en línea, incluso si la contraseña se ve comprometida?

Habilitar la autenticación de múltiples factores para cada inicio de sesión. (A)

En el contexto de la seguridad en línea, ¿qué implicación tiene que un ciberdelincuente escriba mal los enlaces de los sitios web de formas sutiles?

Reduce la probabilidad de que el usuario acceda al sitio web correcto, dirigiéndolo a una página falsa. (B)

Selecciona la práctica que MEJOR describe cómo verificar la credibilidad de una marca o servicio en línea:

Revisar si tienen redes sociales para conocer la opinión de más personas. (C)

¿Cuál de las siguientes NO es una práctica recomendada al recibir un correo electrónico sospechoso?

Abrir los enlaces del correo en una pestaña del navegador. (C)

Si recibes un correo electrónico solicitando tu contraseña, ¿cuál es la acción MÁS SEGURA que debes tomar?

Verificar la autenticidad del sitio web de destino antes de ingresar la contraseña. (A)

¿Cuál es la función principal de un software antivirus?

Proteger el sistema contra software malicioso. (A)

Flashcards

Seguridad de la Información en FENALCO

FENALCO asegura la confidencialidad, integridad y disponibilidad de la información interna y de los clientes mediante controles y políticas de seguridad.

Protección de Activos de Información

FENALCO protege los activos de información gestionando los riesgos y administrando los planes de continuidad del negocio.

Equipos de Cómputo Permitidos

Los equipos de cómputo pueden ser asignados por Fenalco con licenciamiento y VPN o ser propios del usuario (BYOD) con conexión VPN.

¿Qué es una Sesión Abierta?

Una 'Sesión Abierta' se refiere a no cerrar la sesión de usuario en Windows al abandonar el puesto de trabajo.

Cierre de Sesión Obligatorio

Para mantener la identidad y seguridad, se debe cerrar la sesión cada vez que se ausente del puesto de trabajo.

Reporte de Incumplimiento

Un empleado debe reportar el incumplimiento de la política de sesión abierta al Coordinador/Supervisor.

Plazo para Sanciones

Después de 3 meses de la publicación de la política, se aplicarán sanciones disciplinarias por su incumplimiento.

Sanciones por el incumplimiento

Las sanciones por incumplimiento de la polítiica de seguridad pueden ser llamadas de atención, suspensiones o incluso despidos.

Uso de credenciales ajenas

Está prohibido usar, divulgar o compartir las credenciales de otro usuario sin autorización.

Objetivo de Escritorios Limpios

Asegurar que la información de la entidad esté protegida en los espacios de trabajo.

Escritorios limpios

Mantener los espacios de trabajo ordenados y seguros, protegiendo la información sensible.

Custodia de información sensible

Guardar bajo llave documentos y dispositivos con información sensible cuando no estén en uso.

Orden al finalizar la jornada

Antes de retirarse, ordenar el espacio de trabajo, apagar equipos y guardar documentos.

Protección en ausencias cortas

Durante ausencias breves, guardar los documentos sensibles en cajones cerrados.

Consecuencias del incumplimiento

El incumplimiento de la política de escritorios limpios puede acarrear una notificación al superior inmediato.

Objetivo de Contraseñas Seguras

Establecer normas para crear contraseñas robustas, protegerlas y cambiarlas regularmente.

Privacidad en Internet (laboral)

La empresa puede monitorear el uso de Internet.

Uso prudente de Internet

Usar Internet solo para tareas laborales.

Descargas seguras

Evitar sitios web de dudosa reputación.

Descargas prohibidas

Música, videos o software sin autorización están prohibidos.

Software autorizado

Solo instalar aplicaciones necesarias para la campaña.

Retiro de equipos

Requiere autorización del jefe inmediato.

Responsabilidad del usuario (equipo)

Reportar al área de Sistemas o Seguridad.

Alimentos y computadoras

Puede causar daños al equipo.

¿Quién paga los daños al equipo?

El usuario es responsable de los costos de reparación o reemplazo si daña el equipo asignado.

¿Quién instala el software?

Solo el personal de Soporte de Informática puede instalar software.

¿Para qué se usa el equipo?

El equipo asignado debe usarse solo para actividades laborales.

¿Quién autoriza el cambio de equipo?

El área de Informática debe autorizar cualquier reubicación o reasignación de equipos.

¿Quién protege los datos?

Los usuarios deben proteger los programas y datos contra pérdida o daño, y definir la información a respaldar.

¿Cómo asegurar la PC al ausentarse?

Activa el protector de pantalla o bloquea la sesión (Ctrl+Alt+Supr) al ausentarte de la oficina.

¿Copiar datos a USB?

Se requiere aprobación para copiar software o datos a medios removibles.

¿Quién usa el correo?

El correo electrónico solo puede ser usado por personal autorizado.

Transmisión de material inapropiado

Enviar material no relacionado con el trabajo.

Responsabilidad del usuario

La organización responsabilizará a los usuarios por no seguir esta política y las consecuencias derivadas.

Evaluación del cumplimiento

FENALCO y el tercero pueden revisar si se cumplen o no estas políticas.

Responsabilidad legal del software

El usuario es responsable de las sanciones legales por el uso indebido del software.

Confidencialidad

Mantener en secreto la información y documentos de la organización.

Prohibición de divulgación

No revelar información a personas no autorizadas.

Consecuencias de revelar secretos

Revelar secretos de la empresa puede ser causa de despido.

¿Cómo verificar la credibilidad de una información?

Verifica si otras personas han buscado información sobre la marca o servicio que te genera desconfianza.

¿Cómo actuar ante correos electrónicos sospechosos?

Desconfía de correos con remitentes sospechosos, asuntos inusuales o que solicitan contraseñas.

¿Qué no hacer con correos de remitentes desconocidos?

Nunca abras archivos adjuntos ni hagas clic en enlaces de correos de remitentes desconocidos.

¿Qué hacer cuando recibes un correo sospechoso?

Si recibes un correo sospechoso, informa al área de TI y no respondas.

¿Cómo identificar un sitio web seguro?

Asegúrate de que la página inicie con 'https' antes de ingresar información personal.

¿Cómo acceder a un sitio web de forma segura?

Teclea directamente la dirección en el navegador en lugar de seguir enlaces de correos.

¿Cómo son las páginas web falsas?

Los ciberdelincuentes usan direcciones web muy parecidas a las legítimas, pero con errores sutiles.

¿Qué debes hacer con el software antivirus?

Mantén siempre activado el software antivirus en tus dispositivos.

Study Notes

Objetivo

• Dar a conocer las normas de seguridad de la información e informática aplicadas a las operaciones del servicio FENALCO.

Alcance

• Estas políticas son para todos los usuarios de FENALCO con un computador asignado, conectado a la red corporativa, y que ejecutan labores asignadas según su cargo.

Definiciones

Usuario

• Persona contratada por FENALCO, autorizada a usar las Facilidades Tecnológicas.

Equipo Institucional

• Computadoras, portátiles, servidores, equipos de comunicación y otros equipos electrónicos utilizados para desempeñar funciones.

Software Institucional

• Software que el Área de Tecnología de la Información define como "Software de Uso Estándar", con licencias adquiridas e inscritas a su nombre.

Facilidades Tecnológicas

• Recursos de tecnología de información disponibles para el usuario, como licencias de software, sistemas automatizados, computadoras, servidores y redes de transmisión de datos.

Comunicaciones Electrónicas

• Cualquier tipo de comunicación enviada digitalmente en cualquier formato, incluyendo anexos.

BYOD (Bring Your Own Device)

• La posibilidad de que los empleados usen sus propios dispositivos (portátiles, smartphones, tabletas) para acceder a recursos de la empresa.

Incidente de Seguridad

• Evento que atenta contra la confidencialidad, integridad y disponibilidad de la información y que viola la Política de Seguridad de la Información de la organización.

Teletrabajo

• Forma de organización laboral que consiste en el desempeño de actividades remuneradas a terceros utilizando tecnologías de la información y la comunicación (TIC). Regulado por la Ley 1221 de 2008.

Trabajo en Casa

• Habilitación para que empleados desempeñen transitoriamente sus funciones laborales fuera del sitio habitual, sin modificar el contrato laboral. Regulado por la Ley 2088 de 2021.

Trabajo Remoto

• Ejecución del contrato de trabajo de forma remota mediante tecnologías de la información y telecomunicaciones, sin interacción física entre empleador y trabajador. Regulado por la Ley 2121 de 2021.

Descripción

• A todo el personal nuevo de FENALCO se le debe informar sobre la existencia y el funcionamiento de estas políticas.

• FENALCO asegura la confidencialidad, integridad y disponibilidad de la información interna y de los clientes mediante controles y políticas de seguridad.

• Los equipos de cómputo del usuario deben ser asignados por Fenalco, con licenciamiento de software y conexión VPN o ser computadoras propias del usuario con conexión VPN.

Politica de Sesión Abierta

Objetivo

• Evitar la suplantación de identidad para prevenir robos, fraudes, transferencias y modificaciones en los sistemas de atención al cliente.

Condiciones Generales

• "Sesión Abierta" significa no cerrar la sesión de usuario en Windows al ausentarse del puesto de trabajo.

• Por seguridad, cada funcionario debe cerrar su sesión al ausentarse.

• Cualquier empleado puede reportar el incumplimiento de la política al coordinador o supervisor, quien lo debe reportar al jefe inmediato.

• Después de 3 meses de publicación e implementación, se aplicarán sanciones disciplinarias por incumplimiento.

Política de Usuarios

Objetivo

• Establecer los parámetros que deben tener en cuenta los usuarios, con el fin de garantizar que la seguridad de la información es gestionada correctamente.

Condiciones Generales

• Cada usuario tendrá un usuario de red para identificarse y acceder a recursos.
• La solicitud de una nueva cuenta se debe realizar mediante un formato aprobado por el jefe inmediato.
• No se concederán cuentas a personas que no sean empleados a menos que estén autorizadas por el jefe inmediato, y la cuenta debe expirar a los 30 días.
• Los privilegios estarán restringidos a los usuarios responsables de la administración o seguridad de los sistemas.
• No se deben otorgar cuentas a técnicos a menos que sea necesario y autorizado por IT.
• Se prohíbe el uso de cuentas anónimas o de invitado, los usuarios deben usar cuentas que indiquen claramente su identidad.
• Las cuentas se suspenden automáticamente después de 30 días de inactividad.
• El Coordinador de Infraestructura o el Supervisor de Help Desk debe revocar la cuenta o privilegios de un usuario cuando reciba una orden de un superior, especialmente al finalizar su relación laboral.
• Cuando un empleado sea despedido o renuncia, se debe desactivar su cuenta antes de que deje el puesto.
• Está prohibido utilizar o divulgar las credenciales de otro usuario, o acceder a archivos que no sean de su propiedad, a menos que sea autorizado formalmente.

Políticas de Escritorios Limpios

Objetivo

• Asegurar que los medios magnéticos y físicos que almacenan información de la entidad estén resguardados.

Condiciones Generales

• Los escritorios deben estar limpios para proteger documentos y dispositivos de almacenamiento.

• Los dispositivos de almacenamiento, especialmente aquellos con copias de seguridad, deben guardarse bajo llave.

• Antes de salir, se debe revisar que el lugar de trabajo esté en orden, los equipos apagados y los documentos guardados.

• Los documentos sensibles deben colocarse en cajones cerrados durante ausencias prolongadas.

• Se debe asignar tiempo para eliminar el papeleo y bloquear el escritorio al final del día.

• El incumplimiento de esta política conlleva notificación al superior inmediato.

Políticas de Contraseña Segura

Objetivo

• Establecer un estándar para la creación y protección de contraseñas fuertes, y su cambio frecuente.

Condiciones Generales

• Los usuarios son responsables de la seguridad de sus contraseñas.
• Esta política incluye a todos los usuarios de los servicios y recursos informáticos de FENALCO que usen credenciales.
• Las contraseñas deben ser personales e intransferibles, además de cumplir con las siguientes pautas:
  • No deben estar asociadas a datos comunes del usuario.
  • Deben cambiarse mensualmente.
  • Deben tener al menos seis caracteres.
  • Debe incluir una mezcla de caracteres alfabéticos (mayúsculas y minúsculas) y números).
  • No deben contener el identificador o nombre del usuario.
  • Deben ser diferentes de las últimas 12 contraseñas utilizadas.

Del Uso de la Red Institucional y de sus Recursos

• Las identificaciones y claves de acceso a la Red Institucional son propiedad de la campaña y son para uso personal del usuario asignado.
• El usuario es responsable del uso correcto de sus credenciales.
• El usuario no puede hacer modificaciones no autorizadas a la red institucional.
• Cualquier intento de vulnerar los sistemas de seguridad de la red resultará en acciones administrativas, laborales, penales y/o civiles.
• Se controla y restringe la operación de software para la descarga y distribución de archivos multimedia.
• Cualquier aplicación de este tipo que requiera ser utilizada, debe ser previamente consultada con la dirección de tecnologías de información.
• El usuario no podrá compartir archivos o carpetas en el computador asignado, excepto con la autorización del Coordinador y/o Supervisor del área y el Coordinador de Infraestructura, solo se podrán usar para compartir documentos laborales.
• La funcionalidad es administrada únicamente por el Coordinador de Infraestructura de FENALCO.
• La seguridad de los recursos compartidos en el computador es responsabilidad del usuario.
• Está prohibido acceder o intentar acceder a información no autorizada.
• No se permite el uso de módems en PCs con conexión a la LAN, a menos que sea autorizado.
• Las comunicaciones de datos deben ser a través de la LAN de la organización.
• Deben tener control con acceso a las redes, quitarle los privilegios e implementar restricciones, restringiendo el modo de instalar software.

De la Instalación y Uso de Software

• El único software permitido es aquel estandarizado y/o autorizado por la campaña.
• Se deben hacer copias de todo software nuevo antes de su uso para ayudar a restaurar los programas originales.
• Solo el personal de soporte del área de Informática y Telecomunicaciones de FENALCO está autorizado de la instalación del software Esta prohibido instalar cualquier software (Ejemplo: salva pantallas, software gratuito y/o juegos).
• Todo usuario debe garantizar el cumplimiento de los lineamientos que se le impongan.
• El usuario no deberá participar en la copia, distribución, transmisión o cualesquiera otras prácticas no autorizadas.
• Toda instalación, desinstalación o traslado de software requiere autorización y coordinación previas con el área de IT de FENALCO.
• Las licencias de software se deben solicitar a IT de FENALCO para su valoración y autorización.
• El usuario es responsable de conocer y consentir los derechos de las licencias de software instaladas.

Del Uso de Internet

• El acceso a Internet sólo se asignará a aquellos cargos que lo requieran para su desempeño laboral.
• El uso de Mensajería instantánea debe ser con fines laborales y debe ser autorizado por el Jefe Inmediato y otorgado por el área de IT de FENALCO.
• No se permite la navegación por Internet ni usar ningún otro servicio que permita el intercambio de información a menos que el tercero lo solicite por escrito.
• La empresa tiene potestad de hacer seguimiento y control sobre las páginas accesadas.
• El uso del servicio de Internet debe ser prudente y sólo para actividades relacionadas con el desempeño laboral.
• No se debe confiar en los archivos gratuitos que se descargan de sitios web desconocidos, ya que son una potencial vía de propagación de virus.
• No se deben descargar archivos con títulos atractivos pero sospechosos, desde canales de Chat, Newsgroups, redes compartidas o vía FTP.
• Está prohibido bajar por Internet música, videos o software no autorizados por el Coordinador de Soporte o Administrador de Servicios de red.

Del Uso de los Computadores

• Los equipos de cómputo del cliente, solo deben tener instalados los aplicativos de uso de trabajo únicamente.
• No se puede retirar un computador sin autorización firmada por el Jefe Inmediato.
• Los equipos deben ser debidamente conectados en las tomas adecuados, o sea aquellos marcados como UPS.
• No conecte otros aparatos (Radios, máquinas de escribir, calculadoras, etc.) en la misma toma del computador.
• El área de Soporte de Sistemas modifica las configuraciones de los computadores y es la única que tiene autorización a hacerlo.
• El computador es una herramienta de trabajo por lo tanto la persona es responsable de este y debe garantizar su buen manejo.
• Todos los periféricos son responsabilidad del usuario y debe informar inmediatamente sobre casos de pérdida o daño.
• El usuario es responsable por los costos en que se incurra por la reparación o reemplazo del elemento; ya así se haya daño el equipo.
• Solo el personal de Soporte de Informática y Telecomunicaciones está autorizado de la instalación del software El usuario no puede instalar ningún tipo de Software (Ejemplo: salva pantallas, software gratuito y/o juegos).
• El equipo asignado al personal debe ser utilizado solamente actividades laborales.
• Los equipos de cómputo no pueden ser reubicados ni reasignados a otro usuario.
• Los documentos almacenados en el disco duro del computador, deben reposar en una sola carpeta.
• Los usuarios de PCs son responsables de proteger los programas contra pérdida o daño, y de definir qué información debe respaldarse y la frecuencia del respaldo.
• Para prevenir el acceso no autorizado, el usuario debe activar el protector de pantalla oprimiendo al tiempo Ctrl.+Alt+Sup, cada vez que se ausente.
• Los usuarios no deben copiar a medio removible el software o los datos residentes en las computadoras de la Organización.
• No deben usarse medios de almacenamiento externos en ninguna computadora.
• No está permitido conectar computadores portátiles de personas ajenas a la campaña.
• Se debe mantener una hoja de vida de los equipos de cómputo de la campaña.

De las Comunicaciones Electrónicas

• El correo electrónico sólo puede ser usado por el personal autorizado por la organización.
• En vista de que las Comunicaciones Electrónicas pueden ser interceptadas, la Organización no puede garantizar su confidencialidad.
• El usuario acepta que la Organización no está en capacidad de protegerle de ataques o mensajes ofensivos.
• La Organización no garantiza la privacidad de la información que se maneje en el correo electrónico.
• No contestar los mensajes SPAM.
• No ejecutar ningún archivo contenido en un mensaje de correo no solicitado o enviado.
• El Usuario no deberá utilizar o divulgar códigos, claves o contraseñas de acceso de otro usuario.
• Están expresa mente prohibidas las siguientes acciones:
  • Envío masivo de correos electrónicos personales no solicitados.
  • Propagación de cadenas de mensajes.
  • Publicación de anuncios personales sin autorización.
  • Trasmisión de material ilegal, de acoso, o difamatorio.
  • Promover ideales políticos, religiosos o sociales.
  • Trasmisión de virus
  • Trasmisión de material que no se requiera.

Incumplimiento de Políticas de Riesgo

• La organización hará responsable al usuario si incumple las políticas.
• FENALCO podrá evaluar periódicamente le cumplimiento de estas políticas
• Si el usuario no cumple con esta política será responsable de las sanciones legales.

Confidencialidad de la Información

• Los usuarios deben guardar reserva de todos los documentos e informaciones que lleguen durante el cargo.
• El trabajo remoto debe realizarse con conexión VPN.
• Los usuarios deben utilizar una conexión Wi-Fi privada y segura.
• Los usuarios no deben tener programas o extensiones de navegadores, ya que suelen traer malware que afectaría su dispositivo.
• No se podrá almacenar información en el computador de los usuarios, solo se puede almacenar en el Drive de Google.
• Todos los equipos deben tener un antivirus.
• El usuario debe impedir guardar de forma automática las credenciales.
• El equipo debe tener un Firewall.
• Siempre se deben descargar y aplicar las actualizaciones de seguridad.

El usuario debe hacer lo siguiente en caso de robos o pérdidas

• Debe conocer y cumplir con las políticas de seguridad de la información y de protección de datos personales en la organización.
• El usuario debe tomar las medidas necesarias en caso de robos o pérdidas, estas situaciones pueden poner en riesgo su información y la de la empresa.
• Evitar el uso de dispositivos personales para el trabajo.
• Prohibir a los miembros de la familia el uso de los dispositivos para fines personales durante la jornada de trabajo.
• Habilite la pantalla de bloqueo protegida con contraseña en sus dispositivos cada vez que se aleje.
• Evitar dejar los dispositivos al aire libre durante períodos prolongados.
• Los documentos físicos de la empresa deben guardarse en un lugar seguro al terminar la jornada.

Esté atento a los dispositivos domésticos digitales activados por voz mientras trabaja

• No enviar archivos con información de la organización y/o entidad por medios no oficiales.
• Siempre debe requerir una autenticación sólida.
• Rotación obligatoria de contraseñas cada 30 dias.
• Las contraseñas deben ser únicas, complejas y no deben compartirse.
• Siempre que sea posible, se integrará la autenticación multifactor.
• Se debe tener especial cuidado con los virus y las estafas de phishing y pharming, estos ataques se han vuelto cada vez más sofisticados.

Algunos consejos sobre cómo los usuarios pueden evitar problemas

• Correo electrónico
  • Ser escéptico sobre cada correo electrónico que llegue a la bandeja de entrada.
  • Tener cuidado con los remitentes de correo electrónico que utilizan nombres de dominio sospechosos o engañosos o líneas de asunto inusuales
  • Nunca abrir archivos adjuntos ni hacer clic en enlaces incrustados en correos electrónicos de remitentes que no reconoce.
• Sitios web falsos
  • No registrarse en cualquier sitio, ni instalar cualquier programa.
  • Prestar especial atención a los enlaces del sitio web para confirmar que está visitando el sitio correcto.
  • Habilitar la autenticación de múltiples factores para cada inicio de sesión.
  • No seguir los enlaces que se reciben en un correo electrónico.

Software antivirus

• Siempre se debe activar un software antivirus.
• Los usuarios no pueden deshabilitar el software antivirus
• La información en papel debe ser destruida correctamente
• Recuerde que, aunque se esté trabajando de forma remota, siempre debe garantizar la seguridad de los datos.

Roles y Responsabilidades para la Seguridad de la Información

• Es responsabilidad del área de Tl evaluar, actualizar, verificar y socializar las políticas de seguridad de la información.
• La Gerencia de Tl es responsable de implementar los controles tecnológicos definidos en pro de la seguridad de la información.
• El área de recursos humanos proporcionará los mecanismos.
• La Jefatura Jurídica propenderá porque en todos los contratos quede consignada la cláusula de confidencialidad.

Sensibilización Y Concienciación En Seguridad Para Colaboradores

• Esta política debe ser socializada de acuerdo con las actualizaciones que puedan llevarse a cabo.
• Todo el personal de la organización con acceso a los sistemas de información corporativos debe recibir formación relacionada con buenas prácticas en materia de seguridad de la información y ciberseguridad en el desempeño de sus funciones.

Description

Este cuestionario evalúa el conocimiento sobre las políticas de seguridad de la información, incluyendo el manejo de escritorios limpios, contraseñas, dispositivos de almacenamiento y documentos. Comprender estas políticas es crucial para mantener la confidencialidad e integridad de los datos de la organización.