|
CIBERSEGURIDAD IT-DOC-03 Versión: 02 Fecha de creación: 01/04/2021 Fecha de actualización: 07/05/2026 |
![]() |
Contenido
- Objetivos
- Alcance
- Responsabilidad
- Metodología
- Descripción de actividades
- Protección contra amenazas de seguridad comunes
- Evaluación de vulnerabilidades
- Intercambio de información
- Acceso no autorizado
- Revisión de políticas
- Acceso de usuario
- Acceso individual de TI
- Acceso remoto
- Dispositivos personales
- Productos sin licencia
- Copia de seguridad
- Cumplimiento de la política
Definiciones
PROPÓSITO:
En el mundo digital actual, la ciberseguridad es la clave para salvaguardar los activos más preciados de una empresa: propiedad intelectual, información de clientes, datos financieros y comerciales y registros de empleados, entre otros. Con una mayor conectividad a Internet, surge el riesgo de una violación de los sistemas de información de una empresa. Esta amenaza afecta a empresas de todos los tipos y tamaños.
Ciberseguridad: la ciberseguridad es la actividad o proceso que se enfoca en proteger computadoras, redes, programas y datos del acceso, cambio o destrucción no intencional o no autorizado. Es el proceso de identificar, analizar, evaluar y comunicar un riesgo cibernético relacionado y aceptarlo, evitarlo, transferirlo o mitigarlo a un nivel aceptable, considerando los costos y beneficios asumidos.
Tecnología de la información (TI): TI incluye computadoras, almacenamiento, redes y otros dispositivos físicos, infraestructura y procesos para crear, procesar, almacenar, proteger e intercambiar todas las formas de datos electrónicos.
Los controles técnicos de seguridad de TI son una parte vital de nuestro marco de seguridad de la información, pero no son suficientes por sí mismos para proteger todos nuestros activos de información. La seguridad de la información eficaz también requiere la conciencia y el apoyo proactivo de todos los empleados, complementando y haciendo pleno uso de los controles técnicos de seguridad. Esto es obvio en el caso de ataques y fraudes de ingeniería social, por ejemplo, que se dirigen específicamente a humanos vulnerables en lugar de sistemas de red y de TI.
Este documento tiene como objetivo especificar y sintetizar las políticas de MSC Medlog Colombia S.A.S. actualmente configuradas para adaptarse a la seguridad cibernética, requisitos establecidos por CTPAT
- ALCANCE
Todos los empleados, trabajadores temporales y otros trabajadores de MSC y Medlog Colombia S.A.S. y sus subsidiarias deben adherirse a esta política.
- RESPONSABILIDAD
Este documento es administrado por local CISO a nivel Mundial en coordinación con el Gerente de Agencias de TI y el Gerente de Infraestructura y Operaciones de TI. El CISO está a cargo también de evaluar la implementación actual de contramedidas de seguridad y servicios centralizados. Los gerentes de TI locales están a cargo de implementar la configuración local.
- METODOLOGÍA
Este documento tiene como objetivo especificar y sintetizar todas las políticas de TI locales de MSC y Medlog Colombia S.A.S. actualmente configuradas para adaptarse a los requisitos de ciberseguridad.
El objetivo de las políticas de Ciberseguridad es asegurar la continuidad del negocio de MSC y Medlog Colombia S.A.S. minimizando el riesgo de daños previniendo incidentes de seguridad y reduciendo su impacto potencial, protegiendo los activos de información de la organización contra todas las amenazas internas, externas, deliberadas o accidentales.
Si bien cumplen con los requisitos comerciales de disponibilidad de información y sistemas, las políticas garantizan que:
- La información estará protegida contra cualquier acceso no autorizado.
- Se garantizará la confidencialidad de la información
- Se mantendrá la integridad de la información
- Se mantendrá la disponibilidad de información para los procesos comerciales
- Se cumplirán los requisitos legislativos y reglamentarios
- Los planes de recuperación ante desastres se desarrollan, mantienen y prueban
- La formación en ciberseguridad estará disponible para todos los empleados.
- Todas las infracciones de seguridad cibernética reales o sospechadas se informarán al Departamento de Seguridad de la Información y se investigarán a fondo.
POLÍTICA
Las políticas de ciberseguridad proporcionan un marco para las mejores prácticas que deben seguir todos los empleados. Ayudan a garantizar la minimización de los riesgos y la respuesta eficaz a cualquier incidente de seguridad.
Las políticas de ciberseguridad también ayudarán a convertir al personal en participantes de los esfuerzos de la empresa para proteger sus activos de información, y el proceso de desarrollo de estas políticas ayudará a definir los activos de información de una empresa.
Las políticas de ciberseguridad definen la actitud de la organización hacia la información y promueven interna y externamente que la información es un activo, propiedad de la organización y debe protegerse del acceso, modificación, divulgación y destrucción no autorizados.
- DESCRIPCIÓN DE ACTIVIDADES
PROTECCIÓN CONTRA AMENAZAS COMUNES A LA SEGURIDAD
APLICABILIDAD
Ya sea que estén conectados a Internet o no, los dispositivos informáticos siempre han estado y siempre estarán expuestos a intentos maliciosos. Dado que los datos junto con la propiedad intelectual son el activo más preciado de una empresa, es fundamental establecer un marco para garantizar su seguridad e integridad en todo momento.
El propósito de esta política es describir las medidas y acciones llevadas a cabo por MSC y Medlog Colombia S.A.S. para garantizar una protección adecuada contra las amenazas comunes a la seguridad.
Esta política se aplica a cualquier unidad comercial o entidad establecida y definida dentro de MSC y Medlog Colombia S.A.S..
POLÍTICA
La protección contra amenazas de seguridad comunes cubre una amplia gama de temas:
- Protección contra malware y antivirus
- Intrusión interna / externa
- Software de seguridad actuales y actualizados periódicamente
- Políticas y procedimientos para prevenir ataques a través de la ingeniería social
- Procedimientos de recuperación de pérdida o violación de datos (incluido el equipo)
Es obligatorio que todos los dispositivos corporativos capaces utilizados para acceder a los sistemas MSC y Medlog Colombia S.A.S. que tengan implementadas protecciones antivirus y antimalware. Los equipos de MSC y Medlog Colombia S.A.S. usan Windows Defender (ATP), los cuales brindan protección en tiempo real, programas de actualización regulares (automáticos), así como capacidades centralizadas de monitoreo y alerta.
Las actualizaciones del software de escaneo o de los motores antivirus / antimalware deben aplicarse dentro de los plazos previstos (a los que se hace referencia a continuación). Los informes que confirman la salud del entorno de TI se revisan periódicamente y se toman las medidas correctivas necesarias.
Los dispositivos de tráfico de entrada y salida, como puertas de enlace de red y cortafuegos, están configurados para todos los sitios. Se recomienda la suscripción a servicios administrados de detección de amenazas para proteger a los usuarios del acceso a sitios externos comprometidos. Además, el tráfico entrante está estrictamente controlado y solo se permite desde fuentes conocidas o verificadas.
Los servicios proporcionados de forma centralizada, como Office 365 y Citrix, están protegidos por sus respectivos equipos centrales de soporte de TI.
Existen medidas de protección adecuadas para garantizar la seguridad del tráfico, como los correos electrónicos y el contenido compartido en SharePoint Online y OneDrive.
Para garantizar la mejor respuesta a posibles amenazas, MSC ha definido y adoptado los siguientes parches y seguridad programa de actualización:
|
Dominio |
Calendario |
|
(Cualquiera) Seguridad crítica |
Inmediatamente |
|
SO de escritorio Windows |
2 semanas |
|
SO Windows Server |
2 semanas |
|
Aplicación de terceros |
2 semanas |
Se requiere que las agencias implementen y mantengan los sistemas de distribución de parches para que coincidan con este cronograma. Dado que la aplicación de parches a menudo puede implicar la interrupción de la operación comercial (por ejemplo, reinicio del dispositivo después del parche), se recomienda realizar las actualizaciones en un intervalo de mantenimiento acordado, fuera del horario comercial.
Se brinda capacitación general en seguridad de TI a todo el personal de MSC y Medlog Colombia S.A.S. a través de una plataforma de aprendizaje electrónico centralizada. Esta oferta de formación cubre una amplia gama de temas, como los conceptos básicos de antimalware, antivirus y ataques de seguridad como el phishing y la ingeniería social. El personal recibe una capacitación obligatoria anual en materia de concienciación sobre seguridad para mantener la práctica al más alto nivel dentro de MSC. Como medida de seguridad, MSC y Medlog Colombia S.A.S. contrata servicios externos para enviar correos electrónicos internos (simulados) de phishing a los usuarios y brinda capacitación y soporte adicionales para aquellos que no pudieron detectar el intento malicioso.
Cualquier pérdida de equipo corporativo debe informarse a TI de inmediato, adjuntando la respectiva denuncia policiaca. Las tabletas, los teléfonos móviles o las computadoras portátiles registrados en un sistema de administración de dispositivos móviles (MDM) centralizado apropiado, como Intune, se borran con previo aviso. Se deben realizar esfuerzos para recuperar cualquier hardware que se haya perdido, independientemente de la posible pérdida de información.
Cualquier incidente de pérdida de datos o riesgo de pérdida de datos debe informarse a la Administración de la agencia. Dependiendo de la gravedad del incidente (el impacto de la fuga de datos correlacionado con la probabilidad de que ocurra la pérdida), la Administración debe informar más sobre la infracción a MSC Global Management y / o cualquier parte local requerida legalmente.
Una estrategia de copia de seguridad de datos bien estructurada y confiable es esencial para la recuperación de los datos perdidos. La estrategia de respaldo cubre todos los sistemas y datos comerciales críticos dentro del entorno de TI. La estrategia es una base clave del plan de recuperación ante desastres (DR) que todas las agencias de MSC deben mantener. El Plan de recuperación ante desastres detalla los requisitos y procedimientos para la recuperación de datos y servicios de TI en caso de una interrupción comercial crítica
EVALUACIÓN DE VULNERABILIDAD
APLICABILIDAD
MSC y Medlog Colombia S.A.S. tiene la responsabilidad de asegurarse de que toda la infraestructura proporcionada para la cartera de aplicaciones subyacente esté parcheada contra vulnerabilidades conocidas y sujeta a pruebas de vulnerabilidad y penetración. El escaneo de vulnerabilidades permite a MSC identificar vulnerabilidades en sus dispositivos informáticos en red. Los resultados de los análisis de vulnerabilidades brindan información y orientación a la administración y a los administradores de TI sobre vulnerabilidades conocidas y potenciales para que esas vulnerabilidades se puedan abordar y administrar de manera oportuna.
El propósito de esta política es describir las medidas y acciones llevadas a cabo por MSC y Medlog Colombia S.A.S. para garantizar una protección adecuada.
Esta política se aplica a cualquier unidad comercial o entidad establecida y definida dentro de MSC.
POLÍTICA
Se requiere que cada agencia cumpla con los requisitos obligatorios de la siguiente manera:
- Las pruebas de penetración deben ser realizadas por una empresa externa cada dos años. Esta prueba de penetración debe cubrir lo siguiente:
- Ingeniería social
- Obtención de acceso físico a nuestras instalaciones
- Prueba de nuestro perímetro flexible externo (incluidas las aplicaciones web alojadas y los servicios web)
- Las pruebas de vulnerabilidad se realizarán anualmente. Esta prueba se puede realizar utilizando software validado herramientas (para obtener más información, comuníquese con su gerente regional de TI). Una vez que se ha realizado una prueba Es necesario redactar y ejecutar un plan de remediación.
- Las aplicaciones de software diseñadas internamente (especialmente las aplicaciones web) necesitan que su código sea verificado y validado por la solución SonarCloud de MSC Ginebra.
INTERCAMBIO DE INFORMACIÓN
APLICABILIDAD
Una Política de Respuesta de Seguridad (SRP) proporciona el ímpetu para que los equipos de seguridad y negocios integren sus esfuerzos desde la perspectiva de la conciencia y la comunicación, así como una respuesta coordinada en tiempos de crisis (vulnerabilidad de seguridad identificada o explotada).
El propósito de esta política es establecer el requisito de que todas las unidades de negocio mantengan una respuesta de seguridad. Esto asegura que el equipo de gestión de incidentes de seguridad tenga toda la información necesaria para formular una respuesta exitosa en caso de que ocurra un incidente de seguridad específico.
Esta política aplica a cualquier unidad comercial o entidad establecida y definida dentro de MSC y Medlog Colombia S.A.S.
POLÍTICA
Se espera que las unidades de negocio mantengan y hagan cumplir adecuadamente el SRP aplicable al servicio o producto del que son responsables. Además, se espera que el coordinador de seguridad de la unidad de negocio trabaje con el equipo de agencias de TI de MSC en el cumplimiento de un plan de respuesta de seguridad.
Al llevar a cabo un SRP, deben participar los siguientes roles como, entre otros,
- Gerente de TI
- Director Gerente de Agencia
- Gerente Regional de TI
- Gerente de equipo de agencias de TI
- Departamento legal de MSC HQ
Para garantizar una acción rápida y adecuada, los canales de comunicación deben seleccionarse entre las soluciones aprobadas por MSC: Teams, Email. Un equipo de gestión de incidentes de seguridad dedicado es designado y confirmado por el equipo de gestión de agencias de TI.
El equipo de incidentes es responsable de identificar la lista de autoridades gubernamentales, socios comerciales, clientes, MSC responsable, medios públicos para ser contactados de acuerdo con las políticas, leyes y regulaciones aplicables. Sobre aprobación del departamento legal de MSC HQ y del director gerente de la agencia.
ACCESO NO AUTORIZADO
APLICABILIDAD
El acceso no autorizado se refiere a personas que manipulan / obtienen acceso a los datos, redes, puntos finales, aplicaciones o dispositivos de una organización, sin permiso o los derechos de acceso requeridos. El acceso a sitios web y recursos externos inadecuados podría resultar en una infracción de las políticas de ciberseguridad vigentes que debe ser monitoreada, detectada y remediada.
El propósito de esta política es describir las medidas y acciones llevadas a cabo por MSC y Medlog Colombia S.A.S. para garantizar la detección, el registro y la reparación adecuados de dicho abuso.
Esta política se aplica a cualquier unidad comercial o entidad establecida y definida dentro de MSC y Medlog Colombia S.A.S..
POLÍTICA
En todos los sistemas de MSC y Medlog Colombia S.A.S. se aplican las mejores prácticas de TI de 'seguridad con privilegios mínimos: a un usuario solo se le debe proporcionar el acceso necesario para realizar sus funciones laborales y acciones esperadas. Este acceso se aplica de muchas maneras y en muchos niveles dentro del entorno de TI, como, entre otros, el uso de seguridad a nivel de archivos en servidores de archivos, acceso restringido a aplicaciones, administración de cuentas de usuario y grupos de seguridad en Azure Active Directory o autenticación multifactor. (MFA)
Todo el acceso a datos confidenciales está estrictamente controlado y el acceso se otorga solo cuando la función del trabajo respalda el requisito. Este acceso se revisa periódicamente con la Administración de la agencia para garantizar que solo los usuarios aprobados puedan acceder a los datos aprobados. Las copias de seguridad periódicas complementan esta estrategia de protección, lo que garantiza que los datos perdidos o alterados puedan recuperarse a su estado original.
Los registros de productos de seguridad se revisan periódicamente para resaltar los intentos de acceso no autorizado y, si es necesario, las medidas adecuadas que se toman para mitigar cualquier riesgo.
No existe la posibilidad de brindarle a un contratista a agente externo acceso a los sistemas de MSC Colombia, cualquier ingreso debe hacerse via equipos de MSC Colombia.
Todos los empleados deben aceptar una política de uso aceptable que rija el uso de su equipo. Los detalles de la declaración varían según los requisitos legales locales; sin embargo, como resumen general, se solicita a los empleados que cumplan con las políticas y comportamientos de seguridad estándar de la industria.
REVISIÓN DE POLÍTICAS
APLICABILIDAD
Las revisiones de las políticas de ciberseguridad son de importancia clave para garantizar su relevancia hacia entornos comerciales, técnicos y legales en constante cambio en el que evoluciona MSC y Medlog Colombia S.A.S.
El propósito de esta política es describir las medidas y acciones llevadas a cabo por MSC para garantizar una protección adecuada
Esta política se aplica a cualquier unidad comercial o entidad establecida y definida dentro de MSC.
POLÍTICA
Las políticas de seguridad cibernética de MSC y Medlog Colombia S.A.S. se revisan anualmente de forma periódica. La revisión es realizada por agencias de TI, Equipo de Gerencia junto con el Departamento de Seguridad de la Información y está validado por MSC HQ IT Management. Para garantizar su cumplimiento y relevancia, las políticas de MSC se evalúan y actualizan en función de las siguientes entradas:
- Incidentes de seguridad
- Revisar los incidentes de seguridad notificados, posibles infracciones o irregularidades para proteger los datos, sistemas y activos de MSC.
- Supervisar las obligaciones regulatorias o contractuales que puedan surgir de violaciones de seguridad o de datos exposición
- Riesgo de TI y cumplimiento
- Considere el cumplimiento de la seguridad en las operaciones comerciales y la planificación y revisión de los riesgos y controles de TI
- Revisar los informes de auditoría y cumplimiento, cuando sea necesario corregirlos, proporcionar recursos suficientes para abordar riesgos
- DR / BCP
- Asegúrese de que MSC documente y pruebe los planes de contingencia para la continuidad del negocio, la gestión de incidentes o la recuperación ante desastres está actualizada
- Revise las lecciones aprendidas o los problemas identificados de las pruebas de recuperación anuales, proporcione orientación a TI según los resultados
- Obligaciones legales
- Cuando sea necesario, el equipo deberá realizar consultas legales para revisar la privacidad y la protección de datos, requisitos, políticas y procesos
- Revise las comunicaciones y el plan de acción legal en caso de incumplimiento u otro evento regulatorio calificado.
- Conciencia tecnológica
- Revisar la oferta tecnológica disponible en el momento y las evoluciones planificadas cuando corresponda Asegurar la adecuación de las soluciones implementadas a los requisitos comerciales, legales y tecnológicos
- Capacitación y sensibilización
- La conciencia del usuario es un aspecto clave en el enfoque de MSC hacia la ciberseguridad: el catálogo de capacitación se mantiene para garantizar su evolución en correlación con las mejores prácticas de la industria como respuesta a las nuevas amenazas emergentes El personal de MSC debe cumplir con la capacitación obligatoria de actualización en ciberseguridad cada año.
ACCESO DE USUARIO
APLICABILIDAD
El acceso a los sistemas MSC y Medlog Colombia S.A.S. debe estar restringido a usuarios o procesos autorizados únicamente, según el principio de estricta necesidad de saber y privilegio mínimo. La protección del acceso a los sistemas y aplicaciones de TI es fundamental para mantener la integridad de la tecnología y los datos de MSC y evitar el acceso no autorizado a dichos recursos.
El propósito de esta política es evitar el acceso no autorizado a los sistemas de información de MSC y Medlog Colombia S.A.S. La política describe el proceso de registro y cancelación de registro para todos los sistemas y servicios de información de MSC. Todos los empleados (subcontratistas, consultores, trabajadores temporales y otros trabajadores de MSC y sus subsidiarias deben adherirse a esta política.
POLÍTICA
Las solicitudes de cuentas de usuarios y privilegios de acceso deben estar documentadas formalmente y aprobadas adecuadamente por el gerente de departamento o el director general de la agencia correspondiente. Los correos electrónicos y las solicitudes en los sistemas de ticketing de TI se consideran documentación formal.
Las cuentas compartidas no existen en MSC, de ser necesario un acceso con cuentas de tipo automática o de servicio, MSC Colombia creará la cuenta y se documentará la misma en el sistema MIM (Microsoft Identity Manager), esta cuenta vendrá con autorización de MSC geneve
Las cuentas de aplicaciones y servicios solo deben ser utilizadas por componentes de aplicaciones que requieran autenticación.
Siempre que sea posible, MSC configura las cuentas de usuario para que expiren automáticamente en una fecha preestablecida. Más específicamente,
- Cuando se requiera acceso temporal, dicho acceso se eliminará inmediatamente después de que el usuario haya completado la tarea para la que se concedió el acceso
- Las cuentas de usuario asignadas a los contratistas expirarán de acuerdo con la fecha de vencimiento del contrato.
- Las cuentas de usuario se desactivarán después de 2 meses de inactividad.
- Las cuentas de usuario con contratos firmados para un nombramiento recurrente, continuo o de permanencia para un período próximo pueden estar activas hasta cuatro meses entre citas
Los derechos de acceso se inhabilitarán o revocarán inmediatamente cuando el usuario finalice o deje de tener una razón legítima para acceder a los sistemas MSC.
- El Departamento de TI realiza una verificación de la identidad del usuario antes de otorgar una nueva contraseña.
- Las cuentas de usuario y los derechos de acceso existentes se revisan al menos una vez al año para detectar cuentas inactivas y cuentas con privilegios excesivos. Ejemplos de cuentas con privilegios excesivos incluyen
- Cuentas activas asignadas a contratistas, proveedores o empleados externos que ya no trabajan para MSC.
- Cuentas activas con derechos de acceso para las que el rol y las responsabilidades del usuario no requieren acceso. Para, Por ejemplo, los usuarios que no tienen autoridad o responsabilidad para aprobar gastos no deben tener acceso con permisos de aprobación dentro de un sistema financiero.
- Derechos o permisos administrativos del sistema (incluidos los permisos para cambiar la configuración de seguridad o configuración de rendimiento de un sistema) concedida a un usuario que no es administrador
- Cuentas activas desconocidas.
Todas las solicitudes de acceso para las cuentas y los permisos del sistema y de la aplicación se documentarán mediante la emisión de boletos. sistema en su lugar.
Cuentas privilegiadas
Los usuarios de MSC no poseen cuentas privilegiadas, no existe la posibilidad de crear una cuenta especial para el acceso a las maquinas de MSC, toda cuenta cuenta con los mismo permisos y es Registrada en el sistema MIM.
Cuenta de prueba
No existen las cuentas de prueba, los desarrollos de las compañías externas y contratistas cuentan con sus recursos y no deben tener acceso alguno a sistemas de MSC si no es por un Gateway de Aplicación donde se registran los accesos a los sistemas de MSC.
Cuentas de contratistas y proveedores
Los proveedores y contratistas no deben tener acceso a sistemas de MSC, en caso de necesitarlo por un desarrollo o petición de la compañía, este acceso se tramita UNICAMENTE por medio del Gateway de aplicaciones registradas en AZURE APP MANAGER de MSC Geneve, allí se consignan los datos de desarrollo y no se crean usuarios algunos para acceso a los sistemas de MSC.
ACCESO INDIVIDUAL
APLICABILIDAD
Se necesitan estrictos controles de acceso a los sistemas de TI para garantizar que solo el personal autorizado tenga acceso a la información y los sistemas de MSC. Los controles de acceso gestionan la admisión de los usuarios de TI a los sistemas y recursos de red al otorgarles a los usuarios de TI acceso solo a los recursos específicos que necesitan para completar sus tareas relacionadas con el trabajo. La protección del acceso a los sistemas y aplicaciones de TI es fundamental para mantener la integridad de la tecnología y los datos de MSC al tiempo que se evita el acceso no autorizado a dichos recursos.
El propósito de esta política es garantizar que MSC cuente con los controles adecuados para restringir el acceso a sus sistemas y datos.
Esta política se aplica a cualquier unidad comercial o entidad establecida y definida dentro de MSC.
POLÍTICA
Todos los usuarios de MSC y Medlog Colombia S.A.S. deben tener una cuenta dedicada, única y con el nombre apropiado para acceder a cualquier sistema. No se permiten inicios de sesión compartidos para garantizar el control y la capacidad de auditoría o seguimiento de la actividad del usuario.
Cualquier acceso administrativo (por ejemplo, personal de TI) se realiza solo con una cuenta administrativa dedicada, separada de su cuenta de usuario estándar. Las acciones realizadas por esta cuenta administrativa están restringidas solo a requisitos del puesto / función y es revisado periódicamente por la dirección de la agencia para asegurarse de que sea apropiado.
MSC apoya firmemente la autenticación de dos factores (2FA) y la autenticación de múltiples factores (MFA) y su implementación siempre que sea posible. Se anima a las agencias a actualizar los productos y servicios locales para utilizar estos sistemas de autenticación siempre que sea posible (sin embargo, es posible que algunas aplicaciones heredadas más antiguas no admitan esto).
El acceso a la cuenta debe estar protegido mediante una política de contraseña segura.
La política de contraseñas actual de MSC es:
- Contraseñas históricas almacenadas: 12
- Antigüedad máxima de la contraseña con 2FA / MFA: 60 días
- Antigüedad máxima de la contraseña sin 2FA / MFA: 60 días
- Antigüedad mínima de la contraseña: 1 día
- Longitud mínima de la contraseña: 12 caracteres
- Deben requerirse contraseñas complejas - Le. una combinación de minúsculas / mayúsculas, números y símbolos
- Umbral de bloqueo de cuenta: 5 intentos fallidos
El personal administrativo no debe requerir el conocimiento de la contraseña de un usuario para realizar la mayoría de las tareas administrativas. Si se requiere la contraseña de un usuario, al completar la tarea, se debe cambiar la contraseña
Las contraseñas deben restablecerse de inmediato si hay alguna indicación o evidencia de que podrían usarse para comprometer cualquier sistema (s) de TI
ACCESO REMOTO
APLICABILIDAD
Cuando se justifique, ciertos recursos internos de MSC pueden ser accesibles de forma remota para aquellos empleados que realizan negocios de MSC desde una ubicación remota, como su casa o cuando viajan. Si bien se han tomado medidas para asegurar este tipo de conexión, el acceso remoto es inherentemente un riesgo de seguridad.
El propósito de esta política es describir las medidas y acciones llevadas a cabo por MSC para garantizar una protección adecuada al acceder de forma remota a sus datos, sistemas y aplicaciones.
Esta política se aplica a cualquier unidad comercial o entidad establecida y definida dentro de MSC.
POLÍTICA
El entorno de red y datos de MSC y Medlog Colombia S.A.S. debe protegerse de amenazas externas. Una de estas amenazas es el acceso remoto no autorizado. Solicitamos el uso de los siguientes métodos para permitir que nuestros empleados trabajen de forma remota:
- Citrix nos permite publicar aplicaciones que están protegidas detrás de StoreFront. El tráfico entre la PC del empleado y nuestra red corporativa también se cifra mediante SSL.
- Únicamente los equipos registrados en Microsoft Azure de MSC pueden tener acceso a la información de MSC.
EL acceso siempre solicitará el segundo factor de autenticación o MFA, no existe la posibilidad de hacer un bypass o evitar este doble factor.
DISPOSITIVOS PERSONALES
APLICABILIDAD
MSC ha determinado en negar rotundamente cualquier acceso BYOD a los sistemas de información de la compañía, promueve la eliminación de cualquier acceso BYOD y espera que sus funcionarios y visitantes apliquen esta política.
MSC procura en no brindar ningún tipo de acceso a equipos personales a la red de MSC Colombia; cualquier acceso a sistemas de información propiedad de MSC o MSC Colombia con equipos que no sean propiedad de estas empresas será negado o limitado al máximo.
Las personas que accedan al sistema de correo o mensajería Teams con sus equipos personales deben aceptar o no la descarga de un APK a sus teléfonos personales, APK que matricula la maquina personal en AZURE AD y permite el control de esta.
POLÍTICA
Negar de manera tajante cualquier acceso BYOD a las redes de MSC, se evitarà al máximo el acceso con equipos que no sean corporativos. En caso de tener acceso, el usuario debe tener claro que la información que MSC provee está en constante monitoreo.
Estaciones de trabajo, laptops
No existe la posibilidad de conectarse a la red de MSC via BYOD
Smartphones
MSC Colombia no tiene permitido el BYOD para cualquier método de conexión a sus sistemas.
Los equipos que sean corporativos o provistos por MSC Colombia deben cumplir los siguientes puntos y los usuarios de dispositivos corporativos son responsables de:
- Hacer lo posible para proteger los datos de MSC y evitar la propagación de malware en el dispositivo
- De ser posible mantener toda la información personal fuera del dispositivo.
- Registrar el Dispositivo personal con el Departamento de TI y aceptar el perfil de seguridad incluido en el Dispositivo corporativo.
- Eliminar inmediatamente el correo electrónico no deseado o un correo electrónico que contenga contenido ilegal
- Informar la pérdida, robo o daño material del dispositivo de inmediato al Departamento de TI.
- Informar de inmediato cualquier pérdida probada o sospechada o acceso no autorizado a los Datos de MSC al Departamento de TI.
- Solicitudes, promociones, mensajes políticos, trabajo religioso, material censurable o ilegal, o para realizar negocios privados están prohibidos en los equipos corporativos.
- usar cualquier servicio de mensajería instantánea como Zoom, Yahoo Messenger, whatsApp, Skype, AOL Instant Messenger, Viber o Google Talk con fines comerciales y / o para transmitir y / o acceder a datos de MSC, excepto aquellos expresamente aprobados por MSC.
- Tratando de eludir o cambiar los mecanismos de seguridad de MSC implementados por el Departamento de TI
- Descargar e instalar software de fuentes inseguras o no autorizadas, especialmente fuera de las aplicaciones oficiales tienda (es decir, Apple Store, Google Storey Windows Store)
- Cambiar la configuración del sistema definida e implementada por el Departamento de TI
- Usar software de conferencias basado en la web no aprobados en lugar de herramientas y servicios aprobados
- NO compartir cuentas de correo electrónico de MSC o ID de usuario con cualquier otra persona, incluido otro empleado de MSC
- Acceder a las aplicaciones de MSC con cualquier ID que no sea el asignado personalmente por MSC
- Perturbar el funcionamiento de cualquier red de información, incluso mediante la propagación intencionada de computadoras virus y uso sostenido de alto volumen
- Comunicar datos de MSC a partes no autorizadas
- Copiar datos de MSC a aplicaciones no aprobadas
- El uso de software de gestión de datos u otras aplicaciones de MSC en formas que podrían avergonzar a MSC o sus empleados, o que pueda resultar ofensivo para otros
- Compartir el Dispositivo corporativo con terceros, incluidos, entre otros, familiares y amigos, cuando MSC El software de gestión de datos / datos es accesible para dicha persona utilizando ilegalmente material con derechos de autor y / o participando en tablones de anuncios de software pirata.
- Al usar el Software de gestión de datos, tener acceso a contenido que contenga imágenes sexuales, racismo, sexismo, violencia, comentarios discriminatorios u otro material potencialmente ofensivo, y cualquier material ilegal según la ley aplicable al Trabajador en las instalaciones de MSC o en cualquier lugar en el extranjero. Cualquier empleado que utilice un dispositivo portátil o Los dispositivos portátiles deben tener cuidado de saber qué es legal o ilegal
PRODUCTOS SIN LICENCIA
APLICABILIDAD
El incumplimiento de las licencias, la propiedad intelectual y el software podría generar graves riesgos de cuestiones y problemas legales. Mal uso o abuso de los productos podría resultar en:
- Infecciones de software malintencionado: el software sin licencia o el software descargado de una fuente ilegítima pueden contener malware que pone a una organización en riesgo significativo de un ataque
- Violaciones de datos: el uso de software sin licencia implica no recibir actualizaciones de parches que refuerzan la seguridad y abordar áreas de debilidad expuesta
- Multas: El uso de un producto con licencia inadecuada implica daños por infracción de derechos de autor que podrían tener consecuencias adicionales, como una mayor pérdida monetaria y daños a la reputación.
El propósito de esta política es describir las medidas y acciones llevadas a cabo por MSC para prevenir el uso de productos con licencia incorrecta
Esta política se aplica a cualquier unidad comercial o entidad establecida y definida dentro de MSC.
POLÍTICA
La política de MSC y Medlog Colombia S.A.S. es utilizar únicamente software autorizado y con la licencia correcta.
El departamento de TI de la agencia debe realizar un seguimiento del uso del software con licencia dentro de su propiedad y garantizar el cumplimiento de los términos de la licencia y la cantidad comprada. Aunque esto se puede hacer mediante el seguimiento de las listas de activos (por ejemplo, en Excel), se recomienda el uso de herramientas o productos para escanear y registrar automáticamente las implementaciones de software.
MSC gestiona de forma centralizada algunas licencias en la sede de Ginebra a nivel de grupo (por ejemplo, licencias de Oracle , SAPy Microsoft) y se realiza un seguimiento a través de informes periódicos. Cualquier software comprado localmente dentro de la Agencia sigue siendo responsabilidad de la Agencia de administrar.
Al comprar software, se espera que MSC Colombia IT seleccione proveedores o distribuidores reconocidos para evitar el riesgo de falsificación de software. Nuestra política de compras estándar de solicitar cotizaciones de la competencia (cuando sea posible) ayuda a protegernos aún más contra este riesgo.
También recomendamos que, al planificar la compra de cualquier software, los costos continuos de mantenimiento y soporte de las licencias se incluyan en el costo total de la compra. Mantener el soporte de software (o garantía de software) asegura que la agencia siempre tendrá acceso a las últimas actualizaciones y versiones (seguras).
COPIAS DE SEGURIDAD
APLICABILIDAD
La realización de copias de seguridad periódicas y coherentes de los datos empresariales críticos es de suma importancia. Cuando se trata como una ocurrencia tardía o simplemente como una casilla de verificación en una auditoría anual de TI, los riesgos de perder datos críticos son significativamente elevados.
El propósito de esta política es describir la medida y acciones llevadas a cabo por MSC para asegurar su cumplimiento hacia las regulaciones locales y generales aplicables, así como las mejores prácticas de la industria.
Esta política se aplica a cualquier unidad comercial o entidad establecida y definida dentro de MSC.
POLÍTICA
General
Las copias de seguridad se implementan de forma anual y periódica (las copias de seguridad anuales son suficientes) y aporta los siguientes beneficios:
- Posibilidad de recuperar versiones anteriores de archivos
- Posibilidad de retroceder en el tiempo hasta 7 años (o más según la legislación local)
- Tener múltiples copias de nuestros datos también nos protege contra fallas en los medios.
Los datos son respaldados en la plataforma corporativa de One Drive, plataforma que es accedida y controlada por los usuarios individuales de MSC. Nadie más debería tener acceso a esta carpeta. Si realiza una copia de seguridad de carpetas locales de los equipos, esta copia DEBE cargarse al One Drive asignado a cada usuario, esto para guardar la cadena de custodia de la información, adicionalmente los discos de los equipos están encriptados con Microsoft Bitlocker, encriptación que impide la extracción de la información cruda o de fácil lectura.
MEDIOS DE COMUNICACIÓN
APLICABILIDAD
Todos los medios, hardware u otros equipos de TI de MSC y Medlog Colombia S.A.S. que contienen información sensible y confidencial o cualquier Dato de MSC se contabilizan a través de inventarios regulares
El propósito de esta política es proporcionar una guía que aborde los medios de contabilidad, el hardware u otro equipo de TI que contenga información sensible y confidencial o cualquier Dato de MSC para garantizar la responsabilidad de los medios y la desinfección de los datos al momento de su eliminación.
Esta política se aplica a todos los empleados, contratistas, proveedores y agentes de MSC con un medio extraíble de propiedad de MSC o usado, o HW u otro equipo de TI de almacenamiento de datos.
POLÍTICA
Los usuarios de MSC y Medlog Colombia S.A.S. que utilizan estaciones de trabajo, deben considerar la sensibilidad de la información a la que se puede acceder y minimizar la posibilidad de acceso no autorizado.
MSC implementa protecciones físicas y técnicas para todas las estaciones de trabajo y no permite almacenamiento de información de forma externa, en medios extraíbles, discos de red o cualquier tipo de medio extraíble.
El acceso físico a estaciones de trabajo, servidores de computadoras portátiles y dispositivos de almacenamiento en red que acceden a los datos de MSC debe estar restringido solo al personal autorizado.
Las estaciones de trabajo y las computadoras portátiles se utilizarán únicamente para fines comerciales autorizados.
Las estaciones de trabajo, computadoras portátiles, deben registrarse en la base de datos de Inventario de TI y / o Azure Active Directory.
Esta política se aplica a todos los empleados y agentes de MSC.
POLÍTICA
Los usuarios de MSC y Medlog Colombia S.A.S. que utilizan estaciones de trabajo, servidores de computadoras portátiles y dispositivos de almacenamiento en red deben considerar la sensibilidad de la información a la que se puede acceder y minimizar la posibilidad de acceso no autorizado.
MSC implementa protecciones físicas y técnicas para todas las estaciones de trabajo, servidores de computadoras portátiles y almacenamiento en red.
dispositivos que acceden a información confidencial para restringir el acceso solo a usuarios autorizados.
El acceso físico a estaciones de trabajo, servidores de computadoras portátiles y dispositivos de almacenamiento en red que acceden a los datos de MSC debe estar restringido solo al personal autorizado.
Las estaciones de trabajo y las computadoras portátiles se utilizarán únicamente para fines comerciales autorizados.
Las estaciones de trabajo, computadoras portátiles, servidores y dispositivos de almacenamiento en red deben registrarse en la base de datos de Inventario de TI y / o Active Directory en Azure. Como mínimo, se requiere la siguiente información para identificar positivamente el punto final: Hardware y sistema operativo / versión
- Ubicación de los recursos de TI
- Responsable de los recursos de TI
Se debe prohibir que todas las estaciones de trabajo y dispositivos de almacenamiento lean / escriban información en cualquier medio extraíble. Todo medio extraíble esta completamente prohibido en MSC Colombia.
- CUMPLIMIENTO DE LA POLÍTICA:
El CISO junto con el equipo de administración de la agencia de MSC verificarán el cumplimiento de esta política a través de varios métodos, que incluyen, entre otros, recorridos periódicos, monitoreo de video, informes de herramientas comerciales, auditorías internas y externas y comentarios al propietario de la política.
Cualquier excepción a la política debe ser aprobada por el Departamento de Seguridad de TI con anticipación.
Un empleado que se descubra que ha violado esta política puede estar sujeto a medidas disciplinarias.
DEFINICIONES:
- Los "privilegios de acceso" son permisos de sistemas asociados con una cuenta, incluidos los permisos para acceder o cambiar datos, procesar transacciones, crear o cambiar configuraciones, etc.
- "Cuenta de administrador" es una cuenta de usuario con privilegios que tienen permisos avanzados en un sistema de TI que son necesarios para la administración de este sistema. Por ejemplo, una cuenta de administrador puede crear nuevos usuarios, cambiar los permisos de la cuenta, modificar la configuración de seguridad, como la configuración de la contraseña, modificar los registros del sistema, etc.
- Las "Cuentas de aplicaciones y servicios" son cuentas de usuario que no están asociadas con una persona sino con un sistema de TI. una aplicación (o una parte específica de una aplicación) o un servicio de red.
- "BYOD" hace referencia al uso de un dispositivo personal con fines profesionales (traiga su propio dispositivo)
- "Clear" aplica técnicas lógicas para desinfectar los datos en todas las ubicaciones de almacenamiento direccionables por el usuario para su protección contra técnicas simples de recuperación de datos no invasivas; generalmente se aplica a través de los comandos estándar de lectura y escritura al dispositivo de almacenamiento, como reescribiendo con un nuevo valor o usando una opción de menú para restablecer el dispositivo al estado de fábrica (donde la reescritura no es compatible).
- "Software de gestión de datos": se refiere al software Microsoft Intune o cualquier software similar según lo decida el Departamento de TI y se considere obligatorio para garantizar (1) la segregación de datos en dispositivos personales y (2) la implementación de medidas de seguridad adecuadas para proteger los datos almacenados de MSC. en dispositivos personales y Dispositivos corporativos.
- "Destroy" hace que la recuperación de datos de destino (utilizando técnicas de laboratorio de última generación) no sea factible y da como resultado la incapacidad posterior de utilizar los medios para el almacenamiento de datos.
- "Datos de MSC" hace referencia a toda la información no pública en posesión de MSC relacionada con el negocio de MSC y de terceros, incluidos, entre otros, contratos, información de precios, planes de marketing, volúmenes comerciales, identidad de los clientes, operaciones de los buques y especificaciones técnicas. , secretos comerciales y cualquier otra información de valor comercial a cualquier otra persona, comunicada por cualquier medio, incluidos los medios orales y / o electrónicos, estén o no marcados, designados o identificados de otro modo como "confidenciales" o "altamente confidenciales".
- "Acuerdo de no divulgación" es un contrato entre una persona y la Institución que establece que la persona protegerá la información confidencial cubierta por el contrato, cuando esta persona ha estado expuesta a dicha información.
- "Dispositivo personal" hace referencia a un teléfono inteligente, teléfono móvil, tableta, estación de trabajo o computadora portátil capaz de transmitir paquetes de datos que pertenecen personalmente a un empleado de MSC y que MSC ha aprobado para su uso con fines profesionales con respecto a esta Política.
- Las "cuentas privilegiadas" son cuentas de sistema o aplicaciones que tienen permisos avanzados (en comparación con los permisos de cuentas de usuario normales) en dichos sistemas o aplicaciones. Ejemplos de cuentas de usuario con privilegios incluyen cuentas administrativas y de superusuario.
- "Purgar" aplica técnicas físicas o lógicas que hacen que la recuperación de datos de destino no sea factible mediante el uso de técnicas de laboratorio de última generación.
- "RPO: Objetivo de punto de recuperación" Los objetivos de punto de recuperación se refieren a la tolerancia a pérdidas de su empresa: la cantidad de datos que se pueden perder antes de que ocurra un daño significativo a la empresa. El objetivo se expresa como una medida de tiempo desde el evento de pérdida hasta la copia de seguridad anterior más reciente.
- "RTO: Objetivo de tiempo de recuperación" RTO se refiere al tiempo que una aplicación puede estar inactiva sin causar daño significativo al negocio.
- Los "usuarios" son empleados, consultores, contratistas, agentes y usuarios autorizados que acceden a los sistemas de TI de MSC y aplicaciones.
