Sensibilizacin y Concientizacin en Seguridad de la Informacin

Seguridad de la informacin

Todos somos Usuarios!...

Norma ISO 27001

Proporciona un Modelo Disea e Implementa Gestiona un Enfoque de Procesos

Sistema de Gestin de Seguridad de la Informacin

CONFIDENCIALIDAD

INTEGRIDAD

DISPONIBILIDAD

Objetivo
Proteger los sistemas del uso no autorizado, preservando la confidencialidad, integridad, disponibilidad, procesamiento y tratamiento de la informacin.

Roles Participativos

Todos somos Usuarios!...

La direccin: Aprueba y Respalda las polticas de Seguridad de la Informacin. Los administradores de la seguridad: Desarrollan estrategias para la prevencin y proteccin, logrando cumplir las polticas. Los usuarios: Son sensibilizados y orientados en el cumplimiento y ejecucin de las polticas.

Importante: Todo funcionario debe tener claro su rol dentro de la organizacin, conocer los procedimientos de seguridad y ejecutarlos debidamente.

Cmo nos puede afectar

El uso no autorizado: Sustraccin de datos sensibles y confidenciales. No disponibilidad de los servicios. Modificacin de la informacin sin autorizacin. Un ataque: Prdida de tiempo con afectacin de la productividad por la denegacin de un servicio. Prdida de datos, divulgacin de informacin confidencial. Prdida de la credibilidad frente a nuestros clientes, proveedores y usuarios.

Reconocen las siguientes amenazas SPYWARE

Es un programa espa que se instala furtivamente en una computadora para recopilar informacin sobre las actividades que realiza el usuario.

GUSANOS
No necesitan de un archivo anfitrin para seguir con su ciclo de propagacin, sino que se auto-reproducen aprovechando diferentes medios de comunicacin como por ejemplo las redes locales o el correo electrnico.

VIRUS
Es un programa informtico creado para generar algn dao en la computadora del usuario, de forma completamente transparente a este. Los virus informticos necesitan de un anfitrin o husped para alojarse y as propagarse.

Reconocen las siguientes amenazas

ROGUE
Es un malware que, simulando ser una aplicacin de seguridad (generalmente anti-malware) infecta los sistemas de los usuarios. Se caracterizan por desplegar en pantalla advertencias llamativas respecto a la presencia de infecciones inexistentes.

SPAM
Es correo electrnico no solicitado enviado masivamente por parte de un tercero. En espaol, tambin es identificado como correo no deseado o correo basura.

ADWARE
Es un programa malicioso, que se instala en la computadora sin que el usuario lo note, cuya funcin es descargar y/o mostrar anuncios publicitarios en la pantalla de la vctima.

Reconocen las siguientes amenazas TROYANO

Son cdigos maliciosos que simulan ser inofensivos, como por ejemplo, juegos o programas, pero tienen como objetivo engaar al usuario para instalarse en el sistema.

BOTNET
Es una red de equipos infectados, que son controlados por un atacante, disponiendo de sus recursos para que trabajen de forma conjunta y distribuida con fines criminales.

PHISHING
El phishing consiste en el robo de informacin personal y/o financiera del usuario, a travs de la falsificacin de un ente de confianza. De esta forma, el usuario cree ingresar los datos en un sitio de confianza cuando, en realidad, estos son enviados directamente al atacante.

Reconocen las siguientes amenazas INGENIERA SOCIAL

Es la prctica de obtener informacin confidencial a travs de la manipulacin de usuarios legtimos, con la que se pretende tener acceso o privilegios en sistemas de informacin que les permitan realizar algn acto que perjudique o exponga la persona u organismo comprometido.

FUGA DE INFORMACIN
Es el incidente que pone en poder de una persona ajena a la organizacin, informacin confidencial y que slo debera estar disponible para integrantes de la compaa, se trata de un incidente que puede ser tanto interno como externo.

Reconocen las siguientes amenazas REDES SOCIALES

Son una herramienta de comunicacin, que es utilizada por los atacantes para propagar sus amenazas.

Hay que tener en cuenta que:

No se debe establecer contacto con personas desconocidas. No se debe publicar en ellas informacin sensible y confidencial.

Se debe configurar la privacidad del perfil.

Debemos tener cuidado con los contenidos que se ejecutan en estas redes.

Reconocen las siguientes amenazas NAVEGACIN WEB

Internet es el principal foco para la propagacin de amenazas y se ha transformado, en los ltimos aos, en una plataforma de ataque ya que permite ejecutar contenidos directamente desde la web. El usuario debe hacer uso consciente de sus recursos, evitando el acceso a sitios web que puedan ser peligrosos o de reputacin desconocida, evitando la descarga de archivos que se desconozca su contenido, minimizando la informacin personal que es publicada en Internet y evitando el acceso a portales con informacin sensible, como bancas en lnea, desde equipos pblicos o compartidos.

Restriccin de medios y dispositivos

La Fuga de Informacin es una seria amenaza, por ello Contact Center Americas establece que: No se deben ingresar memorias USB, cmaras digitales, dispositivos de almacenamiento de informacin, telfonos celulares, reproductores de msica o video y computadores porttiles al puesto de trabajo. No se debe ingresar papeles, libros, cuadernos, bolgrafos, marcadores al puesto de trabajo de aquellas campaas que por su regulacin as lo establezcan.

Manual seguridad de la informacin Contact Center Amricas

EL MANUAL SEGURIDAD DE LA INFORMACIN CONTACT CENTER AMERICAS EST COMPUESTO POR LAS SIGUIENTES POLTICAS:
POLTICA Y OBJETIVOS DE SEGURIDAD DE LA INFORMACIN GESTIN DE CONTRASEAS ESCRITORIO DESPEJADO Y PANTALLA DESPEJADA USO DE LA MENSAJERA INSTANTNEA USO DE LOS RECURSOS COMPARTIDOS EN LA RED USO DE COMPUTADORES PORTTILES POR TERCEROS USO DE COMPUTADORES PORTTILES FUNCIONARIOS CCAm USO DEL CORREO ELECTRNICO CORPORATIVO Sensibilizacin y respaldo + = Polticas y procedimientos de seguridad PROTECCIN EFECTIVA Y EFICIENTE

POLTICA DE SEGURIDAD DE LA INFORMACIN CCAm

Contact Center Americas en su misin de proveer soluciones integrales de contacto y procesos empresariales que agregan valor a clientes nacionales e internacionales, garantiza la confidencialidad, integridad, disponibilidad, procesamiento y tratamiento de la informacin como mecanismo para fortalecer el relacionamiento y la confianza con el cliente.

Objetivos del sistema de gestin seguridad de la informacin (SGSI)

Aumentar el nivel de confianza en los clientes actuales y en los potenciales.
Facilitar el ingreso internacionales. a mercados nacionales e

de

Garantizar la seguridad de la infraestructura fsica y tecnolgica de las operaciones del negocio.

Proteger la Informacin de la organizacin y de nuestros clientes. Facilitar el cumplimiento legal y regulatorio en torno a los datos corporativos.

GESTIN DE CONTRASEAS
Con el objeto de proteger los sistemas y los medios de tratamiento de la informacin del uso no autorizado, debemos tener en cuenta: Los datos de usuario y contrasea son nicos, personales e intransferibles para cada usuario. Buenas prcticas en el uso de contraseas: Como mnimo, 8 caracteres. Debe ser compleja. No utilizar una contrasea en blanco. Debe cambiarse con cierta periodicidad. No revelarla o compartirla. No utilizar informacin personal para definirla.

Si olvida su contrasea de inicio de sesin, deber llamar a la mesa de servicio (extensin 27700 - 37700). Le harn ciertas preguntas para verificar su identidad antes de expedirle una nueva contrasea.

ESCRITORIO DESPEJADO Y PANTALLA DESPEJADA

El uso correcto del escritorio (computador y puesto de trabajo) es muy importante, para ello tenga en cuenta: Pantalla Despejada
Mantener los accesos directos bsicos. No deben permanecer archivos de ningn tipo. Clasificar la informacin de forma segura y ordenada en rutas de acceso recordables. Cuando se retire de su puesto de trabajo no olvide bloquear la sesin. Escritorio de trabajo No ingrese ni ingiera alimentos en su escritorio. Mantenga su puesto de trabajo en orden. Apague el equipo al finalizar su jornada laboral. Asegure cajones y gabinetes.

USO DE LA MENSAJERA INSTANTNEA

No se pueden enviar, ni recibir ningn tipo de archivos entre usuarios, solo se intercambiaran mensajes de texto.
Los programas de mensajera instantnea son de uso laboral; se deben utilizar solo para contactar a clientes, proveedores o comunicaciones internas del proceso. Se prohbe el uso de vocabulario grotesco, vulgar, intimidacin, difamacin en los mensajes enviados, se debe ser respetuoso y cordial al escribir para recibir el mismo trato. No aceptar invitaciones o link de conexin a paginas desconocidas, muchas de estas invitaciones las utilizan los hackers para descargar Virus, Malware, Spyware (gusanos, troyanos, etc.).

USO DE LA MENSAJERA INSTANTNEA

Es responsabilidad del usuario al cual se le aprob la utilizacin del programa de mensajera instantnea garantizar su correcta utilizacin. El programa de mensajera instantnea nicamente podr ser utilizado por la persona a la que se autorizo su uso y solo deber ser empleado para actividades laborales. No est permitido el ingreso a los programas de mensajera instantnea de las pginas de redes sociales como (Facebook, Twitter, Skype, hi5, Sonico, myspace, Orkut, Tuenti, etc.). Los usuarios que se utilicen para acceder a los programas de mensajera instantnea son usuarios corporativos, no se pueden utilizar usuarios personales.

Importante:

La informacin corporativa se debe manejar nicamente a travs de cuentas corporativas.

USO DE LOS RECURSOS COMPARTIDOS EN LA RED

Se prohbe guardar o intercambiar archivos de audio como msica en cualquier formato (Wav, Mp3, etc.). Para grabaciones de audio de las campaas se utilizara el formato Wav.

Se prohbe guardar o intercambiar archivos de videos y fotografas en cualquier formato.

Se prohbe guardar archivos personales que no sean de uso laboral.

Antes de eliminar cualquier informacin del recurso compartido, verifique con el administrador de la informacin que esta va hacer borrada.

USO DE LOS RECURSOS COMPARTIDOS EN LA RED

Se debe guardar nicamente informacin del rea o campaa donde se est trabajando. El usuario de la unidad del recurso compartido, debe reportar al jefe inmediato si encuentra informacin que no es de su rea.

Si en las carpetas se encuentra msica, fotos, videos, etc. estos sern borrados inmediatamente sin notificarle al usuario.
El tiempo de retencin de la informacin es de 6 meses, una vez transcurrido este tiempo se realiza depuracin de la informacin despus del sexto mes.

USO DE COMPUTADORES PORTTILES POR TERCEROS

Todos los usuarios deben conocer y aceptar las polticas, procedimientos y controles de seguridad implementados por Contact Center Americas. Es responsabilidad de los funcionarios de Contact Center Americas y del personal de vigilancia hacer firmar el formato de aceptacin de polticas, procedimientos y controles de seguridad de la informacin (F2 TEC 010106 Aceptacin polticas de seguridad), que se encuentra en las porteras de cada una de las sedes de la compaa para permitir el ingreso y manipulacin de los equipos o computadores porttiles. Es responsabilidad del personal de vigilancia registrar todos los equipos o computadores porttiles en la bitcora de ingreso y salida de elementos ubicadas en las porteras de cada una de las sedes de Contact Center Americas.

USO DE COMPUTADORES PORTTILES POR TERCEROS

Se debe contar con una herramienta de antivirus actualizada.

Se debe contar con las ltimas actualizaciones de seguridad del sistema operativo.
Los usuarios a los cuales se les otorga el permiso de ingreso y manipulacin de equipos o computadores porttiles solo deben realizar labores estrictamente necesarias para el cumplimiento de su funcin. Si el usuario debe conectar el equipo o computador porttil a la red de la compaa para la ejecucin de sus actividades, es necesario cumplir con el procedimiento de Control de Acceso a la Red de Contact Center Americas.

Es responsabilidad de todos los funcionarios de Contact Center Americas reportar al personal de vigilancia el ingreso o salida de los equipos o computadores porttiles que tienen a su cargo en las porteras de cada una de las sedes de Contact Center Americas.

USO DE COMPUTADORES PORTTILES POR FUNCIONARIOS DE CONTACT CENTER AMERICAS

Es responsabilidad del personal de vigilancia registrar todos los equipos o computadores porttiles en la bitcora de ingreso y salida de elementos ubicadas en las porteras de cada una de las sedes de Contact Center Americas.

Es responsabilidad de la mesa de servicios entregar los equipos o computadores porttiles con todas las aplicaciones instaladas debidamente licenciadas, instalar y actualizar las herramientas de seguridad, instalar las ltimas actualizaciones de seguridad de sistema operativo y hacer entrega del acta de computadores porttiles.
Importante: Se prohbe a los funcionarios de Contact Center Americas la manipulacin de equipos o computadores porttiles personales dentro de las instalaciones de la compaa.

Conocer, aceptar y firmar el acta de entrega de computadores porttiles suministrada por la mesa de servicios.

USO DE COMPUTADORES PORTTILES POR FUNCIONARIOS DE CONTACT CENTER AMERICAS

Utilizar correctamente la guaya de seguridad entregada para la proteccin del equipo. Solicitar la instalacin y garantizar la correcta utilizacin de la herramienta de cifrado establecida por la compaa.

Verificar que cumpla con los requisitos de seguridad establecidos por la compaa. Velar por la seguridad e integridad del equipo entregado dentro y fuera de las instalaciones de la compaa. Realizar labores estrictamente necesarias para el cumplimiento de su funcin.
Importante:

No utilizar conexiones pblicas (conexiones a internet en aeropuertos, centros comerciales, hoteles, etc.) no seguras para transmitir informacin.

Es responsabilidad de todos los funcionarios de Contact Center Americas a los que se les asigna un equipo o computador porttil cumplir y hacer cumplir las normas anteriormente descritas.

USO DEL CORREO ELECTRNICO CORPORATIVO

Puntos bsicos para hacer buen uso del Correo Electrnico Corporativo:

Es Personal y de uso laboral.

Se debe utilizar lenguaje respetuoso. Cumplir con el protocolo de firmas establecido por Contact Center Americas para el envo de mensajes. No se debe enviar mensajes de forma masiva.

No se debe modificar o alterar la configuracin preestablecida. Eliminar de forma inmediata todo tipo de mensajes desconocidos o que vayan en contra de los puntos anteriores.
Importante: Los Usuarios son completamente responsables de todas las actividades realizadas con sus cuentas de acceso y su buzn asociado a Contact Center Americas.

Procedimientos Transversales Contact Center Amricas

REPORTE INCIDENTES DE SEGURIDAD

CLASIFICACIN, ETIQUETADO Y MANEJO DE LA INFORMACIN

ADMINISTRACIN DE SOFTWARE CONTROL DE ACCESO A LA RED GESTIN DE USUARIOS

RETIRO DE ACTIVOS
SANCIONES DICIPLINARIAS BACKUP

Sensibilizacin y respaldo

= Polticas y procedimientos de seguridad

PROTECCIN EFECTIVA Y EFICIENTE

REPORTE INCIDENTES DE SEGURIDAD

Un incidente de seguridad es un evento o serie de eventos que pueden comprometer las operaciones de la organizacin y amenazar la seguridad de la informacin afectando la continuidad del negocio.
Se debe de realizar este procedimiento cuando se sospeche de algn fraude o violacin de las polticas de seguridad de la compaa. Para reportar cualquier incidente de seguridad es necesario crear un caso en Service Desk, se debe seleccionar en el catalogo de incidentes la opcin de Incidente de seguridad.

CLASIFICACIN, ETIQUETADO Y MANEJO DE LA INFORMACIN

OBJETIVO: Asegurar que la informacin sea clasificada, etiquetada, almacenada, procesada, transmitida y destruida, segn su nivel de criticidad con el fin de aplicar los lineamientos adecuados para su uso y proteccin.

A QUIEN APLICA:
Este procedimiento aplica a todas las reas de la compaa y terceras partes que administren informacin en medios fsicos o magnticos.

CLASIFICACIN, ETIQUETADO Y MANEJO DE LA INFORMACIN

A continuacin se presentan tres niveles de clasificacin que identifican el nivel de proteccin requerido: Publica: Informacin no sensible, disponible a todo pblico dentro y fuera de la organizacin. La informacin pblica tiene un impacto negativo, nulo o muy bajo para la empresa. (Ejemplo informacin publicada en la intranet, carteleras, publicidad de la compaa).

CLASIFICACIN, ETIQUETADO Y MANEJO DE LA INFORMACIN

Privada: Informacin que generalmente es accesible por empleados y terceros previamente autorizados. La informacin privada tiene un impacto bajo pero es conveniente que no est disponible al pblico en general. (Ejemplo: procedimientos y polticas de seguridad del rea, actas, memorando, notificaciones, informacin en carpetas compartidas, etc.). Los funcionarios de CCAm, deben de abstenerse de realizar comentarios de este tipo de informacin fuera de la empresa.

CLASIFICACIN, ETIQUETADO Y MANEJO DE LA INFORMACIN

Confidencial: informacin que es muy sensible dentro de la compaa y debe ser usada exclusivamente por grupos especficos de empleados. Una prdida, divulgacin, modificacin, acceso no autorizado de la informacin confidencial genera un alto impacto negativo en la parte financiera, imagen, reputacin, marcas corporativas, derechos de propiedad intelectual, prdida de participacin en el mercado y demandas de los clientes. (Ejemplo: Informacin de clientes, bases de datos de informacin de clientes para campaas, anlisis de riesgos, registro de auditoras, cdigo fuente de programas, informacin de la operacin, planes estratgicos, resultados financieros antes de ser revelados, planes de continuidad del negocio, licitaciones, contratos, etc.).

ADMINISTRACIN DE SOFTWARE
Su principal objetivo es controlar la instalacin, distribucin y retiro de Software licenciado por CCAm para lo que se debe tener en cuenta: Los Gerentes y Directores son los nicos autorizados para solicitar cambio de software.

Todas las solicitudes de instalacin, actualizacin y retiro de software que lleguen a la mesa de servicio deben ser solicitadas por Service Desk.
No se deben trasladar las licencias entre puestos de trabajo. No debe instalar en los computadores de CCAm ninguna clase de software (Free Software, Open Source, Licencia GPL (General Public License) 'copyleft', Software de Dominio Pblico, Freeware, Shareware, Adware (Advertising Spyware)) sin la previa verificacin y autorizacin de la mesa de servicio.

Importante:

Los Usuarios son completamente responsables de todas las actividades realizadas en el computador que se asigno para el desempeo de su labor.

CONTROL DE ACCESO A LA RED

Si se requiere acceder a la red interna, hay que seguir las siguientes indicaciones:
Debe cumplir con las Polticas de uso de computadores porttiles por terceros y uso de computadores porttiles por funcionarios de CCAm. Se tendrn restricciones y limitaciones en la conexin a la red de CCAm. El uso de dispositivos mviles y el acceso a red inalmbrica, debe ser reportado para su autorizacin. Ser cuidadoso al navegar en sitios pblicos y no abrir archivos de extraa procedencia.

No se deben tener programas instalados que permitan realizar escaneos a la red o que puedan causar el mal funcionamiento de la misma.
Importante:
Los Usuarios son completamente responsables de todas las actividades realizadas en el computador que se asigno para el desempeo de su labor.

GESTIN DE USUARIOS
El jefe de operaciones o jefe inmediato tiene la responsabilidad de solicitar de manera inmediata la cancelacin de usuarios cuando un colaborador se retire de la compaa. Es responsabilidad de los jefes de operacin y jefes inmediatos garantizar que cada uno de sus colaboradores cuente con los usuarios necesarios para el correcto desempeo de sus funciones. Los usuarios de los colaboradores que se retiren de la compaa deben ser eliminados de las plataformas correspondientes. Una persona que realice gestiones en varias campaas debe tener un usuario diferente para cada una de ellas. De la misma forma ocurre para las plataformas. Los usuarios son personales e intransferibles y no podrn ser compartidos.

Importante: Los funcionarios de Contact Center Americas, proveedores, contratistas, clientes y terceras partes a los que se les asigne usuarios, son completamente responsables de todas las actividades realizadas con los usuarios asignados.

RETIRO DE ACTIVOS
Cuando un equipo deba salir de las instalaciones de Contact Center Americas, el interesado en retirarlo debe solicitar autorizacin escrita al Gerente de Tecnologa, Director de Mesa de Servicios o de la persona que ellos deleguen para tal fin. En cada una de las porteras el responsable de seguridad debe solicitar las autorizaciones escritas y validar que tanto el equipo como la persona que retira el equipo concuerdan con lo indicado en la autorizacin y procedern a archivarlas en forma ordenada.

Para el caso de equipos porttiles, los responsables de la seguridad en las porteras debern llevar un registro con la fecha, nombre completo de la persona que porta el equipo, marca y serial del equipo.

RETIRO DE ACTIVOS
Ningn equipo que no sea de propiedad de Contact Center Americas podr ingresar a las instalaciones, sin ser debidamente registrado en la bitcora de ingreso, las personas responsables de la seguridad en las porteras son los responsables de garantizar que esta norma se cumpla.
Toda persona que retira un equipo de las instalaciones de Contact Center Americas, es responsable por el uso y conservacin del mismo, por lo tanto debe velar por no permitir que sea utilizado para propsitos diferentes a los intereses de Contact Center Americas. Siempre que ingresen o retiren un equipo de las instalaciones de Contact Center Americas, se debe facilitar la labor de los responsables de la seguridad en las porteras y vas de acceso y/o salida.

SANCIONES DISCIPLINARIAS
Contact Center Americas garantiza que las sanciones impuestas a sus colaboradores cumplen con las normas y leyes definidas por el estado colombiano. Las sanciones impuestas a los colaboradores de CCAm debern ser coherentes con el impacto de su falta o violacin. La reincidencia en una falta o violacin puede generar una sancin disciplinaria mayor. La sanciones sern impuestas por la(s) persona(s) que Contact Center Americas autoriz previamente segn reglamento interno de trabajo.
Importante:
El procedimiento de sanciones disciplinarias aplica para todos los colaboradores directos o en misin de Contact Center Americas.

SANCIONES DICIPLINARIAS
Si el trabajador que comete la infraccin se encuentra en misin, quien aplique la sancin respectiva ser su Empleador, esto es, la Empresa de Servicios Temporales, previa solicitud que al respecto le haga Contact Center Americas. Los niveles de calificacin en las faltas que se manejarn para el presente procedimiento son las mismas descritas en el reglamento interno de trabajo: Leves y Graves. Cada vez que el colaborador requiera de dar explicaciones (diligenciamiento del formato) al finalizar, deber firmar dichas explicaciones. Cuando el colaborador se niegue a firmar las explicaciones del caso, se debe recurrir a dos testigos quienes firmaran dando fe de la diligencia.

BACKUP
El backup (copia de respaldo) debe ser guardado en un sistema de almacenamiento distinto al lugar donde se encuentra la informacin original. El procedimiento aplica para el backup diario, semanal y mensual de cada una de las sedes. El backup se realiza sobre la NAS, por tal razn toda la informacin que requiera backup debe estar alojada en la NAS. Los procedimientos de backup de plataformas de IT sern anexos a este procedimiento transversal.
Importante: NAS: Network Attached Storage, unidad de almacenamiento dedicada a compartir su capacidad (de almacenamiento) con ordenadores personales o servidores clientes a travs de la red de datos de CCAm.

GRACIAS
SEGURIDAD DE LA INFORMACIN CCAm

El mejor contacto entre usted y su cliente Av. Dorado No 85D -55 Centro Empresarial Dorado Plaza. Local 149 D. Tel. (571) 4251700 www.contactcenteramericas.com