Políticas de Seguridad de la Información

POLITICA DE SEGURIDAD DE LA INFORMACIÓN

En DIGITAL WARE la información es un activo fundamental para la prestación de sus servicios y la toma de decisiones eficientes, razón por la cual existe un compromiso expreso de protección de sus propiedades más significativas como parte de una estrategia orientada a la continuidad del negocio, la administración de riesgos y la consolidación de una cultura de seguridad.

Consciente de sus necesidades actuales, DIGITAL WARE implementa un modelo de gestión de seguridad de la información como la herramienta que permite identificar y minimizar los riesgos a los cuales se expone la información, ayuda a la reducción de costos operativos y financieros, establece una cultura de seguridad y garantiza el cumplimiento de los requerimientos legales, contractuales, regulatorios y de negocio vigentes.

El proceso de análisis de riesgos de los activos de información es el soporte para el desarrollo de las Políticas de Seguridad de la Información y de los controles y objetivos de control seleccionados para obtener los niveles de protección esperados en DIGITAL WARE; este proceso será liderado de manera permanente por el Oficial de Seguridad de la Información.

Esta política será revisada con regularidad como parte del proceso de revisión gerencial, o cuando se identifiquen cambios en el negocio, su estructura, sus objetivos o alguna condición que afecten la política, para asegurar que sigue siendo adecuada y ajustada a los requerimientos identificados.

Supervisión de las políticas

La supervisión del cumplimiento de las “Políticas Generales sobre Tecnologías de Información”, queda a cargo del área de Tecnología; razón por la cual está facultada para verificar en cualquier momento el cumplimiento de estas políticas y de las normativas vigentes en materias de tecnologías de información y comunicación.

Violación a las políticas:

La infracción o incumplimiento de las políticas sobre tecnologías de información y comunicación, será notificado a área correspondiente a fin de que ésta proceda según corresponda. Durante el proceso de implementación se estará revisando el tema de cumplimiento y sanción con el área de Recursos Humanos. Este documento se estará revisando y/o actualizando por parte de Tecnología, con la finalidad de estarlo mejorando. Estas modificaciones serán aprobadas y comunicadas a través de la Dirección General.

1. Políticas generales de seguridad de la información

DIGITAL WARE ha establecido las siguientes Políticas Generales de Seguridad de la Información, las cuales representan la visión de la Institución en cuanto a la protección de sus activos de Información:

• Existirá un Comité de Seguridad de la Información, que será el responsable del mantenimiento, revisión y mejora del Sistema de Gestión de Seguridad de la Información de DIGITAL WARE.
• Los activos de información de DIGITAL WARE, serán identificados y clasificados para establecer los mecanismos de protección necesarios.
• DIGITAL WARE definirá e implantará controles para proteger la información contra violaciones de autenticidad, accesos no autorizados, la perdida de integridad y que garanticen la disponibilidad requerida por los clientes y usuarios de los servicios ofrecidos por la Entidad.
• Todos los funcionarios serán responsables de proteger la información a la cual accedan y procesen, para evitar su pérdida, alteración, destrucción o uso indebido como lo dice en el contrato laboral.
• Únicamente se permitirá el uso de software autorizado que haya sido adquirido legalmente por la Institución.
• Es responsabilidad de todos los funcionarios DIGITAL WARE reportar los Incidentes de Seguridad, eventos sospechosos y el mal uso de los recursos que identifique.
• DIGITAL WARE contará con un Plan de Continuidad del Negocio que asegure la continuidad de las operaciones, ante la ocurrencia de eventos no previstos o desastres naturales.

Adicionalmente DIGITAL WARE cuenta con políticas específicas y un conjunto de estándares y procedimientos que soportan la política corporativa.

No es Permitido

Dentro de la estrategia de seguridad de la información DIGITAL WARE, está establecido un proceso disciplinario formal para los funcionarios que hayan cometido alguna violación de la Política de Seguridad de la Información las cuales se mencionan a continuación.

• Evadir la firma los acuerdos de confidencialidad o de entrega de información o de activos de información.
• Ingresar a carpetas de otros procesos, unidades, grupos o áreas, sin autorización
• Evitar reportar los incidentes de seguridad o las violaciones a las políticas de seguridad, cuando se tenga conocimiento de ello.
• Clasificar y registrar de manera inadecuada la información, desconociendo los estándares establecidos para este fin.
• Ausentarse de su puesto de trabajo o al terminar la jornada laboral, dejar “documentos impresos que contengan privada.
• Dejar información confidencial, en carpetas compartidas no oficiales para el almacenamiento, obviando las medidas de seguridad.
• Dejar los computadores encendidos en horas no laborables.
• Solicitar cambio de contraseña de otro usuario, sin la debida autorización del titular o su jefe inmediato.
• Hacer uso de la red de datos de la compañía, para obtener, mantener o difundir en los equipos de sistemas, material pornográfico (penalizado por la ley) u ofensivo, cadenas de correos y correos masivos no autorizados.
• Utilización de software no relacionados con la actividad laboral y que pueda degradar el desempeño de la plataforma tecnológica.
• Enviar información confidencial por correo, copia impresa o electrónica sin la debida autorización y sin la utilización de los protocolos establecidos para la divulgación.
• El acceso de funcionarios a la red corporativa, sin la autorización de Área de Tecnología.
• Utilización de servicios disponibles a través de internet, como FTP y Telnet, no permitidos de protocolos y servicios que no se requieran y que puedan generar riesgo para la seguridad.
• Descuidar documentación con información confidencial, sin las medidas apropiadas de seguridad que garanticen su protección.
• La destrucción, borrado o suplantación de datos informáticos o un sistema de tratamiento de información.
• Distribuir, enviar, introducir software malicioso u otros programas de efectos dañinos en la plataforma tecnológica.
• Violar datos personales de las bases de datos.
• Suplantar un usuario ante los sistemas de autenticación y autorización.
• Acceder a las contraseñas de acceso a la red de datos, los recursos tecnológicos o los sistemas de información o permitir que otras personas accedan con el usuario y clave del titular a éstos.
• Acceder u otorgar privilegios de acceso a las redes de datos a personas no autorizadas.
• Llevar a cabo actividades fraudulentas o ilegales, o intentar acceso no autorizado a cualquier computador o servidor.
• Ejecutar acciones tendientes a eludir o variar los controles establecidos.
• Retirar de las instalaciones de la compañía, estaciones de trabajo o computadores portátiles sin la autorización pertinente del área de tecnología.
• Sustraer de las instalaciones, documentos con información confidencial, o abandonarlos en lugares públicos o de fácil acceso.

2. Acuerdos de confidencialidad

Todos los funcionarios de DIGITAL WARE y/o terceros deben aceptar los acuerdos de confidencialidad definidos por la Institución, los cuales reflejan los compromisos de protección y buen uso de la información de acuerdo con los criterios establecidos en ella.

Para el caso de contratistas, los respectivos contratos deben incluir una cláusula de confidencialidad, de igual manera cuando se permita el acceso a la información y/o a los recursos de DIGITAL WARE a personas o entidades externas.

Estos acuerdos deben aceptarse por cada uno de ellos como parte del proceso de contratación, razón por la cual dicha cláusula y/o acuerdo de confidencialidad hace parte integral de cada uno de los contratos.

3. Asignación y uso de los equipos

•  Los equipos portátiles serán asignados a aquellos funcionarios que por su cargo lo requieran y en este caso deberán ser aprobados por el Director de Vertical.
• La solicitud de asignación de equipos se realiza por escrito por parte del líder del área donde se requiere, deberá indicar el nombre completo del usuario, su cargo y las funciones principales a desarrollar en el equipo (para dimensionar el tipo de equipo que se asignará). Así como el software a utilizar, con el fin de establecer la existencia de la licencia o justificar su compra de ser necesario.
• Todos los equipos serán entregados mediante un acta de entrega/recepción en la cual se detallará el equipo que se entrega, la línea base instalada responsabilidad del equipo y su buen uso.
• Cada equipo se entrega con el Hardware y Software necesario para su funcionamiento, de acuerdo al cargo o función laboral en su área de trabajo.
• Todos los equipos asignados deben ser protegidos con un protector de pantalla desbloqueable por contraseña, durante los momentos que el usuario no lo esté utilizando. El protector deberá activarse automáticamente a los 3 minutos de inactividad del equipo.
• La protección física de los equipos corresponde a la persona a quien es asignado. En caso de requerir el movimiento del mismo, debe solicitarlo a la tecnología, específicamente al área de soporte.
• El usuario será el responsable del software y hardware del equipo de cómputo, en el caso que dicho equipo sea compartido con otra persona, la responsabilidad será compartida.
• El usuario no está autorizado a alterar el contenido físico y/o lógico del mismo incluyendo sus periféricos. (Instalación y/o modificación de hardware y/o software existente en el equipo
• El usuario deberá cambiar periódicamente su clave de acceso de acuerdo al grado de seguridad que se requiera.
• Es responsabilidad del usuario tomar todas las medidas necesarias para proteger la información de su propiedad, datos y/o software, por accesos desde Internet a su computadora o bien de una contaminación por eventuales virus que estén circulando por Internet, o ingresados a través de dispositivos de almacenamiento masivo por lo que Digital Ware, NO será responsable por daños causados por virus transmitidos a través de los antes mencionados.
• En el caso de contar con software Freeware (libre de licencia) y que sea de utilidad para el usuario, deberá indicarlo por escrito al área de tecnología para su estudio y aprobación, indicando el o los equipo(s) donde se requiere instalar, además de justificar su uso.
• En caso de presentar una falla física o lógica, ésta se debe notificar al área de soporte, en ningún caso el usuario intentará reparar el equipo, únicamente informará la posible falla.
• La compañía tiene los equipos asegurados bajo una póliza de seguro.
• En caso de que algún equipo sea robado, hurtado o extraviado, el colaborador deberá proceder de inmediato a reportarlo a tecnología con la denuncia respectiva, se procederá al reclamo del equipo al seguro y se asignará temporalmente otro equipo provisional
• Dependiendo del valor correspondiente al deducible que reporte la aseguradora, este monto será cancelado por el colaborador que sufrió la pérdida del equipo, se exceptúa el descuento del deducible a los colaboradores en aquellos casos de robo con violencia o en el sitio de trabajo.
• La asignación del equipo se hace al cargo o función, por tanto, si una persona cambia de función, cargo o termina el proyecto, el equipo asignado debe ser devuelto.
• Cada equipo de usuario será identificado por un nombre de máquina.
• La compañía no permite que los colaboradores ingresen a la empresa: portátiles personales, monitores y discos de almacenamiento externo.

4. Política baja de equipos

Se hará un diagnóstico técnico que permita determinar la necesidad de remplazar, actualizar o dictaminar como inservibles los equipos.

La baja definitiva del equipo, se hará por las siguientes razones:

• Aquellos equipos que por sus características son obsoletos o inservibles para cualquier actividad desarrollada en la compañía.
• Por daño severo

El área de tecnología notificará al área administrativa y financiera sobre los movimientos de baja de los equipos, para que se realicen los movimientos respectivos en cuanto a la cancelación de los resguardos y actualización del inventario.

Los equipos que han sido evaluados técnicamente y dictaminados para darse de baja, se deben registrar en el formato de:

F-DS-008 Acta De Baja De Activos Inservibles U Obsoletos

Los equipos o RAEES (Residuos de aparatos Eléctricos y electrónicos) que se dan de bajas se entregan a las entidades encargadas.

5. Acceso a Internet

El internet es una herramienta de trabajo que permite navegar en muchos otros sitios relacionados o no con las actividades propias del negocio de DIGITAL WARE, por lo cual el uso adecuado de este recurso se debe controlar, verificar y monitorear, considerando, para todos los casos, los siguientes lineamientos:

El servicio de internet es un servicio prestado por la compañía, como una herramienta de trabajo para el desempeño de las labores inherentes a cada cargo, razón por la que el uso para fines diferentes al cumplimiento de dichas labores está totalmente prohibido.

No se debe utilizar este servicio para:

• Descargar software no autorizado.
• Ingresar a sitios no autorizados por la compañía.
• Adelantar cualquier uso que NO esté relacionado con el cumplimiento de sus funciones.
• Enviar cualquier información de la compañía, salvo autorización expresa del área de comunicaciones respectiva

DIGITAL WARE debe realizar monitoreo permanente de tiempos de navegación y páginas visitadas por parte de los funcionarios y/o terceros. Así mismo, puede inspeccionar, registrar y evaluar las actividades realizadas durante la navegación, de acuerdo a la legislación nacional vigente.

Cada uno de los usuarios es responsable de dar un uso adecuado a este recurso y en ningún momento puede ser usado para realizar prácticas ilícitas o mal intencionadas que atenten contra terceros, la legislación vigente y los lineamientos de seguridad de la información, entre otros.

6. Correo electrónico

• Los funcionarios y terceros autorizados a quienes DIGITAL WARE les asigne una cuenta de correo deberán seguir los siguientes lineamientos:
• La cuenta de correo electrónico debe ser usada para el desempeño de las funciones asignadas dentro del DIGITAL WARE.
• Los mensajes y la información contenida en los buzones de correo son propiedad del DIGITAL WARE y cada usuario, como responsable de su buzón, debe mantener solamente los mensajes relacionados con el desarrollo de sus funciones.

No es permitido

• Enviar cadenas de correo, mensajes con contenido religioso, político, racista, sexista, pornográfico, publicitario no corporativo o cualquier otro tipo de mensajes que atenten contra la dignidad y la productividad de las personas o el normal desempeño del servicio de correo electrónico en la Institución, mensajes mal intencionados que puedan afectar los sistemas internos o de terceros, mensajes que vayan en contra de las leyes, la moral y las buenas costumbres y mensajes que inciten a realizar prácticas ilícitas o promuevan actividades ilegales.
• Utilizar la dirección de correo electrónico de DIGITAL WARE como punto de contacto en comunidades interactivas de contacto social, o cualquier otro sitio que no tenga que ver con las actividades laborales.
• El envío de archivos de música y videos. En caso de requerir hacer un envío de este tipo de archivos deberá ser autorizado por la dirección respectiva y la Dirección de Tecnología.
• El envío de información corporativa debe ser realizado exclusivamente desde la cuenta de correo que DIGITAL WARE proporciona. De igual manera, las cuentas de correo corporativo no se deben emplear para uso personal.
• El envío masivo de mensajes publicitarios corporativos deberá contar con la aprobación del área de Comunicaciones y la autorización de Tecnología. Además, para terceros se deberá incluir un mensaje que le indique al destinatario como ser eliminado de la lista de distribución. Si una dependencia debe, por alguna circunstancia, realizar envío de correo masivo, de manera frecuente, este debe ser enviado a través de una cuenta de correo electrónico a nombre de la dependencia respectiva y/o Servicio habilitado para tal fin y no a través de cuentas de correo electrónico asignadas a un usuario particular.
• Todos los mensajes enviados deben respetar el estándar de formato e imagen corporativa definido por DIGITAL WARE y deben conservar en todos los casos el mensaje legal corporativo de confidencialidad.

7. Recursos Tecnológicos

El uso adecuado de los recursos tecnológicos asignados por DIGITAL WARE a sus funcionarios y/o terceros se reglamenta bajo los siguientes lineamientos:

• La instalación de cualquier tipo de software o hardware en los equipos de cómputo de DIGITAL WARE es responsabilidad de tecnología, y por tanto son los únicos autorizados para realizar esta labor. Así mismo, los medios de instalación de software deben ser los proporcionados por DIGITAL WARE a través de esta Dirección.
• Los usuarios no deben realizar cambios en las estaciones de trabajo relacionados con la configuración del equipo, tales como conexiones de red, usuarios locales de la máquina, papel tapiz y protector de pantalla corporativo, entre otros. Estos cambios pueden ser realizados únicamente por la Dirección de Tecnología.
• Tecnología debe definir y actualizar, de manera periódica, la lista de software y aplicaciones autorizadas que se encuentran permitidas para ser instaladas en las estaciones de trabajo de los usuarios. Así mismo, realizar el control y verificación de cumplimiento del licenciamiento del respectivo software y aplicaciones asociadas.
• Únicamente los funcionarios y terceros autorizados Tecnología, previa solicitud escrita por parte de la dependencia que lo requiera, pueden conectarse a la red inalámbrica de DIGITAL WARE.
• La conexión a redes inalámbricas externas para usuarios con equipos portátiles que estén fuera de la oficina y que requieran establecer una conexión a la infraestructura tecnológica de DIGITAL WARE, deben utilizar una conexión bajo los esquemas y herramientas de seguridad autorizados y establecidos por la Dirección de Tecnología.
• Sólo personal autorizado puede realizar actividades de administración remota de dispositivos, equipos o servidores de la infraestructura de procesamiento de información de DIGITAL WARE; las conexiones establecidas para este fin, deben utilizar los esquemas y herramientas de seguridad y administración definidos por la Dirección de Tecnología.

8. Control de acceso físico

Todas las áreas destinadas al procesamiento o almacenamiento de información sensible, así como aquellas en las que se encuentren los equipos y demás infraestructura de soporte a los sistemas de información y comunicaciones, se consideran áreas de acceso restringido. En consecuencia, deben contar con medidas de control de acceso físico en el perímetro tales que puedan ser

Auditadas, así como con procedimientos de seguridad operacionales que permitan proteger la información, el software y el hardware de daños intencionales o accidentales.

De igual forma, los centros de cómputo, cableado y cuartos técnicos de las oficinas deben contar con mecanismos que permitan garantizar que se cumplen los requerimientos ambientales (temperatura, humedad, etc.), especificados por los fabricantes de los equipos que albergan y que pueden responder de manera adecuada ante incidentes como incendios e inundaciones.

En las instalaciones del centro de datos o de los centros de cableado, No está permitido:

• Introducir alimentos o bebidas al Data Center
• El porte de armas de fuego, corto punzantes o similares.
• Mover, desconectar y/o conectar equipo de cómputo sin autorización.
• Modificar la configuración del equipo o intentarlo sin autorización.
• Alterar software instalado en los equipos sin autorización.
• Alterar o dañar las etiquetas de identificación de los sistemas de información o sus conexiones físicas
• Extraer información de los equipos en dispositivos externos
• Abuso y/o mal uso de los sistemas de información.

9. Protección y ubicación de los equipos

Los equipos que hacen parte de la infraestructura tecnológica de DIGITAL WARE tales como, servidores, equipos de comunicaciones y seguridad electrónica, centros de cableado, UPS, subestaciones eléctricas, aires acondicionados, plantas telefónicas, así como estaciones de trabajo y dispositivos de almacenamiento que contengan y/o brinden servicios de soporte a la información crítica de las dependencias, deben ser ubicados y protegidos adecuadamente para prevenir la pérdida, daño, robo o acceso no autorizado de los mismos. De igual manera, se debe adoptar los controles necesarios para mantener los equipos alejados de sitios que puedan tener riesgo de amenazas potenciales como fuego, explosivos, agua, polvo, vibración, interferencia electromagnética y vandalismo, entre otros.

DIGITAL WARE mediante mecanismos adecuados monitoreará las condiciones ambientales de las zonas donde se encuentren los equipos (Centros de Cómputo).

10. Segregación de funciones

Toda tarea en la cual los funcionarios tengan acceso a la infraestructura tecnológica y a los sistemas de información, debe contar con una definición clara de los roles y responsabilidades, así como del nivel de acceso y los privilegios correspondientes, con el fin de reducir y evitar el uso no autorizado o modificación sobre los activos de información de la organización.

En concordancia:

• Todos los sistemas de disponibilidad crítica o media de la Institución, deben implementar las reglas de acceso de tal forma que haya segregación de funciones entre quien administre, opere, mantenga, audite y, en general, tenga
• la posibilidad de acceder a los sistemas de información, así como entre quien otorga el privilegio y quien lo utiliza.
• Los módulos ejecutables nunca deberán ser trasladados directamente de las librerías de pruebas a las librerías de producción sin que previamente sean compilados por el área asignada para tal efecto, que en ningún momento deberá ser el área de desarrollo ni la de producción.
• El nivel de súper usuario de los sistemas debe tener un control dual, de tal forma que exista una supervisión a las actividades realizadas por el administrador del sistema.
• Deben estar claramente segregadas las funciones de soporte técnico, planificadores y operadores.

11. Copias de respaldo

DIGITAL WARE debe asegurar que la información con cierto nivel de clasificación, definidas por las dependencias responsables de la misma, contenida en la plataforma tecnológica de la Institución, como servidores, dispositivos de red para almacenamiento de información, estaciones de trabajo, archivos de configuración de dispositivos de red y seguridad, entre otros, sea periódicamente resguardada mediante mecanismos y controles adecuados que garanticen su identificación, protección, integridad y disponibilidad. Adicionalmente, se deberá establecer un plan de restauración de copias de seguridad que serán probados a intervalos regulares con el fin de asegurar que son confiables en caso de emergencia y retenidas por un periodo de tiempo determinado.

Tecnología establecerá procedimientos explícitos de resguardo y recuperación de la información que incluyan especificaciones acerca del traslado, frecuencia, identificación y definirá conjuntamente con las dependencias los períodos de retención de la misma. Adicionalmente, debe disponer de los recursos necesarios para permitir la identificación relacionada de los medios de almacenamiento, la información contenida en ellos y la ubicación física de los mismos para permitir un rápido y eficiente acceso a los medios que contienen la información resguardada.

Los medios magnéticos que contienen la información crítica deben ser almacenados en otra ubicación diferente a las instalaciones donde se encuentra dispuesta. El sitio externo donde se resguardan dichas copias, debe tener los controles de seguridad adecuados, cumplir con máximas medidas de protección y seguridad física apropiados.

12. Gestión de medios removibles

El uso de medios de almacenamiento removibles (ejemplo: CDs, DVDs, USBs, memorias flash, discos duros externos, Ipods, celulares, cintas) sobre la infraestructura para el procesamiento de la información de DIGITAL WARE, estará autorizado para aquellos funcionarios cuyo perfil del cargo y funciones lo requiera.

La Dirección de Tecnología es responsable de implementar los controles necesarios para asegurar que en los sistemas de información de DIGITAL WARE sólo los funcionarios autorizados pueden hacer uso de los medios de almacenamiento removibles.

Así mismo, el funcionario se compromete a asegurar física y lógicamente el dispositivo a fin de no poner en riesgo la información de DIGITAL WARE que éste contiene.

13. Intercambio de información

DIGITAL WARE firmará acuerdos de confidencialidad con los funcionarios, clientes y terceros que por diferentes razones requieran conocer o intercambiar información restringida o confidencial de la Institución. En estos acuerdos quedarán especificadas las responsabilidades para el intercambio de la información para cada una de las partes y se deberán firmar antes de permitir el acceso o uso de dicha información.

Todo funcionario de DIGITAL WARE es responsable por proteger la confidencialidad e integridad de la información y debe tener especial cuidado en el uso de los diferentes medios para el intercambio de información que puedan generar una divulgación o modificación no autorizada.

Los propietarios de la información que se requiere intercambiar son responsables de definir los niveles y perfiles de autorización para acceso, modificación y eliminación de la misma y los custodios de esta información son responsables de implementar los controles que garanticen el cumplimiento de los criterios de confidencialidad, integridad, disponibilidad y requeridos. Está en el contrato

14. Control de acceso lógico

 El acceso a plataformas, aplicaciones, servicios y en general cualquier recurso de información de DIGITAL WARE debe ser asignado de acuerdo a la identificación previa de requerimientos de seguridad y del negocio que se definan por las diferentes dependencias de la Institución, así como normas legales o leyes aplicables a la protección de acceso a la información presente en los sistemas de información.

Los responsables de la administración de la infraestructura tecnológica de DIGITAL WARE asignan los  accesos a plataformas, usuarios y segmentos de red de acuerdo a procesos formales de autorización los cuales deben ser revisados de manera periódica por la Oficina de Control Interno de DIGITAL WARE.

La autorización para el acceso a los sistemas de información debe ser definida y aprobada por la dependencia propietaria de la información, o quien ésta defina, y se debe otorgar de acuerdo con el nivel de clasificación de la información identificada, según la cual se deben determinar los controles y privilegios de acceso que se pueden otorgar a los funcionarios y terceros e implementada por la Dirección de Tecnología.

Cualquier usuario interno o externo que requiera acceso remoto a la red y a la infraestructura de procesamiento de información de DIGITAL WARE, sea por Internet, acceso telefónico o por otro medio, siempre debe estar autenticado y sus conexiones deberán utilizar cifrado de datos.

15. Gestión de contraseñas de usuario

Contraseñas Seguras.

Según la política de seguridad informática se debe cumplir los requisitos de complejidad de las contraseñas para minimizar el riesgo de pérdida de datos y accesos no autorizados, para ello se debe tener en cuenta lo siguiente:

• No contener el nombre de cuenta del usuario o partes del nombre completo del usuario en más de dos caracteres consecutivos.
• Tener una longitud mínima de ocho (8) caracteres y que contenga como mínimo una letra Mayúscula, un Numero, un carácter especial:
• Teniendo como referencia las siguientes categorías:
• Mayúsculas (de la A a la Z)
• Minúsculas (de la a la z)
• Dígitos de base 10 (del 0 al 9)
• Caracteres no alfanuméricos (por ejemplo! $, #, %)
• Evitar claves comunes como el 12345, qwerty, el número de celular, nombres propios, fechas especiales etc.
• La nueva contraseña no debe ser igual a las tres anteriores
• Debe ser cambiada máximo cada 40 días por solicitud del sistema

Las contraseñas no deben Compartirse ni dejarse escritas donde alguien más pueda verlas.

Evitar la mala práctica de compartir los datos de acceso, pues toda actividad realizada con su clave es responsabilidad del titular.

Es un compromiso de todos los funcionarios de Digital Ware conocer las políticas de seguridad informática por lo tanto es su deber cumplirlas y respetarlas para el desarrollo de cualquier actividad.

Todos los recursos de información críticos del DIGITAL WARE tienen asignados los privilegios de acceso de usuarios con base en los roles y perfiles que cada funcionario requiera para el desarrollo de sus funciones, definidos y aprobados.

16. Segregación de redes

La plataforma tecnológica de DIGITAL WARE que soporta los sistemas de Información debe estar separada en segmentos de red físicos y lógicos e independientes de los segmentos de red de usuarios, de conexiones con redes con terceros y del servicio de acceso a Internet. La división de estos segmentos debe ser realizada por medio de dispositivos perimetrales e internos de enrutamiento y de seguridad si así se requiere. El área encargada de establecer el perímetro de seguridad necesario para proteger dichos segmentos, de acuerdo con el nivel de criticidad del flujo de la información transmitida.

DIGITAL WARE establece mecanismos de identificación automática de equipos en la red, como medio de autenticación de conexiones, desde segmentos de red específicos hacia las plataformas donde operan los sistemas de información de la Organización.

Es responsabilidad de los administradores de recursos tecnológicos garantizar que los puertos físicos y lógicos de diagnóstico y configuración de plataformas que soporten sistemas de información deban estar siempre restringidos y monitoreados con el fin de prevenir accesos no autorizados.

17. Política de controles criptográficos

Se encriptan y se protegen los activos de información contenida en portátiles asignados a funcionarios fortaleciendo la confidencialidad, evitando que la información quede expuesta en caso de algún robo o pérdida.