1. OBJETIVO
El objetivo de la presente política es prevenir entre otros la ocurrencia de los hechos relacionados a continuación:
Acceso no autorizado, daños e interferencia a las instalaciones e información de la organización.
Pérdida o daño a los principales activos de información e interrupción en las actividades de negocios de la organización.
Compromiso o robo de información y activos de información.
La información es un recurso fundamental para el cumplimiento de los objetivos establecidos por Atlantic Quantum Innovations S.A.S. y por consiguiente debe ser debidamente protegida.
Atlantic Quantum Innovations S.A.S. ha establecido la presente Política de Seguridad de la Información, en donde se definen los lineamientos principales para el establecimiento y gestión del Sistema de Gestión de Seguridad de la Información (SGSI), con el fin de establecer una cultura de seguridad de la información en los procesos misionales de la organización.
En cumplimiento del propósito de la política y de los requerimientos legales a los que Atlantic Quantum Innovations S.A.S. debe acogerse, se determinan las siguientes definiciones acerca de la administración de la información:
Criterios de Seguridad de la información
Confidencialidad: Hace referencia a la protección de información cuya divulgación no está autorizada
Integridad: La información debe ser precisa, coherente y completa desde su creación hasta su destrucción.
Disponibilidad: La información debe estar en el momento y en el formato que se requiera ahora y en el futuro, al igual que los recursos necesarios para su uso.
Criterios de Calidad de la información
Efectividad: La información relevante debe ser pertinente y su entrega oportuna, correcta y consistente.
Eficiencia: El procesamiento y suministro de información debe hacerse utilizando de la mejor manera posible los recursos.
Confiabilidad: La información debe ser la apropiada para la administración de la compañía y el cumplimiento de sus obligaciones.
Cumplimiento: Tiene que ver con estar de acuerdo con aquellas leyes, regulaciones, y obligaciones contractuales a las cuales está sujeto el proceso del negocio; ya sean internos o externos, y que se ven reflejados en el tratamiento y presentación de la información.
Atlantic Quantum Innovations S.A.S. por medio de sus propietarios de procesos, establece estos controles para garantizar que se logren los objetivos específicos de seguridad de la organización.
Esta política será revisada para asegurar su vigencia, cumplimiento, conveniencia, adecuación y eficacia continúas, con una frecuencia anual o antes si ocurren cambios significativos, los cuales incluyen mas no se limitan a cambios en la estructura organizacional del sistema de gestión de seguridad de información (SGSI) o cambios en el alcance del SGSI.
Esta política se aplica a todos los empleados, contratistas y proveedores externos que tienen acceso a cualquier instalación, red, equipo, infraestructura, e información confidencial de Atlantic Quantum Innovations S.A.S. o de sus clientes. La expectativa es que entiendan y acepten cumplir con todas las políticas y procedimientos de Atlantic Quantum Innovations S.A.S.
Dispositivos móviles: Un dispositivo móvil se define como un aparato de tamaño pequeño, con algunas capacidades de procesamiento, con conexión permanente o intermitente a una red, con memoria limitada, que ha sido diseñado específicamente para una función, pero que puede llevar a cabo otras funciones más generales. De acuerdo con esta definición existen multitud de dispositivos móviles, desde los reproductores de audio portátiles hasta los navegadores GPS, pasando por los teléfonos móviles, los PDAs o los Tablet PCs.
4. DECLARACIÓN POLITICA GENERAL DE SEGURIDAD DE LA INFORMACIÓN
“En Atlantic Quantum Innovations S.A.S. compañía del sector de Contact Center y BPO, nos comprometemos a:
Asegurar la confidencialidad, integridad y disponibilidad de la información propia y de nuestros clientes.
Mantener la estabilidad y disponibilidad de las operaciones que gestionamos.
Generar valor al negocio de nuestros clientes.
Cumplir los requisitos contractuales, reglamentarios y legales aplicables.
Para este fin nos soportamos en la implementación de controles estrictos de seguridad, el mejoramiento continuo de nuestros procesos, un recurso humano altamente motivado y competente y unos aliados de negocios alineados con nuestra visión de negocios”.
Esta política será revisada y aprobada una vez al año con el fin de asegurar su adecuación y eficacia continuas.
5. NORMAS DE SEGURIDAD DE LA INFORMACIÓN
5.1. Políticas para Seguridad de Información
A.6.1.5 Seguridad de la información en la gestión de proyectos
La gestión de proyectos en Atlantic Quantum Innovations S.A.S. contempla los aspectos relacionados con la seguridad de la información asegurando la identificación y tratamiento de los riesgos implícitos en cada proyecto independiente de su categoría y alcance. Para tal fin se incluyen como parte integral de todo proyecto los puntos descritos a continuación:
Se definen y asignan las responsabilidades para la seguridad de la información a los roles especificados definidos en la matriz RACI de cada proyecto.
Se incluyen los objetivos de seguridad de la información en los objetivos de cada proyecto.
Se realiza una evaluación de riesgos de seguridad de la información en una etapa temprana del proyecto para identificar los controles necesarios.
Se incluye la gestión de seguridad de la información en todas las fases de la metodología de proyectos utilizada.
A.6.2 Dispositivos Móviles y Trabajo a distancia.
Las personas en posesión de dispositivos móviles, entre otros dispositivos móviles y equipos transportables o medios de almacenamiento que contengan información no pública, deben asegurarse de que no se queden sin supervisión en ningún momento, a menos que la información se haya salvaguardado adecuadamente. Estas personas asumen toda la responsabilidad por el equipo y los datos que este contiene.
Los usuarios deben tener especial cuidado al utilizar los dispositivos móviles, equipo transportables y medios de almacenamiento en lugares públicos para proteger la información de accesos no autorizados.
A.7 Seguridad de Recursos Humanos
La seguridad de la información es una responsabilidad compartida por todos los miembros de la organización. La dirección de Atlantic Quantum Innovations S.A.S. apoya activamente la seguridad de la información dentro de la organización con un rumbo claro, el compromiso demostrado y la asignación explícita de responsabilidades.
Con el fin de reducir el riesgo de errores humanos, robos, fraudes, mal manejo de la información y mal uso de las instalaciones, la alta dirección a través de la Dirección Talento Humano y Experiencia Interna, con la participación de sus procesos constitutivos (selección, relaciones laborales, entrenamiento) asegura el cumplimiento de los siguientes aspectos:
Realizar verificaciones de antecedentes previas al empleo para garantizar que los candidatos se seleccionen adecuadamente. Se realizan pruebas de detección adecuadas para cualquier persona en Atlantic Quantum Innovations S.A.S.
Concientización, educación y capacitación en seguridad de la información
La capacitación inicial de concientización sobre la seguridad de la información es provista por el área de capacitación durante la etapa de CCT (Call Center Training) para la orientación a nuevos empleados, abordando las responsabilidades del usuario, los procedimientos de seguridad física y las mejores prácticas de seguridad de la información.
Todos los empleados y proveedores deben recibir la Capacitación de Concientización sobre Seguridad de la Información de Atlantic Quantum Innovations S.A.S. con una periodicidad anual. Los proveedores pueden proporcionar una prueba de capacitación al Gerente Administrativo de AI Atlantic Quantum Innovations S.A.S. B si su compañía brinda esta capacitación y, si el Director de Cumplimiento o su designado considera que la capacitación cumple con los estándares de Atlantic Quantum Innovations S.A.S.
Todos los empleados y proveedores están capacitados para reconocer e informar cualquier incidente de seguridad.
Hay que asegurar que todos los usuarios estén conscientes de las amenazas y asuntos de seguridad de la información, y que estén equipados para respaldar la política de seguridad de la organización en el curso de su trabajo diario.
Minimizar los daños causados por incidentes de seguridad y mal funcionamiento, y monitorear y aprender de dichos incidentes.
Hay que asegurar que se firmen los formatos y autorizaciones requeridas por parte de todos los empleados, contratistas y proveedores antes iniciar con sus trabajos en las instalaciones de la organización.
Implementar un proceso disciplinario formal para manejar al personal cuando ocurre una violación de seguridad. Los procesos de terminación laboral se encuentran debidamente establecidos en el procedimiento de vinculación y desvinculación laboral.
Atlantic Quantum Innovations S.A.S. protege la información de la cual es propietaria o que tiene bajo su custodia según la naturaleza de la información y la exposición al riesgo para la organización, sus empleados, sus clientes y sus directores frente al acceso inapropiado o no deseado, la divulgación o la destrucción. El grado de protección provisto se relaciona directamente con la exposición al riesgo, independientemente de los medios de información. El grado de protección que se brinda a la información es consistente de principio a fin, incluida las actividades de creación, el manejo, el procesamiento, el almacenamiento y la eliminación.
Atlantic Quantum Innovations S.A.S. debe garantizar que la información en todos los medios se clasifique, se maneje y se elimine de manera segura. El Jefe de Seguridad de la Información desarrollará procedimientos y pautas para proteger la información mientras se procesa o almacena en forma electrónica o en papel. Atlantic Quantum Innovations S.A.S. fomenta el uso y almacenamiento mínimos de sus datos confidenciales para reducir el riesgo de que se comprometan los datos.
Atlantic Quantum Innovations S.A.S. otorga y proporciona la menor cantidad de acceso a los datos sobre una base de “necesidad de saber del negocio”, “mínimo privilegio” y “mínimo necesario”. A los usuarios se les otorga una cantidad mínima de acceso requerido para cumplir con éxito sus requisitos de trabajo.
Los controles de acceso se establecen de acuerdo con el valor y la clasificación de los activos de información que se están protegiendo. El Departamento de TI garantiza que todos los sistemas de autenticación y autorización apliquen los principios de “negar todo” para el control de acceso.
Los empleados, contratistas y proveedores de Atlantic Quantum Innovations S.A.S. no deben subvertir ninguno de los controles de acceso que se han implementado.
Se realizan pruebas y se supervisan los programas diseñados para determinar si los sistemas de control y sus componentes funcionan de la manera prevista y ofrecen un nivel aceptable de protección a medida que avanza el tiempo y la tecnología.
Se realizan revisiones gerenciales de los controles de acceso, como mínimo, anualmente.
“Los empleados de Atlantic Quantum Innovations S.A.S. acceden únicamente a la información relacionada con las funciones de su cargo. Los administradores de los sistemas de información deben seguir los estándares de configuración establecidos. Los contratistas acceden a la información necesaria para el desarrollo del objeto del contrato. Los empleados deben seguir las guías de contraseñas seguras al momento de seleccionar credenciales de autenticación fuertes y las guías de como los usuarios deben proteger sus credenciales de autenticación. Los empleados no deben reusar las contraseñas usadas anteriormente y deben cambiar sus contraseñas si ellos sospechan que sus contraseñas han sido comprometidas”
Los controles criptográficos desempeñan un papel importante en el sistema de controles que Atlantic Quantum Innovations S.A.S. emplea para proteger sus activos de datos. Con este fin, el Jefe de Seguridad de la Información establece y mantiene un Programa de Controles Criptográficos alineado con la Política de Clasificación de la Información.
El programa de criptografía establece estándares para la fuerza de encriptación mínima de los datos en cada clasificación de datos, cuando los controles criptográficos son apropiados, la administración de claves de encriptación y la validación de la identidad de transmisión saliente.
Este programa aborda la información de extremo a extremo durante el tránsito y el almacenamiento, tanto dentro como fuera de las redes Atlantic Quantum Innovations S.A.S. que cumplen con todos los requisitos legales.
La administración de claves se implementa a un nivel acorde con la función crítica que cumplen estas claves. Las claves se almacenan de acuerdo con las pautas de administración de claves de cifrado de Atlantic Quantum Innovations S.A.S. La información se describe en el procedimiento IT-P-29 Procedimiento Cifrado de información y gestión de llaves.
A.11 Seguridad Física y del Ambiente
Atlantic Quantum Innovations S.A.S. protege sus recursos de información a través de la implementación de controles de seguridad físicos, ambientales y administrativos “sólidos” diseñados para reducir el riesgo de falla física o de daños a la infraestructura debidos a riesgos ambientales.
Donde sea posible, todos los recursos de información deben residir en un entorno protegido. Se deben implementar controles de seguridad físicos y administrativos en cada instalación para proteger contra el acceso no autorizado.
El acceso físico a instalaciones, centros de datos, sistemas, redes y datos en Atlantic Quantum Innovations S.A.S. está limitado a las personas autorizadas que requieren acceso para realizar las tareas asignadas y se realiza mediante control de acceso biométrico (huella o tarjeta inteligente). En áreas donde los controles no pueden restringir completamente el acceso solo al personal autorizado, se realizará una revisión bimensual sobre la generación de logs de los sistemas.
Además de los controles de acceso, se implementan salvaguardas físicas para proteger sistemas sensibles y datos contra; incendios, robos u otros peligros.
A.12 Seguridad de las operaciones
Existe un Sistema de gestión de la calidad (SGC) documentado en la Organización que detalla los procedimientos operativos relacionados con todos los negocios y funciones dentro de la Organización. El SGC está alojado en el portal central de Intranet de la organización. Todos los empleados de Atlantic Quantum Innovations S.A.S. tienen acceso al AIBrain.
Los procedimientos operativos para las actividades de mantenimiento del sistema y el mantenimiento de las instalaciones de procesamiento de información, incluidos los sistemas informáticos operativos, equipos de telecomunicaciones, redes y sistemas de aplicaciones, se documentan y mantienen para garantizar operaciones seguras y eficientes. Estos procedimientos operativos son documentos formales y cualquier cambio en los procedimientos se realiza solo después de la autorización del Comité de Seguridad de la Información conformado por: Presidente, Director de IT, Director de Cumplimiento, Jefe de Seguridad de Información, Director de Operaciones y Gerente de BI y Desarrollo. Este comité se reúne con una periodicidad mensual.
A.13 Seguridad de las comunicaciones
La seguridad de las comunicaciones se preocupa por garantizar la integridad y disponibilidad de la información y los servicios, y mantener la confidencialidad de la información. Para garantizar que las comunicaciones sean seguras:
– Todos los dispositivos en la red de Atlantic Quantum Innovations S.A.S. deben ser autenticados con una contraseña segura.
– Los servidores que contienen datos restringidos deben estar separados del acceso público.
– Los datos o la información restringidos deben cifrarse cuando se envían a través de redes públicas.
A.14 Adquisición, desarrollo y mantenimiento del sistema
La política de adquisición de aplicaciones, desarrollo y mantenimiento de sistemas de información aborda los siguientes requisitos:
El nuevo software se desarrolla en base a los estándares de la industria y las técnicas de codificación segura.
El desarrollo de todas las aplicaciones nuevas debe seguir el Ciclo de la metodología ágil SCRUM o cualquier otra adoptada por la organización.
Las revisiones de seguridad se llevan a cabo durante las fases de recopilación de requerimientos, desarrollo y pruebas de todos los proyectos antes de la implementación.
Los desarrolladores reciben capacitación y siguen prácticas seguras de codificación y principios básicos de seguridad de aplicaciones.
A.15 Relaciones con el proveedor
Los requisitos de seguridad de la información para mitigar los riesgos asociados con el acceso del proveedor a los activos de la organización deben acordarse con el proveedor y documentarse antes de que el proveedor tenga acceso a los activos de Atlantic Quantum Innovations S.A.S. Asegurar que se ejecuten los acuerdos de no divulgación para proteger la información confidencial. Los controles apropiados se identifican y aplican para administrar el acceso del proveedor a los activos de información de la organización. Los controles de seguridad de la información para proveedores se abordan a través de los acuerdos con proveedores que consideran la cadena de suministro y el monitoreo regular de los servicios de los proveedores.
A.16 Gestión de Incidentes de seguridad de la información
La respuesta a incidentes es la etapa final de un proceso que escala los eventos a través de un proceso de revisión para determinar si un evento observado en un sistema de procesamiento de información podría haber causado una violación del sistema o un compromiso de datos sensibles. Se debe designar un Equipo de Respuesta a Incidentes y mantener un plan para guiar efectivamente la respuesta a un incidente. El programa también:
Coordina todos los aspectos de la respuesta a incidentes y la notificación.
Monitorea y distribuye alertas de seguridad.
Proporciona un informe posterior a la acción con recomendaciones de mejora.
Proporciona capacitación sobre la seguridad, el fraude, el desperdicio y el abuso y el reporte de incidentes.
Proporciona un informe anual con métricas completas de eventos relacionados con la seguridad.
A.17 Aspectos de Seguridad de Información de Administración de Continuidad del Negocio
Atlantic Quantum Innovations S.A.S. planifica, documenta e implementa procesos para contrarrestar las interrupciones del negocio, para proteger o mitigar razonablemente los procesos críticos de los efectos de las fallas de los sistemas u otras interrupciones y para facilitar su reanudación oportuna.
El Programa de seguridad de la información de Atlantic Quantum Innovations S.A.S. está diseñado para cumplir con las obligaciones legales, regulatorias o contractuales de todos los empleados, contratistas y proveedores con acceso a las redes, infraestructura, equipos o instalaciones de Atlantic Quantum Innovations S.A.S. que contienen información confidencial y restringida propia o del cliente; así como activos de información restringida.
El cumplimiento de esta política se verificará a través de varios métodos, que incluyen, entre otros, recorridos periódicos, monitoreo de video y auditorías internas y externas, o cualquier otra metodología aplicable.
Las violaciones de las políticas de seguridad de la información de Atlantic Quantum Innovations S.A.S. resultarán de acuerdo con la gravedad de la falta evidenciada en la aplicación de medidas disciplinarias, la finalización de la relación laboral y la responsabilidad civil y penal.
Cookie | Duración | Descripción |
---|---|---|
cookielawinfo-checkbox-analytics | 11 months | This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics". |
cookielawinfo-checkbox-functional | 11 months | The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional". |
cookielawinfo-checkbox-necessary | 11 months | This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary". |
cookielawinfo-checkbox-others | 11 months | This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other. |
cookielawinfo-checkbox-performance | 11 months | This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance". |
viewed_cookie_policy | 11 months | The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data. |