GENERADOR

Eléctrico Kohler SDMO

Política de Seguridad

 

 

 

INTRODUCCIÓN

Con el ánimo de mejorar la estrategia de Seguridad de la información de Corporación Font S.A. surge la necesidad de buscar un modelo base que permita alinear los procesos hacia un mismo objetivo de seguridad en el manejo de la información.

Para tal fin, se establece una Política de la Seguridad de la Información, como marco de trabajo de la organización en lo referente al uso adecuado de los recursos, buscando niveles adecuados de protección y resguardo de la información, definiendo sus lineamientos, para garantizar el debido control y minimizar los riesgos asociados.

 

OBJETIVO GENERAL

Este documento formaliza el compromiso de la dirección frente a la gestión de la seguridad de la Información.  Se establecen las normas para proteger de posibles riesgos de daño, pérdida y uso indebido de la información, los equipos y demás recursos informáticos de la empresa, los cuales están en constante cambio y evolución de acuerdo con el avance de la tecnología y los requerimientos de Corporación Font S.A.

1. Resumen de la política:

La información debe ser siempre protegida, cualquiera que sea su forma de ser compartida, comunicada o almacenada.

2. Alcance:

El documento de Política de Seguridad de la Información reglamenta la protección y uso de los activos de información de Corporación Font S.A. y por tanto está dirigido a todos aquellos usuarios que posean algún tipo de contacto con estos activos.

El cumplimiento de esta política, y de cualquier procedimiento es obligatorio y atañe a todo el personal de la organización.

3. Objetivos de seguridad de la información:

    1. Comprender y tratar los riesgos operacionales y estratégicos en seguridad de la información para que permanezcan en niveles aceptables para la organización.
    2. La protección de la confidencialidad de la información relacionada con los clientes y con los planes de desarrollo.
    3. La conservación de la integridad de los registros contables.
    4. Los servicios Web de acceso público y las redes internas cumplen con las especificaciones de disponibilidad requeridas.
    5. Entender y dar cobertura a las necesidades de todas las partes interesadas.

4. Principios de seguridad de la información:

    1. Esta organización afronta la toma de riesgos y tolera aquellos que, en base a la información disponible, son comprensibles, controlados y tratados cuando es necesario.
    2. Todo el personal será informado y responsable de la seguridad de la información, según sea relevante para el desempeño de su trabajo.
    3. Se dispondrá de financiación para la gestión operativa de los controles relacionados con la seguridad de la información y en los procesos de gestión para su implantación y mantenimiento.
    4. Se tendrán en cuenta aquellas posibilidades de fraude relacionadas con el uso abusivo de los sistemas de información dentro de la gestión global de los sistemas de información.
    5. Los riesgos en seguridad de la información serán objeto de seguimiento y se adoptarán medidas relevantes cuando existan cambios que impliquen un nivel de riesgo no aceptable.
    6. Las situaciones que puedan exponer a la organización a la violación de las leyes y normas legales no serán toleradas.

5. Responsabilidades:

    1. El equipo directivo es el responsable de asegurar que la seguridad de la información se gestiona adecuadamente en toda la organización.
    2. Cada gerente es responsable de garantizar que las personas que trabajan bajo su control protegen la información de acuerdo con las normas establecidas por la organización.
    3. El responsable de seguridad asesora al equipo directivo proporciona apoyo especializado al personal de la organización y garantiza que los informes sobre la situación de la seguridad de la información están disponibles.
    4. Cada miembro del personal tiene la responsabilidad de mantener la seguridad de información dentro de las actividades relacionadas con su trabajo.
    5. Gestión de los Recursos:
      1. Asegurar que las políticas de seguridad de la información brindan apoyo al cumplimiento de la misión y visión de Corporación Font S.A.
      2. Identificar y atender los requisitos legales y reglamentarios, así como las obligaciones de seguridad contractuales;
      3. Mantener la seguridad suficiente mediante la aplicación correcta de todos los controles implementados;
      4. Asegurar que todo el personal tiene conciencia de la importancia de la seguridad de la información.

6. Indicadores clave:

    1. Los incidentes en seguridad de la información no se traducirán en costes graves e inesperados, o en una grave perturbación de los servicios y actividades comerciales.
    2. Las pérdidas por fraude serán detectadas y permanecerán dentro de unos niveles aceptables.
    3. La aceptación del cliente de los productos o servicios no se verá afectada negativamente por aspectos relacionados con la seguridad de la información.

7. Políticas relacionadas:

A continuación, se detallan aquellas políticas que proporcionan principios y guía en aspectos específicos de la seguridad de la información:

 

Políticas para desarrollo de Software

Todo sistema o aplicativo debe contar con ambiente de desarrollo, ambiente de pruebas y ambiente de producción. Así mismo para la realización de pruebas no se deben utilizar datos de producción.

Cumplimiento del procedimiento para cambios y/o actualizaciones.

Todo cambio y/o actualización en los sistemas de información que se encuentren en producción, serán evaluados en ambientes de prueba cuya función es determinar el correcto funcionamiento y compatibilidad con las herramientas base. Una vez determinado el correcto funcionamiento y compatibilidad con las herramientas base se debe crear un plan de trabajo para la migración del ambiente de producción a la nueva versión.

Documentación de cambios y/o actualizaciones.

Todo cambio y/o actualización en los sistemas de información que se encuentren en producción, debe tener la documentación respectiva.

Catalogación de programas.

Debe cumplirse con el procedimiento establecido para pasar programas del ambiente de desarrollo al ambiente de producción previa prueba por parte del área encargada.

Medidas de seguridad deben ser implantadas y probadas antes de entrar en operación.

Todos los controles de seguridad para los sistemas de información deben ser implantados y probados sobre ambientes de pruebas o desarrollo y antes que dicho sistema entre en operación.

Dependencia de la autenticación de usuario en el sistema operativo.

Los desarrolladores de aplicaciones no deberán crear su propio sistema de control de acceso a la aplicación en desarrollo, esta labor deberá recaer en el sistema operativo o en un sistema de control de acceso que mejora las
capacidades del sistema operativo. Esta política debe empezar a cumplirse desde la liberación de este documento.

Incorporación de contraseñas en el software.

Ninguna contraseña deberá ser incorporada en el código de un software desarrollado o modificado por Corporación Font S.A. para permitir que las contraseñas sean cambiadas con regularidad.

Acceso del usuario a los comandos del sistema operativo.

Después de haber iniciado una sesión, el usuario debe mantenerse en menús que muestren solo las opciones habilitadas para dicho usuario y de esta manera impedir la ejecución de comandos del sistema operativo y la divulgación de las capacidades del sistema.

Se requieren registros de auditoría en sistemas que manejan información sensible.

Todo sistema que maneje información sensible debe generar registros de auditoría que guarden toda modificación, adición y eliminación de dicha información.

Registros para los usuarios privilegiados en los sistemas en producción que lo permitan.

Toda actividad realizada en los sistemas por usuarios con privilegios de administración debe ser registrada, si los mismos lo permiten, o de lo contrario debe existir un procedimiento alterno de control.

Los registros del sistema deben incluir eventos relevantes para la seguridad.

Los sistemas de computación que manejan información sensible deben registrar todos los eventos de seguridad relevantes. Ejemplos de eventos de seguridad relevantes son: intentos de adivinación de contraseñas, intentos de uso de privilegios no otorgados, modificaciones a la aplicación y modificaciones al sistema.

Resistencia de los registros contra desactivación, modificación y eliminación.

Los mecanismos para detectar y registrar eventos de seguridad informática significativos deben ser resistentes a ataques, en los sistemas que permitan dicha configuración. Estos ataques incluyen intentos por desactivar, modificar o eliminar el software de registro y/o los registros mismos.

Procesos controlados para la modificación de información en producción.

La modificación de información en producción debe darse únicamente mediante procesos con privilegios dentro de la aplicación que maneja dicha información. Esto con el fin de evitar que la información pueda ser modificada por medios diferentes a los canales establecidos.

Validación de entradas en los desarrollos.

El desarrollador debe tener en cuenta durante la elaboración de la aplicación, la validación de las entradas de código con el objeto de evitar la ejecución de comandos que pongan en riesgo la seguridad de los sistemas.

Diseño de seguridad para aplicaciones.

El esquema de seguridad de aplicación debe elaborarse de acuerdo con las Definiciones establecidas.

Archivo histórico de contraseñas.

En todo sistema multiusuario, software del sistema o software desarrollado localmente se debe mantener un archivo histórico encriptado de las contraseñas anteriores. Este archivo deberá ser usado para prevenir que un usuario seleccione una contraseña ya usada y debe contener como mínimo las últimas cinco (5) contraseñas de cada usuario.

 

POLÍTICAS PARA ADMINISTRADORES DE SISTEMAS


Soporte para usuarios con privilegios especiales.

Todos los sistemas y computadores multiusuario deben soportar un usuario con privilegios superiores a un usuario normal con el fin de poder ejercer las correspondientes labores administrativas y por lo cual estos privilegios deben ser asignados únicamente a los administradores.

Los privilegios de acceso a los sistemas de información otorgados a un usuario terminan cuando el usuario finaliza su vínculo contractual con la Entidad.

Todos los privilegios sobre los recursos informáticos de la Cámara de Comercio otorgados a un usuario deben eliminarse en el momento que éste abandone la Entidad y la información almacenada queda en manos de su jefe inmediato para aplicar los procedimientos de retención o destrucción de información.

Cambio de contraseñas por defecto.

Todas las contraseñas por defecto que incluyen equipos y sistemas nuevos deberán ser cambiadas antes de su utilización siguiendo los lineamientos de la política “Contraseñas fuertes”.

Información a capturar cuando un crimen informático o abuso es sospechado.

Para suministrar evidencia para investigación, persecución y acciones disciplinarias, cierta información debe ser capturada inmediatamente cuando se sospecha un crimen informático o abuso. Esta información se deberá almacenar de forma segura en algún dispositivo fuera de línea. La información a recolectar incluye configuración actual del sistema, copias de backup y todos los archivos potencialmente involucrados.

Confidencialidad en la información relacionada con investigaciones internas.

Hasta que no se hayan presentado cargos o se haya tomado alguna acción disciplinaria, toda investigación relacionada con abusos de los recursos tecnológicos o actividad criminal debe ser confidencial para mantener la reputación del empleado.

Información con múltiples niveles de clasificación en un mismo sistema.

Si un sistema o computador maneja información con diferentes niveles de sensibilidad, los controles usados deben ser los adecuados para proteger la información más sensible.

Segmentación de recursos informáticos por prioridad de recuperación.

Se debe establecer y usar un marco lógico para la segmentación de recursos informáticos por prioridad de recuperación. Esto hará que los sistemas más críticos sean recuperados primero. Todos los departamentos deberán usar el mismo marco para preparar los planes de contingencia a los sistemas de información.

Software de identificación de vulnerabilidades.

Para asegurar que el equipo técnico ha tomado las medidas preventivas adecuadas, a todos los sistemas conectados a Internet se les debe correr un software de identificación de vulnerabilidades por lo menos una vez al año.

En dónde usar controles de acceso para sistemas informáticos.

Todo computador que almacene información sensible debe tener un sistema de control de acceso para garantizar que esta información no sea modificada, borrada o divulgada.

Mantenimiento preventivo en computadores, sistemas de comunicación y sistemas de condiciones ambientales.

Se debe realizar mantenimiento preventivo regularmente en todos los computadores y sistemas para que el riesgo de falla se mantenga en un nivel bajo.

Mantenimiento de los Sistemas

Se debe realizar periódicamente el mantenimiento en las bases de datos, antivirus, servidores de correo y servicios.

Verificación física de equipos críticos

Se debe verificar periódicamente el estado físico de los quipos de cómputo críticos.

Servicios de Red

Se debe garantizar que el servicio de red utilizado se encuentre disponible y operando adecuadamente, el administrador del sistema puede efectuar escaneos de la red con la finalidad de: resolver problemas de servicio, como parte de las operaciones normales del sistema y del mantenimiento, para mejorar la seguridad de los sistemas o para investigar incidentes de seguridad.

Revisión de accesos de usuarios

 Se debe realizar por control de auditoría la revisión de los accesos de los usuarios a las aplicaciones utilizadas, por lo menos dos veces por año.

 

POLÍTICAS DE BACKUP – Copias de respaldo

Período de almacenamiento de registros de auditoría.

Registros de aplicación que contengan eventos relevantes de seguridad deben ser almacenados por un período no menor a tres (3) meses. Durante este período los registros deben ser asegurados para evitar modificaciones y para que puedan ser vistos solo por personal autorizado. Estos registros son importantes para la corrección de errores, auditoría forense, investigaciones sobre fallas u omisiones de seguridad y demás esfuerzos relacionados.

Tipo de datos a los que se les debe hacer backup y con qué frecuencia.

A toda información sensible y software crítico residente en los recursos informáticos, se le debe hacer backup con la frecuencia necesaria soportada por el procedimiento de copias de respaldo. Se deben hacer pruebas periódicas para garantizar el buen estado de la información almacenada.

Copias de información sensible.

Se debe elaborar una copia de cada backup con el fin de minimizar el riesgo por daño del medio de almacenamiento en disco y cinta, según procedimiento de copias de respaldo.

 

POLÍTICAS DE USO DE FIREWALL

Detección de intrusos.

Todo segmento de red accesible desde Internet debe tener un sistema de detección de intrusos (IDS) con el fin de tomar acción oportuna frente a ataques.

Toda conexión externa debe estar protegida por el firewall.

 Toda conexión a los servidores proveniente del exterior, sea Internet, acceso telefónico o redes externas debe pasar primero por el Firewall. Esto con el fin de limitar y controlar las puertas de entrada a la organización.

Toda conexión hacia Internet debe pasar por el Firewall.

El firewall debe ser el único elemento conectado directamente a Internet por lo cual toda conexión desde la red interna hacia Internet debe pasar por el firewall.

Inventario de conexiones.

Se debe mantener un registro de las conexiones a redes externas con el fin de tener una imagen clara de todos los puntos de entrada a la organización, lo anterior se cumple con el diagrama de red.

El sistema interno de direccionamiento de red no debe ser público.

Las direcciones internas de red y configuraciones internas deben estar restringidas de tal forma que sistemas y usuarios que no pertenezcan a la red interna no puedan acceder a esta información.

Revisión periódica y reautorización de privilegios de usuarios.

Los privilegios otorgados a un usuario deben ser reevaluados una vez al año con el fin de analizar sí los privilegios actuales siguen siendo necesarios para las labores normales del usuario, o si se necesita otorgarle privilegios adicionales. Esta política debe ser ejecutada por el área de sistemas con la participación de cada uno de los jefes de área.

Acuerdos con terceros que manejan información o cualquier recurso de Corporación Font S.A.

Todos los acuerdos relacionados con el manejo de información o de recursos de informática Corporación Font S.A. por parte de terceros, deben incluir una cláusula especial que involucre confidencialidad y derechos reservados. Esta cláusula debe permitir ejercer auditoría sobre los controles usados para el manejo de la información y específicamente de cómo será protegida la información de Corporación Font S.A.

 

POLÍTICAS DE ACCESO FÍSICO

Reporte de pérdida o robo de identificación.

Todo empleado debe reportar con la mayor brevedad, cualquier sospecha de pérdida o robo de carnés de identificación y tarjetas de acceso físico a las instalaciones.

Orden de salida para equipos electrónicos.

Ningún equipo electrónico podrá salir de las instalaciones de Corporación Font S.A. sin una orden de salida otorgada por el personal adecuado o sin haber sido registrado en el momento de su ingreso.

Orden de salida de activos

Todos los activos que afecten la seguridad de la información  como medios de almacenamiento, CDs, DVDs., entre otros, y que necesiten ser retirados de la entidad, deben tener la autorización escrita de salida.

Cuando se da una terminación laboral, los privilegios de acceso deben ser revocados.

Cuando exista una terminación laboral, el usuario deberá devolver los objetos de acceso físico a las instalaciones (carnés, tarjetas de acceso, etc.) y a su vez todos sus privilegios de acceso deberán ser revocados.

 

POLITICA DE USO DE PORTÁTILES

Protección de la información

  • El antivirus siempre debe estar activo y actualizado
  • No permitir que personas extrañas lo observen mientras trabaja en el equipo portátil, especialmente si esta fuera de las instalaciones
  • Toda la información que es confidencial debe ir cifrada.
  • Cuando el equipo deba ser devuelto para reparación, mantenimiento etc. La información confidencial deberá ser guardada en una copia de respaldo
  • De la información de usuario debe generarse copia de respaldo, por solicitud del usuario al área de sistemas.

Protección del equipo portátil

  • No dejar el computador móvil en lugares públicos
  • Cuando viaje el computador portátil no debe ir dentro de su maletero siempre debe llevarse en su mano.
  • Cuando vaya en su carro este debe ir en el baúl.
  • No prestar el computador portátil a familiares y/o amigos

 

POLITICA DE PRIVACIDAD WEB

 Establece los términos en que Corporación Font S.A. usa y protege la información que es proporcionada por sus usuarios al momento de utilizar su sitio web. Esta empresa está comprometida con la seguridad de los datos de sus usuarios. Cuando le pedimos llenar los campos de información personal con la cual usted pueda ser identificado, lo hacemos asegurando que sólo se empleará de acuerdo con los términos de este documento. Sin embargo esta Política de Privacidad puede cambiar con el tiempo o ser actualizada por lo que le recomendamos y enfatizamos revisar continuamente esta página para asegurarse que está de acuerdo con dichos cambios.

 Información que es recogida

 Nuestro sitio web podrá recoger información personal, por ejemplo: nombre, información de contacto (como su dirección de correo electrónico o número de teléfono) e información demográfica. Así mismo, cuando sea necesario podrá ser requerida información específica para procesar algún pedido o realizar una entrega o facturación.

Uso de la información recogida

 Nuestro sitio web emplea la información con el fin de proporcionar el mejor servicio posible, particularmente para mantener un registro de usuarios, atender solicitudes de servicio y/o cotización, procesar pedidos (en caso de que aplique), y mejorar nuestros productos y servicios.  Esta información se utilizará principalmente para fines transaccionales.  No se utilizará para enviar correos electrónicos masivos periódicamente con ofertas especiales, nuevos productos y otra información publicitaria, salvo que usted expresamente lo haya solicitado en la página. Para este caso, estos correos electrónicos serán enviados a la dirección que usted proporcione y podrán ser cancelados en cualquier momento.

Corporación Font S.A. está altamente comprometido para cumplir con el compromiso de mantener su información segura. Usamos los sistemas más avanzados y los actualizamos constantemente para asegurarnos que no exista ningún acceso no autorizado.

Cookies

Una cookie se refiere a un fichero que es enviado con la finalidad de solicitar permiso para almacenarse en su ordenador, al aceptar dicho fichero se crea y la cookie sirve entonces para tener información respecto al tráfico web, y también facilita las futuras visitas a una web recurrente.

Otra función que tienen las cookies es que con ellas la web puede reconocerle individualmente y por tanto brindarle el mejor servicio personalizado de su web.

Nuestro sitio web emplea las cookies para poder identificar las páginas que son visitadas y su frecuencia. Esta información es empleada únicamente para análisis estadístico. Usted puede eliminar las cookies en cualquier momento desde su ordenador. Sin embargo, las cookies ayudan a proporcionar un mejor servicio de los sitios web.  Éstas no dan acceso a información de su computador, ni de usted, a menos de que usted así lo quiera y la proporcione directamente. Usted puede aceptar o negar el uso de cookies; sin embargo, la mayoría de los navegadores aceptan cookies automáticamente pues sirve para tener un mejor servicio web. También usted puede cambiar la configuración de su computador para declinar las cookies. Si se declinan es posible que no pueda utilizar algunos de nuestros servicios.

Enlaces a Terceros

 Este sitio web contiene enlaces a otros sitios que pudieran ser de su interés. Una vez que usted de clic en estos enlaces y abandone nuestra página, ya no tenemos control sobre al sitio al que es redirigido y por lo tanto no somos responsables de los términos o privacidad ni de la protección de sus datos en esos otros sitios terceros. Dichos sitios están sujetos a sus propias políticas de privacidad por lo cual es recomendable que los consulte para confirmar que usted está de acuerdo con éstas.

Control de su información personal

En cualquier momento usted puede restringir la recopilación o el uso de la información personal que es proporcionada a nuestro sitio web.  Cada vez que se le solicite rellenar un formulario, como el de alta de usuario, puede marcar o desmarcar la opción de recibir información por correo electrónico.  En caso de que haya marcado la opción de recibir información nuestra o publicidad, usted puede cancelarla en cualquier momento.

Corporación Font S.A. no venderá, cederá ni distribuirá la información personal que es recopilada sin su consentimiento, salvo que sea requerido por un juez con un orden judicial.

Corporación Font S.A. se reserva el derecho de cambiar los términos de la presente política de privacidad en cualquier momento.

 

ACTUALIZACIÓN, MANTENIMIENTO Y DIVULGACION DE LAS POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN.

Este documento se debe revisar a intervalos planificados o cuando se produzcan cambios significativos, para garantizar que sigue siendo adecuada, suficiente y eficaz, por el área de sistemas, Oficial de Seguridad de la Información o la persona designada por la Presidencia Ejecutiva, debe aprobar el documento, es responsable por su publicación y comunicación a todos los empleados y partes externas pertinentes.

El mecanismo de notificación y divulgación de los cambios realizados a la política de seguridad de la información será mediante correo electrónico.

8. La dirección ejecutiva de la empresa es la responsable de aprobar una política de seguridad de la información que asegure que:

    1. La información estará protegida contra cualquier acceso no autorizado.
    2. La confidencialidad de la información, especialmente aquella relacionada con los datos de carácter personal de los empleados y clientes.
    3. La integridad de la información se mantendrá en relación a la clasificación de la información (especialmente la de “uso interno”).
    4. La disponibilidad de la información cumple con los tiempos relevantes para el desarrollo de los procesos críticos de negocio.
    5. Todos los eventos que tengan relación con la seguridad de la información, reales como supuestos, se comunicarán al responsable de seguridad y serán investigados.

 

En cualquier caso, de duda, aclaración o para más información sobre el uso de esta política y la aplicación de su contenido, favor contactarnos vía teléfono 22969010 o e-mail info@font.co.cr .

 

CONTÁCTENOS

¿Necesita información sobre nuestros productos o servicios?
No dude en llamarnos o complete el siguiente formulario

    Información de contacto

    En Corporación Font estamos a su servicio.  Puede contactarnos en los siguientes canales:

    Dirección:

    100 metros este de la Pozuelo


    Número de teléfono:

    (506) 2296-9010


    Correo Electrónico:

    info@font.co.cr


    Horario:

    Lunes a Viernes / 8:00 AM a 5:00 PM

    SEDE LA URUCA

    TELÉFONO:
    (506) 2296-9010

    CORREO ELECTRÓNICO:
    info@font.co.cr

    LA URUCA
    100 metros este de la Pozuelo

    SEDE GUANACASTE

    TELÉFONO:
    (506) 2296-9010

    CORREO ELECTRÓNICO:
    info@font.co.cr

    GUANACASTE
    Oficentro Tempisque. 700 metros al oeste de la Plaza de Deportes de Guardia,
    Nacascolo, Liberia, Guanacaste (del Aeropuerto Internacional Daniel Oduber, 4 Km carretera hacia playas del Coco).

    SEDE NICARAGUA

    TELÉFONO:
    (505) 2277-4455 / 2278-8738

    CORREO ELECTRÓNICO:
    informacion@font.com.ni

    NICARAGUA
    Embajada de México 1 C al noreste, esquina opuesta a Casa del Café, 10 mts al este, Los Robles, Managua, Nicaragua. (Código Postal: 14034)


    © 2021 Corporación Font. Todos los derechos reservados. Desarrollado por Dame Clic