Políticas

(Descargue la Política)

Política de Privacidad

Propósito

La presente política de tratamiento de datos personales es elaborada de conformidad con lo dispuesto en la Constitución Política de Colombia, la Ley 1581 de 2012, y demás disposiciones complementarias y será aplicada por KEEP NET SAS. respecto de la recolección, almacenamiento, uso, circulación, supresión y de todas aquellas actividades que constituyan tratamiento de datos personales.

1. Responsable del Tratamiento

El Responsable del Tratamiento es:

KEEP NET SAS. – NIT 901.635.629-6

Dirección: Cl. 3A # 3 NORTE-25, Br. Madrigal, Yumbo, Valle del Cauca

Correo electrónico: atvyumbo1@hotmail.com

Teléfono +57 (312) 655-8206

Sitio web: https://www.keepnetsas.com

2. Definiciones

Para efectos de la ejecución de la presente política y de conformidad con la normatividad legal, serán aplicables las siguientes definiciones:

Autorización: Se refiere al consentimiento previo, expreso e informado del Titular para llevar a cabo el Tratamiento de Datos Personales.

Aviso de Privacidad: Se refiere a la comunicación verbal o escrita dirigida al Titular para el Tratamiento de sus Datos Personales, mediante la cual se le informa acerca de la existencia de la Política, la forma de acceder a la misma y las finalidades del Tratamiento que se pretende dar a los Datos Personales.

Bases de Datos: Se refiere al conjunto organizado de Datos Personales que sea objeto de Tratamiento. Las Bases de Datos podrán ser física o electrónica.

Causahabiente: Se refiere a la persona que ha sucedido a otra por causa del fallecimiento de ésta (heredero).

Contrato de Transmisión: Se refiere al contrato que suscriba el Responsable con el(los) eventual(es) Encargado(s) para el Tratamiento de Datos Personales bajo su control y responsabilidad, señalará los alcances del Tratamiento, las actividades que el Encargado realizará por cuenta del Responsable para el Tratamiento de los Datos Personales y las obligaciones del Encargado con el Titular y el Responsable.

Cookies: Se refiere a los pequeños archivos que se almacenan en el disco duro de su ordenador o dispositivo móvil al visitar ciertas páginas web o aplicaciones y que identifican su ordenador o dispositivo móvil y pueden guardar datos, como información acerca de su comportamiento en línea.

Datos Personales: Se refiere a cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables.

Dato Público: Se refiere al dato que no sea semiprivado, privado o sensible. Son considerados Datos Públicos, entre otros, los datos relativos al estado civil de las personas, a su profesión u oficio y a su calidad de comerciante o servidor público y aquellos que puedan obtenerse sin reserva alguna. Por su naturaleza, los datos públicos pueden estar contenidos, entre otros, en registros públicos, documentos públicos, gacetas y boletines oficiales.

Datos Sensibles: Se refiere a todos los datos sensibles, aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, las pertenencia a sindicatos, organizaciones sociales, de derecho humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición, así como los datos relativos a la salud, a la vida sexual, y los datos biométricos.

Encargado: Se refiere a la persona, natural o jurídica, que por sí misma o en asocio con otros, realice el Tratamiento de Datos Personales por cuenta del Responsable.

Personas Autorizadas: Se refiere a las personas que podrán ejercer los derechos del Titular, las cuales se listan en el Artículo 10.2 de la presente Política.

Política: Se refiere a la presente Política.

Registro Nacional de Bases de Datos: Se refiere al directorio público de las bases de Datos Personales sujetas a Tratamiento administrado por la SIC.

Responsable o KEEP NET SAS: Se refiere a la Responsable como entidad que, por sí misma o en asocio con otros, decide sobre la Base de Datos o el Tratamiento de los Datos Personales.

SIC: Se refiere a la Superintendencia de Industria y Comercio.

 

Titular: Se refiere a la persona natural cuyos Datos Personales sean objeto de Tratamiento.

Transferencia: Se refiere a la situación en la cual el Responsable y/o el Encargado del Tratamiento de Datos Personales, ubicado en Colombia, envía la información o los Datos Personales a un receptor, que a su vez es Responsable del Tratamiento y se encuentra dentro o fuera del país.

Transmisión: Se refiere al Tratamiento de Datos Personales que implica la comunicación de los mismos dentro o fuera del territorio de la República de Colombia cuando tenga por objeto la realización de un Tratamiento por el Encargado por cuenta del Responsable.

Tratamiento: Se refiere a cualquier operación o conjunto de operaciones sobre Datos Personales, incluyendo, pero sin limitarse a la recolección, almacenamiento, uso, circulación o supresión de Datos Personales.

3. Tipología de Tratamiento

3.1. El Tratamiento de KEEP NET SAS consistirá en la recolección, intercambio, almacenamiento, uso, análisis, reporte, circulación, procesamiento, reproducción o compilación, sistematización, actualización, organización, conservación, rectificación y supresión de Datos Personales, de forma parcial o total, de acuerdo y en proporción a las finalidades establecidas en la presente Política.

3.2. En caso de utilizo de las páginas web y/o aplicaciones de titularidad de KEEP NET SAS, se pueden registrar, entre otros, los siguientes tipos de datos:

1. a) información que se puede relacionar con un usuario específico y/o que puede utilizarse para ponerse en contacto con este (tanto online como offline) como, entre otros, el nombre completo, dirección de correo postal o electrónico, número de teléfono, información de geolocalización (como su ubicación precisa), e información de la tarjeta de crédito.
2. b) información que no identifica el Titular y que no puede utilizarse para ponerse en contacto con el mismo, incluyendo datos como fecha de nacimiento, código postal, ubicación no precisa, así como información acerca del ordenador y del dispositivo móvil (como, por ejemplo, identificador del dispositivo, dirección IP u otros identificadores, así como hardware/software/firmware). Los datos no personales también incluyen los «datos de uso», que son datos anónimos relacionados con el ordenador y/o dispositivo como las acciones que el Titular realiza tanto dentro como fuera de las páginas web y/o aplicaciones, el navegador que utiliza, la identidad de otras aplicaciones en el dispositivo, la fecha y la hora del uso de las páginas web y/o aplicaciones.

 

3.3. La recolección de Datos Personales del Titular puede hacerse mediante la entrega directa y/o personal por cualquier medio de contacto físicos o electrónicos entre el Titular y el Responsable o su(s) eventual(es) Encargado(s). También puede recolectar Datos Personales de manera indirecta a través de fuentes de acceso público y de otras fuentes disponibles.

4. Finalidades

4.1. Los Datos Personales que KEEP NET SAS recolecta y trata son usados para una de las siguientes finalidades:

1. a) llevar a cabo las actividades y gestiones enfocadas al cumplimiento de las obligaciones originadas y derivadas de cualquier relación jurídica y/o comercial que se establece con el Titular, en desarrollo del objeto social y de la actividad comercial de KEEP NET SAS;
2. b) ejecutar las obligaciones originadas y derivadas de cualquier relación jurídica y/o comercial que se establece con sus clientes, proveedores, trabajadores, distribuidores o agentes;
3. c) informar sobre nuevos productos o servicios y/o sobre cambios en los mismos, evaluar la calidad de sus productos y/o servicios, realizar estudios internos sobre hábitos de consumo;
4. d) personalizar el contenido y las ofertas de los clientes y proporcionar anuncios que se ajusten mejor a los intereses y al perfil de los mismos;
5. e) proveer los servicios y/o los productos requeridos por sus clientes;
6. f) realizar estudios internos, compilar estadísticas, responder a preguntas de atención al cliente o realizar procesos de auditoría interna o externa;
7. g) enviar al correo físico, electrónico, celular o dispositivo móvil, vía mensajes de texto (SMS y/o MMS) o a través de cualquier otro medio análogo y/o digital de comunicación creado o por crearse, información comercial, publicitaria o promocional sobre los productos y/o servicios, eventos, promociones de tipo comercial o no de estas;
8. h) desarrollar el proceso de reclutamiento, selección, evaluación, y vinculación laboral;
9. i) suministrar, compartir, enviar o entregar Datos Personales a empresas filiales, vinculadas, subordinadas en Colombia o cualquier otro país en el evento que dichas compañías requieran la información para los fines aquí indicados;
10. j) ejecutar los derechos y cumplir con los deberes de los accionistas de KEEP NET SAS;

 

1. k) controlar y prevenir el fraude y el lavado de activos y proteger frente a las trampas, el crimen o para reforzar otro tipo de seguridad;
2. l) archivar y actualizar los sistemas de protección y custodia de información y Bases de Datos de KEEP NET SAS;
3. m) cumplir con las disposiciones constitucionales, legales y reglamentarias previstas en el ordenamiento jurídico colombiano y determinar la jurisdicción en la que se encuentra el Titular, para poder determinar qué leyes le afectan.
4. Tratamiento de categorías particulares de datos

5.1. El Tratamiento de Datos Sensibles está prohibido excepto en los casos expresamente señalados en la normativa aplicable. Cuando dicho Tratamiento sea posible conforme a lo establecido en la normativa aplicable, deberá cumplirse en el respecto de las siguientes obligaciones: a) Informar al Titular que por tratarse de Datos Sensibles no está obligado a autorizar su Tratamiento; b) Informar al Titular de forma explícita y previa, además de los requisitos generales de la Autorización para la recolección de cualquier tipo de Dato Personal, cuáles de los datos que serán objeto de Tratamiento son sensibles y la finalidad del Tratamiento, así como obtener su consentimiento expreso; c) Ninguna actividad podrá condicionarse a que el Titular suministre Datos Sensibles.

5.2. El Tratamiento de información de niños, niñas y adolescentes está prohibido salvo aquellos datos que sean de naturaleza pública y cuando dicho Tratamiento cumpla con los siguientes parámetros y requisitos: a) que responda y respete el interés superior de los niños, niñas y adolescentes; b) que se asegure el respeto de sus derechos fundamentales; y c) se recolectara los datos de los menores con el fin de afiliarlo a cajas de compensación y seguridad social en calidad de beneficiarios.

6. Cookies

6.1. Con referencia al uso de las páginas web y/o aplicaciones de titularidad de KEEP NET SAS, KEEP NET SAS podrá utilizar Cookies. En caso de que el Titular acepte el envío de dichos Datos Personales, KEEP NET SAS podrá enlazar la información de las Cookies a ellos. Las Cookies pueden ser desactivadas o el Titular puede configurar su navegador para que le avise cuando se envíen.

6.2. Asimismo, ciertos anunciantes pueden hacer uso de Cookies en sus espacios publicitarios dentro de las páginas web y/o aplicaciones de titularidad de KEEP NET SAS. Estas Cookies recopilarán información anónima sobre su comportamiento que dichos terceros podrán utilizar para mostrar anuncios dirigidos al Titular en particular tanto en los sitios web y aplicaciones de KEEP NET SAS como fuera de ellos.

7. Transferencia y Transmisiones de los Datos Personales y no personales que recopilamos

7.1. KEEP NET SAS podrá transferir, entregar, transmitir Datos Personales con el fin de cumplir con las finalidades de la Base de Datos correspondiente; no obstante, dicha información se regirá por esta Política.

7.2. KEEP NET SAS podrá subcontratar a terceros para el procesamiento de determinadas funciones o información. Cuando efectivamente se subcontrate con terceros el procesamiento de información personal o se proporcione información personal a terceros prestadores de servicios, KEEP NET SAS advierte a dichos terceros sobre la necesidad de proteger dicha información personal con medidas de seguridad apropiadas, se prohíbe el uso de la información para fines propios y se solicita que no se divulgue la información personal a otros.

7.3. Los receptores de los Datos Personales, están obligados a mantener la confidencialidad de los Datos Personales y a cumplir la Política y lo demás procedimientos e instrucciones de aplicación de la Política.

7.4. La Transmisión y Transferencia internacionales de Datos Personales se hará de conformidad con las leyes de protección de la información aplicables.

8. Duración del Tratamiento

8.1. KEEP NET SAS conservará la información del Titular durante el tiempo que necesite para las finalidades establecidas en esta Política, de acuerdo con las regulaciones y leyes aplicables.

9. Autorización del Titular

9.1. Sin perjuicio de las excepciones previstas en la ley, en el Tratamiento se requiere la Autorización previa, expresa e informada del Titular, la cual deberá ser obtenida por cualquier medio que pueda ser objeto de consulta y verificación posterior.

9.2. La Autorización del Titular no será necesaria en los casos establecidos de la normativa aplicable y, entre otros, Datos Públicos, información requerida por una entidad pública o administrativa en ejercicio de sus funciones legales o por orden judicial.

9.3. En el evento que los Datos Personales suministrados por el Titular pertenezcan a terceras personas, se entenderá que el Titular está facultado para otorgar dichos datos. El Titular es responsable frente a esos terceros por haber suministrado la información, siempre que el Titular mantenga indemne a KEEP NET SAS de cualquier reclamación.

 

9.4. Con la utilización de las páginas web de KEEP NET SAS, el Titular manifiesta que ha leído, entendido y acordado los términos de la presente Política, lo que constituye su consentimiento a los cambios y/o actualizaciones respecto al Tratamiento de sus Datos Personales.

10. Derechos del Titular

10.1. De conformidad con esta Política y la normativa aplicable, el Titular tiene derecho a:

1. a) Conocer, actualizar y rectificar sus Datos Personales.

Este derecho se podrá ejercer, entre otros, frente a datos parciales, inexactos, incompletos, fraccionados, que induzcan a error, o aquellos cuyo Tratamiento esté expresamente prohibido o no haya sido autorizado.

1. b) Solicitar prueba de la autorización otorgada para el Tratamiento, salvo cuando expresamente se exceptúe como requisito para el Tratamiento.
2. c) Ser informado por el Responsable o el eventual Encargado, previa solicitud, respecto del uso dado a sus Datos Personales.
3. d) Presentar ante la SIC quejas por infracciones a lo dispuesto en la presente Política y en la normativa aplicable. El Titular o las Personas Autorizadas solo podrán elevar quejas ante la SIC una vez haya agotado el trámite de consulta o reclamo establecido en los Artículos 11 y 12 de la presente Política.
4. e) Revocar la autorización y/o solicitar la supresión de los Datos Personales cuando en el Tratamiento no se respeten los principios, derechos y garantías constitucionales y legales, aplicando el procedimiento descrito en el sucesivo Artículo 12.

La solicitud de supresión y/o la revocatoria de la Autorización no procederán cuando el Titular tenga un deber legal o contractual de permanecer en la Base de Datos.

1. f) Acceder en forma gratuita a sus Datos Personales que hayan sido objeto de Tratamiento para el cual deberá enviar solicitud escrita al Responsable.

10.2. Los derechos del Titular podrán ejercerse por las siguientes personas:

1. a) Por el Titular, quien deberá acreditar su identidad en forma suficiente.
2. b) Por los Causahabientes del Titular, quienes deberán acreditar tal calidad.

 

1. c) Por el representante y/o apoderado del Titular, previa acreditación de la representación o apoderamiento.
2. d) Por estipulación a favor de otro o para otro.
3. e) En caso de niños, niñas y adolescentes, por las personas que están facultadas para representarlos.

10.3. Los Datos Personales del Titular podrán ser suministrados a las siguientes personas:

1. a) Al Titular, sus Causahabientes o sus representantes legales.
2. b) A las entidades públicas o administrativas en ejercicio de sus funciones legales o por orden judicial.
3. c) A los terceros autorizados por el Titular o por la Ley.

10.4. La veracidad, autenticidad, vigencia y exactitud de la información que proporcione el Titular o las Personas Autorizadas es responsabilidad del Titular y se compromete a notificar al Responsable cualquier cambio que sufra esa información.

11. Procedimiento de consulta de los Titulares

11.1. El Titular o las Personas Autorizadas, podrán consultar los Datos Personales del Titular mediante comunicación escrita que contenga como mínimo la siguiente información:

 

1. a) Nombre del Titular y copia de los documentos que lo acrediten como tal.
2. b) Datos de contacto del Titular (teléfono, email, domicilio).
3. c) Descripción clara y precisa de los Datos Personales respecto de los que requiere la consulta.
4. d) Descripción clara y precisa de la solicitud de consulta.
5. e) En el caso en que el procedimiento de consulta sea requerido da una Persona Autorizada, la comunicación también tendrá que contener el nombre de la Persona Autorizada y copia de los documentos que lo acrediten como tal.

 

 

 

 

11.2. Dichos documentos deberán ser radicados:

En físico a la siguiente dirección:

 

KEEP NET SAS. – NIT 901.635.629-6

Dirección: Cl. 3A # 3 NORTE-25, Br. Madrigal, Yumbo, Valle del Cauca

Correo electrónico: atvyumbo1@hotmail.com

Teléfono +57 (312) 655-8206

Sitio web: https://www.keepnetsas.com

De lunes a viernes en horario 8:00 AM – 1:00 PM y 2:00 PM a 5:00 PM.

• En el correo electrónico dirigido a la dirección info@keepnetsas.com con el asunto “Solicitud de consulta Datos Personales”.

11.3. KEEP NET SAS responderá la solicitud del Titular en un plazo máximo de diez (10) días hábiles contados a partir desde la fecha de recibo de la misma. Cuando no fuere posible atender la consulta dentro de dicho término, se informará al interesado, expresando los motivos de la demora y la fecha en que se atenderá su consulta, la cual en ningún caso podrá superar los cinco (5) días hábiles siguientes al vencimiento del primer término. En todos los casos, la respuesta se dará por la misma vía por la que haya presentado la solicitud o en su caso por cualquier otro medio acordado con el Titular o las Personas Autorizadas.

11.4. El Titular tendrá el derecho de consultar de forma gratuita sus Datos Personales: (i) al menos una vez cada mes calendario, y (ii) cada vez que existan modificaciones sustanciales de la Política que motiven nuevas consultas. Para consultas cuya periodicidad sea mayor a una por cada mese calendario, el Responsable podrá cobrar al Titular los gastos de envío, reproducción y, en su caso, certificación de documentos. En todo caso, los costos de reproducción no podrán ser mayores a los costos de recuperación del material correspondiente.

12. Procedimiento de reclamo de los Titulares

12.1. El Titular o las Personas Autorizadas, que consideren que la información contenida en los Datos Personales del Titular debe ser objeto de corrección, actualización o supresión, o advierten el presunto incumplimiento de cualquiera de los deberes contenidos en la normativa aplicable, podrán presentar reclamo mediante comunicación escrita que contenga como mínimo la siguiente información:

1. a) Nombre del Titular y copia de los documentos que lo acrediten como tal.
2. b) Datos de contacto del Titular (teléfono, email, domicilio).
3. c) Descripción clara y precisa de los Datos Personales respecto de los que busca ejercer alguno de los derechos.
4. d) Descripción clara y precisa de su reclamo, de los hechos que dan lugar al reclamo y los documentos que se quiera hacer valer.
5. e) Cualquier otro elemento o documento que facilite la localización de los Datos Personales del Titular.
6. f) En el caso de las solicitudes de corrección y/o actualización de Datos Personales del Titular, también indicar las modificaciones a realizarse y aportar la documentación que sustente su petición.
7. g) En el caso en que el procedimiento de reclamo sea requerido da una Persona Autorizada, la comunicación también tendrá que contener el nombre de la Persona Autorizada y copia de los documentos que lo acrediten como tal.

12.2. Dichos documentos deberán ser radicados:

• En físico a la siguiente dirección:

KEEP NET SAS. – NIT 901.635.629-6

Dirección: Cl. 3A # 3 NORTE-25, Br. Madrigal, Yumbo, Valle del Cauca

Correo electrónico: atvyumbo1@hotmail.com

Teléfono +57 (312) 655-8206

Sitio web: https://www.keepnetsas.com

De lunes a viernes en horario 8:00 AM – 1:00 PM y 2:00 PM a 5:00 PM.

En el correo electrónico dirigido a la dirección info@keepnetsas.com con el asunto “Reclamo Datos Personales”.

12.3. Si la información del reclamo es errónea y/o insuficiente y/o incompleta, KEEP NET SAS solicitará, dentro de los cinco (5) días hábiles siguientes a la recepción del reclamo, que aporte las informaciones y/o los elementos y/o los documentos necesarios para dar trámite al mismo. Trascurrido dos (2) meses contados a partir de la fecha del requerimiento, sin que el solicitante presente las informaciones y/o los elementos y/o los documentos requeridos, se tendrá por desistido el reclamo.

12.4. Una vez recibido el reclamo completo y en un término no mayor a dos (2) días hábiles, se incluirá en la Base de Datos una leyenda que diga «reclamo en trámite» y el motivo del mismo. Dicha leyenda deberá mantenerse hasta que el reclamo sea decidido.

12.5. En todo caso, KEEP NET SAS atenderá el reclamo del Titular en un plazo máximo de quince (15) días hábiles contados a partir del día siguiente a la fecha de su recibo. Cuando no fuere posible atender el reclamo dentro de dicho término, se informará al interesado, los motivos de la demora y la fecha en que se atenderá su reclamo, la cual en ningún caso podrá superar los ocho (8) días hábiles siguientes al vencimiento del primer término. La respuesta se dará por la misma vía por la que haya presentado la solicitud o en su caso por cualquier otro medio acordado con el Titular o las Personas Autorizadas.

12.6. En caso de que quien reciba el reclamo no sea competente para resolverlo, dará traslado a quien corresponda en un término máximo de dos (2) días hábiles e informará de la situación el interesado.

13. Cambios a la Política

13.1. KEEP NET SAS se reserva el derecho de modificar y/o actualizar, total o parcialmente, sin previo aviso, la Política a efecto de incluir novedades legislativas, políticas internas, avances tecnológicos o prácticas de mercado.

13.2. La Política y sus correspondientes modificaciones se publicarán en la sección de “Privacidad” de nuestras Páginas Web.

13.3. Es obligación del Titular revisar el contenido de la Política, antes de enviar cualquier dato considerado como Datos Personales.

14. Medidas de seguridad

14.1. Para garantizar al Titular en todo momento la salvaguarda de su confidencialidad, los Datos Personales y los Datos Sensibles recolectados serán protegidos por medidas de seguridad adecuadas a fin de minimizar los riesgos de daño, destrucción o pérdida – incluso accidental – alteración, destrucción, uso, acceso o tratamiento ilícito, no autorizado o fraudulento o que no se ajuste a las finalidades de recopilación de datos indicadas en la Política, de conformidad con lo dispuesto en la legislación aplicable, en la Política y lo demás procedimientos e instrucciones de aplicación de la Política.

14.2. No obstante lo anterior, KEEP NET SAS no será responsable por ataques informáticos y en general cualquier acción que tenga como objetivo infringir las medidas de seguridad establecidas para la protección de los Datos Personales e información diferente a estos contenida en sus equipos informáticos o en aquellos contratados con terceros.

15. Ley aplicable

15.1. Todo lo concerniente a la entrega, recepción, manejo y protección de Datos Personales, entre el Titular y KEEP NET SAS, se rige por la legislación colombiana vigente en materia de protección de Datos Personales.

16. Vigencia

16.1. Esta Política entró en vigencia el mes de marzo de 2023

 

(Descargue el Manual)

MANUAL DE POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN

OBJETIVO

Establecer las medidas organizacionales, técnicas, físicas y legales, necesarias para proteger los activos de información contra acceso no autorizado, divulgación, duplicación, interrupción de sistemas, modificación, destrucción, pérdida, robo, o mal uso, que se pueda producir en forma intencional o accidental, asegurando el cumplimiento de los principios de confidencialidad, integridad, disponibilidad, legalidad, confiabilidad y no repudio de la información

ALCANCE

Este MANUAL DE POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN, es aplicable a todos los colaboradores, consultores, contratistas, terceras partes, que usen activos de información que sean propiedad de la organización.

Las políticas de seguridad descritas en este manual, se encuentran enfocadas al cumplimiento de la normatividad legal colombiana vigente y a las buenas prácticas de seguridad de la información, basadas en la norma ISO 27001:2013.

LÍNEA BASE DE LA POLÍTICA

RESPONSABILIDAD

Es responsabilidad de la organización hacer uso de la MANUAL DE POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN, como parte de sus herramientas de gobierno y de gestión, de definir los estándares, procedimientos y lineamientos que garanticen su cumplimiento.

 

CUMPLIMIENTO

El cumplimiento de la MANUAL DE POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN es obligatorio. Si los colaboradores, consultores, contratistas, terceras partes violan estas políticas, la organización se reserva el derecho de tomar las medidas correspondientes.

EXCEPCIONES

Las excepciones a cualquier cumplimiento de MANUAL DE POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN deben ser aprobadas por la dirección de la organización. Todas las excepciones a la Política deben ser formalmente documentadas, registradas y revisadas.

ADMINISTRACIÓN DE LAS POLÍTICAS

Las modificaciones o adiciones al MANUAL DE POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN serán propuestas por el encargado de hacer cumplir las políticas presentes previa autorización de la gerencia de la organización.  Estas políticas deben ser revisadas como mínimo una vez al año o cuando sea necesario.

POLÍTICA CONTROL DE ACCESO

Propósito:

Definir los lineamientos relativos al control de acceso lógico de los usuarios de la KEEP NET SAS

 Alcance:

 Esta política aplica a todos los funcionarios, asesores, personal de contratistas, empleados temporales y terceros que tienen acceso a los servicios de red, aplicaciones y sistemas de información de KEEP NET SAS

Generalidades:

 

En esta política sesta basada en NORMA ISO/IEC 27001:2013 ANEXO A 9.1.1 y definen las condiciones sobre las cuales los funcionarios, contratistas o terceros tienen acceso a la red, sistemas operativos y aplicativos de KEEP NET SAS

ACCESO A LA RED

 

• Son usuarios de red de la organización todos los funcionarios, contratistas y terceros que se encuentren en KEEP NET SAS
• El acceso a la red por parte de terceros debe estar estrictamente restringido y permisible únicamente con previa autorización del profesional responsable de KEEP NET SAS
• La gestión de contraseñas para el acceso a la red se realiza por medio de autorización de KEEP NET SAS

ACCESO A LAS APLICACIONES

• La persona encargada de KEEP NET SAS es quien debe realizar la solicitud de creación o asignación del usuario de las aplicaciones que requiera el funcionario o contrati

• El responsable del Proceso de Gestión de Sistemas de Información será el encargado de la creación, modificación y desactivación de cuentas de los usuarios de acuerdo a lo establecido en el Procedimiento aplicable.

• La asignación y gestión de cambios de claves y/o contraseñas de cuenta, se encuentra a cargo del responsable del Proceso de Gestión de Sistemas de Información.

INGRESO A LA RED CORPORATIVA

La gestión de los usuarios para el ingreso a la red corporativa de la organización se realiza a través de contraseña segura de red.

El ingreso a la red corporativa se encuentra protegido, mediante el inicio seguro de sesión; los funcionarios tendrán acceso a la red corporativa en función de la operación, así mismo es responsabilidad de los funcionarios de la KEEP NET SAS que se cumpla y se asegure formalmente el acceso a los sistemas.

 GESTIÓN DE CONTRASEÑAS

Con el fin de evitar el acceso no autorizado a los sistemas informáticos de KEEP NET SAS, las contraseñas utilizadas deben cumplir con las siguientes condiciones:

• Longitud de Contraseñas. La longitud de las contraseñas de ingreso a equipos de cómputo debe ser mínimo de ocho caracteres, para dispositivos móviles (Teléfonos inteligentes y portátiles) se debe contar con una contraseña de cuatro núme
• Uso de Combinaciones. Las contraseñas utilizadas por los usuarios de la red corporativa de KEEP NET SAS deben cumplir con las siguientes condiciones:
  • Contar con al menos 8 caracte
  • Contener caracteres Alfabéticos (a-z, A-Z)
  • Numéricos (0-9)
  • Caracteres especiales (!@#$%^&*()_+|~- =\`{}[]:”;'<>?,./) (Opcional)

RESTRICCIONES DE USO DE CONTRASEÑAS

Las contraseñas utilizadas para el acceso a los equipos de cómputo y sistemas informáticos de KEEP NET SAS no deben utilizar cadena de caracteres duplicados, nombre de usuario del equipo, fechas de nacimiento o cualquier otro dato personal, conjuntos de letras o caracteres de fácil identificación (abcd1234).

PRIVACIDAD DE LAS CONTRASEÑAS

 La contraseña de acceso a los equipos de cómputo y sistemas informáticos de KEEP NET SAS de cada usuario, es personal e intransferible, por tanto, cada usuario se compromete a no revelar, prestar, transferir y difundir sus claves de acceso.

PERIODICIDAD DE LAS CONTRASEÑAS

Las contraseñas de acceso a los equipos de cómputo y sistemas informáticos de KEEP NET SAS, deben ser cambiadas cada 90 días por el usuario.

No podrá coincidir con ninguna de las 5 contraseñas anteriormente definidas por el usuario.

REVISIÓN Y RETIRO DE LOS DERECHOS DE ACCESO A USUARIOS

• Los derechos de acceso a usuarios se revisan periódicamente, si se presentan cambios en los roles y/o funciones de los empleados, estos deben ser modificados por parte del responsable del Proceso de Gestión de Sistemas de Información.
• La eliminación, bloqueo o retiro de acceso a usuarios en el caso de funcionarios: en vacaciones, licencias o terminación de contrato laboral, se realiza de acuerdo a lo establecido en Procedimiento aplicable,

POLÍTICA DISPOSITIVOS MÓVILES

Propósito:

Establecer las normas sobre el uso de los dispositivos móviles (computadores portátiles y teléfonos inteligentes) propiedad de KEEP NET SAS, velando por su uso adecuado, responsable y sus mejores prácticas.

Alcance:

Esta política aplica para todos los funcionarios y/o contratistas de KEEP NET SAS que tengan asignado dispositivos móviles (computadores portátiles y teléfonos inteligentes) pertenecientes a la entidad para el desarrollo de las actividades propias de su función.

Generalidades

KEEP NET SAS basado en NORMA ISO/IEC 27001:2013 ANEXO A 6.2.1 proporciona las condiciones para el manejo de los dispositivos móviles (computadores portátiles y teléfonos inteligentes) tanto corporativos como personales los cuales hacen uso de los servicios de la organización. Así mismo, velará porque los funcionarios hagan un uso responsable de los servicios y equipos proporcionados por la entidad.

La asignación de los dispositivos móviles a los funcionarios y/o contratistas se realiza según el Procedimiento aplicable.

USO DE CONTRASEÑAS

• Todos los dispositivos móviles pertenecientes a KEEP NET SAS que se encuentren asignados a algún funcionario y/o contratista, debe contar con una contraseña o clave (password) que impida el acceso directo a la información que este contien
• Las contraseñas utilizadas para el acceso a los dispositivos móviles no basarse en lo consignado en la POLÍTICA CONTROL DE ACCESO en el apartado GESTIÓN DE CONTRASEÑAS.

PROTECCIÓN FÍSICA

• Todos los dispositivos móviles de KEEP NET SAS deben estar registrados e inventariado
• Los dispositivos móviles asignados a funcionarios y/o contratistas de KEEP NET SAS son personales e intransferibl
• Los usuarios de equipos portátiles que pertenezcan a KEEP NET SAS deben mantener una seguridad física dentro de las instalaciones de la entidad, por medio del uso de guayas de seguridad o similares.
• En caso de pérdida o robo del equipo, el funcionario deberá informar inmediatamente a quien haga las veces de responsable de seguridad informática quien tomará las medidas de seguridad necesari
• Los equipos asignados en particular aquellos que almacenen información sensible no deben ser entregados a tercero

INSTALACIÓN Y CONFIGURACIÓN DE APLICACIONES

 * Está prohibida la instalación de aplicaciones en los dispositivos móviles que pertenezcan a

• El proceso de instalación y configuración de las aplicaciones en los dispositivos móviles, solo puede ser realizado por los profesionales designados por KEEP NET SAS previa evaluación y pertinencia de la misma.
• El aseguramiento de la administración de los dispositivos móviles, pertenecientes a KEEP NET SAS será administrado por el profesional designado por la dirección de la organización

SEGURIDAD DEL SISTEMA OPERATIVO

• Para garantizar la disponibilidad, confidencialidad e integridad de la información contenida en los dispositivos móviles, el profesional designado por KEEP NET SAS será quien otorgará los respectivos permisos.

SINCRONIZACIÓN DE CORREO ELECTRÓNICO EN DISPOSITIVOS MÓVILES

• Está prohibido sincronizar la cuenta de correo electrónico corporativo en el equipo móvil de uso personal, excepto con autorización expresa del Coordinador o Jefe del área, en dado caso de tener el permiso correspondiente se debe firmar un documento donde se establecen las políticas sobre el uso del mis

REGISTRO DE INGRESO Y SALIDA DE EQUIPO DE CÓMPUTO

• Los equipos de cómputo que ingresen o salgan de las instalaciones de KEEP NET SAS por parte de personal externo deben ser registrados en la planilla de ingreso y salida de visitan

NORMAS DIRIGIDAS A TODOS LOS USUARIOS

• No dejar desatendidos los equipo
• No llamar la atención acerca de portar un equipo valioso.
• No colocar identificaciones de la Organización en el dispositivo, salvo los estrictamente necesari
• No colocar datos de contacto técnico en el dispositiv
• Los usuarios deben evitar usar los dispositivos móviles institucionales en lugares que no les ofrezcan las garantías de seguridad física necesarias para evitar pérdida o robo de estos.
• Los usuarios no deben almacenar videos, fotografías o información personal en los dispositivos móviles asignado

USO DE DISPOSITIVOS MOVILES

                Para los dispositivos móviles (teléfono celular, tabletas, iPad, discos duros extraíbles, dispositivos de almacenamiento masivo USB, etc.) asignados por KEEP NET SAS de ser posible deberán estar debidamente cifrados por la herramienta suministrada por la entidad o fabricante, de no ser posible deberán estar habilitados los controles de aseguramiento y criptografía suministrados por el fabricante del dispositivo.

POLÍTICA DE COPIAS DE SEGURIDAD

Propósito:

Establecer las directrices para la ejecución y restauración de las copias de seguridad de la información que se encuentra en los servidores de archivos de KEEP NET SAS

Alcance:

La política aplica para el respaldo de la información que se encuentra en los servidores de archivos, la cual es ingresada o modificada por todos los funcionarios, contratistas y terceros de KEEP NET SAS

Generalidades

Con el fin de mantener la integridad y disponibilidad de la información, esta política se basa en NORMA ISO/IEC 27001:2013 ANEXO A 12.3.1 donde las copias de respaldo se ponen a prueba mediante la restauración aleatoria de algún archivo al que se le haya realizado la copia de respaldo. Si la restauración del backup es exitosa, se debe documentar en la bitácora de respaldo.

KEEP NET SAS ha establecido los siguientes lineamientos generales para el resguardo de la información de la entidad:

COPIAS DE SEGURIDAD SISTEMA DE ALMACENAMIENTO, BASE DE DATOS Y SISTEMAS OPERATIVOS

• Realiza y verifica que las copias de seguridad se actualicen con la periodicidad y los requerimientos definidos.
• Para toda la información que se encuentra en el sistema de almacenamiento, se realiza una copia de respaldo o backup de acuerdo a lo establecido en el Procedimiento.
• Para las copias de seguridad KEEP NET SAS por el momento se realizan de manera manual, donde los funcionarios son responsables de realizar y actualizar los respaldos de la información que tiene en el equipo asignado mínimo cada 30 días

RESTAURACIÓN DE LAS COPIAS DE RESPALDO

• El funcionario y/o contratista de KEEP NET SAS que requiera de un archivo a restaurar, deberá realizar la solicitud directamente al personal designado por la organización para que este contacte a la persona de soporte técnico encargada de realizar esta función.
• La restauración de las Bases de Datos y Sistemas Operativos, solo lo debe realizar el personal designado por la organización para que este contacte a la persona de soporte técnico encargada de realizar esta función.

COPIAS DE SEGURIDAD CORREO ELECTRÓNICO

• Las copias de seguridad de correo electrónico corporativo de KEEP NET SAS, se realiza cuando el funcionario y/o contratista finaliza la relación contractual con la entida
• La ejecución de la copia de seguridad se realiza cuando la dirección de la organización autorice al personal designado para que este contacte a la persona de soporte técnico encargada de realizar esta función
• Para el respaldo de los archivos (Documentos de cada usuario y archivos PST del correo electrónico) de los funcionarios, se crea un archivo con el nombre del usuario.

(Descargue el Guía)

1.      Introducción

Como complemento y en atención a lo dispuesto en el artículo 3° Política de Seguridad y Privacidad de la Información de la Resolución 419 de 2023, a través de la cual la alta dirección adquiere el compromiso de implementar, mantener y mejorar el Sistema de Gestión Sistema de Gestión de Seguridad y Privacidad de la información – SGSI alineado a Modelo de Seguridad y Privacidad de la información – MSPI del MinTIC, en la presente Guía se definen los lineamientos y fases para la gestión de incidentes de seguridad de la información en KEEP NET SAS y está dirigida a los colaboradores, contratistas, proveedores de servicios y bienes de la misma.

2.      Objetivo

Establecer los lineamientos para gestionar la identificación, detección, análisis y tratamiento ante la ocurrencia de un incidente de seguridad de manera que se minimice al máximo los posibles impactos adversos que puedan afectar los activos de información de KEEP NET SAS

3.      Alcance

Desde la etapa de planificación y preparación ante la ocurrencia de un incidente de seguridad de la información hasta la definición de los lineamentos para desarrollar las actividades Post-incidentes.

4.      Roles y perfiles necesarios para la atención de incidentes

A continuación, se describen los Roles y perfiles que pueden intervenir ante la ocurrencia de un incidente de seguridad:

• Usuario sensibilizado: colaboradores, contratistas o terceros con acceso a la infraestructura de la entidad, con los que se pueden identificar eventos adversos sobre los activos de información, quienes es importante que se encuentre constantemente sensibilizados de la responsabilidad de reportar cualquier situación anormal que pueda llegar a materializarse en un incidente de seguridad de la información.

• Administrador de sistema: Profesionales encargados de la configuración, administración de la infraestructura tecnológica de la entidad, quienes deben estar sensibilizados en la identificación, clasificación y escalamiento de los incidentes de seguridad.

• Administrador de sistema de seguridad: Profesionales expertos encargados de la configuración, administración de la infraestructura de seguridad perimetral de la entidad, quienes deben estar sensibilizados y capacitados para identificar, analizar, contener y erradicar un incidente de seguridad.

• Líder Grupo de atención de incidentes: Profesional de Seguridad de la Información encargado de revisar y evaluar la gestión de incidentes que se presenten en la entidad en atención a la metodología definida.

5.      Definiciones

• Incidente de seguridad de la información: Evento o serie de eventos de seguridad de la información no deseados o inesperados, que tienen la probabilidad significativa de comprometer las operaciones del negocio y amenazar la seguridad de la información. (GTC-ISO/IEC 27035:2015).

• Equipo de respuesta a incidentes de seguridad: Conformado por miembros confiables de la organización, que cuentan con las habilidades y competencias para tratar los incidentes de seguridad durante el ciclo de vida de éstos. (GTC-ISO/IEC 27035:2015).

• Evento de seguridad de la información: Presencia identificada de una condición de un sistema, servicio o red, que indica una posible violación de la política de seguridad de la información o la falla de las salvaguardas, o una situación desconocida previamente que puede ser pertinente a la seguridad. (GTC-ISO/IEC 27035:2015).

6.      Metodología para la gestión de incidentes de seguridad

El modelo de operación de gestión de incidentes “Guía para la Gestión y Clasificación de Incidentes de Seguridad de la Información” del MinTIC, plantea una serie de etapas para dar cumplimiento con el ciclo de vida de la gestión y respuesta a un incidente de seguridad, así:

Gráfico No. 1 Ciclo de gestión de Incidentes

Fuente: Guía para la Gestión y Clasificación de Incidentes de Seguridad de la Información/MSPI/MinTIC

6.1   Preparación

Esta etapa consiste en crear un esquema a seguir que permita responder de forma adecuada ante una determinada situación, de manera que se pueda detectar y evaluar las posibles vulnerabilidades. En esta etapa es importante que el equipo de respuesta a incidentes identifique los recursos y herramientas disponibles para la atención de los incidentes de seguridad incluyendo las mejores prácticas conocidas para el aseguramiento de los sistemas de información e infraestructura que los soporta. Consiste en eliminar con anterioridad las posibles causas que pueden originar el incidente, en esta etapa se incluye tanto la prevención de los ataques como la preparación para responder a cada uno.

La preparación incluye la aplicación de parches de seguridad, configuración y aseguramiento de las plataformas con el principio de menores privilegio en los servicios prestados, mantener habilitados logs de auditoria en los servidores, entre otros.

Por otra parte, es preciso mantener una gestión constante en la infraestructura de redes y comunicaciones basados en configuración de reglas de seguridad en los equipos y sincronización de estos. La infraestructura debe contar con un antivirus activo y actualizado.

Todos los administradores de plataformas de seguridad e infraestructura deben estar sensibilizados y familiarizados con las políticas y procedimientos relacionados con el uso de redes, sistemas y aplicaciones incorporando estándares de seguridad, lo anterior, permite prevenir la ocurrencia de incidentes de seguridad de la información y la posible materialización de riesgos que afecten la infraestructura de la entidad, así como la integridad, disponibilidad y confidencialidad de la información.

Para minimizar la repercusión de los incidentes es conveniente:

• Establecer claramente y poner en práctica todas las directivas y procedimientos.
• Establecer programas de formación sobre la seguridad de la información, tanto para el personal de tecnología como para los usuarios finale
• Monitoreo de red, registros y eventos del sistem
• Gestión de parches de seguridad (Sistemas operativos, bases de datos, software).
• Aseguramiento de plataforma (configuraciones por defecto, hardening).
• Prevención de código malici
• Sensibilización y entrenamiento de usuarios.

Es importante tener en cuenta lo descrito en el Manual de Políticas de Seguridad de la Información y las Políticas de Datos Personales y Privacidad con los que cuenta KEEP NET SAS

6.2   Comunicación

A continuación, se relacionan elementos importantes para la comunicación del equipo de atención de incidentes.

·         Información de Contacto:

Se pueden contactar a la(s) persona(s) de Seguridad de la Información a través del correo info@keepnetsas.com, formulario de reporte de incidentes dentro de la página web www.keepnetsas.com y al teléfono (WhatsApp) (312) 655-8206.

• Información de Escalamiento:

Para el escalamiento de incidentes se debe realizar a través de la persona encargada de seguridad de la información o de Infraestructura o de mesa de servicios de acuerdo con los procedimientos de Soporte Técnico y Gestión de Incidentes de Seguridad de la información con el fin de canalizar los incidentes de seguridad de la información a través de la página web.

De requerirse acciones disciplinarias se escalará a través de Talento Humano y el Control Disciplinario Interno.

Política de Comunicación: La a través de la página web htts://www.keepnetsas.com y de los canales habilitados de comunicación informará de ser pertinente información relacionada con los incidentes que se puedan presentar en la entidad como medida de prevención.

Es importante contar con la información actualizada de contacto de proveedores de servicios, soporte especializado, encargados de la infraestructura, administradores de redes y seguridad con el fin de garantizar el

contacto oportuno ante la generación de un evento de seguridad de la información. Ante una vulneración o compromiso de elementos de la infraestructura tecnológica, aplicaciones o sistemas de la entidad deberá reportarse el hecho a ColCERT- Grupo de Respuesta a Emergencias Cibernéticas de Colombia.

Contacto con áreas interesadas o grupos de interés como primer canal de atención:

• https://cc-csirt.policia.gov.co/
• http://www.colcert.gov.co/

6.3   Hardware y Software

De acuerdo con lo descrito en la “Guía para la Gestión y Clasificación de Incidentes de Seguridad de la Información” del MinTIC, para una adecuada gestión de los incidentes de seguridad es importante tener en cuenta elementos como analizadores de protocolos, software de recolección de evidencias, kit de respuesta a incidentes, medios de almacenamiento, entre otros. También se puede apoyar en los proveedores de productos de ciberseguridad para la entidad.

6.4   Recursos para el análisis de incidentes

De igual forma para realizar un correcto análisis de los incidentes la “Guía para la Gestión y Clasificación de Incidentes de Seguridad de la Información” del MinTIC, recomienda contar con:

• Listado de los puertos conocidos y de los puertos utilizados para realizar un ataqu Ver listado de puertos conocidos.
• Diagrama de red para tener la ubicación rápida de los recursos existentes.
• Base de Información de: Servidores (Nombre, IP, Aplicaciones, Parches, Usuarios Configurados, responsable de cambios). Esta información siempre debe estar actualizada para poder conocer el funcionamiento normal del mismo y realizar una identificación más acertada de un incidente.
• Análisis del comportamiento de red estándar en este es recomendable incluir: puertos utilizados por los protocolos de red, horarios de utilización, direcciones IP con que generan un mayor tráfico, direcciones IP que reciben mayor número de peticione

Como la anterior información está catalogada como reservada en la entidad, se encontrará disponible a solicitud, por los equipos de trabajo y podrá ser consultada por el personal técnico autorizado de presentarse la necesidad de análisis de incidentes de seguridad.

Los miembros del equipo de respuesta a incidentes deben tener definidas claramente sus tareas para asegurar que no quede ningún área sin cubrir. Como se indicó en el apartado 6.1.1 Comunicación Información de contacto, es importante poder contactar al equipo de seguridad de KEEP NET SAS y de proveedores relacionados con el incidente.

Los actores que intervienen en la atención de un incidente de seguridad son:

• Equipo de Infraestructura y Red

• Equipo de Sistemas de Información y Bases de Dato

• Responsable Seguridad de la Información.

• Encargado por KEEP NET SAS

• Usuarios internos que se requieran (Contratistas, colaboradores y visitantes).

El equipo realizará las siguientes actividades:

• Supervisar los sistemas en busca de vulnerabilidades de seguridad.

• Servir como punto central de comunicación, tanto para recibir los informes de incidentes de seguridad como para difundir información esencial sobre los incidentes a las entidades correspondiente

• Documentar y catalogar los incidentes de seguridad.

• Aumentar el nivel de conciencia y sensibilización con respecto a la seguridad dentro de KEEP NET SAS

• Posibilitar la auditoria de sistemas y redes mediante procesos como la evaluación de vulnerabilidades y pruebas de penetración.

• Obtener más información sobre las nuevas vulnerabilidades y estrategias de ataque empleadas por los atacantes.
• Investigar acerca de nuevas revisiones de software.

• Analizar y desarrollar nuevas   tecnologías para minimizar los riesgos y vulnerabilidades de seguridad.

• Perfeccionar y actualizar continuamente los sistemas y procedimientos actuales.

6.5   Recursos para la mitigación y remediación

Como elementos básicos para la contención de un incidente de seguridad es importante contar con copias y respaldo de la información, imagen de los servidores y cualquier otro elemento identificado como relevante que permita el restablecimiento de la operación y funcionamiento de un sistema o plataforma.

KEEP NET SAS los respaldos de información de los activos críticos se realizan y se almacenan en un lugar seguro, los cuales son consultados y utilizados por el personal técnico autorizado.

6.6   Detección y Análisis

En esta etapa es importante identificar las características de un ataque, verificar lo que realmente ha sucedido y en el caso afirmativo, determinar su tipo y magnitud. No es fácil en todos los casos determinar con precisión si se ha producido o no un incidente de seguridad de la información y si es así, identificar su tipo y evaluar su peligrosidad.

La correcta detección de un incidente de seguridad se realiza mediante diferentes fuentes: Antivirus, reportes de usuarios, monitoreo de la infraestructura tecnológica, logs y Alertas en los equipos de Seguridad Perimetral (Firewall) entre otros.

En el Instituto Distrital de Gestión de Riesgos y Cambio climático – IDIGER, la infraestructura se monitorea a diario por parte del equipo de Infraestructura el cual permite alertar ante la ocurrencia de incidentes o fallos en la plataforma tecnológica.

6.7   Identificación de la gravedad del incidente

Para poder recuperarse de forma eficaz de un ataque, se debe determinar la gravedad de la situación de peligro que han sufrido los sistemas.

Debemos determinar:

• La naturaleza del ataq
• El punto de orige
• La intención del ataque estaba dirigido específicamente a la entidad para conseguir información concreta o se trata de un ataque aleatori
• Accesos no autorizados
• Infraestructura afectada

6.8   Reporte de eventos e incidentes de seguridad de la información

La recepción de incidentes de seguridad a partir del personal de KEEP NET SAS o de entes externos se realiza a través del correo info@keepnetsas.com, formulario de reporte de incidentes dentro de la página web www.keepnetsas.com y al teléfono (WhatsApp) (312) 655-8206.Todo incidente se debe registrar y documentar su solución.

6.9   Análisis y evaluación del incidente

Para realizar el análisis de un incidente es importante tener conocimiento de las lecturas normales y comportamiento de la red, los sistemas y elementos de la infraestructura.

Es importante contar con logs de los sistemas de información, aplicaciones, servidores de manera que pueda llegar a realizarse una correlación de eventos para identificar posibles patrones o comportamientos anormales que permitan determinar la causa de un incidente.

Es preciso contar con una única fuente de tiempo, es decir que todos los equipos estén sincronizados con sus relojes para facilitar el análisis y correlación de eventos.

6.10          Clasificación de incidentes de seguridad

A continuación, se identifican algunos incidentes que pueden ocasionar situación de seguridad:

Tabla 1. Incidentes de Seguridad

 

CLASIFICACION DE INCIDENTES DE SEGURIDAD
Clase de Incidente	Descripción	Tipo de ataque
Código malicioso (Malware)	Los códigos maliciosos identifican un programa o parte de éste insertado en otro programa, con la intención de modificar su comportamiento original.	Virus, gusanos, troyanos, spyware, rootkit, ransomware (secuestro informático), códigos móviles y combinaciones de estos.
Robo de información	Ataques dirigidos a recabar información fundamental que permita avanzar en ataques más sofisticados, a través de ingeniería social o de identificación de vulnerabilidades.	Robo de información digital (Carpetas, bases de datos).
		Identificación de vulnerabilidades.
		(Scanning).
		Sniffing.
		Ingeniería social.
		Phishing.
Abuso/uso inadecuado de	Este tipo de incidentes ocurre cuando un usuario viola las políticas de seguridad del	Descargar e   instalar   herramientas   para piratería informática.
sistemas de información	sistema de información de la organización. Ataques dirigidos a dañar la imagen de la organización o a utilizar sus medios electrónicos para otros usos ilícitos.	Usar el correo corporativo para correo basura o para la promoción de negocios personales.
		Usar recursos corporativos para crear un sitio web no autorizado.
		Usar actividades entre colegas para adquirir o distribuir archivos piratas (música, video, software).
Borrado (compromiso) de información	Incidentes relacionados con el acceso y fuga (Confidencialidad), modificación o borrado (Integridad) de información no pública.	Acceso no autorizado a información.
		Modificación y borrado no autorizada de información.
		Publicación no autorizada de información.
Acceso no autorizado	Intentos reales no autorizados, para acceder o utilizar incorrectamente un sistema, servicio o red por parte de una persona, sistema o código malicioso.	Intentos    por    recuperar     archivos    de contraseñas.
		Ataques por desbordamiento de búfer para obtener acceso privilegiado a un objetivo.
		Aprovechamiento de las vulnerabilidades del protocolo para secuestrar o dirigir equivocadamente las conexiones de red legitimas.
		Intentos de elevar privilegios a recursos o información más allá de los que un usuario o administrador ya posee legítimamente.
		Violaciones a las medidas de seguridad física.
Denegación de servicio (DoS) y la denegación del servicio distribuido (DDoS) (Disponibilidad)	Permiten que un sistema, servicio o red dejen de operar a su capacidad prevista consumiendo sus recursos (Memoria RAM, CPU, Capacidad de almacenamiento y recursos de red). Estos tipos de ataques por lo general se realizan con frecuencia por medio de botnets, un grupo de robots de software (códigos maliciosos) que funcionan en forma autónoma y automática. Los botnets pueden comunicarse con centenares o millones de computadores afectados.	Robo, daño intencionado y destrucción de equipos.
		Daño accidental al hardware por incendio o daño por agua/inundación.
		Cambios en las condiciones ambientales por ejemplo las altas temperaturas.
		Sobrecarga y mal funcionamiento de los sistemas de información, software y hardware.
intrusiones	Ataques dirigidos a la explotación de vulnerabilidades de diseño, de operación o de configuración de diferentes tecnologías, al objeto de introducirse de forma fraudulenta en los sistemas de información y sitios web de la entidad.	Defacement (desfiguración).
		Cross-Site Scripting (XSS).
		Cross-Site Request Forgery (CSRF).
		Falsificación   de     petición    entre                      sitios cruzados.
		Inyección SQL.
		Spear Phishing.
		Pharming.
		Ataque de fuerza bruta
		Inyección de Archivos Remota
		Explotación de vulnerabilidad software
		Explotación de vulnerabilidad hardware

 

6.11          Evaluación de los incidentes

Con el fin de realizar la evaluación de un incidente, es necesario identificar el nivel de criticidad e impacto de este, de acuerdo con el análisis realizado, el tipo de riesgo y la clasificación de los activos afectados, de acuerdo con lo descrito en la Guía para la Gestión y Clasificación de Incidentes de Seguridad de la Información del MinTIC a continuación se presentan la Criticidad, Impacto y prioridad dadas para un incidente:

Nivel de Criticidad depende del valor o importancia dentro de KEEP NET SAS del proceso que soporta y el o los sistemas afectados. Con el fin de permitir una atención adecuada a los incidentes (análisis, contención y erradicación).

Tabla 2. Niveles de Criticidad

Nivel Criticidad	Valor	Descripción
Inferior	0,10	Sistemas no críticos, como estaciones de trabajo de usuarios con funciones no críticas.
Bajo	0,25	Sistemas que apoyan a una sola dependencia o proceso de una entidad.
Medio	0,50	Sistemas que apoyan más de una dependencias o proceso de la entidad.
AIto	0,75	Sistemas pertenecientes al área de Tecnología y estaciones de trabajo de usuarios con funciones críticas.
Superior	1,00	Sistemas Críticos (de acuerdo con el análisis de los activos de información de TI).

Fuente: Elaboración propia

El nivel de impacto de un incidente depende del valor o importancia dentro de KEEP NET SAS del proceso que soporta y el o los sistemas afectados. Con el fin de permitir una atención adecuada a los incidentes (análisis, contención y erradicación).

Tabla 3. Niveles de Impacto Actual y Futuro

Nivel Impacto	Valor	Definición
Inferior	0,10	Impactó leve: Si el hecho llegara a presentarse, tendría consecuencias o efectos mínimos sobre la entidad y no se vería afectado en su continuidad de cualquier sistema de información o estación de trabajo.
Bajo	0,25	Impacto Bajo: Si el hecho llegara a presentarse, tendría bajo impactó o efecto sobre la entidad y se vería afectado en su continuidad de manera mínima de cualquier sistema de información o estación de trabajo.
Medio	0,50	Impactó Medio: Si el hecho llegara a presentarse, tendría medianas consecuencias o efectos sobre la entidad y se vería afectado en su continuidad de manera moderada de cualquier sistema de información o estaciones de trabajo.
Alto	0,75	Impacto Alto: Si el hecho llegara a presentarse, tendría altas consecuencias o efectos sobre la entidad y se vería afectado en su continuidad de manera considerable interrumpiendo periódicamente los sistemas de información o estaciones de trabajo.
Superior	1,00	Impacto   catastrófico:   Si   el   hecho   llegara   a   presentarse,   tendría desastrosas consecuencias o efectos sobre la entidad y se vería afectado en su continuidad de manera total en los sistemas de información o estaciones de trabajo.

Fuente: Elaboración propia

Impacto Actual: Depende de la cantidad de daño que ha provocado el incidente en el momento de ser detectado.

Impacto Futuro: Depende de la cantidad de daño que pueda causar el incidente si no es contenido, ni erradicado.

6.12          Priorización y Tiempos de respuesta

Luego de tener definidas las variables de criticidad e impacto se obtiene la prioridad mediante la siguiente formula:

Nivel Prioridad = (Impacto actual * 2,5) + (Impacto futuro * 2,5) + (Criticidad del Sistema * 5).

De acuerdo con lo definido en la Guía para la Gestión y Clasificación de Incidentes de Seguridad de la Información” del MinTIC para la atención de incidentes de seguridad es necesario contar con unos tiempos máximos de atención con el fin de atender adecuadamente los incidentes de acuerdo con su criticidad e impacto. A continuación, se presentan unos tiempos máximos en que el incidente debe ser atendido, y no al tiempo en el cual el incidente debe ser solucionado. Esto se debe a que la solución de los incidentes puede variar dependiendo del caso.

Tabla 4. Tiempo Máximo de atención de incidentes

Nivel Prioridad	Valor	Tiempo de Respuesta
Inferior	00,00 – 02,49	64 horas
Bajo	02,50 – 03,74	32 horas
Medio	03,75 – 04,99	16 horas
Alto	05,00 – 07,49	8 horas
Superior	07,50 – 10,00	4 horas

Fuente: Elaboración propia

6.13          Declaración y notificación de incidentes

Teniendo en cuenta que un incidente de seguridad puede ser el acceso, manipulación, transformación, divulgación no autorizada de información o disposición de recursos tecnológicos que atentan contra la correcta operación de la entidad, es preciso poner en conocimiento o notificar un incidente permite responder a tiempo y minimizar su impacto, facilitando la recuperación rápida de una posible pérdida de información o servicios de TI.

Es así que ante la sospecha de un incidente de seguridad deberá notificarse al responsable de seguridad de la información a través del info@keepnetsas.com, quien se encargará de realizar el seguimiento correspondiente hasta su cierre definitivo.

7.      Contención, Erradicación y Recuperación

La contención es una estrategia que permite proteger los activos de información, sistemas y redes limitando el daño, en esta fase se detecta el incidente con el fin de que no se propague y pueda generar más daños a la información o a la infraestructura tecnológica.

A través de la contención se busca la detección del incidente con el fin de que no se propague y pueda generar más daños a la información o a la arquitectura de TI.

Una vez se ha contenido el incidente es necesario realizar la eliminación y erradicación de los elementos que dieron origen al mismo, como por ejemplo un código malicioso, para posteriormente restablecer la funcionalidad y operación que se haya visto afectada.

Posteriormente se realizará la recuperación, es decir, devolver los sistemas afectados por el incidente a su estado operativo. También contempla la eliminación de los componentes que han provocado el incidente, igualmente es muy importante que en la entidad se implemente un PLAN DE CONTINUDIDAD DE NEGOCIO DE TI.

Tabla 5. Estrategia de contención, erradicación y recuperación

Incidente		Nivel Criticidad	Nivel Impacto	Estrategia de contención	Estrategia de erradicación y recuperación
	Ejemplos de incidentes
Código malicioso (Malware)	virus, gusanos, troyanos, spyware, rootkit, ransomware (secuestro informático), códigos móviles y combinaciones de estos.	Alto	Superior	Desconexión de la red del equipo afectado.	Corrección de efectos producidos. Restauración de backup, reinstalación del equipo y recuperación de datos.
Robo de información	Robo de información digital (Carpetas, bases de datos).	Superior	Superior	Desconectar el recurso compartido.	Recuperación de datos a partir de copias de seguridad.
	Identificación de vulnerabilidades.
	(Scanning).
	Sniffing.
	Ingeniería social.
	Phishing.
Abuso/uso inadecuado de sistemas de información	Descargar e instalar herramientas para piratería informática.	AIto	AIto	Uso de políticas de seguridad de información.	Aplicación de nuevas reglas en firewalls.
	Usar el correo corporativo para correo basura o para la promoción de negocios personales.
	Usar recursos corporativos para crear un sitio web no autorizado.
	Usar actividades entre compañeros para adquirir o distribuir archivos piratas (música, video, software).
Borrado (compromiso) de información	Acceso no autorizado a información.	Superior	Alto	Desconectar el recurso compartido. Suspender o eliminar la publicación no autorizada.	Recuperación de datos.
	Modificación y borrado no autorizada de información.
	Publicación no Autorizada de información.
Acceso no autorizado	Intentos por recuperar archivos de contraseñas.	Alto	Alto	Apagado del sistema.	Cambios de contraseñas. Aplicación de nuevas reglas en firewalls.
	Ataques por desbordamiento de búfer para obtener acceso privilegiado a un objetivo.
	Aprovechamiento de las vulnerabilidades del protocolo para secuestrar o dirigir equivocadamente las conexiones de red legitimas.
	Intentos de elevar privilegios a recursos o información más allá de los que un usuario o administrador ya posee legítimamente.
	Violaciones a las medidas de seguridad física.
Denegación de servicio (DoS) y la denegación del servicio distribuido (DDoS) (Disponibilidad)	Robo, daño intencionado y destrucción de equipos.	Superior	Superior	Desconexión de la red del equipo afectado.	Restitución del servicio caído.
	Daño accidental al hardware por incendio o daño por agua/inundación.
	Cambios en las condiciones ambientales por ejemplo las altas temperaturas.
	Sobrecarga y mal funcionamiento de los sistemas de información, software y hardware.
Intrusiones	Compromiso cuenta de usuario.	Alto	Alto	Incorporación de reglas de filtrado en el firewall.	La reinstalación de parches o la aplicación de nuevas reglas en firewalls. Reparar el sitio web.
	Defacement (desfiguración).
	Cross-Site Scnpting (XSS).
	Cross-Site Request Forgery (CSRF).
	Falsificación de petición entre sitios.
	Cruzados.
	Inyección SQL.
	Spear Phishing.
	Pharming.
	Ataque de fuerza bruta.
	Inyección de Ficheros Remota.
	Explotación de vulnerabilidad software.
	Explotación de vulnerabilidad hardware.

                                                    Fuente: Elaboración propia                          

8.      Actividades Post- incidente

El equipo de respuesta de incidentes debe documentar, minuciosamente, todos los procesos al tratar con un incidente. Se debe incluir una descripción de la infracción y detalles de cada acción tomada (quién llevo a cabo la acción, cuando lo hizo y por qué motivos), para tal caso se debe tener el soporte digital.

Una de las partes más importantes de un plan de respuesta a incidentes de tecnología es aprender del incidente y procurar la mejora continua. Por tal motivo se debe mantener documentación y/o registros que permita conocer exactamente lo que sucedió, en qué momento y cómo el personal gestionó el incidente. Una vez que se hayan finalizado la documentación y recuperación, es preciso revisar el proceso minuciosamente para determinar qué pasos se siguieron correctamente y que errores se cometieron.

Las actividades en esta fase incluyen:

• Escribir el informe de incidente.
• Analizar los problemas encontrados durante la respuesta a incident
• Verificar las herramientas o recursos adicionales son necesarios para detectar, analizar y mitigar los incidentes en el futu
• Proponer mejoras basadas en los problemas encontrados.
• Presentación del informe a las partes interesadas pertinentes.