Contactar
Contactar

Política de Ciberseguridad

Autonomic S.A.S. se acoge a los lineamientos de política de seguridad creando diferentes controles con el fin de asegurar confidencialidad, integridad y disponibilidad de todos los datos dentro de la empresa.
    • Confidencialidad:
        • Control de acceso segmentado por roles para el acceso de datos:
            • Administrador: Acceso a todas las funcionalidades de las plataformas excepto al borrado de información.
            • Operador (Reclutador, Comercial, Telemercaderista): Acceso limitado a la información de los usuarios. Este rol no podrá borrar, exportar o importar información sin autorización.
        • Controles de acceso a las diferentes aplicaciones de la empresa. Solo el administrador podrá acceder a todas las aplicaciones y será quien decida quién podrá tener acceso.
        • Control de acceso para las bases de datos.
    • Integridad:
        • Actualización periódica de actualización para los datos.
        • Control de permisos para la modificación de los datos.
    • Disponibilidad:
        • Creación de backups de las bases de datos.
        • Uso de tecnologías Saas para acceso de los datos.
Política de Uso Aceptable:
    • Regulación del Uso:
        • Uso Aceptable:
            • Desempeñar las responsabilidades asignadas con los dispositivos asignados por la organización.
            • Acceder a los sistemas organizativos con los dispositivos asignados.
            • Uso de aplicaciones de mensajería y correo electrónico para la comunicación.
            • Participar en programas de formación y acceder a recursos educativos proporcionados por la empresa.
            • Uso del navegador autorizado por la empresa para la ejecución de las responsabilidades.
            • Uso de plataformas profesionales como LinkedIn para el desarrollo de la red de contactos y actividades relacionadas con el trabajo.
            • Manejo de aplicaciones autorizadas (Google Workspace, Zoho, Linkedin Suite, Canva y Apollo) bajo los dispositivos empresariales y entornos de trabajo autorizados.
            • Uso de aplicaciones que permiten la seguridad de la organización.
            • Utilizar métodos de autenticación seguros, como contraseñas fuertes y autenticación de dos factores.
        • Uso Inaceptable:
            • Uso de dispositivos corporativos para actividades personales que no estén relacionadas con el trabajo.
            • Visitar sitios web con contenido inapropiado, ofensivo o ilegal.
            • No usar el navegador predeterminado por la organización.
            •  Uso de redes sociales personales durante el horario laboral en dispositivos corporativos.
            • Instalar aplicaciones, programas o software que no hayan sido aprobados por el departamento de TI y/o que no tengan licenciamiento.
            • Ejecutar las responsabilidades organizativas bajo software no autorizado.
            • Descargar y utilizar juegos o aplicaciones de entretenimiento que no tengan una finalidad laboral.
            • Compartir contraseñas o credenciales de acceso con personas no autorizadas.
            • Compartir con personas no autorizadas los equipos entregados por la organización.
            • Deshabilitar o intentar eludir las medidas de seguridad implementadas en los dispositivos.
            • Divulgar información confidencial o sensible a personas no autorizadas.
            • Permitir el acceso de personas no autorizadas a sistemas organizacionales.
            • Almacenar información corporativa en dispositivos o servicios no aprobados por la empresa como equipos personales.
            • Enviar correos electrónicos o mensajes con contenido ofensivo, discriminatorio o acosador.
            • Utilizar dispositivos corporativos para cualquier actividad ilegal, incluyendo la descarga de contenido con derechos de autor.
Política de Privacidad:
    • Propósito: AUTONOMIC S.A.S. implementará todas las acciones que tenga a su alcance para el cumplimiento de la protección y tratamiento de datos personales de los que sea responsable o encargado, en especial para proteger los derechos a la privacidad, la intimidad y el buen nombre y los derechos a conocer, actualizar y rectificar los datos de los titulares recogidos en las bases de datos propias o tratadas por encargo de terceros. Es por ello que el presente manual se aplica tanto para proteger los datos personales que actualmente trate y los que en un futuro se puedan tratar, así como para el tratamiento de los datos de empleados, clientes, proveedores y contratistas.
    • Información Recopilada:
        • Nombre
        • Celular
        • Correo electrónico
        • Ciudad – Ubicación
        • Perfil Linkedin
        • Información laboral
        • Información salarial
        • Información académica
    • Métodos de recopilación: La información se recopila mediante formularios que se conectan directamente a las bases de datos de  AUTONOMIC S.A.S.
    • Propósitos del Uso: Mantener las relaciones de índole laboral con sus trabajadores, elaboración de contratos de trabajo, vinculación al sistema de seguridad social y pago de salarios y prestaciones sociales. Así mismo para mantener en constante capacitación al personal frente a los diferentes temas relacionados con su actividad, preparación para el desempeño de su cargo; ii) llevar a cabo el desarrollo de su objeto social iii) efectuar el pago de sus obligaciones financieras, laborales y contractuales, iv) brindar información a los clientes y usuarios frente a los servicios que presta en desarrollo de su objeto social, para lo cual puede realizar envío de información por medios electrónicos, o efectuar contacto telefónico o personal con los titulares; v) presentar propuestas comerciales para la venta de productos y servicios a personas naturales o jurídicas; vi) tramitar las solicitudes efectuadas por peticiones, quejas o reclamos formuladas por los usuarios o clientes; vii) atender los requerimientos administrativos de las entidades distritales, departamentales o nacionales; viii) dar respuesta a los requerimientos efectuados por jueces de la república, conciliadores, árbitros y demás entidades con funciones judiciales, derivadas de acciones judiciales que sean promovidas por o en contra de AUTONOMIC S.A.S., para lo cual ha obtenido el consentimiento previo, informado y expreso de los titulares de los datos y de los responsables del tratamiento de datos personales, garantizando de esta manera los derechos a la protección de los datos.
    • Base Legal para el Procesamiento: En el tratamiento de datos personales que realiza AUTONOMIC S.A.S. se aplican todos los principios consagrados en el Titulo II, artículo 4 del Régimen General de Protección de Datos Personales, Ley 1581 de 2012 y las normas que la desarrollen y complementen.
    • Compartición con terceros: CONFIDENCIALIDAD Y SEGURIDAD DE LAS BASES DE DATOS. AUTONOMIC S.A.S. pone todos los recursos humanos, técnicos y tecnológicos que estén a su alcance, haciendo su mejor esfuerzo, para brindar seguridad y confidencialidad a los datos personales de los cuales es responsable o encargado del tratamiento. En cuanto a la confidencialidad, AUTONOMIC S.A.S. se compromete a suscribir acuerdos de confidencialidad con terceros en los eventos que se celebren convenios para compartir datos personales para la oferta de servicios de valor agregado de carácter jurídico, comercial y de servicios.

2. Seguridad Física 

Controles físicos: AUTONOMIC S.A.S define los siguientes controles para la protección de sus activos físicos:
    • Bloqueo de USB para dispositivos móviles y portátiles. La transferencia de datos es bloqueada.
    • Bloqueo de instalación de software no autorizado a través de medios físicos. 
    • Registro de todas las entradas y salidas, así como de los intentos de acceso no autorizados.
Protección contra desastres:
    • Póliza de seguro a través del proveedor de renting de equipos para protección de dispositivos electrónicos.

3. Seguridad Lógica

Control de acceso
    • Control de acceso por ubicación: Solo se permite ingresar a los sistemas empresariales dentro de Colombia.
    • Control de acceso bajo aprobación: Para el acceso a las cuentas organizacionales el  administrador o gerente organizacional deberá revisar todas las condiciones del inicio de sesión para autorizar el ingreso. 
    • Control de acceso segmentado por roles:
        • Administrador: Acceso a todas las funcionalidades de las plataformas excepto al borrado de información.
        • Operador: Acceso limitado a la información de los usuarios. Este rol no podrá borrar, exportar o importar información sin autorización.
Autenticación y autorización:
    • Control de máximo 3 sesiones. 
    • Control de acceso bajo autenticación multifactor (MFA). 
    • Contraseñas con mínimo 15 caracteres. 
    • Contraseñas mixtas (alfanuméricas, mayúscula, minúsculas y caracteres especiales). 
    • Edad de las contraseñas con un  máximo de 90 días. Control aplicado en Zoho One y Google Workspace.
    • Número de contraseñas sin repetir (10).  
    • Tiempo de inactividad de una 4 hora para las sesiones abiertas.   
    • Solo 3 intentos por inicio de sesión.  
Gestión de usuarios y cuentas
    • La gestión y creación de usuarios para el uso de Google Workspace se realiza bajo la tecnología Okta Verify que funciona como herramienta de gestión de identidad y MFA. El administrador deberá primero crear los usuarios en Google Workspace y luego integrar este usuario a Okta Verify para tener las opciones de seguridad.
    • En el caso de Zoho One, el administrador deberá acceder al panel y crear el usuario, para luego darle permiso a las aplicaciones necesarias por el tipo de rol.
Control de acceso remoto: 
    • Para el acceso remoto todos los usuarios deberán utilizar la credenciales corporativas, además solo está permitido utilizar el equipo otorgado por la compañía.
    • La única herramienta permitida para el acceso remoto es Zoho Assist. 

4. Controles de Seguridad de la Información

Clasificación de la información: 
    • Información Pública: La  única información que podrá ser divulgada públicamente corresponde a las vacantes que serán reclutadas. Puede darse el caso de que por directriz interna esta información no pueda ser divulgada.
    • Información Interna: La información interna comprende todas las bases de datos donde se aloja información relevante de la empresa: base de datos de proveedores, base de datos de accionistas, junta directiva y empleados, base de datos de talentos. Esta información no podrá ser utilizada en medios de comunicación de AUTONOMIC S.AS, además, no podrá ser compartida en ninguna circunstancia sin tener previa aprobación del propietario de los datos y el gerente organizacional.
Cifrado: 
    • Todos los datos en las aplicaciones de la Suite de Zoho One se encuentran cifrados bajo el método AES (estándar de cifrado avanzado) que utiliza claves para cifrar y descifrar.
    • Los datos dentro de las herramientas de Google Workspace son cifrados a través del método CLC configurado en la consola de la herramienta.
Respaldo y recuperación: Nuestra política de Backup está distribuida para las bases de datos donde más información relevante se tiene:
    • Zoho One: Se realiza backup sobre dos grandes aplicaciones que contienen los datos de los talentos y clientes de la organización. Para ambas aplicaciones se realizan 2 backups mensuales de todos los datos.
Retención y eliminación de datosPara la eliminación y retención de datos se implementaron los siguientes controles:
    • Solo el perfil super administrador podrá eliminar datos de las bases de datos de Zoho One. Ningún otro perfil podrá realizar esta acción.
    • Solo el super administrador podrá importar datos externos a las bases de datos.
    • Solo el super administrador podrá crear integraciones o conexiones a través de APIS.
    • Las funciones de desarrollador dentro de las bases de datos solo están disponibles para el super administrador.

5. Controles de Seguridad de Redes

Firewalls: Todos los dominios de Autonomic S.A.S. se encuentran protegidos por la tecnología de Cloudflare a través de los siguientes controles:
    • Protección de DDoS.
    • Reglas  de seguridad identificadas en OWASP.
    • Certificados SSL/TLS.
    • Control de accesos.
    • Control de tráfico.
    • Gestión de Bots.
    • DNS Firewall

6. Controles de Seguridad en Aplicaciones

Desarrollo seguroPara el desarrollo de aplicaciones AUTONOMIC S.A.S. se apoya de tecnologías para almacenar el código como GitLab que contiene diferentes funcionalidades que ayudan a tener un código seguro tales como MFA para los integrantes del proyecto. Además, se revisan periódicamente las personas con acceso al código con el fin de evitar usuarios no autorizados. Todas las integraciones con aplicaciones de terceros también son protegidas a través de tokens que van rotando cada cierto tiempo.
Pruebas de seguridad y remediación: AUTONOMIC S.A.S. No contiene plan de pruebas de penetración activas dado que su operación trabaja en su mayoría bajo aplicaciones de terceros.

7. Gestión de Incidentes de Seguridad

Plan de respuesta a incidentes: En caso de incidentes de ciberseguridad AUTONOMIC S.A.S. ha definido un equipo de administradores que podrán atender los incidentes  basándose en la Política de Ciberseguridad Organizacional. Estos administradores cuentan con todos los permisos necesarios dentro de las plataformas organizacionales para poder mitigar las brechas de seguridad.
    • Equipo de Respuesta de Incidentes:
        • Gerente General
        • Project Manager TI
Comunicación de incidentes: Para la comunicación de posibles incidentes o brechas de seguridad se ha creado un canal de soporte a través de la aplicación Zoho Desk donde los usuarios podrán dejar todos los detalles del incidente basándose en una plantilla que asegura tener toda la información relevante. Esta plantilla sugiere dar los siguientes datos: Fecha y Hora, Descripción del problema, Ubicación, Nombre de la aplicación afectada, Posibles acciones tomadas y Actividades inusuales vistas.
Lecciones aprendidas: Todas las lecciones aprendidas serán documentadas en este mismo documento con el fin de reforzar la Política de Ciberseguridad Organizacional. Una vez actualizada se deberá dejar constancia de la persona que realizó el cambio y la fecha.

8. Formación y Concientización

Programa de formación: Para el proceso de capacitación y entrenamiento del equipo referente a la política de ciberseguridad organizacional y a su vez de buenas prácticas de ciberseguridad y seguridad informática.

9. Revisión y Actualización

Procedimiento de revisión: La frecuencia de revisión de la presente política se realizará semestralmente por el gerente general de la compañía y el líder del proyecto. Lo anterior para validar posibles cambios estructurales para la evolución y mejoramiento de los lineamientos organizacionales frente al buen uso de prácticas de seguridad informática y protección de datos confidenciales. 

10. Auditoría 

Auditorias: Para asegurar una correcta implementación y sostenibilidad de la política actual, se realizan auditorías bimestrales aleatorias.
Adicionalmente, de manera anual y con una firma legal aliada, para el aseguramiento de la objetividad del proceso, se realiza un proceso de Due Diligence donde se audita transversalmente la compañía vs la normatividad legal nacional e internacional. Del cual se genera un informe de hallazgos con un plan de acción para dar cumplimiento a las novedades encontradas.
Contactar
Escríbenos por WhatsApp

Síguenos en: