1. OBJETIVO.

El objetivo de la política de seguridad de la información de BANLINEA S.A.S, tiene como fin establecer normas de estricto cumplimiento para empleados, proveedores, clientes y demás vinculados a BANLINEA S.A.S. que en el desarrollo de sus funciones y/o contratos deben hacer uso de la información y plataforma tecnológica de BANLINEA.S.A.S.

Los objetivos específicos de la política son:

• Asegurar la integridad, exactitud, oportunidad y salvaguarda de toda la información, los mantenimientos, desarrollos, procesos, accesos y la documentación de soporte.

• Responder de forma rápida y apropiada a los posibles riesgos donde la información se vea amenazada como: (i) accesos no deseados, (ii) virus, (iii) bloqueos, (iv) otros.

• Determinar las mejores prácticas para el manejo de los riesgos.

• Garantizar la confidencialidad, la integridad, y la disponibilidad de la información.

• Cumplir con las normas aplicables en materia de seguridad de la información

• Determinar el uso adecuado y apropiado de la información, así como los mecanismos de protección, con los empleados, directivos, accionistas, proveedores y terceros que tengan acceso a la información.

• Promover buenas prácticas de manejo de información con los empleados, directivos y accionistas.

• Determinar las medidas de seguridad de la información que BANLINEA S.A.S debe tener para mitigar los riesgos de amenazas contra la confidencialidad, integridad y disponibilidad de la información, con el fin de que no se genere: pérdida o mal uso de los activos de información, pérdida de imagen, o interrupción total o parcial de procesos que soportan la operación.

• Otorgar a BANLINEA S.A.S herramientas que faciliten la toma de decisiones apropiadas con el fin de preservar la seguridad de la información.

2. ALCANCE.

El alcance de la política es mantener la seguridad de la información, entendido como todo dato o registro que mantiene a lo largo del tiempo su integridad, confidencialidad y disponibilidad, independiente del formato y ubicación en donde este ubicada. Estas políticas aplican a la tenencia, manipulación y custodia de documentación del negocio, cartas, títulos valores, cheques y demás datos en formato impreso, electrónico, fotográfico, fílmico o sonoro que contenga información de BANLINEA S.A.S, sus Accionistas, Clientes o Proveedores.

Todos los temas relacionados con la seguridad de la información están alineados con el estándar internacional ISO 17799 (Information Technology Code of Practice for Information Security Management) y las mejores prácticas de seguridad definidas por fabricantes y entes regulatorios en la materia.

Se evaluarán las políticas del presente documento, con una frecuencia semestral y la Junta Directiva lo requieran.

3. REQUISITOS LEGALES Y/O REGLAMENTARIOS

• Ley 1581 de 2012 regulado por Decreto 1377 de 2013 y Decreto 886 de 2014 (registro de bases de datos).

• Ley 1266 de 2008: regulación de la unión europea de protección de Data Privacy. En Colombia no es marco obligatorio pero sus principios se usan como buenas prácticas de compliance.

• Ley 1712 de 2014 Ley de Transparencia y del Derecho de Acceso a la Información Pública Nacional.

• Circular Externa 029 del 11 de diciembre de 2019.

• Certificación ISO 27001 buenas prácticas de ISO 27017 y 27018 Apoyo en cloud, big data y blockchain.

4. TÉRMINOS Y DEFINICIONES

Acceso: Es la habilidad de un individuo para ver, modificar y refutar lo completa y precisa que pueda ser la información personal reunida sobre él o ella. Acceso es un elemento de las Prácticas Honestas de Información.

Activo de Información: En relación con la privacidad de la información, se refiere al activo que contiene información pública que el sujeto obligado genere, obtenga, adquiera, transforme o controle en su calidad de tal.

Aceptación del Riesgo: análisis de consecuencias que surgen después de analizar un riesgo y decide afrontarlo.

Acción correctiva: acción para remediar una no conformidad, para que esta no se repita.

Acción preventiva: proceso que se implementa o se realiza para evitar que se ejecute o se implemente una no conformidad.

Acuerdo de Confidencialidad: Documento donde los empleados se comprometen a no divulgar, usar o explotar la información en beneficio propio o de terceros debido al acceso por la labor que desempeñan en BANLINEA S.A.S.

Acceso a la Información Pública: Derecho fundamental consistente en la facultad que tienen todas las personas de conocer sobre la existencia y acceder a la información pública en posesión o bajo control de sujetos obligados. (Ley 1712 de 2014, art 4) Activo En relación con la seguridad de la información, se refiere a cualquier información o elemento relacionado con el tratamiento de la misma (sistemas, soportes, edificios, personas…) que tenga valor para la organización. (ISO/IEC 27000).

Amenazas: Causa potencial de un incidente no deseado, que puede provocar daños a un sistema o a la organización. (ISO/IEC 27000).

Amenaza Cibernética: Aparición de una situación potencial o actual que pudiera convertirse en un ciberataque.

Análisis de Riesgo: Proceso para comprender la naturaleza del riesgo y determinar el nivel de riesgo. (ISO/IEC 27000).

Ataque Cibernético: Acción criminal organizada o premeditada de uno o más agentes que usan los servicios o aplicaciones del ciberespacio o son el objetivo de la misma o donde el ciberespacio es fuente o herramienta de comisión de un crimen.

Archivo: Conjunto de documentos, sea cual fuere su fecha, forma y soporte material, acumulados en un proceso natural por una persona o entidad pública o privada, en el transcurso de su gestión, conservados respetando aquel orden para servir como testimonio e información a la persona o institución que los produce y a los ciudadanos, o como fuentes de la historia. También se puede entender como la institución que está al servicio de la gestión administrativa, la información, la investigación y la cultura. (Ley 1712 de 2014)

Autenticación: Es el procedimiento de comprobación de la identidad de un usuario o recurso tecnológico al tratar de acceder a un recurso de procesamiento o sistema de información.

Auditoría: Proceso sistemático, independiente y documentado para obtener evidencias de auditoría y obviamente para determinar el grado en el que se cumplen los criterios de auditoría. (ISO/IEC 27000).

Autorización: Con referencia a la computación, especialmente en los equipos remotos en una red, es el derecho otorgado a un individuo o proceso para utilizar el sistema y la información almacenada en éste. Típicamente la autorización es definida por un Administrador de Sistemas y verificado por el equipo basado en alguna identificación del usuario, como son un código o una contraseña. Consentimiento previo, expreso e informado del Titular para llevar a cabo el Tratamiento de datos personales (Ley 1581 de 2012, art 3)

Base de datos: Colección de tablas de datos e índices interrelacionadas.

Bases de Datos Personales: Conjunto organizado de datos personales que sea objeto de Tratamiento (Ley 1581 de 2012, art 3)

Ciberriesgo: Posibles resultados negativos derivados de fallas en la seguridad de los sistemas tecnológicos o asociados a ataques cibernéticos.

Ciberseguridad: Es el desarrollo de capacidades empresariales para defender y anticipar las amenazas cibernéticas con el fin de proteger y asegurar los datos, sistemas y aplicaciones en el ciberespacio que son esenciales para la operación de la entidad. Capacidad del Estado para minimizar el nivel de riesgo al que están expuestos los ciudadanos, ante amenazas o incidentes de naturaleza cibernética. (CONPES 3701).

Ciberespacio: Es el ambiente tanto físico como virtual compuesto por computadores, sistemas computacionales, programas computacionales (software), redes de telecomunicaciones, datos e información que es utilizado para la interacción entre usuarios. (Resolución CRC 2258 de 2009).

Control: Las políticas, los procedimientos, las prácticas y las estructuras organizativas concebidas para mantener los riesgos de seguridad de la información por debajo del nivel de riesgo asumido. Control es también utilizado como sinónimo de salvaguarda o contramedida. En una definición más simple, es una medida que modifica el riesgo.

Cifrado: Es un método de encriptación, que utiliza típicamente una clave predefinida y un algoritmo para transformar texto simple en texto cifrado.

Clave: En encriptación y firmas digitales, es un valor utilizado en combinación con un algoritmo para encriptar o desencriptar información.

Contraseña: Es una cadena de caracteres que el usuario escribe para verificar su identidad en una red o en una PC local.

CSIRT (Computer Security Incident Response Team): Equipo responsable del desarrollo de medidas preventivas y de respuesta ante incidentes informáticos.

Datos Abiertos: Son todos aquellos datos primarios o sin procesar, que se encuentran en formatos estándar e interoperables que facilitan su acceso y reutilización, los cuales están bajo la custodia de las entidades públicas o privadas que cumplen con funciones públicas y que son puestos a disposición de cualquier ciudadano, de forma libre y sin restricciones, con el fin de que terceros puedan reutilizarlos y crear servicios derivados de los mismos (Ley 1712 de 2014, art 6)

Datos Personales: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables. (Ley 1581 de 2012, art 3).

Datos Personales Públicos: Es el dato que no sea semiprivado, privado o sensible. Son considerados datos públicos, entre otros, los datos relativos al estado civil de las personas, a su profesión u oficio y a su calidad de comerciante o de servidor público. Por su naturaleza, los datos públicos pueden estar contenidos, entre otros, en registros públicos, documentos públicos, gacetas y boletines oficiales y sentencias judiciales debidamente ejecutoriadas que no estén sometidas a reserva. (Decreto 1377 de 2013, art 3)

Datos Personales Privados: Es el dato que por su naturaleza íntima o reservada sólo es relevante para el titular. (Ley 1581 de 2012, art 3 literal)

Datos Personales Mixtos: Es la información que contiene datos personales públicos junto con datos privados o sensibles.

Datos Personales Sensibles: Se entiende por datos sensibles aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición, así como los datos relativos a la salud, a la vida sexual, y los datos biométricos. (Decreto 1377 de 2013, art 3).

Derecho a la Intimidad: Derecho fundamental cuyo núcleo esencial lo constituye la existencia y goce de una órbita reservada en cada persona, exenta de la intervención del poder del Estado o de las intromisiones arbitrarias de la sociedad, que le permite a dicho individuo el pleno desarrollo de su vida personal, espiritual y cultural (Jurisprudencia Corte Constitucional).

Derecho de autor: es un conjunto de normas jurídicas y principios que afirman los derechos morales y patrimoniales que la ley concede a los autores, por el simple hecho de la creación de una obra.

Divulgación: Es un componente del principio de aviso (divulgación, recepción, entendimiento, seguimiento), por el cual una compañía debe poner a disposición sus prácticas de manejo de información, incluyendo avisos de cómo reúne, utiliza y comparte información personal.

Gestión de incidentes de seguridad de la información: Procesos para detectar, reportar, evaluar, responder, tratar y aprender de los incidentes de seguridad de la información. (ISO/IEC 27000).

Hacking ético: es el conjunto de actividades para ingresar a las redes de datos y voz de la institución con el objeto de lograr un alto grado de penetración en los sistemas, de forma controlada, sin ninguna intensión maliciosa, ni delictiva y sin generar daños en los sistemas o redes, con el propósito de mostrar el nivel efectivo de riesgo a lo cual está expuesta la información, y proponer eventuales acciones correctivas para mejorar el nivel de seguridad.

Incidente de Seguridad: es un evento adverso, confirmado o bajo sospecha, que haya vulnerado la seguridad de la información o que intente vulnerar, sin importar la información afectada, la plataforma tecnológica, la frecuencia, las consecuencias, el número de veces ocurrido o el origen (interno o externo).

Integridad: es la protección de la exactitud y estado completo de los activos.

Inventario de activos de información: es una lista ordenada y documentada de los activos de información pertenecientes al instituto.

Información Pública Clasificada: Es aquella información que estando en poder o custodia de un sujeto obligado en su calidad de tal, pertenece al ámbito propio, particular y privado o semiprivado de una persona natural o jurídica por lo que su acceso podrá ser negado o exceptuado, siempre que se trate de las circunstancias legítimas y necesarias y los derechos particulares o privados consagrados en el artículo 18 de la Ley 1712 de 2014. (Ley 1712 de 2014, art 6).

Información Pública Reservada: Es aquella información que estando en poder o custodia de un sujeto obligado en su calidad de tal, es exceptuada de acceso a la ciudadanía por daño a intereses públicos y bajo cumplimiento de la totalidad de los requisitos consagrados en el artículo 19 de la Ley 1712 de 2014. (Ley 1712 de 2014, art 6).

ISO 27001: Es una norma internacional emitida por la Organización Internacional de Normalización (ISO) y describe cómo gestionar la seguridad de la información en una empresa. La revisión más reciente de esta norma fue publicada en 2013 y ahora su nombre completo es ISO/IEC 27001:2013.

ISO 27002: Código de buenas prácticas en gestión de la seguridad de la información (transcripción de ISO 17799). No es certificable. Cambio oficial de nomenclatura de ISO 17799:20005 a ISO 27002:20005 el 1 de julio de 2007.

Licencia de software: es un contrato donde se regulan las normas y cláusulas que rigen el uso de producto de software, como: uso, instalación, reproducción y copia.

Ley de Habeas Data: Se refiere a la Ley Estatutaria 1266 de 2008.

Perfil de Usuario: Configuraciones que definen las preferencias de personalización de un usuario en particular, tales como las configuraciones de escritorio, conexiones de red persistentes, información personal, utilización de un sitio Web y otros comportamientos y datos demográficos.

Permisos: Regla asociada con un objeto, como un archivo, para regular los usuarios que pueden obtener acceso al objeto y de qué manera. El dueño del objeto otorga o niega los permisos.

Privacidad: El control que los clientes tienen sobre la recolección, uso y distribución de su información personal.

Privilegios: Es el permiso otorgado a un usuario para llevar a cabo una tarea específica, usualmente una que afecta a todo un sistema computacional en lugar de a un objeto en particular. Los privilegios son asignados por un administrador, a usuarios individuales o a grupos de usuarios, como parte de las configuraciones de seguridad de una PC.

Propiedad intelectual: es la denominación que recibe la protección legal sobre toda creación del talento o del ingenio humano, dentro del ámbito científico, literario, artístico, industrial o comercial.

Propiedad Software: Un programa de software es una serie de instrucciones que le indica al computador qué debe hacer. Es de forma escrita, por este motivo la legislación colombiana lo asimila a la escritura de una obra literaria, permitiendo que el código fuente de un programa esté cubierto por la ley de Derechos de Autor.

Proveedor de Infraestructura como Servicio o Servicio Computacional en la Nube: Tecnología que permite el acceso en condiciones de ubicuidad, configurable y por demanda, a un conjunto compartido de recursos computacionales, que se pueden aprovisionar en interacción directa con el proveedor de servicios para lograr principios de escalabilidad, seguridad y eficiencia.

Recursos tecnológicos: son todos los componentes de hardware y software como: servidores, estaciones de trabajo, dispositivos, servicios de red de datos, procesadores de texto y bases de datos, entre otros que cumplen ayudan a cumplir la misión de la institución.

Resiliencia: Es la capacidad de un mecanismo o sistema para recuperar su estado inicial cuando ha cesado la perturbación a la que pudo estar sometido.

Riesgo: Posibilidad que una amenaza pueda explotar una vulnerabilidad para causar una pérdida o daño en un activo de información. ISO Guía 73:2002

Seguridad de la Información: Es el conjunto de políticas, estrategias, metodologías, recursos, soluciones informáticas, prácticas y competencias para proteger, asegurar y preservar la confidencialidad, integridad y disponibilidad de la información que se almacene, reproduzca o procese en los sistemas informáticos de la entidad. Según [ISO/lEC 27002:20005]: Preservación de la confidencialidad, integridad y disponibilidad de la información; además, otras propiedades como autenticidad, responsabilidad, no repudio, trazabilidad y fiabilidad pueden ser también consideradas.

Servicios de tratamiento de información: Según [ISO/lEC 27002:20005]: cualquier sistema, servicio o infraestructura de tratamiento de información o ubicaciones físicas utilizados para su alojamiento.

SGSI Sistema de Gestión de la Seguridad de la Información: Según [ISO/lEC 27001: 20005]: la parle de un sistema global de gestión que, basado en el análisis de riesgos, establece, implementa, opera, monitoriza, revisa, mantiene y mejora la seguridad de la información. (Note: el sistema de gestión incluye una estructura de organización, políticas, planificación de actividades, responsabilidades, procedimientos, procesos y recursos.)

SIEM: Sistema de información que proporciona análisis en tiempo real de las alertas de seguridad generadas por las aplicaciones, dispositivos de seguridad y los elementos de red. Suelen ser sistemas de centralización de logs.

Spamming: Se llama spam, correo basura o sms basura a los mensajes no solicitados, habitualmente de tipo publicitario, enviados en grandes cantidades (incluso masivas) que perjudican de alguna o varias maneras al receptor. La acción de enviar dichos mensajes se denomina spamming. La vía más usada es el correo electrónico.

Sniffers: Programa de captura de las tramas de red. Generalmente se usa para gestionar la red con una finalidad docente o de control, aunque también puede ser utilizado con fines maliciosos.

Spoofing: Falsificación de la identidad origen en una sesión: la identidad es por una dirección IP o Mac Address.

Tratamiento de riesgos: Según [ISO/IEC Guía 73:2002]: Proceso de selección e implementación de medidas para modificar el riesgo.

Troyano: Aplicación que aparenta tener un uso legítimo pero que tiene funciones ocultas diseñadas para sobrepasar los sistemas de seguridad.

Usuario: directivos, funcionarios, contratistas, terceros y otros colaboradores de BANLINEA, debidamente autorizados para usar equipos, sistemas o aplicativos informáticos disponibles en BANLINEA.

Según [ISO/lEC Guía 73:2002]: Proceso completo de análisis y evaluación de riesgos. Virus: Programas informáticos de carácter malicioso, que buscan alterar el normal funcionamiento de una red de sistemas o computador personal, por lo general su acción es transparente al usuario y este tarda tiempo en descubrir su infección; buscan dañar, modificar o destruir archivos o datos almacenados.

Vulnerabilidad: Según SOIlEC 13335-1:2004 debilidad de un activo o conjunto de activos que puede ser explotado por una amenaza.

5. POLÍTICAS

Las presentes políticas contienen los principios, procedimientos y lineamientos para la seguridad de la información de BANLINEA S.A.S.

5.1. Información Interna

La información debe ser protegida en cada uno de los procesos que desarrolle BANLINEA, siempre teniendo en cuenta La importancia, valor y criticidad, siguiendo las reglas establecidas en las políticas específicas de seguridad de la información, sus procedimientos asociados y en las recomendaciones dadas por el responsable designado de dicha información.

Para ello, BANLINEA deberá proveer los recursos que permitan implementar los controles necesarios para otorgar el nivel de protección correspondiente a la información.

Toda la información creada o procesada por la organización debe ser considerada como “Pública”, a menos que se determine otro nivel de clasificación, pudiendo ser “Reservada” o “Secreta” según lo establecido en el ordenamiento jurídico vigente. Periódicamente se deberá revisar la clasificación, con el propósito de mantenerla o modificarla según se estime apropiado.

BANLINEA proveerá los mecanismos para que la información sea accedida y utilizada por el personal que de acuerdo con sus funciones así lo requiera. Sin embargo, se reserva el derecho de remover al personal, el privilegio de acceso a la información y tecnologías que la soportan, si la situación y las condiciones lo ameriten.

5.2. Información de los Usuarios Externos

En caso de que BANLINEA procese y obtenga información de usuarios externos cuyos datos sean personales y/o sensibles teniendo en cuenta la normativa vigente, BANLINEA asegurará que la información no será divulgada sin previa autorización y estará protegida.

No obstante, si la información de usuarios externos que se obtenga y no tenga las características de datos personales y/o sensibles, podrá ser divulgada sin previa autorización.

5.3. Auditorías

Con el fin de velar por el correcto uso de los activos de información de su propiedad, BANLINEA se reserva el derecho de auditar en todo momento y sin previo aviso, el cumplimiento de las políticas vigentes y que dicen relación con el acceso y uso que los usuarios hacen de los activos de información.

BANLINEA se reserva el derecho de tomar medidas administrativas en contra del personal que no dé cumplimiento a lo dispuesto en la presente política, las políticas específicas que se deriven y en su documentación de referencia, acciones que pueden ser solicitadas por el responsable de Recursos Humanos o el Encargado de Seguridad.

5.4. Deberes del Personal

La información y las tecnologías de información deben ser usadas sólo para propósitos relacionados con el servicio y autorizados por los supervisores, debiéndose aplicar criterios de buen uso en su utilización.

Las claves de acceso a la información y a las tecnologías de información son individuales, intransferibles y de responsabilidad única de su propietario.

El personal está en la obligación de alertar, de manera oportuna y adecuada, cualquier incidente que atente contra lo establecido en esta política según procedimientos establecido en el manejo de incidentes.

Está absolutamente prohibido al personal de la organización divulgar cualquier información que según el ordenamiento jurídico esté catalogada como “Reservada” o “Secreta”.

5.5. Difusión de la Política

BANLINEA, buscará difundir su política de seguridad con sus empleados, colaboradores, directivos y contratistas externos que tengan acceso a la información.

Para ellos se designará un responsable dentro de BANLINEA quien tendrá a su cargo el cumplimiento del plan de difusión, capacitación y sensibilización de la seguridad de la información.

6. SEGURIDAD DE LA INFORMACIÓN

A continuación, se describen los roles y responsabilidades dentro de BANLINEA para cumplir las políticas de seguridad de la información:

6.1 Área de Sistemas:

La unidad de seguridad de la información y la unidad de ciberseguridad conjuntamente componen la seguridad del área de sistemas, la cual reporta directamente al Alta Gerencia, sus responsabilidades son:

• En Coordinación con las áreas relacionadas diseñar políticas, procedimientos, guías, controles e indicadores sobre seguridad física y lógica de la información; definir áreas y documentos de acceso restringido, con base al nivel de riesgo y sensibilidad de la información. Obtener aprobación de la Junta Directiva de la Entidad para su implementación y difusión.

• Monitorear y verificar el cumplimiento de las políticas y procedimientos que se establezcan en materia de seguridad en la presente política, manuales y procedimientos asociados.

• Administrar la asignación, niveles de acceso y roles de usuarios en los sistemas informáticos utilizados por la Entidad, incluyendo los adquiridos a proveedores externos.

• Verificar la correcta utilización y desempeño de los dos ambientes tecnológicos: pruebas y producción.

• Aprobar la migración a producción de: Mantenimientos desarrollados internamente a las diferentes plataformas tecnológicas de la Entidad y software adquirido a proveedores externos, previa verificación del cumplimiento de las políticas.

• Implementar y monitorear la adherencia a la regulación local y la acción correctiva a comentarios de la Auditoria Interna sobre la materia.

• En coordinación con las áreas del negocio y Sistemas, diseñar, implementar y mantener los Planes de Contingencia para asegurar la continuidad del negocio ante posibles desastres naturales, sabotaje o conmoción civil, pérdida del soporte tecnológico o eventos interno o externos inesperados. Monitorear su cumplimiento, analizar los resultados de las pruebas establecidas e informarlos a la alta gerencia.

• Establecer, definir, implementar y mantener los procesos para el cumplimiento de las Políticas de Seguridad de la Información que garanticen la integridad, confiabilidad y disponibilidad de la información.

• Establecer los controles tecnológicos y físicos sobre la actividad del centro de cómputo y la administración de las redes.

• Administrar, dentro de políticas internas y normas de carácter regulatorio, los recursos informáticos: Hardware, software, bases de datos y redes.

• Ejercer control sobre el inventario de software instalado a través de verificaciones esporádicas a las terminales de usuario.

• Implementar y controlar el uso y eficiencia de los ambientes de prueba y producción.

• Identificar riesgos de operación de los recursos a su cargo que pueda exponer a la Entidad o a sus clientes a pérdidas o uso indebido de la información y en general la integridad de la información.

• Diseñar el plan de contingencia para los Sistemas de Información, comunicaciones y herramientas de Productividad, que garanticen la continuidad del Negocio, capacitar al personal, realizar y documentar los resultados de las pruebas.

• Proponer el presupuesto de operación en materia de seguridad, el cual será independiente al presupuesto de operaciones, pero incluyendo los servicios tercerizados que podrán contratarse mediante proveedores de infraestructura como servicio.

• Dar respuesta a los requerimientos tecnológicos que otras áreas de las tecnologías de la información realicen para la implementación de su plan de contingencia.

• Cumplir con las políticas de seguridad relacionadas con el manejo y custodia de claves requeridas para los procesos técnicos, encripción de la información, copias de respaldo de la información, transacciones y reportes (Back Ups), administrar los inventarios de: Software, hardware, equipos de comunicación y seguridad.

• Promover una cultura de seguridad que incluya actividades de difusión, capacitación y concientización tanto al interior de la entidad como frente a usuarios y terceros. Estas actividades deben realizarse al menos una vez al año en conjunto con las capacitaciones sobre riesgo operativo.

• Semestralmente o con una periodicidad inferior reportar a la Junta Directiva su evaluación de la confidencialidad, integridad y disponibilidad de la información, identificación de ciberamenazas, resultados de la evaluación de efectividad de los programas de ciberseguridad, propuestas de mejora en materia de ciberseguridad y resumen de los incidentes de ciberseguridad que afectaron la entidad en el último semestre.

• Atender a las capacitaciones que brindan los proveedores externos que apoyan la gestión de ciberseguridad y en general todas aquellas que considere relevante BANLINEA.

• Hacer las recomendaciones necesarias a la alta gerencia para la toma de decisiones adecuadas en materia de ciberseguridad.

• Evaluar las condiciones y experiencia de los proveedores de Infraestructura como Servicio en materia de ciberseguridad. Entre otros se deberá considerar que dichos proveedores cuenten con servicios de SOC.

• Evaluar las condiciones y experiencia de los proveedores de administración de firewall y demás mecanismos de seguridad perimetral de la información.

• Implementar controles para salvaguardar la información en reposo y en tránsito.

6.2 Usuarios:

Son todos los funcionarios de BANLINEA, proveedores externos y clientes que hagan uso de la información; tienen las siguientes responsabilidades:

• Conocer y cumplir con las políticas de Seguridad de la Información, mediante la correcta ejecución de los procedimientos, sistemas de control y normas en general establecidas por la Entidad.

• Informar cualquier evento anómalo en el manejo de la información de la Entidad o sus clientes.

6.3 Custodio:

Esta función dentro de BANLINEA le corresponde a la unidad de seguridad de la información y tiene las siguientes responsabilidades:

• Asegurar que los mecanismos de Recuperación de Desastres y Backups de información por parte de los proveedores de Infraestructura como Servicio funcionen adecuadamente.

• Obtener y validar copias de respaldo (Backup) de programas y de la información, con base en políticas y procesos internos y normas de carácter regulatorio. Para el efecto toda información que no cuente con mecanismos de respaldo en línea mediante proveedores de Infraestructura como Servicio deberán respaldarse mediante mecanismos automatizados en soluciones de almacenamiento especializado NAS o tecnología superior.

• Restaurar las copias de respaldo (Backup) cuando el dueño de la información, con aprobación del Director de Sistemas lo soliciten.

• Mantener en instalaciones fuera de la Entidad, debidamente clasificadas, con las condiciones físicas, ambientales y de seguridad apropiadas y previamente aprobadas por la Junta Directiva, las copias de respaldo (Backups) de información y programas en medios magnéticos o físicos (listados o copias impresas).

7. SEGURIDAD

7.1 Seguridad Física

Asegurar la protección física de las instalaciones donde se opere, almacene o maneje información de la Entidad, así como de los sitios en los que se encuentren equipos de procesamiento, propios o arrendados, donde se conservan las copias de respaldo y medios originales o cualquier título y documento valor.

Todas las instalaciones físicas donde operen centros de cómputo, centrales de comunicaciones, instalaciones de resguardo de copias de respaldo y medios originales de la información, así como, las oficinas administrativas, sucursales y puntos de atención propios o arrendados.

7.1.1 Estaciones de Trabajo:

BANLINEA busca prevenir la pérdida, daño o divulgación de información que afecte los bienes de información.

Todas las estaciones de trabajo identificadas con desktop, laptop, tablet, agendas o cualquier dispositivo, deberá cumplir las siguientes:

• Proteger toda información de usos no autorizados o divulgaciones accidentales, modificaciones, interrupciones o destrucciones.

• Restringir el acceso a dicha información a personas debidamente autorizadas.

• Restringir e inventariar el uso de módems en estaciones de trabajo.

• Restringir la salida de información de los sistemas en medios magnéticos y/o físicos.

• Mantener la confidencialidad de la información en los equipos portátiles que abandonen las instalaciones de la Entidad.

Para lograr la protección de la información BANLINEA tendrá:

• En todas las estaciones de trabajo y servidores, debe tener instalada, activa y actualizada la herramienta que BANLINEA ha establecido para la prevención y desinfección de los virus de computador o software malicioso. Es responsabilidad del área de sistemas mantener de forma automática dicha solución en funcionamiento.

• En todas las estaciones de trabajo y servidores, se debe ingresar a través de un proceso de autenticación utilizando el usuario y la clave secreta, asignados de forma personal.

• El software instalado en cada equipo debe ser el estrictamente permitido e instalado por la unidad de tecnologías de la información y previamente aprobado por la unidad de ciberseguridad, quedando prohibida la instalación de software no licenciado.

• El cambio de partes de un equipo entregado, está únicamente bajo responsabilidad del área de sistemas, el usuario debe limitarse a dar el uso y cuidado al equipo, informando de las fallas que pueda presentar el mismo.

• Está prohibido el uso de módems (internos o externos) en todo tipo de estaciones de trabajo a excepción de las que requieran el envío o recepción de fax; en estos casos, la unidad de ciberseguridad autorizará la conexión.

• El uso de celulares u otro tipo de tecnología para conectarse a redes externas, incluido Internet, están prohibidos.

• Todas las estaciones de trabajo de la Entidad, deben tener activo al protector de pantalla corporativo y protegido por contraseña con una duración de 10 minutos. Para servidores el tiempo máximo debe ser de 3 minutos. La responsabilidad de tener el protector de pantalla habilitado es del usuario a cargo del equipo.

• Ningún usuario diferente del área de Sistemas o autorizado por la unidad de ciberseguridad, puede instalar o desinstalar software de la estación de trabajo que esté usando o de otro usuario. Las únicas personas autorizadas para tal fin, son el personal de la unidad de tecnologías de la información o la persona designada por la unidad de ciberseguridad.

• Ningún usuario diferente del área de Sistemas o autorizado por la unidad de ciberseguridad, puede instalar o desinstalar software de la estación de trabajo, que esté usando o de otro usuario. Las únicas personas autorizadas para tal fin, son el Ingeniero de Soporte o la persona designada por la unidad de ciberseguridad.

• La información relevante debe ser respaldada en un servidor centralizado administrado por la unidad de seguridad de la información. El espacio será asignado a cada usuario, de acuerdo a las necesidades reales del cargo. El usuario debe ejecutar periódicamente el proceso de respaldo de la misma, de acuerdo con las instrucciones impartidas por la unidad de seguridad de la información al momento de recibir el equipo.

• Es responsabilidad de la unidad de seguridad de la información asegurar el mantenimiento de los procedimientos para la toma, resguardo y recuperación de la información.

2. Seguridad Física en áreas de Acceso Restringido:

Son consideradas áreas de acceso restringido, las que procesan información de carácter sensitivo, en medios magnéticos, electrónicos y físicos, documentación y títulos valores de los clientes y de la BANLINEA, cuyo extravío o modificación puede resultar en perjuicios económicos para la BANLINEA o los clientes.

3. Centros de Cómputo

Las políticas de seguridad en un Centro de Cómputo tienen por objeto establecer las medidas de índole técnicas y de organización, necesarias para garantizar la seguridad de las tecnologías de información (equipos de cómputo y sistemas de información) y personas que interactúan haciendo uso de los servicios asociados a ellos y se aplican a todos los usuarios de los sistemas de información. Se debe tener especial cuidado con:

• Para su acceso se requiere la compañía permanente de un Funcionario

debidamente autorizado y el registro de la hora de entrada y la hora de salida de la visita.

• Se debe tener constante monitoreo de seguridad por parte de la unidad de seguridad de la información y ciberdefensa.

• Los controles y medios para regular y mantener de forma adecuada la

temperatura y humedad.

• El debido respaldo automático de alimentación eléctrica y operación alterna en caso de una falla en el suministro de energía público.

• Los sistemas de detección y control de incendios dentro o fuera del recinto de procesamiento de datos.

• El acceso donde se encuentran los servidores o los centros de cableado por parte de personas ajenas al área de Sistemas y Tecnología debe ser autorizado; siempre deberán estar acompañados de un funcionario del área.

• En caso de desvinculación o cambio de labores de un funcionario del área de Sistemas y Tecnología, se debe modificar los privilegios de acceso físico al centro de cómputo.

• Mantener los servidores en condiciones ambientales adecuadas. (aire

acondicionado).

• El área de Sistemas y Tecnología debe garantizar que el soporte y

mantenimiento de redes eléctricas, de voz y de datos, deben ser

ejecutados por personal idóneo y capacitado.

• La unidad de seguridad de la información y ciber defensa es la encargada de suministrar medidas de seguridad razonables contra la intrusión o daños a la información almacenada en los sistemas, como la instalación de cualquier herramienta, dispositivo o versión de software que refuerce la seguridad de los sistemas.

• Sin embargo, debido a la amplitud y constante innovación de los mecanismos de ataque no es posible garantizar por el momento una seguridad total.

7.1.4 Usuarios

Los recursos empleados por el usuario:

• Deberán ser afines al trabajo desarrollado.

• No deberán ser proporcionados a personas ajenas.

• No deberán ser utilizados para fines personales.

• Todo Usuario debe respetar la intimidad, confidencialidad y derechos

• individuales de los demás usuarios.

• El correo electrónico no se usará para envío masivo, materiales de uso no laboral o innecesarios (entiéndase por correo masivo todo aquel que sea ajeno a BANLINEA, tales como cadenas, publicidad y propaganda comercial, política o social, etcétera).

• Los usuarios deberán cuidar, respetar y hacer un uso adecuado de los

recursos asignados, de acuerdo con las políticas que en este documento se mencionan.

• Los usuarios deberán solicitar apoyo a la unidad de tecnologías de la información ante cualquier duda en el manejo de los recursos.

Los usuarios deben seleccionar una contraseña robusta que tenga mayúsculas, minúsculas y números, que no tenga relación obvia con el usuario, sus familiares, el grupo de trabajo y otras asociaciones parecidas.

• Para la asignación de claves se puede utilizar las iniciales de frases de fácil recordación.

• Reportar inmediatamente a su jefe inmediato a un funcionario soporte cualquier evento que pueda comprometer la seguridad de la BANLINEA y sus recursos informáticos, como por ejemplo contagio de virus, intrusos, modificación o pérdida de datos.

• También es necesario que se reporte a la unidad de tecnologías de la información cuando un usuario vaya a estar fuera de su puesto de trabajo por más de 3 días para inhabilitar el usuario y que este no sea usado inadecuadamente.

7.1.5 Respaldos

Las bases de datos serán respaldadas diariamente, según los procedimientos generados para tal efecto. Para el efecto se utilizarán mecanismos de Recuperación de Desastres como Servicio (DRAAS) y centros de cómputo alternos mediante proveedores de infraestructura como servicio.

Los respaldos de la información crítica deberán ser almacenados en un lugar seguro y distante del sitio de trabajo.

7.1.6 Administración de la Base de Datos

La unidad de seguridad de la información tendrá acceso a la información de la Base de Datos

únicamente para:

• La realización de los respaldos de la BD.

• Solucionar problemas que el usuario no pueda resolver.

• Diagnóstico o monitoreo.

• El Administrador de la Base de Datos no deberá eliminar ninguna información del sistema, a menos que la información esté dañada o ponga en peligro el buen funcionamiento del sistema.

El Administrador de la Base de Datos es el encargado de asignar las cuentas a los

usuarios para el uso de los aplicativos de misión crítica.

7.1.7 Trabajo Remoto

Se define como trabajo remoto, toda aquella actividad que realiza cualquier colaborador de BANLINEA fuera de las instalaciones de la organización, en el desempeño de sus funciones, usando activos tecnológicos de la empresa (PCs, tablets o celulares inteligentes).

Las condiciones que propician el desarrollo del trabajo remoto de los colaboradores son:

• Por ejecución de roles comerciales que implican movilización constante del colaborador de BANLINEA entre clientes, dificultando el acceso a las instalaciones de la compañía en la ciudad de Bogotá.

• Por ejecución de actividades de soporte técnico sobre la plataforma

tecnológica de BANLINEA en horarios diferentes al laboral.

• Por razones de fuerza mayor que comprometan la seguridad de los

colaboradores de BANLINEA en el desplazamiento hacia las instalaciones de la organización.

• Por la materialización de un evento que inhabilite las instalaciones de

BANLINEA total o parcialmente.

• Por implementación de trabajo en modalidad home office.

• Proveedores y desarrolladores de software que requieran realizar

actividades sobre ambientes de desarrollo o pruebas, o en ambientes de producción mediante la planeación de ventanas de soporte programadas.

2. SEGURIDAD PARA LOS SERVICIOS DE LAS REDES LAN Y WAN

Se debe tener en operación solo los protocolos, servicios, aplicaciones, usuarios y

equipos necesarios para el desarrollo de la actividad de BANLINEA.

Cualquier otro protocolo a implementar se debe revisar en conjunto con la unidad de seguridad de la información y ciber defensa, revisar su impacto en los niveles de seguridad y proceder a su respectiva implementación, de acuerdo a la aprobación de la gerencia y control interno.

Contar con controles y alarmas, que informen sobre el estado de los canales y además permitan identificar y corregir las fallas oportunamente.

Para el proceso de la validación y control de los canales de comunicaciones, se debe utilizar las herramientas que estén suministrando los proveedores de ISP, para el respectivo monitoreo.

Los sistemas operacionales de los equipos empleados en las Oficinas, deben cumplir al menos con el nivel de seguridad C2 (protección de acceso controlado).

3. SEGURIDAD CORREO ELECTRÓNICO

El sistema de correo como una herramienta de gestión y facilitadora de la transmisión y confirmación de mensajes, es necesario reglamentarla para lo cual la BANLINEA define las siguientes normas:

7.3.1 Correo Electrónico

• La Cuenta de correo Externo e Interno es personal e intransferible, no permitiéndose que segundas personas hagan uso de ella.

• Para la asignación de buzones de correo se requiere aprobación de la unidad de ciberseguridad.

• En los casos en los cuales la cuenta de correo es usada por varias personas la responsabilidad del contenido de los correos es del superior inmediato.

• Todas las transmisiones de datos, deberán tener un responsable por el contenido del correo enviado desde la Entidad (Usuario).

• Se prohíbe el uso del correo electrónico para acosar, amenazar, calumniar o atentar en contra de cualquier persona natural o jurídica, interna o externa a la Institución; realizar cualquier tipo de discriminación racial, política, religiosa, física, moral o de cualquier otro tipo. Igualmente para el envío de cadenas, pirámides o archivos con contenido no apropiado.

• El envío de mensajes a la lista “todos los usuarios “, está restringida a asuntos de carácter oficial que involucre a toda BANLINEA y solo se debe realizar por la cuenta de correo interno.

• El correo electrónico y archivos que se adjunten deben estar relacionados con el cumplimiento de los objetivos del negocio de la BANLINEA.

• Toda información enviada utilizando el correo electrónico de la BANLINEA, debe mantener los acuerdos de privacidad y confidencialidad de la información establecida.

• El contenido de los correos podrá ser monitoreado por la Entidad y se considera que los usuarios conocen y están de acuerdo con esta norma.

• Cada usuario es el responsable de las acciones efectuadas en su cuenta de correo.

• Todo usuario es responsable por los adjuntos que envía.

• El usuario será responsable de la información que sea enviada con su cuenta, por lo cual se asegurará de no mandar SPAMS (Correos masivos no autorizados) de información, ni del envío de anexos que pudieran contener información nociva para otro usuario como virus o pornografía.

7.3.2 Internet

El acceso a Internet y servicios de comunicación electrónica está restringido a funcionarios cuyos cargos así lo requieran.

• La información que sea transmitida, almacenada en las estaciones de trabajo, servidores o cualquier otro dispositivo de almacenamiento electrónico de BANLINEA, haciendo uso de Internet o cualquier medio de comunicación electrónica podrá ser monitoreada por la unidad de ciberseguridad.

• El uso de Internet está ligado al cumplimiento de las responsabilidades asignadas con el cargo.

• El uso de Internet es personal e intransferible.

• Se prohíbe el uso de Internet para consultar y/o descargar material ofensivo, violento y en general cualquier información no relacionada con los objetivos de negocio de BANLINEA.

• Se prohíbe hacer uso de Internet para intentar o acceder, sin la debida autorización, sistemas de terceros o propios.

• Se prohíbe la instalación de software desde Internet, cualquier solicitud de instalación debe ser aprobada por la unidad de ciberseguridad.

• Para evitar problemas de virus informáticos, se prohíbe la instalación de programas y la modificación de los programas, paquetes y configuraciones ya instalados en los computadores.

• Se prohíbe utilizar los servicios de red para juegos a través del servicio de Internet.

• Se prohíbe acceder a lugares obscenos, que distribuyan material pornográfico, o bien materiales ofensivos en perjuicio de terceros.

• Los mensajes que se envíen vía Internet, serán de completa responsabilidad del usuario emisor y en todo caso deberán basarse en la racionalidad y la responsabilidad individual.

• Se asume que en ningún momento dichos mensajes podrán emplearse en contra de los intereses de personas individuales, así como de ninguna otra institución.

• Está prohibido inspeccionar, copiar y almacenar programas computacionales, software y demás materiales electrónicos que violen la ley de derechos de autor.

• Está prohibido bajar archivos de música o vídeo desde Internet.

• La unidad de ciberseguridad tiene la autoridad para controlar y negar el acceso a cualquiera que viole las políticas de uso de Internet.

• Cada usuario es el responsable de las acciones efectuadas a través de este servicio.

• Todo usuario debe regirse dentro de las Normas de Buen Uso de Internet.

3. Comunicaciones Inalámbricas

Esta política cubre todos los dispositivos inalámbricos (portátiles, PC´s con tarjetas de acceso inalámbrico, PDA´s, teléfonos celulares, etc.) que se conecte a la red de datos de BANLINEA.

Todos los dispositivos de acceso inalámbrico deben ser debidamente autorizados por la unidad de ciberseguridad. Dichos dispositivos deben estar bajo pruebas de seguridad periódicas para verificar su confiabilidad.

Por regla general todos los equipos personales deben conectarse a la red de invitados. Solo los equipos portátiles de uso de trabajo deben conectarse a la red inalámbrica de trabajo.

8. ANTIVIRUS

Con el fin de proteger la integridad y disponibilidad de los datos del sistema de información frente a posibles ataques de virus informáticos, BANLINEA utilizará un software de antivirus en conjunto con un firewall para reducir el riesgo de un posible ataque.

8.1 POLÍTICA DE ANTIVIRUS Y SOFTWARE MALICIOSO

- Deberán ser utilizadas en la implementación y administración de la

Solución Antivirus.

• Todos los equipos de cómputo deberán tener instalada la Solución Anti-

Virus, Anti-Spam y Anti-Malware.

• Mediante consolas de administración central, se implementará

automáticamente la Solución Antivirus en los equipos de cómputo.

• Diariamente se hará el rastreo en los equipos de cómputo y se realizarán las siguientes acciones: (i) Actualización automática de las firmas antivirus proporcionadas por el fabricante de la Solución Antivirus en los equipos, (ii) En caso de contingencia con virus que la Solución Antivirus no haya detectado automáticamente, el Administrador del Sistema, actualizará las firmas antivirus.

• Se pondrá en contacto con el fabricante de la Solución Antivirus con el fin de determinar la estrategia más efectiva para eliminar el virus.

• Utilizar una cuenta de usuario con pocos privilegios (no administrador) en su equipo.

• Utilizar la cuenta de administrador cuándo se deba cambiar una

configuración o instalar un software de confianza.

• Cada vez que se transfiera un archivo desde o hacia Internet, se debe

tener la precaución de revisarlo contra virus, crimeware o malware, pero lo más importante saber de dónde proviene.

• Se debe comprobar todos y cada uno de los medios magnéticos

(Diskettes), soportes ópticos (CDS, DVD, Blu-Ray) o Tarjetas de Memoria (SD, MMC, XD, compact Flash), que se introduzcan en el ordenador.

• No instalar programas de dudoso origen.

• No navegar por sitios potencialmente dañinos buscando cosas como

"pornografía gratis", "programas gratis", "mp3 gratis", claves, licencias o cracks para los programas comerciales.

• Crear una contraseña de alta seguridad.

• Mantener actualizado el sistema operativo, con los últimos Service Pack, así como también las posteriores actualizaciones.

• Tener un programa antivirus y un firewall (también llamados cortafuegos) instalados en la estación de trabajo y anti-espías.

9. ENCRIPCIÓN DE DATOS

Reglamentar el uso de algoritmos de encriptación para mantener la integridad y privacidad de la información de la Entidad y dar cumplimiento a la regulación que sobre el tema establece la legislación Colombiana y/o los entes de control.

• Los datos clasificados como críticos deben estar debidamente protegidos bajo un esquema de encriptación (3DES, Blowfish, RSA, RC5 and IDEA) o cualquier otro que permita implementar un ciframiento con mínimo una llave de 128 bits.

• La encriptación debe ser utilizada para la trama que transporta información de transacciones propias de la Comisionista y de sus clientes sobre redes de proveedores externos o públicos.

• Sobre dicha encriptación se deben realizar pruebas y obtener certificación, por lo menos una vez al año, con una firma externa para verificar su correcta y segura implementación.

• El uso de herramientas de encriptación así como la información que será encriptada debe ser aprobada por la unidad de seguridad de la información.

10. USO DE SERVIDORES

La unidad de seguridad de la información y ciber defensa tiene la responsabilidad de verificar la instalación, configuración

e implementación de seguridad en los servidores.

Los servidores que proporcionen servicio deberán:

• Recibir mantenimiento preventivo de software.

• Recibir mantenimiento semestral que incluya la revisión de su

configuración.

• Ser monitoreados por la unidad de tecnologías de la información y la unidad de seguridad de la información y ciber defensa.

Los servidores deberán ubicarse en un área física que cumpla las recomendaciones para

un centro de Cómputo:

• Acceso restringido.

• Temperatura adecuada.

• Protección contra descargas eléctricas.

• Mobiliario adecuado que garantice la seguridad de los equipos.

Las claves de acceso se deben cambiar periódicamente de acuerdo a las configuraciones o políticas de cambio de contraseñas que soporte los sistemas operacionales de los servidores, por lo tanto la política para el manejo de las contraseñas es la siguiente:

• Para los usuarios de los servidores de Windows la contraseña se debe

cambiar cada 60 días.

• Las contraseñas de administrador para los servidores deben cambiar cada 6 meses

La política para la actualización de las aplicaciones instaladas en los servidores es que cada 30 días se instalen los parches de actualización y de seguridad, de forma manual.

Para los cambios de Versión se debe presentar la justificación del cambio ante la Junta Directiva para que sea avalado el cambio.

11. USO DE LOS SERVIDORES POR LOS USUARIOS

El usuario deberá renovar su contraseña y colaborar en lo que sea necesario, a solicitud de la unidad de seguridad de la información y ciberdefensa, con el fin de contribuir a la seguridad de los servidores en los siguientes casos:

• Cuando ésta sea una contraseña débil o de fácil acceso.

• Cuando crea que ha sido violada de alguna manera.

El usuario deberá notificar a la unidad de ciberseguridad en los siguientes casos:

• Si observa cualquier comportamiento anormal en el servidor.

• Si tiene problemas en el acceso a los servicios proporcionados por el servidor.

• Cuando deje de laborar o de tener una relación con la Institución.

12. GUÍA DE INCIDENTES

Preparación:

Se establece un equipo de respuesta a incidentes de ciberseguridad, establecer líneas de comunicación apropiadas y procurar las herramientas necesarias para poder reaccionar a un posible incidente. Este equipo está conformado por:

• Camilo Martinez

• Ernesto Viana

• Juan David Zambrano

Identificación:

Se debe hacer una evaluación que incluya el alcance del incidente, el impacto, y el daño causado por este. En el caso de que se requiera acción legal, la evidencia digital será preservada y se conducirá un análisis forense.

Contención:

La contención del incidente es vital para minimizar el daño causado. Se debe tomar acción para asegurarse que el alcance del incidente no se propague a otros sistemas.

Erradicación:

La erradicación requiere la eliminación o el tratamiento de todos los componentes y síntomas del incidente. Además, se debe realizar una validación para garantizar que el incidente no vuelva a ocurrir.

Recuperación:

La recuperación implica los pasos necesarios para restaurar los datos y los sistemas a un estado de funcionamiento saludable que permita

operaciones comerciales vuelvan a su estado original.

Reporte y evaluación:

La fase de lecciones aprendidas incluye un análisis posterior al incidente en los sistemas que fueron afectados por el incidente y otros sistemas potencialmente vulnerables. Las lecciones aprendidas del incidente se comunican a la rama ejecutiva y se deben actualizar los planes de acción desarrollados para mejorar las prácticas futuras de gestión de incidentes y reducir la exposición al riesgo