BIENVENIDA

ATENTO

FORMACIÓN CAMPAÑAS NO FINANCIERAS

2020
Aprendamos juntos
Módulo 1 Bienvenida Atento

Módulo 2 Seguridad Y Salud En El Trabajo

Módulo 3 Seguridad Información

Módulo 4 Comité de Convivencia Laboral

Módulo 5 Política Anticorrupción

Módulo 6 Recursos Humanos

 Módulo 3
Seguridad de la Información
 1. Seguridad de la información y prevención de
fraudes
2. Seguridad Física

Temas
3. Uso de los activos de la información
4. Políticas Y Procedimientos
5. Ingeniería Social
6. Guía Tratamiento Base de Datos
7. Identificación y Reporte de Incidentes de
Seguridad
 Seguridad de la información y prevención de fraudes

Proceso basado en el análisis y mitigación de riesgos, su objetivo

principal es proteger los recursos informáticos de la empresa.

Se entiende por recursos aquellos que almacenan, procesan o

transmiten información.

¿Qué es la información?

La información es un activo, es todo aquello que tiene valor para

la organización.

• Bases de datos: Órdenes de compra, datos financieros,

Seguridad de documentación del sistema, información de investigaciones.
• Manuales de usuario: Material de capacitación.
• Procedimientos operacionales: o de soporte.
la información
Política de
seguridad
Objetivo
Establecer las directrices en la organización para la gestión y fortalecimiento de
la seguridad de la información. Esta política de seguridad de la información
aplica a todo el personal vinculado laboralmente con Atento Colombia S.A
contratistas y terceros que tengan acceso a los recursos de información de la
organización. La información cubierta en este documento incluye la
almacenada o compartida en cualquier medio: electrónico, en papel e
información compartida de manera oral o visual. (Conferencias telefónicas o
video conferencias).
Políticas y
procedimientos
Las políticas deben reflejar los requerimientos del negocio. Su propósito es proteger la operación
del negocio, la integridad de la información financiera, la propiedad intelectual, el cumplimiento
de las leyes y regulaciones y definir la cultura de una organización.
Principios • Confidencialidad de la información, de manera que
únicamente usuarios autorizados tengan acceso.
de la Política • Integridad de la información, la cual será mantenida,
evitando su alteración no autorizada.
en Atento • Disponibilidad de la información que es asegurada de
acuerdo con los requerimientos de los procesos de
negocio.
• Cumplimiento de las leyes y regulaciones.
• Compromiso con el cumplimiento de los requisitos
aplicables relacionados con la seguridad de la
información.
• Cumplimiento de las obligaciones contractuales con
nuestros clientes.
• Entrenamiento, generación de cultura y conciencia a
todos los empleados, contratistas, clientes y
proveedores en seguridad de la información.
El establecimiento, formalización e implementación de Gestión de riesgos
una metodología para la valoración y tratamiento del de seguridad de la
riesgo.
información

determinar por parte de los dueños de proceso, el

conjunto mínimo de controles requeridos para reducir y
mantener el riesgo a un nivel aceptable.

La ejecución, desarrollo e implementación de los controles

requeridos para minimizar los riesgos es responsabilidad del
dueño del proceso, con el apoyo de las diferentes áreas
de la organización.
 Determinar y gestionar los riesgos y las
oportunidades que puedan afectar la
seguridad de la información e impactar la
organización y nuestros clientes.

• Implementar y operar procesos de

seguridad de la información, controles y
otras medidas para tratar los riesgos.

• Preservar la confidencialidad,
integridad y disponibilidad de la
información en la organización.

Objetivos de seguridad • Ser competitivos a través de la

implementación de servicios digitales
de la información que generen confianza en nuestros
clientes.
 Clasificación y control de la información

Ayuda a definir el valor que tiene la información para Atento y el

manejo que se le debe dar según su criticidad para el negocio.

Tiene pocos requisitos de confidencialidad. La puede conocer cualquier

Pública
persona dentro y fuera de Atento. Ejemplo (anuncios de productos o servicios).

Información considerada de alta sensibilidad que debe ser protegida aún dentro
Reservada de Atento. Ejemplo (listados de clientes, bases de datos de clientes, etc)

Información sensible que puede ser interna de un área específica de Atento o

Restringida referente a un proyecto. Ejemplo (decisiones estratégicas, secretos industriales,
etc)

Información que no es sensible si es divulgada dentro de Atento, pero puede

Uso interno causar impactos negativos si es conocida externamente. Ejemplo (lista de
teléfonos interna, materiales de entrenamiento, etc)
Para tener en cuenta
• Los responsables de la información son los directores de campaña, gerentes de cuenta y en
general todos los jefes de área o delegados.
• Los depositarios o custodios son las personas que tienen la posesión física o lógica de la
información, y su deber es protegerla y hacer buen uso de ella.
• Información reservada o restringida no debe ser conocida por personas externas.
• Información reservada o restringida que se almacene o transmita por cualquier medio
electrónico debe ser encriptado.
• Cuando la información pierde vigencia debe ser destruida por el responsable y será
supervisado por el área de seguridad informática.
• Los documentos impresos deben ser guardados al finalizar labores diarias.
 Tiene como propósito establecer una
directriz para proteger los activos de
información de Atento Colombia S.A.

Para tener en cuenta

• La cuenta de usuario, la contraseña y

la huella es la llave electrónica para
acceder a las instalaciones, sistemas
de cómputo y telefonía.
• No proporcionar claves a terceros

Control de
• Cambiar periódicamente su clave
• No debe prestar la huella para el
ingreso de otra persona a las

acceso instalaciones
Uso correcto de
contraseñas
• No la preste
• Apréndasela de memoria
• Cámbiela con frecuencia
• No use datos relacionados
con su vida personal
• Combine letras y números
• Use al menos ocho
caracteres
 Previene el acceso físico al personal no autorizado,
además de evitar daños o robo a los activos de la
organización.

• La entrada de los visitantes debe ser registrada en

bitácora
• Los visitantes están bajo su responsabilidad
• Todo empleado debe portar el carné en las
instalaciones
• Todo empleado debe estar enrolado con el control de
Seguridad acceso biométrico

Física
 • Bloqueé la sesión de su computador cada vez que
se retire o salga de su puesto de trabajo (pulsar la
tecla de Windows + L)No deje información sensitiva
escrita en papeles
• No ingresar al Call center dispositivos de
almacenamiento (cámaras, usb, celulares, etc)
• No fumar ni consumir bebidas en el sitio de trabajo
• Asegure computadores portátiles que tengan
autorizado el ingreso a las instalaciones
• Archive los documentos cuando termine de usarlos
• No bote a la basura documentos con información
confidencial
• Los usuarios son responsables de sus cuentas de
correo
• No se debe enviar información restringida por
correo
Reglas básicas • No enviar mensajes de cadena (SPAM)
• No use el correo electrónico con fines personales.
 El objetivo es fijar las reglas sobre el buen uso de los activos de
información y de los servicios de red internos y externos.

Equipos de escritorio PC

• Se entregará el equipo por medio de un documento escrito

que especifica características y estado.
• Prohibido almacenar música, pornografía o material que
atente contra la empresa.
• Prohibido crear carpetas compartidas en los computadores
personales.
• Debe tener el salvapantallas corporativo el cual debe
activarse a los tres minutos de inactividad, de no ser así
Uso de activos reportarlo a su jefe inmediato.
• No tiene permisos para cambiar o modificar el S.O, de ser
De la información necesario solicitarlo formalmente a Service Desk.
Equipos portátiles
• La gerencia autoriza la asignación de computadores portátiles corporativos a quien lo
requiera solo con fines de negocio.
• Los computadores portátiles que requieran conexión a la red, deben hacerlo mediante la
política de acceso remoto (VPN).
• Prohibido instalar software no autorizado en los computadores portátiles.
• Es responsabilidad de cada usuario hacer respaldos periódicos de la información, en caso de
almacenar información confidencial hacerlo mediante encriptación.
• Prohibido el ingreso de computadores portátiles a las instalaciones sin su respectiva
autorización, en cualquier caso no se podrán conectar a las redes corporativas de Atento.
Uso de internet
• Para hacer uso del servicio
de internet, debe poseer
una cuenta de usuario.
• No tendrá permisos de
navegación libre o
ilimitado.
• Existe restricción de
navegación a páginas
consideradas peligrosas.
 Mitos y leyendas falsas
• El correo es un medio seguro para enviar información

Políticas y
confidencial.
• Solo usted tiene acceso a su bandeja de entrada.
• Los mensajes de correo están libres de virus o malware.
Procedimientos • Los mensajes de correo electrónico y sus archivos anexos no
cargan la red.
Tips de protección
• Nunca revele información personal sensible a
desconocidos.
• Verifique la identidad de quien llama por teléfono.
• Correos de fuentes extrañas no los abra.
• Links dirigidos a sitios de internet sospechosos no los
consulte.

Instalación de software
El uso de programas o de copias no autorizadas puede
ocasionar:
• Virus o Malware
• Violación de derechos de autor
• Abrir huecos de seguridad en su equipo y en la red de
Atento
Cumplimiento
• Ley de delitos informáticos
• Política de seguridad de Atento (publicada en la Intranet)
• Código penal de Colombia
• Circular Externa 042 de la SIFC (Año 2012)
• Circular Externa 007 de la SIFC (Año 2018)Ley habeas data en
Colombia
• PCI DSS Pagos con tarjetas
Ley 1273 de 2009 - delitos informáticos

Violaciones
• Acceso abusivo a un sistema informático
• Violación de datos personales
• Hurtos por medios informáticos
• Transferencia no consentida de activos

Consecuencias
• Multas hasta de 1500 (SMMLV)
• Prisión hasta de 120 meses
 Ingeniería social es la práctica de obtener información
confidencial a través de la manipulación de usuarios legítimos
basado en técnicas psicológicas y habilidades sociales
utilizadas de forma consciente y muchas veces premeditada
para la obtención de información de terceros y la realización
de actos que normalmente no harían, buscando:

• Cometer Fraude
• Entrometerse en las Redes
Ingeniería •
•
Espionaje Industrial
Robo de Identidad

Social • Irrumpir en los Sistemas o Redes

Definición
Un hecho importante es que el acto
de ingeniería social acaba en el
momento en que se ha conseguido
la información buscada. Las
acciones que esa información Las victimas típicas incluyen:
pueda facilitar o favorecer no se
enmarcan bajo este término. En • Empresas Telefónicas
muchos casos los ingenieros sociales • Servicios de Help desk y CRM
• Corporaciones Renombradas
no tocan un ordenador ni acceden
• Agencias e Instituciones
a sistemas, pero sin su colaboración Gubernamentales y Militares
otros no tendrían la posibilidad de • Instituciones Financieras
hacerlo. • Hospitales.
 Relación entre

Ingeniería Social Seguridad Informática

Un hecho importante es que el acto de ingeniería social acaba en el momento en que

se ha conseguido la información buscada. Las acciones que esa información pueda
facilitar o favorecer no se enmarcan bajo este término. En muchos casos los ingenieros
sociales no tocan un ordenador ni acceden a sistemas, pero sin su colaboración otros
no tendrían la posibilidad de hacerlo.
La seguridad informática tiene por objetivo el asegurar que los datos que almacenan
nuestros ordenadores se mantengan libres de cualquier problema, y que el servicio que
nuestros sistemas prestan se realice con la mayor efectividad y sin caídas.
El factor humano es el
eslabón más débil de la
seguridad informática
Técnicas Técnicas Técnicas No
de la Ingeniería Social Pasivas Presenciales

Técnicas Técnicas
presenciales presenciales
no agresivas agresivas
Técnicas Pasivas:

Basadas en la observación
y análisis del
comportamiento de la
víctima, con el fin de
reconstruir su rutina diaria,
de crear un perfil
psicológico aproximado,
etc.
Técnicas No Presenciales

Basadas en las solicitudes de

información mediante correo
electrónico, llamadas telefónicas
y otros medios de comunicación
directa entre usuarios.

• Recuperar la contraseña
• Correo
• Chats
• Teléfono
• Carta y fax
• Internet
Técnicas Presenciales No
Agresivas

• Buscando en La basura
• Mirando por encima del
hombro
• Seguimiento de personas y
vehículos
• Vigilancia de Edificios
• Inducción
• Acreditaciones
• Agendas y teléfonos móviles
• Desinformación
 • Listados Telefónicos.
¿Qué hay en nuestra • Organigramas.
• Memorandos Internos.
basura? • Manuales de Políticas de la Compañía.
• Agendas en Papel de Ejecutivos con Eventos y
Vacaciones.
• Manuales de Sistemas.
• Impresiones de Datos Sensibles y Confidenciales.
• “Logins”, “Logons” y a veces... contraseñas.
• Listados de Programas (código fuente).
• DVD’s, CD’s, Cintas o Disquettes.
• Papel Membretado y Formatos Varios.
• Hardware Obsoleto.
• Fotocopias de cedulas o documentos con datos
personales
Técnicas Agresivas

• Suplantación de personalidad
• Chantaje o extorsión
• Despersonalización
• Presión psicológica
 • Mantenga una actitud cautelosa y revise constantemente
sus tendencias de ayudar a personas que no conoce.
• Verifique con quien habla, especialmente si le están
preguntando por contraseñas, datos de empleado u otra
información sensitiva.
• Al teléfono, obtenga nombres e identidades (Nro. De
Empleado, por ejemplo). Corrobórelos y llámelos a su
pretendida extensión.
• No se deje intimidar o adular para terminar ofreciendo
información.
• No le permita a una persona desconocida “descrestarlo”
con su aparente conocimiento.
• Muchos pueden sonar como parte de “la-cosa-real”, pero
¿Cómo nos pueden ser parte de la conspiración.
• Sea cauteloso (de nuevo, no paranoico) en las encuestas,
defendemos? concursos y ofertas
• especiales vía internet, teléfono y correo electrónico y
convencional. De eso tan bueno no dan tanto
• Estas son formas comunes de cosechar direcciones de
correo electrónico,
• contraseñas y otros datos personales.
• No responda un mensaje de una cadena
 En Atento Colombia promovemos el derecho constitucional
de toda persona a conocer, actualizar y rectificar las
informaciones que se hayan recogido sobre ellas en bases
de datos o archivos.

Así mismo, Atento Colombia cumple con lo establecido en

la ley 1581 de 2012, el decreto 1377 de 2013 y demás
normas que modifican, adicionan y complementan la
regulación acerca de la Protección de Datos Personales.

Guía Tratamiento
Base de Datos
Protección de datos personales
La ley 1581 de 2012 inicia un régimen de protección La obligación de Protección de los Datos Personales
de la información personal de las personas naturales. ha sido desarrollada en diferentes decretos y leyes.
Mediante esta ley se busca proteger los derechos de Inicialmente ha sido establecida en la ley 1581 del
las personas naturales sobre la divulgación y buen 2012 en la que se ordeno su reglamentación por parte
manejo de sus datos personales, creando un del gobierno en los años siguientes. En el decreto 886
desarrollo constitucional alrededor del Derecho de de 2014, se estipula la información, estipulaciones y
Habeas Data de las personas naturales. condiciones iniciales del Registro Nacional de Base de
Datos. En la circular 002 de 2015 se establece la
información adicional a registrarse y el tiempo en el
que deberá realizarse la inscripción.

El desarrollo del proceso de Registro se realiza en la

circular 002 de 2015, de la SIC. El registro de las bases
de Datos es necesaria y se encuentra sujeta a la
verificación de su complimiento por parte de la SIC.
Registro Nacional de Bases de Datos
Descripción

Realizar la inscripción en la Superintendencia de Industria y Comercio, de las bases de datos de personas

naturales de las que Atento es Responsable, de acuerdo con la ley 1581 del 2012 y 1377 del 2013.

Objetivo General y Específicos

El objetivo general es lograr la inscripción de las bases de datos, dentro del termino dado por la
Superintendencia de Industria y Comercio.

• Levantamiento de las bases de datos de personas naturales de las cuales Atento es responsable.
• Cumplimiento de las medidas de seguridad de la información.
• Construcción de la Política de Tratamiento de Bases de Datos y Política de Protección de Datos
Personales.
• Validación y actualización de los sistemas de recolección y actualización de las autorizaciones de Datos
Personales en Atento.
 • Auditorias de control por parte de la SIC.
• Sanciones establecidas por parte de la SIC.
• Falta de control de la información.
• Desconocimiento de la información manejada.

• Organización de la información en Atento.

• Control y manejo de la seguridad de la información.
• Facilidad en los procesos de reporte.
• Control de las Bases de Datos que se tienen.
• Mayor control de la información de los Clientes.
 ¿Cuáles son los deberes de Atento ante la SIC*?

Encargado Responsable

Persona natural o jurídica, pública o

Persona natural o jurídica, pública o privada, que por sí misma o
privada, que por sí misma o en asocio
en asocio con otros, realice el tratamiento de base de datos
con otros, decida sobre la base de
personales por cuenta del responsable del Tratamiento.
datos y/o el Tratamiento de los datos.

Bases de datos de los Base de datos de los

Bases de datos de los Clientes empleados actuales y que ya aspirantes a ingresar a
no trabajan en Atento. Atento

*Superintendencia de Industria y Comercio

 Protección de datos personales

1. Identificación de todas las Bases de

1. Autorizaciones para la obtención y Datos y sus controles en Atento
tratamiento de información personal. Colombia.
2. Autorizaciones para la obtención y 2. Información de las personas que tienen
tratamiento de información sensible. acceso a las Bases de Datos
3. Política de Tratamiento de Datos 3. Nombramiento del Oficial de
Personales. Cumplimiento.
4. Política de Seguridad de Bases de Datos. 4. Política de Tratamiento de Base de
Datos como Encargados.
5. Registro Nacional de Base de Datos.
6. Actualización de las Políticas Actuales y
formatos.
Guía Tratamiento Base De Datos
• Los datos de terceros deben ser tratados con la respectiva autorización y para su
debida finalidad.
• La finalidad para dicho tratamiento debe ser clara y limitada al igual que la respectiva
autorización.
• Se considera información personal datos como nombre, cédula, teléfono, dirección,
entre otros.
• Si tiene duda de si hay o no autorización validarlo con el titular.
• Retirar de inmediato la información de la base de datos si es exigido por el cliente;
revisar quien hace esta actualización.
• Reportar cualquier modificación que exija el titular; esto se debe comunicar al
responsable.
• Sólo se puede hacer tratamiento de la información a bases de datos autorizadas.
• Está prohibido usar datos obtenidos de referidos.
 • Multas de carácter personal e institucional
hasta por un equivalente de 2,000 salarios
mínimos mensuales legales vigentes.

• Multas sucesivas hasta que cese el

incumplimiento.

• Suspensión de las actividades relacionadas con

el tratamiento de datos hasta por 6 meses

• Cierre temporal de las operaciones

relacionadas con el Tratamiento una vez
transcurrido el término de suspensión en caso
de que no se hubieren adoptado los
correctivos.

Sanciones • Cierre inmediato y definitivo de la operación

que involucre el Tratamiento de Datos Sensibles.
 Objetivo
Establecer los lineamientos para la identificación y reporte
de incidentes de seguridad de la información, con el fin de
prevenir y limitar el impacto de los mismos.

Identificación y
Reporte de Incidentes
de Seguridad
DEFINICIONES Clave
Evento de seguridad de la información: Presencia identificada de
una condición de un sistema, servicio o red, que indica una posible violación de
la política de seguridad de la información o la falla de las salvaguardas, o una
situación desconocida previamente que puede ser pertinente a la seguridad.

Incidente: Un evento o serie de eventos de seguridad de la información no

deseados o inesperados, que tienen una probabilidad significativa de
comprometer las operaciones del negocio y amenazar la seguridad de la
información. También se define como un ataque electrónico deliberado a los
sistemas de comunicaciones o procesamiento de información. Acceso, intento
de acceso, uso, divulgación, modificación o destrucción no autorizada de
información, que compromete la confidencialidad, integridad o disponibilidad,
así como la legalidad y confiabilidad de la misma
DEFINICIONES Clave
Incidentes de Seguridad Física:
• Saltarse los torniquetes.
• Préstamo de huella para ingresar o salir de Atento
• Ingreso a las instalaciones y/o utilización de dispositivos electrónicos de
almacenamiento de datos como celulares, aparatos fotográficos, de envío
de mensajes y correos, USB, entre otros.
• Ingreso y/o consumo de sustancias prohibidas dentro de las instalaciones de
la empresa, así como ingresar bajo el estado provocado por esas sustancias.
• Ingreso a las áreas operativas con maletas, bolsos, mochilas y cualquier otro
elemento no permitido.
DEFINICIONES Clave
Incidentes de Seguridad Física:
• La pérdida de seguridad de la información causadas por las fallas en los
sistemas y servicios básicos que apoyan al flujo de información, así como
todas las fallas que pueda presentar la infraestructura física del site:
• Falla en el sistema de ventilación de los sites
• Falla en el sistema eléctrico y la planta de energía.

• Todo lo descrito en la Política de seguridad física y del entorno POL TEC SEG
008
DEFINICIONES Clave
Incidentes de Seguridad lógica:
• Involucra todas aquellas medidas establecidas por la administración -usuarios
y administradores de recursos de tecnología de información- para minimizar
los riesgos de seguridad, asociados con sus operaciones cotidianas llevadas a
cabo utilizando la tecnología de información.

• Préstamo de usuarios y contraseñas: Se considera incidente el préstamo de usuarios y/o

contraseñas provistas para la utilización de equipos y sistemas de la empresa, así como los
provistos por el cliente.
• Acceso no autorizado (Intrusión): Va desde el inicio de sesión no apropiado de una cuenta de
usuario (cuando un hacker inicia sesión con una cuenta legítima) a un acceso no autorizado
a archivos y directorios de un sistema o medios de almacenamiento para obtener privilegios
de súper usuario
• Fuga de Información: Actividad en la que se identifica que hay intento de extracción y/o
retransmisión de información (fuga de información) a través de medios electrónicos por parte
de personal interno de la empresa, ya sea por Correo Electrónico, USB, Impresoras, HTTP, etc
DEFINICIONES Clave
Incidentes de seguridad operativa:
• Préstamo de huella para ingresar o salir de la operación.
• Personal sospechoso o sin el carné, mover las cámaras de seguridad a efecto
de realizar algún acto no permitido, Utilización de hojas, libretas, plumas, lápiz
o cualquier instrumento de escritura en las estaciones de trabajo de negocios
Financieros.
• Ingreso a las áreas operativas con maletas, bolsos, mochilas y cualquier otro
elemento no permitido.
 Seguridad física:
Supervisor Seguridad
Los canales para el
Sede Encargado Atento Número
reporte de
Telares Nestor Silva 3232263349 3202412652
incidentes de
Dorado / Salitre Jaime Parra 3214690358 3202412511
seguridad física y
Royal Jhoanna Balaguera 3232263346 3202412626
lógica son los
Pereira Julian Cano 3183412235 3227312561
siguientes:
Bucaramanga Jhon Perez 3164112136 3202412390
 Seguridad lógica: Seguridad operativa:

• Generar ticket a través de la • Informar al Supervisor, Coordinador, Jefe o

herramienta Remedy. Gerente de negocio.

• Llamar a la extensión 40000

• A través de correo electrónico

seguridadinformatica@atento.com.co
 Gracias
Es hora de medir tu conocimiento ¡Certifícate!

• Las imágenes utilizadas en esta presentación son de uso libre y fueron descargadas de Freepik.es