Política Corporativa de la Seguridad de la Información





V. 2.0 Marzo 23, 2023

En la actualidad la información es reconocida como un activo valioso y a medida que los sistemas de información apoyan cada vez más los procesos de misión crítica se requiere contar con estrategias de alto nivel que permitan el control y administración efectiva de los datos. Datexco, los sistemas y red de información enfrentan amenazas de seguridad que incluyen, entre muchas otras: el fraude por computadora, espionaje, sabotaje, vandalismo, fuego, robo e inundación. Las posibilidades de daño y pérdida de información por causa de código malicioso, mal uso o ataques de denegación de servicio se hacen cada vez más comunes.

Con la promulgación de la presente Política de Seguridad de la Información Datexco formaliza su compromiso con el proceso de gestión responsable de información que tiene como objetivo garantizar la integridad, confidencialidad y disponibilidad de este importante activo, teniendo como eje el cumplimiento de los objetivos misionales de la organización.


La seguridad de la información se entiende como la preservación, aseguramiento y cumplimiento de las siguientes condiciones de la información:

• Confidencialidad: los activos de información solo pueden ser accedidos y custodiados por usuarios que tengan permisos para ello.

• Integridad: El contenido de los activos de información debe permanecer inalterado y completo. Las modificaciones realizadas deben ser registradas asegurando su confiabilidad.

• Disponibilidad: Los activos de información sólo pueden ser obtenidos a corto plazo por los usuarios que tengan los permisos adecuados.

Para ello es necesario considerar aspectos tales como:

•Autenticidad: Los activos de información los crean, editan y custodian usuarios reconocidos quienes validan su contenido.

• Posibilidad de Auditoría: Se mantienen evidencias de todas las actividades y acciones que afectan a los activos de información.

• Protección a la duplicación: Los activos de información son objeto de clasificación, y se llevan registros de las copias generadas de aquellos catalogados como confidenciales.

• No repudio: Los autores, propietarios y custodios de los activos de información se pueden identificar plenamente.

• Legalidad: Los activos de información cumplen los parámetros legales, normativos y estatutarios de la empresa.

• Confiabilidad de la Información: Es fiable el contenido de los activos de información que conserven la confidencialidad, integridad, disponibilidad, autenticidad y legalidad.


Datexco garantiza el apoyo al proceso de establecimiento, implementación, operación, seguimiento, revisión, mantenimiento y mejora del Proceso de Gestión de la Seguridad de la Información, el cual hace parte integral del sistema de gestión de calidad SGC, a través de la presente política.



4.1 Generalidades

La información es un recurso que, como el resto de los activos, tiene valor para la empresa y por consiguiente debe ser debidamente protegida.

El establecimiento, seguimiento, mejora continua y aplicación de la Política de Seguridad de la Información garantiza un compromiso ineludible de protección a la misma frente a una amplia gama de amenazas. Con esta política se contribuye a minimizar los riesgos asociados de daño y se asegura el eficiente cumplimiento de las funciones sustantivas de la empresa apoyadas en un correcto sistema de información.

La empresa establecerá los mecanismos para respaldar la difusión, estudio, actualización y consolidación tanto de la presente política como de los demás componentes del Sistema de Gestión de la Seguridad de la Información y alinearlos de forma efectiva con los demás sistemas de gestión.


4.2 Alcance

Esta política es de aplicación en el conjunto de áreas que componen la empresa, a sus recursos, a la totalidad de los procesos internos o externos vinculados a la empresa a través de contratos o acuerdos con terceros y a todo el personal de Datexco, cualquiera sea su situación contractual, la dependencia a la cual se encuentre adscrito y el nivel de las tareas que desempeñe.

Objetivos

a) Proteger, preservar y administrar objetivamente la información de Datexco y las empresas que faciliten información para su debido uso o procesamiento, junto con las tecnologías utilizada para su procesamiento, frente a amenazas internas o externas, deliberadas o accidentales, con el fin de asegurar el cumplimiento de los características de confidencialidad, integridad, disponibilidad, legalidad, confiabilidad y no repudio de la información.

b) Mantener la Política de Seguridad de la Información actualizada, vigente, operativa y auditada dentro del marco determinado por los riesgos globales y específicos de la empresa para asegurar su permanencia y nivel de eficacia.

c) Definir las directrices de Datexco para la correcta valoración, análisis y evaluación de los riesgos de seguridad asociados a la información y su impacto, identificando y evaluando diferentes opciones para su tratamiento con el fin de garantizar la continuidad e integridad de los sistemas de información.


4.3 Responsabilidad

La Política de Seguridad de la Información es de aplicación obligatoria para todo el personal de Datexco, cualquiera sea su situación contractual, la dependencia a la cual se encuentre adscrito y el nivel de las tareas que desempeñe.

La dirección de la empresa aprueba esta Política y son responsables de la autorización de sus modificaciones.

El área de tecnología de la empresa es responsable de revisar y proponer a la dirección de la empresa para su aprobación, el texto de la Política de Seguridad de la Información, las funciones generales en materia de seguridad de la información y la estructuración, recomendación, seguimiento y mejora del Sistema de Gestión de Seguridad de la empresa. Es responsabilidad de dicha área definir las estrategias de capacitación en materia de seguridad de la información al interior de la empresa.

El área responsable de Seguridad Informática será responsable de cumplir funciones relativas a la seguridad de los sistemas de información de la empresa, lo cual incluye la operación del SGSI y supervisión del cumplimiento, dentro de la dependencia, de aspectos inherentes a los temas tratados en la presente Política.

Los propietarios de activos de información son responsables de la clasificación, mantenimiento y actualización de la misma; así como de documentar y mantener actualizada la clasificación efectuada, definiendo qué usuarios deben tener permisos de acceso a la información de acuerdo a sus funciones y competencia. En general, tienen la responsabilidad de mantener íntegro, confidencial y disponible el activo de información mientras que es desarrollado, producido, mantenido y utilizado.

El jefe de Recursos Humanos cumplirá la función de notificar a todo el personal que se vincula contractualmente con la empresa, de las obligaciones respecto del cumplimiento de la Política de Seguridad de la Información y de todos los estándares, procesos, procedimientos, prácticas y guías que surjan del Sistema de Gestión de la Seguridad de la Información. De igual forma, será responsable de la notificación de la presente Política y de los cambios que en ella se produzcan a todo el personal, a través de la suscripción de los Compromisos de Confidencialidad y de tareas de capacitación continua en materia de seguridad según lineamientos dictados por el Comité de Seguridad de la Información.

Los usuarios de la información y de los sistemas utilizados para su procesamiento son responsables de conocer y cumplir la Política de Seguridad de la Información vigente.

El auditor del sistema de gestión de calidad, es responsable de practicar auditorías periódicas sobre los sistemas y actividades vinculadas con la gestión de activos de información y la tecnología de información. Es su responsabilidad informar sobre el cumplimiento de las especificaciones y medidas de seguridad de la información establecidas por esta Política y por las normas, procedimientos y prácticas que de ella surjan.


Cada área, bajo la supervisión del líder de calidad, debe elaborar y mantener un inventario de los activos de información que poseen (procesada y producida). Las características del inventario, donde se incorpora la clasificación, valorización, ubicación y acceso de la información, y corresponde al área de tecnología brindar herramientas que permitan la administración del inventario por cada área, garantizando la disponibilidad, integridad y confidencialidad de los datos que lo componen.


Todo el personal de Datexco, cualquiera sea su situación contractual, la dependencia a la cual se encuentre adscrito y el nivel de las tareas que desempeñe debe tener asociado un perfil de uso de los recursos de información, incluyendo el hardware y software asociado. El área de tecnología debe mantener un directorio completo y actualizado de tales perfiles.

El área de tecnología  determina cuales son los atributos que deben definirse para los diferentes perfiles.

El área de tecnología debe elaborar, mantener, actualizar, mejorar y difundir el protocolo de “Responsabilidades Personales para la Seguridad de la Información en Datexco”.

La responsabilidad de custodia de cualquier archivo mantenido, usado o producido por el personal que se retira, o cambia de cargo, recae en el jefe de departamento o supervisor del contrato; en todo caso el proceso de cambio en la cadena de custodia de la información debe hacer parte integral del procedimiento de terminación de la relación contractual o de cambio de cargo.


6.1 Responsabilidades del personal de la empresa

Todo el personal de Datexco, cualquiera sea su situación contractual, la dependencia a la cual se encuentre adscrito y las tareas que desempeñe debe firmar un acuerdo que contenga los términos y condiciones que regulan el uso de recursos de IT y las reglas y perfiles que autorizan el uso de la información empresa.

Los procedimientos para obtener tales perfiles y las características de cada uno de ellos deben ser mantenidos y actualizados por cada dependencia, de acuerdo a los lineamientos dados, en cuanto a los dispositivos hardware y los elementos software.

La dirección del área de Recursos Humanos junto con la dirección del área de tecnología se encargará de crear, actualizar, mantener y ejecutar un plan de capacitación en seguridad de la información que propendan por el crecimiento continuo de la conciencia individual y colectiva en temas de seguridad de la información.


6.2 Responsabilidades de los funcionarios.

Para poder usar los recursos de IT de la empresa, los funcionarios deben leer y firmar el acuerdo de confidencialidad y buenas prácticas con los términos y condiciones. Debe contemplar procesos y sanciones disciplinarias para los casos en que se presente usos de información y IT que violen los términos y condiciones.


6.3 Responsabilidades de Usuarios Externos

Todos los usuarios externos y personal de empresas externas deben estar autorizados por un miembro del personal de la empresa quien será responsable del control y vigilancia del uso adecuado de la información y los recursos de IT corporativos. Los procedimientos para el registro de tales usuarios debe ser creado y mantenido por el área de tecnología en conjunto con el área de recursos humanos.

Los usuarios externos deben aceptar por escrito los términos y condiciones de uso de la información y recursos de IT corporativos. Las cuentas de usuarios externos deben ser de perfiles específicos y tener acceso limitado y controlado, según el requerimiento.

Usuarios invitados y servicios de acceso público.


6.4 El acceso de usuarios no registrados solo debe ser permitido al sitio web de información empresarial. El acceso y uso a cualquier otro tipo de recurso de información y IT no es permitido a usuarios invitados o no registrados.


7.1. Acceso

Se debe tener acceso controlado y restringido, en caso de llegar a tener servidores locales. El área de tecnología será la responsable de mantener los controles y registros de acceso. Actualmente toda la información de la organización ahora reposa en servidores proveídos y asegurados con tecnología Google.

7.2. Seguridad en los equipos

El servicio empresarial proporcionado por Google cuentan con mantenimiento y cuidado en ambiente seguro y protegido de los datos y acceso:


7.2.1. Seguridad física para proteger la integridad de los datos

Google distribuye los datos en diferentes centros de datos para que, en caso de incendio o desastre, se puedan enviar de forma automática a ubicaciones estables y seguras. Supervisan y protegen cada uno de estos centros de datos de forma ininterrumpida, y controlan el acceso a los datos con medidas estrictas como la identificación biométrica y la vigilancia basada en láser.


7.2.2. Hardware personalizado basado en la seguridad

La seguridad empieza en el hardware. Google ha creado procesos para garantizar la seguridad del hardware, como el examen detallado de los proveedores con los que trabaja, el diseño de chips personalizados, y la aplicación de medidas para identificar y autenticar los dispositivos legítimos de Google. De este modo, ofrece seguridad a todos los niveles.


7.2.3. Cifrado que garantiza la privacidad y la protección de los datos

El cifrado ofrece un nivel de seguridad y privacidad aún mayor a los servicios de Google. Mientras los datos se mueven entre los dispositivos de Datexco, los servicios de Google y centros de datos, están protegidos con tecnologías de seguridad como los protocolos HTTPS y TLS. También es cifrado de forma predeterminada el correo electrónico en reposo y en tránsito, así como las cookies de identidad.


7.2.4. Procesos para que las operaciones sean seguras

Google utiliza técnicas de supervisión de la seguridad para proteger a los usuarios contra el software malicioso.

Supervisa constantemente las aplicaciones e implementa parches a través del análisis automático de la red y tecnología patentada. Esto permite detectar amenazas y tomar las medidas necesarias para proteger los servicios de google frente al spam, el software malicioso, los virus y otras formas de código malicioso.

Análisis de forma activa para detectar vulnerabilidades.

Google analiza para detectar vulnerabilidades en el software. Para ello, utiliza tanto herramientas comerciales como de creación propia, así como pruebas de penetración intensivas automáticas y manuales, procesos de control de calidad, revisiones de la seguridad del software y auditorías externas.

Diseña productos teniendo en cuenta la seguridad

Los expertos de Google en seguridad y privacidad colaboran con los equipos de desarrollo para revisar el código y comprobar que los productos utilizan fuertes medidas de seguridad.


7.2.5. Controles estrictos para limitar el acceso únicamente al personal autorizado

Solo pueden acceder a los datos de la empresa el personal de Google que sea requerido para acceder y llevar a cabo su trabajo de soporte o mantenimiento, por ejemplo, los agentes del servicio de atención al cliente que ayudan a las empresas a gestionar sus datos. Aplican estrictos controles de acceso mediante métodos de protección técnicos y organizativos. Asimismo, evalúan a los proveedores externos que prestan servicios en nombre de Google, como los servicios de atención al cliente, para comprobar que ofrezcan el nivel de seguridad y privacidad necesario para poder acceder a los datos de la empresa.


7.2.6 Gestión de incidentes para una rápida resolución de las amenazas

El equipo de seguridad de Google trabaja de forma ininterrumpida para detectar, resolver y notificar rápidamente posibles incidentes relacionados con la seguridad. El programa de gestión de incidentes de seguridad se ha estructurado en torno a las prácticas recomendadas del sector y se ha adaptado al programa "Gestión de incidentes de Google (IMAG)", que se basa en aspectos únicos de Google y de su infraestructura. Asimismo, prueban periódicamente los planes de respuesta ante incidentes para estar siempre preparados.


7.2.7. Auditorías y certificaciones

Google trabaja constantemente para cumplir con las leyes aplicables y esto facilita que en Datexco cumplamos con estándares iguales. Además de someter periódicamente los programas y sistemas a una auditoría externa y renovar las certificaciones, ofrece protección mediante acuerdos estándares del sector, así como herramientas e información que ayudan a cumplir con las leyes correspondientes.

Una de las prioridades es proteger la información de los usuarios. Durante años, Google ha colaborado estrechamente con las autoridades de protección de datos de todo el mundo y han implementado importantes medidas para proteger la privacidad de acuerdo con sus directrices.

Toda información empresarial en formato digital debe ser mantenida en servidores aprobados por el área de tecnología. No se permite el alojamiento de información empresarial en equipos o servidores externos sin que medie una aprobación por escrito del área de tecnología.

Las estaciones de trabajo deben estar correctamente aseguradas y operadas por personal de la empresa el cual debe estar capacitado acerca del contenido de esta política y de las responsabilidades personales en el uso y administración de la información empresarial.

Los medios utilizados para alojar copia de seguridad deben ser proveídos por Google de acuerdo a las políticas y estándares que para tal efecto elabore y mantenga el proveedor.

Las áreas tienen la responsabilidad de adoptar y cumplir las normas definidas para la creación y el manejo de copias de seguridad.



8.1. Reporte e investigación de incidentes de seguridad

El personal de la empresa debe reportar con diligencia, prontitud y responsabilidad presuntas violaciones de seguridad a través de su jefe de área al director del área de tecnología . En casos especiales dichos reportes podrán realizarse directamente, lo que debe garantizar las herramientas informáticas para que formalmente se realicen tales denuncias.

Será el área de tecnología la encargada de preparar, mantener y difundir las normas, procesos y guías para el reporte e investigación de incidentes de seguridad.

En conformidad con la ley, la empresa podrá interceptar o realizar seguimiento a las comunicaciones por diferentes mecanismos previa autorización del área de Tecnología, y en todo caso notificando previamente a los afectados por esta decisión.


8.2. Protección contra software malicioso y hacking.

Todos los sistemas informáticos están protegidos teniendo en cuenta las seguridades implementadas por Google como proveedor del servicio arriba descrito.

En todo caso y como mínimo, las estaciones de trabajo de la empresa deben estar protegidas por software antivirus con capacidad de actualización automática en cuanto a firmas de virus. Los usuarios de las estaciones no están autorizados a deshabilitar este control.

El área de tecnología podrá hacer seguimiento al tráfico de la red cuando se tenga evidencias de actividad inusual o detrimentos en el desempeño. La dependencia que realice dicho seguimiento deberá informar a la comunidad a través de correo electrónico o noticias en el portal empresarial de la ejecución de esta tarea.

El Área de Tecnología debe mantener una base de datos con alertas de seguridad reportadas por organismos competentes y actuar en conformidad cuando una alerta pueda tener un impacto considerable en el desempeño de los sistemas informáticos.


8.3. Copias de Seguridad

Toda información que pertenezca a la matriz de activos de información empresarial o que sea de interés para un proceso operativo o de misión crítica debe ser respaldada por copias de seguridad de forma sistemática a través de Google vault o los servicios complementarios que este provea para controlar históricos, copias de seguridad y versionamiento de documentos.

La creación de copias de seguridad de archivos usados, custodiados o producidos por usuarios individuales es responsabilidad exclusiva de dichos usuarios y debera ser almacenada en la ubicacion dentro del equipo que le sea asignada para asegurar las copias de seguridad y versionamiento controlado.


8.4. Intercambio de Información con Organizaciones Externas.

Las peticiones de información por parte de entes externos de control deben ser aprobadas por la Dirección, y dirigida por dichos entes a los responsables de su custodia de la información específica solicitada.

Toda la información empresarial debe ser manejada de acuerdo con la ley vigente.


8.5. Internet y Correo Electrónico

La seguridad en el uso de Internet y de los servicios de correo electrónico será proveído igualmente por Google. En todo caso el área de tecnología debe velar por el cumplimiento del código de ética empresarial y el manejo responsable de los recursos de tecnologías de la información.


8.6. Instalación de Software

Todas las instalaciones de software que se realicen sobre sistemas de la empresa deben ser aprobadas por el área de tecnología, de acuerdo a los procedimientos elaborados para tal fin por dicha área.

No se permite la instalación de software que viole las leyes de propiedad intelectual y derechos de autor en especial la ley 23 de 1982 y relacionadas. El Área de Tecnología debe desinstalar cualquier software ilegal y registrar este hecho como un incidente de seguridad que debe ser investigado. 

El área de tecnología debe mantener una base de datos actualizada que contenga un inventario del software autorizado para su uso e instalación en los sistemas informáticos empresariales.



9.1. Categorías de Acceso

El acceso a los recursos de tecnologías de información empresariales deben estar restringidos según los perfiles de usuario.


9.2. Control de Claves y Nombres de Usuario

El acceso a información restringida debe estar controlado. Se recomienda el uso de sistemas automatizados de autenticación que manejen credenciales o firmas digitales.

Corresponde al Área de Tecnología elaborar, mantener y publicar los documentos de servicios de red que ofrece la empresa a su personal, proveedores y terceros.

El Área de Tecnología debe elaborar, mantener y publicar procedimientos de administración de cuentas de usuario para el uso de servicios de red.

La empresa debe propender por mantener al mínimo la cantidad de cuentas de usuario que el personal y terceros deben poseer para acceder a los servicios de red.

El control de las contraseñas de red y uso de equipos es responsabilidad de área de Calidad. Dichas contraseñas deben ser codificadas y almacenadas de forma segura.

Las claves de administrador de los sistemas deben ser conservadas por la dirección y deben ser cambiadas de acuerdo con necesidades específicas. En un futuro se deberán programar intervalos regulares de tiempo para dichos cambios. 

Como requisito para la terminación de relación contractual ­ o laboral ­ del personal de la empresa, el área de tecnología debe expedir un certificado de paz y salvo y cancelación de las cuentas de usuario asignadas para el uso de recursos de tecnologías de la información de la empresa.


9.3. Computación Móvil

La empresa reconoce el alto grado de exposición que presenta la información y los datos almacenados en dispositivos portátiles (computadores portátiles, notebooks, PDA, celulares, etc). Corresponde al área de tecnología, controlar dicha información y copias de soporte a través de la plataforma de Google. 


Todo uso y seguimiento de uso a los recursos de IT en Datexco debe estar de acuerdo a las normas y estatutos internos así como a la legislación nacional en la materia, incluido pero no restringido a:

Constitución Política de Colombia

Ley 527 ­1999 Ley de comercio electrónico.

NTC 27001:2006. Sistema de Gestión de Seguridad de la Información.

ISO/IEC 17799:2005 Information technology ­ Security techniques ­ Code of practice for information security management

Código de ética de Datexco



11.1. Información

Toda forma de conocimiento objetivo con representación física o lógica explícita.


11.2. Activo de Información

Datos o información propiedad de la empresa que se almacena en cualquier tipo de medio y que es considerada por la misma como sensitiva o crítica para el cumplimiento de los objetivos misionales.


11.3. Sistema de Información

Conjunto ordenado de elementos cuyas propiedades se relacionan e interaccionan permitiendo la recopilación, procesamiento, mantenimiento, transmisión y difusión de información utilizando diferentes medios y mecanismos tanto automatizados como manuales.


11.4. Propietario de Activos de Información

En el contexto de la norma NTC 27001, un propietario de activos de información es cualquier persona o empresa a la cual se le asigna la responsabilidad formal de custodiar y asegurar un activo de información o un conjunto de ellos.


11.5. Tecnología de la Información

Conjunto de hardware y software operados por la empresa ­ o por un tercero en su nombre, que componen la plataforma necesaria para procesar y administrar la información que requiere la empresa para llevar a cabo sus funciones.


11.6. Evaluación de Riesgos

Evaluación de las amenazas y vulnerabilidades relativas a la información y a las instalaciones de procesamiento de la misma, la probabilidad de que ocurran y su potencial impacto.


11.7. Administración de Riesgos

Proceso de identificación, control y reducción o eliminación, a un costo aceptable, de los riesgos de seguridad que podrían afectar a la información. Dicho proceso es cíclico y debe llevarse a cabo en forma periódica.


11.8. Responsable de Seguridad Informática

Director del área de tecnología. Su función principal es supervisar el cumplimiento de la presente Política.


11.9. Incidente de Seguridad Informática

Un incidente de seguridad informática es un evento adverso en un sistema de computadoras, o red de computadoras, que compromete la confidencialidad, integridad, disponibilidad, legalidad o confiabilidad de la información.

Puede ser causado mediante la explotación de alguna vulnerabilidad o un intento o amenaza de romper los mecanismos de seguridad existentes.


Control de Cambios


Cliente interno: Plantilla Docs en Legal & Contracts\Adhesion - Politica Seguridad Informacion