POLITICA GENERAL DE SEGURIDAD DE LA INFORMACIÓN

1.  AUTORIDAD Y ALCANCE:

 

Este es un documento normativo elaborado por el área de Seguridad de la Información y aprobado por el COMITÉ DE SEGURIDAD DE LA INFORMACION del grupo empresarial Heinsohn Business Technology para su cumplimiento por parte de todo el personal de la Corporación, terceros, proveedores y contratistas, respecto a los lineamientos generales que se deben cumplir para garantizar la seguridad de la información dando cumpliendo a los principios de confidencialidad, integridad y disponibilidad ya establecidos.

 

2.  DEFINICION DE TERMINOS:

 

Para efectos de presente documento, se definen los siguientes términos:

  1. Confidencialidad

De acuerdo a la norma ISO/IEC 27001:2011, es aquella característica que permite garantizar que la información en cualquier medio solo será vista y accedida por personas autorizadas.

  1. Control

De acuerdo a la NTP-ISO/IEC 17999:2007, es una herramienta de gestión del riesgo, que incluye normas, procedimientos, estándares, estructuras organizacionales, de naturaleza administrativa, técnica, gerencial o legal.

  1. Comité de Seguridad de la Información

Responsable de revisar y proponer la presente Política y la estructuración, recomendación, seguimiento y mejora del Sistema de Gestión de Seguridad de la Información.

  1. Disponibilidad

De acuerdo a la norma ISO/IEC 27001:2013, es aquella característica que permite garantizar que la información en cualquier medio siempre estará disponible en el momento que se necesite consultar o acceder.

  1. Información

Es un conjunto organizado de datos en cualquier forma con inclusión de formas textuales, numéricas, graficas etc., y en cualquier medio, ya sea magnético, en papel, en pantallas de computadora u otro.

  1. Integridad

De acuerdo a la norma ISO/IEC 27001:2013, es aquella característica que permite garantizar que la información en cualquier medio solo será modificada por personas autorizadas.

  1. Oficial de Seguridad de la Información

Responsable de impulsar la implementación y cumplimiento de la presente política en coordinación con el Comité de Seguridad de la Información.

  1. Propietario de la Información

Es cualquier persona o entidad a la cual se le asigna la responsabilidad formal de custodiar y asegurar un activo de información o un conjunto de ellos.

  1. SGSI

Sistema de Gestión de Seguridad de la Información

 

3.  ROLES Y FUNCIONES

 

3.1 Oficial de Seguridad de la Información

  1. Gestionar el SGSI del grupo empresarial Heinsohn Business Technology, haciendo un monitoreo permanente de los principales indicadores que miden su desempeño, tomando las medidas necesarias en las situaciones que lo ameriten.
  2. Revisar y mantener actualizado el marco regulatorio de soporte a la presente Política.
  3. Revisar y actualizar el mapa de riesgos asociados al SGSI.
  4. Monitorear el desempeño de los controles asociados al SGSI.
  5. Informar periódicamente al Comité de Seguridad de la Información de la situación y avances actuales del SGSI.
  6. Convocar al Comité de Seguridad de Información en situaciones extraordinarios, a partir de una situación que amerite dicha convocatoria.
  7. Proponer la adquisición y uso de herramientas de Tecnología de Información como apoyo a la gestión del SGSI.
  8. Desarrollar de forma periódica, charlas de capacitación y concientización en temas de Seguridad Información para el personal nuevo y antiguo de la institución.
  9. Atender auditorías internas y externas de aspectos asociados a la Seguridad de la Información.
  10. Presidir la investigación de incidentes que afecten la seguridad de la información.

 

3.2 Comité de Seguridad de Información

 

  1. Revisar, evaluar y aprobar el alcance vigente de SGSI del grupo empresarial Heinsohn Business Technology.
  2. Revisar, evaluar y aprobar la versión vigente de la Política de Seguridad de la Información del grupo empresarial Heinsohn Business Technology.
  3. Revisar, evaluar y aprobar el conjunto de metodologías, normas, estándares y procedimientos que constituyen el marco regulatorio que da soporte a la presente Política de Seguridad de Información
  4. Revisar, evaluar y aprobar las medidas a ejecutarse en situaciones que amenacen la Seguridad de la Información del grupo empresarial Heinsohn Business Technology.

 

3.3 Gerencias

  1. Aceptar por escrito la adhesión a la presente política y su marco regulatorio de soporte.
  2. Incentivar a todo el personal a cargo, el cumplimiento permanente del marco regulatorio asociado a la operación del SGSI del grupo empresarial Heinsohn Business Technology.
  3. Informar al Oficial de Seguridad de la Información de situaciones que ameriten una investigación o revisión.
  4. Autorizar al personal a su cargo a asistir a las capacitaciones y charlas de concientización que se programen.
  5. Asistir a las convocatorias de reunión de trabajo y requerimientos de información, emitidos por el Oficial de Seguridad de la Información, asignado a personal responsable cuando se solicite.

 

3.4 Personal Interno

  1. Aceptar por escrito la adhesión a la presente política y su marco regulatorio de soporte.
  2. Cumplir con lo estipulado en el marco regulatorio del SGSI del grupo empresarial Heinsohn Business Technology.
  3. Asistir a las charlas de concientización y capacitación a los que sea convocado.
  4. Reportar al Oficial de Seguridad de la Información situaciones que amenacen la Seguridad de la Información del grupo empresarial Heinsohn Business Technology.
  5. Participar de las reuniones de trabajo a las que sea convocado.

 

3.5 Personal Externo

  1. Aceptar por escrito la adhesión a la presente política y su marco regulatorio de soporte.
  2. Cumplir con lo estipulado en el marco regulatorio del SGSI del grupo empresarial Heinsohn Business Technology, en lo que respecta a su relación con terceros.

 

4.  POLITICAS

 

Para el grupo empresarial HEINSOHN BUSINESS TECNHOLOGY, la seguridad de la información es uno de los activos más importantes para la prestación de nuestros servicios, relacionados con brindar a nuestros clientes soluciones innovadoras, basadas en tecnologías de información que contribuyan eficazmente en el mejoramiento de sus negocios y en el logro de sus objetivos empresariales, con el compromiso y competitividad de nuestro capital humano. Por esta razón, es de vital importancia que todos nuestros clientes, colaboradores, proveedores, contratistas, socios, y demás personas de interés en general, conozcan y acepten el compromiso como grupo empresarial en la protección de la información y la gestión de los riesgos asociados, cumpliendo los principios de confidencialidad, integridad y disponibilidad; generando siempre la responsabilidad como organización enmarcada en el mejoramiento continuo.

 

5.  LINEAMIENTOS GENERALES DE LA POLITICA DE SEGURIDAD DE LA INFORMACION

 

  1. Todos nuestros clientes, colaboradores, proveedores, contratistas, socios y personas de interés en general, serán responsables de proteger la información propia de la compañía, a la cual accedan y procesen, para evitar su pérdida, alteración, destrucción o uso indebido.

 

  1. Se debe garantizar la disponibilidad, integridad, confidencialidad de cada uno de los activos de la compañía, tales como:

– Información

– Colaboradores

– Redes de comunicación

– Equipos informáticos

– Equipamiento auxiliar

– Sistemas informáticos

– Instalaciones físicas

– Intangibles

– Servicios

– Aplicaciones de software

 

  1. HEINSOHN BUSINESS TECNHOLOGY, definirá e implementará controles para proteger los activos de la compañía, propendiendo garantizar la confidencialidad, disponibilidad e integridad.

 

  1. Cumplir con los requisitos legales que sean aplicables para la compañía.

 

Adicionalmente, con el fin de garantizar la seguridad de la información, se debe dar cumplimiento a las políticas específicas enunciadas a continuación:

  • Política uso aceptable de los activos
  • Política de control de acceso
  • Política de contraseñas
  • Política de cifrado
  • Política de escritorios desatendidos
  • Política de escritorio y pantalla limpia
  • Política de Backup
  • Política de transferencia o intercambio de la información
  • Política de Firewall
  • Política de Desarrollo Seguro
  • Política de Saturación del sistema
  • Política de correo electrónico e internet
  • Política de uso de software legal
  • Política de seguridad de la información en proyectos
  • Política de Derechos de propiedad intelectual
  • Política de gestión de proveedores

 

6.  OBJETIVOS

 

  • Promover una cultura al interior de la compañía, orientada a la seguridad de la información.
  • Identificar, Valorar y Asignar a cada responsable, todos los activos relevantes para la compañía, con el fin de buscar que se mantengan con altos niveles de disponibilidad, confidencialidad e integridad.
  • Promulgar, capacitar y sensibilizar a todos nuestros clientes, colaboradores, proveedores, contratistas, socios y personas de interés en general; en la importancia de la protección y cuidado los activos de información que se maneja en la compañía.
  • Gestionar los riesgos asociados a la seguridad de la información, identificando las vulnerabilidades y amenazas que enfrentan los activos de mayor relevancia para la compañía, con el fin de propender por la continuidad de la operación.
  • Implementar y hacer seguimiento, a los controles necesarios para proteger los activos de información de la compañía, propendiendo garantizar la confidencialidad, disponibilidad e integridad.
  • Mantener los diferentes procesos, procedimientos, normativas y leyes en general actualizados, con el fin de asegurar la vigencia y el alto nivel de eficacia de todo el sistema de SGSI.
  • Generar un compromiso por parte de toda la compañía, para realizar un seguimiento a todo el sistema de gestión de seguridad de la información enmarcado en el mejoramiento continuo.

 

7.   RESPONSABILIDADES

 

El área de Seguridad de la Información es responsable de gestionar la implementación y velar por el cumplimiento de la presente política, así como de su revisión periódica, actualización, difusión, concientización y capacitación del personal y terceros para su adecuado cumplimiento.

El incumplimiento a la presente política conllevará sanciones y/o llamados de atención establecidos previamente por la organización en su reglamento de trabajo y/o documentos equivalentes.

 

8.  CONFORMIDAD

 

Este documento ha sido aprobado por el COMITÉ DE SEGURIDAD DE LA INFORMACION del grupo empresarial Heinsohn Business Technology.

 

9.  DURACIÓN

 

Permanente, de igual manera esta política será revisada con una periodicidad anual de ser necesario se realizarán cambios a esta o a la documentación que soporte el SGSI.

 

10.      HISTORIAL DE CAMBIOS

 

Fecha Versión Descripción Autor
02-07-15 1.0 Creación del Documento Grupo de Implementación
26-04-17 2.0 Migración de la política General de Seguridad de la Información a un nuevo formato y con nuevo contenido Felipe Salamanca Herrera
23-10-18 2.0 No hay cambios Felipe Salamanca Herrera
28-11-19 2.0 No hay cambios Felipe Salamanca Herrera
15-12-20 2.0 No hay cambios Felipe Salamanca Herrera

 

11.      APROBACIONES

 

Aprobada por: Fecha de Aprobación Ultima Actualización
Comité de Seguridad de la Información 25 de Mayo de 2016 25 de Mayo de 2016
Comité de Seguridad de la Información 04 de Agosto de 2017 04 de Agosto de 2017
Comité de Seguridad de la Información 23 de Octubre de 2018 23 de Octubre  de 2018
Comité de Seguridad de la Información 28 de Noviembre de 2019 28 de Noviembre de 2019
Comité de Seguridad de la Información 15 de Diciembre de 2020 15 de Diciembre de 2020