Fecha de aprobacin: 18/07/13

Versin: 1

Tipo de documento: Polticas con sus

respectivos estndares

Aprobado por: Comit Directivo de

Asuntos Corporativos

Poltica de Tecnologas
de Informacin y
Comunicacin TIC

Poltica de adquisicin, implementacin y mantenimiento de las TIC

Poltica de uso para equipos porttiles y dispositivos mviles
Poltica de gestin de servicios TIC
Poltica de manejo y proteccin de la informacin
Poltica de responsabilidad en el uso de las TIC
Poltica de soporte a los usuarios de las TIC
Poltica de relacin con infraestructura de terceros
Poltica de gestin del riesgo TIC
Poltica de incorporacin al cumplimiento regulatorio
Poltica de proteccin del medioambiente
Poltica de seguridad de la informacin

Poltica de Tecnologas de Informacin y Comunicacin TIC

ALCANCE

Establecer un marco de gobierno para que el uso de las TICs de la organizacin, logre satisfacer las
necesidades actuales y futuras derivadas de la estrategia del negocio, siguiendo los criterios de
innovacin, calidad, eficiencia, escalabilidad, y de arquitectura empresarial. Estas polticas son
aplicables a todos los colaboradores, consultores, contratistas, terceras partes, que usen las tecnologas
de informacin y la comunicacin de la organizacin.
LINEAMIENTOS GENERALES DE LA POLTICA DE TECNOLOGAS DE LA INFORMACIN Y LA
COMUNICACIN (TIC)

Responsabilidad: Es responsabilidad la Vicepresidencia de Desarrollo Corporativo y Nuevos

Negocios, por medio del rea de Arquitectura Organizacional, hacer uso de la poltica de TIC como parte
de sus herramientas de gobierno y de gestin y definir los estndares, procedimientos y lineamientos que
garanticen su cumplimiento.
Cumplimiento: El cumplimiento de la Poltica de Tecnologas de la Informacin y Comunicacin (TIC)
es obligatorio. Si los colaboradores, consultores, contratistas, terceras partes violan estas polticas, la
Organizacin se reserva el derecho a tomar las medidas correspondientes.
Excepciones: Las excepciones a cualquier cumplimiento de Poltica de Tecnologas de la Informacin y
Comunicacin (TIC) deben ser aprobadas por la Vicepresidencia de Desarrollo Corporativo y Nuevos
Negocios, por medio del rea de Arquitectura Organizacional, la cual puede requerir autorizacin del
Comit de Asuntos Corporativos o de la Presidencia de la compaa. Todas las excepciones a la Poltica
deben ser formalmente documentadas, registradas y revisadas por dicho Comit.
Administracin de las polticas: Las modificaciones o adiciones de la Poltica de Tecnologas de la
Informacin y Comunicacin (TIC) sern propuestas por Vicepresidencia de Desarrollo Corporativo y
Nuevos Negocios, por medio del rea de Arquitectura Organizacional, y aprobadas por el Comit de
Asuntos Corporativos de Celsia. Estas polticas deben ser revisadas como mnimo una vez al ao o
cuando sea necesario.
DEFINICIONES

Para los propsitos de este documento, se definen los siguientes conceptos:

Activo: Cualquier cosa que tenga valor para la Organizacin.

Amenaza: Causa potencial de un incidente no deseado, que puede ocasionar dao a un sistema o a la
Organizacin.
Arquitectura empresarial: Conjunto de elementos organizacionales (estrategia, estructura, procesos
ms tecnologa, personas) que se relacionan entre s, garantizando la alineacin desde los niveles ms
altos (estratgicos), medios (tcticos), hasta los ms bajos (operativos), con el fin de optimizar la
generacin de productos y servicios que conforman la propuesta de valor entregada a los clientes.
Confidencialidad: Propiedad que determina que la informacin no est disponible ni sea revelada a
individuos, entidades o procesos no autorizados.
Continuidad: Capacidad de la Gestin de Servicios de Tecnologa para continuar con la entrega de
productos o servicios a los niveles predefinidos aceptables despus de un evento perjudicial.

Celsia S.A. E.S.P.

www.celsia.com

Pgina 1

Poltica de Tecnologas de Informacin y Comunicacin TIC

Desastre o contingencia: Interrupcin de la capacidad de acceso a informacin y procesamiento de la

misma, por medio de equipos de cmputo u otros medios necesarios para la operacin normal de un
negocio.
Disponibilidad: Propiedad de que la informacin sea accesible y utilizable por solicitud de una entidad
autorizada.
La Organizacin: Se refiere a Celsia S.A. E.S.P., Zona Franca Celsia S.A. E.S.P., EPSA E.S.P. y CETSA
E.S.P.
Evaluacin del Riesgo: Proceso de comparar el riesgo estimado contra criterios de riesgo dados, para
determinar la importancia del riesgo.
Integridad: Propiedad de salvaguardar la exactitud y el estado completo de los activos.
Impacto: La consecuencia que al interior de la compaa se produce al materializarse una amenaza.
Operacin: Actividades diarias de infraestructura realizadas para soportar y entregar los servicios de
tecnologa.
Polticas: Toda intencin y directriz expresada formalmente por la administracin de la Organizacin.
Procesos: Se define un proceso de negocio como conjunto de actividades que reciben una o ms
entradas para crear un resultado/producto de valor para el cliente o para la propia compaa/proceso
(concepto de Cliente Interno de Calidad). Normalmente, una actividad empresarial cuenta con mltiples
procesos que sirven para el desarrollo su objeto de negocio.
Procedimientos: Pasos operacionales que los colaboradores deben realizar para alcanzar ciertos
objetivos/resultados.
Riesgo: Combinacin de la probabilidad de un evento y sus consecuencias.
Seguridad de la informacin: Preservacin de la confidencialidad, integridad y disponibilidad de la
informacin. Puede involucrar otras propiedades como autenticidad, trazabilidad (accountability), no
repudio y fiabilidad.
TIC: Se refiere a las Tecnologas de Informacin y Comunicacin.
Vulnerabilidad: Debilidad de un activo o grupo de activos, que puede ser aprovechada por una o ms
amenazas.

Celsia S.A. E.S.P.

www.celsia.com

Pgina 2

Poltica de Tecnologas de Informacin y Comunicacin TIC

POLTICA DE ADQUISICIN, IMPLEMENTACIN

Y MANTENIMIENTO DE LAS TIC
La Vicepresidencia de Desarrollo Corporativo y Nuevos Negocios (VP DC&NN) por medio del rea de
Arquitectura Organizacional, es la responsable de la adquisicin, implementacin y mantenimiento de
todos los servicios y configuracin de las Tecnologas de Informacin y Comunicacin (TIC), requeridas
para los procesos de la Organizacin, buscando, dentro del marco legal que rija, asegurar la calidad de
los servicios entregados y de acuerdo con criterios de innovacin, confiabilidad, disponibilidad, seguridad,
economa e interoperabilidad, que den soporte a la productividad de los colaboradores en los procesos.
Estndares de la Poltica de adquisicin, implementacin y mantenimiento de las TIC
Requerimientos tecnolgicos: Cuando un rea requiera implementar un software, plataforma
tecnolgica o sistemas de informacin, debe diligenciar el respectivo formato de requerimientos y asignar
a una persona responsable para liderar la implementacin solicitada.
Para el manejo y administracin de los requerimientos tecnolgicos (adquisiciones, implementacin y
mantenimiento), los dueos de los procesos de la Organizacin tienen la responsabilidad de hacer las
pruebas necesarias.
Desarrollo de aplicaciones: Las aplicaciones que desarrollen los colaboradores deben cumplir con los
requerimientos de seguridad establecidos por la Organizacin conforme con la Poltica de Seguridad de
la Informacin, que se desarrolla ms adelante en este documento.
La propiedad intelectual de los desarrollos contratados o realizados por los colaboradores dentro de su
trabajo ser propiedad de la Organizacin, salvo acuerdo escrito expreso que diga lo contrario.
Los colaboradores o terceros que tengan acceso a los sistemas TIC de la Organizacin, no podrn copiar
ni ceder sin autorizacin las aplicaciones que son propiedad de la compaa ni las aplicaciones o
programas de los que esta tenga licencia de uso.
Procesos de desarrollo y soporte: El proceso de adquisicin y desarrollo de las aplicaciones debe ser
estructurado y ordenado, considerando las diferentes etapas del ciclo de vida de las soluciones.
La documentacin de cada uno de los sistemas implantados en la empresa debe contener la gua para
brindar soporte, la cual incluya copia del contrato con el proveedor que lo brinda, en caso de que aplique
esta modalidad, especificando los Acuerdos de Nivel de Servicio (ANS) establecidos, los interlocutores y
los procedimientos para obtener el servicio.
Seguridad en los archivos del sistema: El acceso a los archivos del sistema y al cdigo fuente debe
ser restringido. La actualizacin del software aplicativo y las libreras solo pueden ser llevada a cabo por
los administradores, considerando que para software de proveedores las actualizaciones y migracin a
nuevas versiones se deben realizar antes de que termine la vigencia del soporte.
Los procedimientos de control de cambios deben estar documentados y ser ejecutados bajo los controles
adecuados para no comprometer la seguridad de los sistemas.
Controles criptogrficos: La implementacin de controles criptogrficos se realiza con base en una
evaluacin de riesgos que identifique el nivel de proteccin necesario, teniendo en cuenta el tipo, la
fortaleza y la calidad del algoritmo de cifrado requerido.
Celsia S.A. E.S.P.
www.celsia.com

Pgina 3

Poltica de Tecnologas de Informacin y Comunicacin TIC

INFRAESTRUCTURA INFORMTICA

Responsabilidades de la operacin: Los procedimientos de operacin deben considerar la planeacin

de la operacin, el tratamiento y manipulacin de la informacin, las copias de respaldo, el manejo de
errores o excepciones durante la ejecucin de un trabajo, los contactos de apoyo para el caso de
dificultades operacionales o tcnicas inesperadas, reinicio de los sistemas y procedimientos de
recuperacin a utilizar en caso de falla del sistema, gestin de pistas de auditora y sistemas de registro
de informacin, y el aseguramiento de plataformas.
Separacin de ambientes: Para minimizar los riesgos en el proceso de puesta en produccin de los
cambios y nuevos desarrollos, as como el impacto por la no disponibilidad de los servicios, se debe
establecer una segregacin de ambientes, (Desarrollo, Pruebas y Produccin), considerando:

Definir y documentar las reglas para el paso de software entre ambientes.

El uso de diferentes equipos, dominios y directorios.
La restriccin de uso de compiladores, editores y otras herramientas de desarrollo o recursos del
sistema en ambientes de produccin.
Los sistemas de prueba deben emular al sistema productivo tan real como sea posible.
El uso de perfiles de usuario diferentes para los diferentes ambientes.
Los mens deben mostrar mensajes de identificacin adecuados para reducir el riesgo de error.
La restriccin de uso de datos de produccin en ambientes de prueba. En caso de ser necesario
se debe utilizar un mecanismo de enmascaramiento.

Computacin en NubeCloud Computing: La virtualizacin de escritorios debe garantizar que todos

los datos de usuarios se almacenen de una manera central, y que la informacin no se almacene a nivel
local.
El Comit de Cambios evaluar el impacto y los riesgos en trminos de capacidad, disponibilidad,
continuidad y seguridad, de las solicitudes de servicios de virtualizacin, segn el proceso de gestin de
cambios.
Los proveedores de servicios de virtualizacin podrn ser utilizados para ambientes de desarrollo y
continuidad. Cualquier excepcin debe ser autorizada por la VP DC&NN, con base en un anlisis de
riesgos.
Planificacin y aceptacin: Se deben establecer proyecciones de capacidad futura, para reducir el
riesgo de sobrecarga del sistema.
Se har monitoreo al uso de los servicios de red y de los sistemas, con el objetivo de ajustar y planificar
la capacidad, de acuerdo con el desempeo requerido para cumplir con los Acuerdos de Niveles de
Servicio y reducir el riesgo de posibles fallas.
Proteccin contra cdigos maliciosos: Se deben implementar controles de deteccin, prevencin,
recuperacin y concientizacin, con el fin de que los usuarios tengan proteccin frente a cdigos
maliciosos.
En los equipos de cmputo, de telecomunicaciones y en dispositivos basados en sistemas de cmputo,
nicamente se permite la instalacin de software con licenciamiento apropiado y acorde con la propiedad
intelectual.
Celsia S.A. E.S.P.
www.celsia.com

Pgina 4

Poltica de Tecnologas de Informacin y Comunicacin TIC

Gestin de seguridad en las redes: Las redes y la infraestructura de apoyo deben ser adecuadamente
gestionadas y aseguradas para protegerlas de amenazas y para mantener la seguridad de los sistemas
y aplicaciones.
Se deben implantar controles relacionados con la segmentacin, gestin, monitoreo y deteccin de
eventos, para asegurar la informacin que viaja por las redes.
Manejo de los medios magnticos: Se deben establecer procedimientos adecuados para proteger los
medios magnticos, para prevenir la revelacin, modificacin, eliminacin o destruccin no autorizada.
Todo medio magntico utilizado que no se requiera debe ser destruido, de manera que no se pueda
recuperar la informacin. En el caso de documentos, estos se deben destruir con las herramientas
adecuadas.
Debe existir un inventario de medios magnticos y deben almacenarse de acuerdo con las prescripciones
del fabricante para prevenir la prdida o deterioro de la informacin.
Todos los medios deben ser etiquetados de acuerdo con el procedimiento de clasificacin y manejo de
la informacin establecido por la compaa.
Los medios se deben de proteger contra el acceso no autorizado, el mal uso o corrupcin, durante el
transporte fuera de los lmites fsicos de la empresa. Esto se hace por medio de transportes autorizados
con soportes debidamente cifrados cuando sean requeridos.
Registros de auditora: Se deben conservar registros de auditora de las actividades de los usuarios,
incluyendo administradores y operadores, de las excepciones o incidentes de informacin y mantenerlos
durante un perodo acordado para ayudar en investigaciones futuras y en el seguimiento y monitoreo del
control de acceso:
En la medida de lo posible se incluir como mnimo en los registros:

Identificadores de usuarios.
Registro de intentos de acceso al sistema exitosos y rechazados.
Registro de intentos de acceso a los recursos y a los datos exitosos y rechazados.
Cambios en la configuracin del sistema.
Uso de privilegios.
Uso de dispositivos y aplicaciones del sistema.
Archivos a lo que se ha accedido y la clase de acceso.
Alarmas por el sistema de control de acceso.
Activacin y desactivacin de los sistemas de proteccin, tales como sistemas de antivirus y de
deteccin de intrusin.
Cambios o intentos de cambios en las posiciones y en los controles de seguridad del sistema.

La frecuencia con que se revisa los resultados de las actividades de seguimiento, depender de la
informacin y criticidad de los sistemas.

TELECOMUNICACIONES

Celsia S.A. E.S.P.

www.celsia.com

Pgina 5

Poltica de Tecnologas de Informacin y Comunicacin TIC

Uso de las Redes: La VP DC&NN, por medio de la Gerencia de Arquitectura Organizacional es la

responsable de definir las necesidades que tiene la compaa con respecto a las redes. Es responsable
tambin de la administracin de los anchos de banda necesarios para soportar los servicios TIC.
El uso de las redes ser monitoreado con el objetivo de ajustar y planificar la capacidad, de acuerdo con
el desempeo requerido para cumplir con los Acuerdos de Niveles de Servicio y reducir el riesgo de
posibles fallas.
Cualquier solicitud de servicio que no pueda ser soportada por la infraestructura existente debe
negociarse con la Vicepresidencia respectiva y seguir los estndares de implementacin.
Telefona fija: La asignacin de extensiones telefnicas y modificacin de categoras de acceso
telefnico se har de acuerdo con el perfil configurado en la matriz de atributos.
El uso de los telfonos fijos asignados a los colaboradores debe ceirse al desarrollo de actividades
relacionadas con el cargo.
Todos los servicios, requerimientos o incidentes, despus de pasar por los niveles de autorizacin
establecidos, sern canalizados por medio de la Mesa de Ayuda, hacia el proveedor de outsourcing de
telecomunicaciones.
Para control y seguimiento se debe generar un reporte peridico de consumo telefnico y comunicarlo a
las Vicepresidencias para su respectivo anlisis.
Telepresencia: La compaa dispone de salas de videoconferencia para establecer contacto virtual entre
los colaboradores de las diferentes sedes, permitiendo acortar distancias y hacer ms eficientes los
procesos.
Las salas de videoconferencia deben ser reservadas con anticipacin por medio de las personas
encargadas de su administracin en cada una de las sedes de la compaa.
Los colaboradores disponen del aplicativo Microsoft Lync, el cual permite realizar videoconferencias
facilitando la colaboracin y participacin desde cualquier lugar de la empresa. Microsoft Lync hace
posible la conexin desde aplicaciones como Microsoft Outlook, Microsoft Word, Microsoft SharePoint,
entre otros, y permite que las videoconferencias queden grabadas.
Radiocomunicacin: los servicios de radiocomunicacin son de uso exclusivo de las centrales. Las
solicitudes, despus de pasar por los niveles de autorizacin prestablecidos, sern canalizadas por medio
de la Mesa de Ayuda hacia el proveedor de outsourcing de telecomunicaciones.
Telecontrol: Las solicitudes de servicio de telecontrol de las nuevas subestaciones son solicitadas
directamente al rea de tecnologa de la Organizacin. La Mesa de Ayuda canalizar los requerimientos
o incidentes con el proveedor de outsourcing de telecomunicaciones.

POLITICA DE USO PARA EQUIPOS PORTTILES

Y DISPOSITIVOS MVILES
La VP DC&NN, por medio del rea de Arquitectura Organizacional, establece los requisitos y controles
para la conexin de equipos porttiles y los dispositivos mviles a la red de la compaa.

Celsia S.A. E.S.P.

www.celsia.com

Pgina 6

Poltica de Tecnologas de Informacin y Comunicacin TIC

Los colaboradores, consultores, contratistas y terceras partes, podrn hacer uso de los dispositivos
mviles, siempre y cuando cumplan con los criterios tcnicos, funcionales, de seguridad, regulatorios y
econmicos establecidos por la Organizacin.
Estndares de la Poltica para equipos porttiles y dispositivos mviles
Asignacin y uso de telfonos celulares: La empresa cuenta con un plan corporativo de servicios de
telefona mvil suministrado por un operador determinado. La VP DC&NN, por medio del rea de
Arquitectura Organizacional, es responsable de la contratacin del servicio de telefona celular con el
prestador de servicios que garantice las mejores condiciones para la empresa, en trminos de servicios,
costos, planes y cobertura.
La asignacin de los equipos y planes de telefona celular para los colaboradores se realiza de acuerdo
con las responsabilidades consignadas en la Matriz de Atributos y con la aprobacin del Vicepresidente
respectivo. La entrega de los equipos celulares se hace nicamente con los accesorios originales propios
de cada telfono y de acuerdo con los modelos correspondientes al plan o servicio contratado.
La VP DC&NN, por medio del rea de Arquitectura Organizacional, tiene bajo su responsabilidad el
suministrar de ayuda en lo que se refiere a configuracin de las aplicaciones y servicios autorizados por
la compaa, todo otro soporte es responsabilidad exclusiva del colaborador.
Si el colaborador desea un equipo que supera en precio los lmites establecidos, la diferencia econmica
debe ser asumida por l y se descontar del pago de nmina, siempre y cuando la VP GH&A lo apruebe,
una vez sea entregado el equipo.
El colaborador que cuente con servicio de telefona celular, asignado por la compaa, debe respetar el
valor del plan establecido y atender los criterios de racionalidad y disciplina en el uso del servicio.
Igualmente, debe ser utilizado por el colaborador para realizar las funciones establecidas para su cargo
y su uso debe estar orientado a agilizar las funciones inherentes al mismo.
En el caso de prdida, hurto, dao o deterioro del equipo, su reposicin, reparacin o mantenimiento es
responsabilidad del colaborador. As mismo, el colaborador debe notificar la prdida o mal estado en un
trmino no superior a 48 horas.
La VP GH&A, siempre revisa los consumos de voz y datos de cada colaborador al que se le ha asignado
la lnea de la empresa y aquellos valores que sobrepasan los lmites autorizados son validados con el
Vicepresidente respectivo y deducidos por nmina si no hay una justificacin al respecto.
El colaborador que se retire de la empresa, si desea continuar con la misma lnea telefnica, debe
solicitarlo por escrito a la VP GH&A para proceder con el trmite de ceder la lnea de la empresa a nombre
del colaborador, as mismo los planes sern sujetos a las tarifas comerciales del Operador mvil.
Planes de datos: Los colaboradores con plan de datos asignado, deben dar un uso racional y
estrictamente laboral a este. No deben realizarse labores que generen costos adicionales ni descargar
software no autorizado en los dispositivos que cuenten con plan de datos pagado por la compaa.
As mismo, deben acogerse las disposiciones de navegacin definidas por la compaa, las cuales
prohben, entre otros, la consulta de pginas violentas, pornogrficas o que atenten contra los principios,
tica y moral de los colaboradores.

Celsia S.A. E.S.P.

www.celsia.com

Pgina 7

Poltica de Tecnologas de Informacin y Comunicacin TIC

El incumplimiento por parte de los colaboradores de lo dispuesto en esta Poltica, dar lugar a las
sanciones previstas en el Cdigo Sustantivo del Trabajo, el Reglamento Interno de Trabajo, el Contrato
de Trabajo Individual y en otras leyes y normas que resulten aplicables.
Utilizacin de Internet mvil: La empresa asigna servicio de Internet mvil a los colaboradores que
viajan frecuentemente y deben permanecer en lugares donde resulta difcil la comunicacin.
Los colaboradores que viajen de manera eventual, deben solicitar el servicio de Internet mvil a travs
de un requerimiento a la Mesa de Ayuda.
Es responsabilidad de los colaboradores hacer un uso adecuado de ste servicio. Asimismo, deben
acogerse las disposiciones de navegacin definidas por la compaa que prohben la consulta de pginas
violentas, pornogrficas o que atenten contra los principios, tica y moral de los colaboradores.

POLTICA DE GESTION DE SERVICIOS TIC

La VP DC&NN, por medio del rea de Arquitectura Organizacional, promueve la adopcin de un enfoque
basado en procesos integrados, preservando los principios de arquitectura empresarial, de modo que se
entreguen servicios oportunos, efectivos, eficientes y funcionales.
Estndares de la Poltica de gestin de servicios TIC
Acuerdos de Niveles de Servicio (ANS): Considerando los requisitos del cliente interno, los requisitos
legales y reglamentarios, la VP DC&NN por medio de la Gerencia de Arquitectura Organizacional,
dispone de un catlogo que recoge todos los servicios ofrecidos a sus clientes internos.
Los Acuerdos de Nivel de Servicio deben ser el resultado de las negociaciones con el cliente interno y
sern soportados por los Acuerdos de Nivel de Servicio Operativo y con los proveedores.
La gestin de ANS se soporta por medio del proceso de Gestin de Niveles de Servicio.
Mejora Continua: El seguimiento a los Acuerdos de Nivel de Servicio permitir medir la efectividad y la
eficiencia de los servicios de tecnologa y comunicaciones. Con los resultados obtenidos se plantean las
acciones que permiten mejorar continuamente los servicios.
La mejora continua tiene como fundamento los siguientes principios:

Mejorar de manera continua los servicios y los procesos.

Corregir cualquier falta de conformidad en el servicio o con los planes de gestin.
Asignar eficazmente las funciones, recursos y responsabilidades relacionados con la mejora del
servicio.

La Gestin del Servicio debe canalizar, registrar, priorizar y solicitar la debida autorizacin de las mejoras
recibidas. Una vez aprobadas las mejoras, deben quedar registradas en el Sistema de Mejoramiento de
la Calidad de la Organizacin, para su posterior seguimiento e implantacin.
Gestin financiera: La poltica financiera se fundamenta en las siguientes directrices:

Disponer de unos presupuestos que sean equilibrados y adecuados con las necesidades de TIC
de la compaa.

Celsia S.A. E.S.P.

www.celsia.com

Pgina 8

Poltica de Tecnologas de Informacin y Comunicacin TIC

Disponer de criterios claros para la elaboracin y seguimiento de los presupuestos de TIC.

Contabilizar adecuadamente y de acuerdo con el proceso establecido todos los costos a los
servicios asociados a TIC.
Repercutir los gastos generales de acuerdo con los principios generales de la Organizacin.
Los costos asociados al equipamiento, derechos de uso del software, y licencias de uso exclusivo
de un rea sern sufragados directamente por la respectiva Vicepresidencia.
Los costos asociados a este equipamiento, amortizacin de inversiones y licencias de uso
compartido por varias reas, gastos de alquiler, mantenimientos, entre otros sern imputados
proporcionalmente a su uso a cada Vicepresidencia, segn criterios establecidos por la VP
DC&NN de la Organizacin.
Los costos derivados de la utilizacin de los sistemas de informacin que dan servicio a todos los
usuarios de la empresa, por ser los soportes de procesos corporativos para la gestin de los
diferentes recursos: humanos, comunicaciones, materiales, entre otros; as como aquellos que
dan servicio al desarrollo de las actividades directivas de la empresa: planificacin, presupuesto,
entre otros, sern costeados por la Vicepresidencia que ostente la titularidad funcional
correspondiente.

Gestin de problemas: Todos los problemas deben ser registrados, clasificados, actualizados,
escalados, resueltos y cerrados. El procedimiento debe considerar la gestin proactiva de los problemas.
En los casos en que para resolver el problema haya que ejecutar un cambio, se realizar segn lo
establecido por el proceso de Gestin de cambios.
La gestin de problemas debe ser supervisada y revisada. Se deben realizar informes de los problemas
gestionados. Esta informacin debera estar disponible para el proceso de gestin de incidentes de tal
manera que se pueda aumentar su efectividad y desempeo.
Gestin de la configuracin: El planteamiento de identificacin y control de la configuracin deber
estar alineado con la estructura del catlogo de servicios vigente, as como con las directrices de control
que se establezcan desde gestin de cambios y de acuerdo con lo establecido por el proceso de gestin
de la configuracin.
El proceso de gestin de la configuracin determinar el nivel de detalle y de profundidad en la definicin
de los componentes del servicio, manteniendo una base de datos de las configuraciones, en funcin de
la criticidad del servicio relacionado y el valor que aporte mantener la informacin.
Gestin de cambios: Los pasos a produccin deben estar identificados con un nmero nico de cambio.
El Comit de Cambios aprobar los pasos a produccin despus de analizar los riesgos, el impacto del
cambio y el procedimiento de marcha atrs.
No estn permitidas las instalaciones ni actualizaciones que no estn bajo el proceso de control de
cambios.
La frecuencia y el tipo de despliegue se determinar en funcin de las necesidades y teniendo en cuenta
la planificacin vigente.
Los pasos a produccin se llevarn a cabo en horarios cuya afectacin a la disponibilidad sea mnima y
bajo condiciones controladas (ventanas de cambio).

Celsia S.A. E.S.P.

www.celsia.com

Pgina 9

Poltica de Tecnologas de Informacin y Comunicacin TIC

Gestin de capacidad: La gestin de capacidad se concreta en un Plan de capacidad que debe estar
alineado con las necesidades de la compaa e incluye:

Requisitos de capacidad y desempeo, actuales y previstos.

Plazos, umbrales y costos para las actualizaciones de los servicios.
Evaluacin de los efectos que sobre la capacidad tienen las actualizaciones anticipadas del
servicio, peticiones de cambio y nuevas tecnologas.
El impacto de los cambios regulatorios que afecten la tecnologa.
Los datos y los procesos para poder realizar anlisis predictivos.

Se debe monitorear la capacidad del servicio mediante herramientas que analicen los datos de los
sistemas. Datos que se traducirn en informes e indicadores, utilizados para conseguir los niveles de
capacidad requeridos por la empresa.
Gestin de disponibilidad: Se deben identificar los requisitos de disponibilidad para los servicios, en
funcin de las necesidades de la empresa, los acuerdos de niveles de servicio ofrecidos y las
evaluaciones de riesgo. Los requisitos identificados deben incluir aspectos relativos a los tiempos de
atencin y respuesta, as como la disponibilidad de extremo a extremo de los componentes de los
sistemas que soportan el servicio.
Los requisitos se deben registrar en el Plan de Disponibilidad, el cual ser revisado por lo menos una vez
al ao y siempre que se produzcan cambios significativos. Los cambios necesarios para la gestin
efectiva de este proceso deben realizarse segn el proceso de Gestin de Cambios. El Comit de
Cambios debe valorar el impacto sobre la disponibilidad de los servicios y el plan de disponibilidad.
Gestin de continuidad: Se deben identificar los requisitos de continuidad para los servicios en funcin
de las necesidades de la empresa, los Acuerdos de Niveles de Servicio ofrecidos y las evaluaciones de
riesgo.
Los requisitos se registran en un Plan de continuidad, el cual ser revisado por lo menos una vez al ao
y siempre que se produzcan cambios significativos. Una vez realizados los cambios se debe probar el
plan para comprobar su adecuacin y documentar el resultado de las pruebas. En caso que no se
alcancen los resultados previstos, se deben establecer acciones encaminadas a su consecucin.
Los cambios necesarios para la gestin efectiva de este proceso deben realizarse segn el proceso de
gestin de cambios. El Comit de Cambios debe valorar el impacto sobre la continuidad de los servicios
y el plan de continuidad. Los cambios realizados en produccin deben ser actualizados en los planes de
continuidad respectivos.

POLTICA DE MANEJO Y PROTECCIN DE LA

INFORMACIN
Todos los colaboradores, consultores, contratistas y terceras partes que manejen informacin de la
empresa, estn obligados a salvaguardarla en los sitios dispuestos para tal fin, para garantizar la
disponibilidad, confidencialidad y respaldo de la misma.
Estndares de la Poltica de manejo y proteccin de la informacin

Celsia S.A. E.S.P.

www.celsia.com

Pgina 10

Poltica de Tecnologas de Informacin y Comunicacin TIC

Carpetas compartidas: El uso de carpetas compartidas en los equipos de cmputo de los usuarios es
una prctica que, aunque puede ser una herramienta til de trabajo, tiene implcitos riesgos que pueden
afectar los principios de confidencialidad integridad y disponibilidad de la informacin. Por lo tanto su uso
debe ser controlado y para eso se debe evitar el uso de carpetas compartidas en equipos de escritorio.
Los administradores de la red establecen e implementan en los casos aprobados la configuracin de
acceso a las carpetas, previo requerimiento formal de la misma por medio de la Mesa de Ayuda.
El usuario que autoriza el acceso a las carpetas y dispone el recurso compartido, es el responsable por
las acciones y los accesos sobre la informacin contenida en dicha carpeta.
Se debe definir el tipo de acceso y los roles estrictamente necesario sobre la carpeta (lectura, escritura,
modificacin, borrado). Adems, se debe especificar el lmite de tiempo durante el cual estar publicada
la informacin y el recurso compartido en el equipo.
Para la informacin confidencial o critica para la compaa, deben utilizarse las carpetas destinadas en
el servidor de archivos de usuarios, con el fin de que sea incluida en las copias diarias de respaldo.
El acceso a carpetas compartidas debe delimitarse a los usuarios que realmente necesitan la informacin
y se debe proteger el ingreso con contraseas.
No se puede compartir carpetas o el acceso a carpetas compartidas, a usuarios que no cuenten con
software de antivirus corporativo y actualizado.
Respaldo de la informacin: Las copias de seguridad de la informacin y de software se deben realizar
peridicamente, considerando lo siguiente:

Establecer registros precisos y completos de las copias de seguridad y procedimientos de

recuperacin documentados.
La extensin y frecuencia de las copias de seguridad (totales o incrementales) debe supeditarse
a los requisitos de negocio, legales y de seguridad, respecto a la criticidad de la informacin.
Las copias de seguridad deben almacenarse en un lugar diferente y alejado que no est sujeto a
los mismos riesgos de la ubicacin principal. Estas deben almacenarse en armarios ignfugos con
acceso restringido.
La retencin de las copias de seguridad ser acorde con las tablas de retencin definidas en el
Sistema de Gestin Documental o en el Sistema de Gestin de Calidad.

Responsabilidad de uso: La Organizacin pone al servicio de los colaboradores el uso de los medios
necesarios para el normal desarrollo de las labores propias del cargo para lo cual adopta y comunica las
polticas de uso aceptable, controles y medidas dirigidas a garantizar la seguridad y continuidad del
servicio que presta. Es deber de los colaboradores acogerlas con integridad y dar a los recursos uso
racional y eficiente.
La Organizacin, en respeto de los principios de libertad de expresin y privacidad de informacin, no
genera a los colaboradores ninguna expectativa de privacidad en cualquier elemento que almacene,
enve o que reciba por medios electrnicos que sean propiedad de la empresa. En consecuencia, podr
denegar el acceso a los servicios electrnicos, inspeccionar, monitorear y cancelar servicios asignados
como correo electrnico, navegacin en Internet y recursos compartidos, entre otros.

Celsia S.A. E.S.P.

www.celsia.com

Pgina 11

Poltica de Tecnologas de Informacin y Comunicacin TIC

Los usuarios de los servicios electrnicos aceptan y convienen que la Organizacin puede conservar y
revelar el contenido del correo si as le es requerido por ley o si de buena fe considera que dicha reserva
o revelacin es necesaria para: (a) cumplir con procesos legales, (b) responder a quejas de que algn
contenido viola los derechos de terceras personas, o (c) proteger los derechos, propiedad o seguridad
personal de la empresa, sus usuarios y el pblico en general.
La violacin de los controles de seguridad o el incumplimiento de las Polticas de la Organizacin por
parte de los colaboradores dar lugar a la aplicacin de medidas administrativas, disciplinarias, civiles o
penales a las que haya lugar.
Los estndares de seguridad de la informacin contienen las polticas de uso aceptable para:

Correo electrnico.
Navegacin en Internet.
Recursos compartidos.
Equipos de cmputo.
Comunicaciones mviles.

POLTICA DE RESPONSABILIDAD EN EL USO

DE LAS TIC
Todos los colaboradores, consultores, contratistas, terceras partes que utilicen los servicios tecnolgicos
de telecomunicaciones, informacin y comunicacin, estn obligados a cumplir con la Poltica de TIC,
planteada por la Organizacin.

Celsia S.A. E.S.P.

www.celsia.com

Pgina 12

Poltica de Tecnologas de Informacin y Comunicacin TIC

POLTICA DE SOPORTE A LOS USUARIOS DE

LAS TIC
La Mesa de Ayuda ser el nico canal por medio del cual se reportar cualquier incidente o requerimiento
asociado a las TIC, con el fin de garantizar el seguimiento y entrega oportuna del servicio solicitado.
Estndares de la Poltica de soporte a los usuarios de las TIC
Gestin de requerimientos: La VP DC&NN, por medio del rea de Arquitectura Organizacional,
garantiza la disponibilidad de una Mesa de Ayuda como nico canal para atender los requerimientos de
los usuarios de acuerdo con el catlogo de servicios establecido, para ofrecer una respuesta oportuna y
con calidad, con base en los acuerdos de nivel de servicio ofrecidos.
Por medio de la herramienta de Gestin del servicio se mantiene informado al usuario de la evolucin del
requerimiento. Todos los actores que participan en la gestin de requerimientos tienen acceso a dicha
herramienta con el objetivo de conseguir un buen funcionamiento del proceso. En el caso de que exista
riesgo de incumplimiento del Nivel de Servicio, se debe informar al usuario de este hecho.
Atencin de incidentes: La VP DC&NN, por medio de la Gerencia de Arquitectura Organizacional
garantiza la disponibilidad de una Mesa de Ayuda como nico canal para atender los incidentes de los
usuarios, de acuerdo con el catlogo de servicios establecido.
Los analistas encargados del tema deben seguir el procedimiento para realizar las actividades de registro,
asignacin de prioridad, valoracin del impacto, clasificacin, actualizacin, escalado, resolucin y cierre
formal del incidente reportado.
La atencin de incidentes debe restaurar el servicio tan pronto como sea posible con la aplicacin de una
solucin temporal o definitiva. Por medio de la herramienta de Gestin del servicio, se mantiene
informado al usuario de la evolucin del incidente. En el caso que exista riesgo de incumplimiento del
Acuerdo de Nivel de Servicio se debe informar al usuario de este hecho.

POLTICA DE RELACIN CON

INFRAESTRUCTURA DE TERCEROS
La infraestructura tecnolgica de la Organizacin que se expone a terceros, debe ser siempre aprobada
por la VP DC&NN, por medio del rea de Arquitectura Organizacional.

POLTICA DE GESTIN DEL RIESGO TIC

La VP DC&NN, por medio del rea de Arquitectura Organizacional, debe identificar, calificar, priorizar y
realizar el tratamiento de los riesgos tecnolgicos, con base en los objetivos de negocio y de acuerdo
con la Poltica de gestin de riesgos corporativa.

POLTICA DE INCORPORACIN AL
CUMPLIMIENTO REGULATORIO
Celsia S.A. E.S.P.
www.celsia.com

Pgina 13

Poltica de Tecnologas de Informacin y Comunicacin TIC

Toda solucin de servicios o infraestructura tecnolgica debe cumplir con las condiciones contractuales,
de legislacin y regulacin externa e interna, para el debido cumplimiento de los regmenes legales a los
cuales est sometida la Organizacin.

POLTICA DE PROTECCIN DEL

MEDIOAMBIENTE
El desarrollo de las TIC debe orientarse bajo las estrategias globales de proteccin del medioambiente y
de la Poltica del Sistema de mejoramiento de la calidad y gestin medioambiental de la Organizacin,
para reducir el impacto medio ambiental en la empresa.

POLTICA DE SEGURIDAD DE LA INFORMACIN

Todos los colaboradores, consultores, contratistas, terceras partes que acceden activos de informacin
de la Organizacin estn en la obligacin de continuar protegiendo la informacin por medio del
cumplimiento de las polticas de seguridad, durante y an despus de terminar su relacin contractual
con la empresa, de acuerdo con lo pactado entre las partes.

DOCUMENTACIN RELACIONADA

Poltica de Gestin Humana.

Sistema de Gestin de la Calidad y Gestin Medioambiental de la organizacin.
Cdigo de Buen Gobierno Corporativo.
Poltica de Seguridad de la Informacin.

CONTROL DE CAMBIOS

VERS
ION
1

FECHA
18/07/2013

JUSTIFICACIN DE LA
VERSIN
Creacin del documento

Celsia S.A. E.S.P.

www.celsia.com

Pgina 14

Poltica de Tecnologas de Informacin y Comunicacin TIC

Celsia S.A. E.S.P.

www.celsia.com

Pgina 15