POLITICA DE SEGURIDAD DE LA INFORMACIÓN.

Objetivos:
Establecer los lineamientos y buenas prácticas para proteger la confidencialidad, disponibilidad, e
integridad de la información de la compañía, para el uso adecuado de los equipos de comunicación,
cómputo y demás dispositivos móviles suministrados a los empleados para el desarrollo de sus funciones
evitando intrusiones y alteraciones.

Alcance

Todos los colaboradores del Grupo, es decir, pertenecientes a las Empresas Comercial Allan S.A.S y
Expertos en Café S.A.S en Colombia, Segivel, Segivel II, Laredo S.A.S, contratados a término fijo y a
término indefinido.

Esta política se aplica en todo el ámbito de la organización, a sus recursos tecnológicos y humanos, a la
totalidad de los procesos internos o externos, a los proveedores, prestadores de servicios y terceros, que
de alguna manera puedan tener interacción a la información con los equipos y dispositivos que la
almacenen, transmitan y/o procesen.

Propósito

La implementación de la siguiente política de seguridad de la información manifiesta la intención de las

compañías descritas en este documento en la protección de los datos, identificando las responsabilidades
y estableciendo objetos de control gestionando un nivel de riesgo aceptable, dando cumplimento a las
obligaciones legales y requisitos de seguridad destinados a impedir infracciones y violaciones de
seguridad.

1. Definiciones
 Confidencialidad de la información: Es la garantía que la información será protegida, para que no
sea divulgada ni utilizada incorrectamente sin consentimiento.

 Integridad de la Información: Es la propiedad que busca mantener los datos libres de

modificaciones no autorizadas.

 Disponibilidad de la Información: Es la capacidad de acceso de personas u organismos a los datos

con los que se trabaja.

 Seguridad de la Información: es el conjunto de medidas preventivas y reactivas de las

organizaciones y de los sistemas tecnológicos que permiten resguardar y proteger la información
buscando mantener la confidencialidad, la disponibilidad e integridad de datos y de la misma.

 Intrusión: Acción o efecto de introducirse (intrusarse) de forma inadecuada o ilegítima en un lugar

o sistema.

 Recursos Informáticos: Se refiere a todo tipo de equipo de procesamiento de datos Hardware

(computadores, dispositivos móviles, impresoras, fotocopiadoras, Scanners), software e
 instalaciones de Comunicación (Acceso a Internet y transmisión de datos) que la Organización
posee en sus Instalaciones o utiliza en el curso de sus actividades

 Sincronización: Es un proceso automático que tiene como función consolidar las modificaciones
entre los archivos o información almacenada en el computador contra la Red de la Compañía. Este
proceso asegura que la información contenida en su carpeta “Mis documentos” sea respaldada en
el servidor y pueda ser utilizada como backup en caso de pérdida de información.

 Backup: es la copia total o parcial de información importante como respaldo frente a

eventualidades, La copia de seguridad debe ser guardada en un soporte de almacenamiento
diferente del original, para evitar que un fallo en el mismo pueda estropear el original y la copia.

 Aplicativo: programa informático diseñado para facilitar al usuario la realización de determinado

tipo de trabajo

2. Metodologías de gestión y Control de acceso

A continuación, se plasma las metodologías aplicadas y los estándares de control necesarios para el
acceso a la información de la compañía.

-Aplicativos Corporativos: son aquellos que se acceden a través de la red WAN corporativa y están
alojados en el datacenter local (Siigo, Icg, Ngsoft, Gmail y Softphone)
-Aplicativos de Plataforma computacional: Ofimática (Word, Excel, power point, Project, Visio)
-Acceso a redes e infraestructura: (Vpn, LAN, cámaras de video Vigilancia)
-Aplicativos de Consulta: (SIP, Maino, Star)

La consulta de estos subsistemas se realiza a través de estaciones de trabajo, ubicadas en la oficina

central de Cota y en las distintas oficinas regionales con acceso directo a un servidor central, a
excepción de los productos WEB que se pueden acceder desde cualquier lugar.

1 Seguridad en los Accesos por Terceros. La compañía lleva cabo procesos de gestión tecnológica
con tercerizados para lo cual se hace una evaluación de identificación de riesgos, pactación de
acuerdos, monitoreo de cumplimiento y gestión de cambios asegurando que los servicios prestados
cumplen los requisitos acordados por la compañía y la finalidad del objetivo para los cuales fueron
contratados.

 Acceso a Datacenter: El acceso a los servidores a través de estaciones de trabajo está controlado
por la emisión de contraseñas a los empleados de las distintas oficinas, para que realicen
actividades específicas de acuerdo con la naturaleza de las funciones que desempeñan. La
seguridad y la confidencialidad de la información en el sistema computarizado requieren por lo
tanto que se adopten estrictas normas para el proceso de emisión y uso de contraseñas. Ver anexo
No.1 “Instructivo de administración de contraseñas”

 Copias de respaldo (Backup)

El grupo empresarial debe asegurar que la información contenida en la plataforma tecnológica
como servidores, sea periódicamente resguardada mediante mecanismos y controles adecuados
que garanticen su identificación, protección, integridad y disponibilidad. Almacenamiento local en
servidor NAS diario a la información de la carpeta Mis Documentos de los computadores y copia
en línea diaria a las bases de datos en S3 de Amazon.
 Adicionalmente, se deberá establecer un plan de restauración de copias de seguridad que serán
probados a intervalos regulares con el fin de asegurar que son confiables en caso de emergencia y
retenidas por un periodo de tiempo determinado.

Las copias de seguridad que contienen la información crítica deben ser almacenadas en otra
ubicación diferente a las instalaciones donde se encuentra dispuesta. El sitio externo donde se
resguardan dichas copias, debe tener los controles de seguridad adecuados, cumplir con máximas
medidas de protección y seguridad física.

3. Acuerdos de confidencialidad
Todos los funcionarios deben aceptar los acuerdos de confidencialidad definidos por las empresas, los
cuales reflejan los compromisos de protección y buen uso de la información de acuerdo con los criterios
establecidos en ella.

4. Control de acceso físico datacenter

Todas las áreas destinadas al procesamiento o almacenamiento de información sensible, así como aquellas
en las que se encuentren los equipos y demás infraestructura de soporte a los sistemas de información y
comunicaciones, se consideran áreas de acceso restringido. En consecuencia, deben contar con medidas de
control de acceso físico en el perímetro con el fin de proteger la información, el software y el hardware de
daños intencionales o accidentales. Para el acceso físico al datacenter de personal externo debe estar
acompañado del Director de IT o asistente de IT.

5. Protección y ubicación de los equipos

Los equipos que hacen parte de la infraestructura tecnológica del grupo empresarial, como servidores,
equipos de telecomunicaciones, centros de cableado, UPS, aires acondicionados, planta telefónica,
estaciones de trabajo, etc., deben ser ubicados y protegidos adecuadamente para prevenir la pérdida, daño,
robo o acceso no autorizado de los mismos.

De igual manera se deben adoptar los controles necesarios para mantener los equipos alejados de sitios
que puedan tener riesgo de amenazas potenciales como fuego, explosivos, agua y polvo. En estas áreas
está prohibido el consumo de alimentos y/o fumar.

6. Escritorio y pantalla limpia

Con el fin de evitar pérdidas, daños o accesos no autorizados a la información, todos los funcionarios del
grupo empresarial deben mantener la información restringida o confidencial bajo llave cuando no estén
ubicados en sus puestos de trabajo o en horas no laborales.

Adicionalmente, se requiere que la información sensible que se envía a las impresoras sea liberadas a
través del pin de seguridad. Todos los usuarios son responsables de bloquear la sesión de su computador
en el momento en que se retiren del puesto de trabajo, la cual se podrá desbloquear sólo con la contraseña.
Cada equipo de cómputo tiene bloqueo automático con un tiempo de 5 minutos en el protector de pantalla
cuando se presente inactividad por parte del usuario y es requisito ingresar su contraseña de usuario.
Redundancia
 7. Protección de los datos

7.1 Protección contra software malicioso

El grupo empresarial establece que todos los recursos informáticos deben estar protegidos mediante
herramientas y software de seguridad como antivirus y antispam (Kaspersky), Así mismo se debe contar
con un sistema de seguridad perimetral que prevenga el ingreso a la red corporativa de atacantes como
Firewall, IDS (Intrusión Detection System) e IPS ( Intrusion Prevention System) SONICWALL.

7.2 Protección de la información

Todo funcionario del grupo empresarial es responsable de proteger la confidencialidad e integridad de la

información y debe tener especial cuidado en el uso de los diferentes medios para el intercambio de la
misma, que puedan generar una divulgación o modificación no autorizada.

Se debe Tener en cuenta que existen dispositivos rastreadores de acceso de hardware o software, los cuales
podrían obtener sus contraseñas y otra información del grupo empresarial. Se debe evitar donde sea
posible, la transferencia electrónica de archivos a través de medios temporales de almacenamiento como
diskette o Memoria USB a o desde dichas instalaciones. Si es inevitable, verifique que cualquier
dispositivo de almacenamiento usado para transferir información en los computadores de instalaciones
públicas sea retirado rápidamente.

Se cuenta con método de identificación de intentos fallidos de ingreso de contraseña para los servicios de
Gmail, Firewall, SIIMED e ICG se hace una verificación mensual de dichos intentos para tomar medidas
de protección a los sistemas anteriormente mencionados.

7.3 Control de acceso a las aplicaciones.

El uso de programas que puedan ser capaces de invalidar los controles del sistema y de la aplicación,
deben estar restringidos y estrictamente controlados.

7.4 Seguridad de los sistemas de archivos.

Se debe controlar el acceso al sistema de archivos y al código fuente de los programas. La actualización
del software aplicativo, las aplicaciones y las librerías, sólo debe ser llevada a cabo por los
administradores.

8. Gestión de usuarios en los sistemas de información.

8.1 Creación y/o modificación:
Todo funcionario o tercero que requiera tener acceso a los sistemas de información debe estar
debidamente autorizado utilizando como soporte su formato de solicitud de ingreso donde se especifica el
área y cargo a desempeñar, y en función de los cuales se asignan sus perfiles de acceso. El usuario debe
ser responsable por el buen uso de las credenciales de acceso asignadas, se debe tener una única cuenta de
Usuario o ID Personal e Intransferible.

La creación o modificación de cuentas de usuario tiene como responsable al Director de TI en los sistemas
de red, Gmail, infraestructura y aplicativos, se debe realizar una vez se ha cumplido alguno de los
siguientes eventos:
  El área de Gestión Humana envía al área de tecnología el “FORMATO DE SOLICITUD DE
INGRESO” para empleados directos de la compañía
 El área de Gestión Humana notifica al área de tecnología las novedades relacionadas con cambio
de cargo, cambio de centro de costo o ubicación haciendo uso de los mismos formatos de solicitud
de ingreso según sea el caso.
 El Director de área envía una solicitud por el sistema de tickets de HelpDesk para la creación o
modificación de los usuarios, en los sistemas de información (ICG, SIIGO, Control de acceso,
Gmail, Aplicativos de control interno).

Correo electrónico: Cada usuario de la red del grupo empresarial cuenta con un buzón de correo
electrónico que facilita las comunicaciones internas (Red LAN) y externas (Internet), el formato de estos
buzones es Nombre.Apellido@heladospopsy.com para Comercial Allan S.A.S y Expertos en Café. Este
buzón es una cuenta de GOOGLE SUITE, que no solo le permite manejar su correo, sino la agenda,
tareas, libreta de direcciones y el chat corporativo Hangouts.

No deben existir dos cuentas para un mismo usuario en el mismo sistema de información con diferente
perfil. La única excepción corresponde a los administradores de sistemas o aplicativos que adicional a su
rol de administrador pueden ingresar información como usuarios normales.
Ver Anexo 3 “Flujograma de creación de usuarios”.

8.2 Bloqueo y cancelación

Tan pronto un empleado termina su contrato de trabajo con el grupo empresarial, se procede a bloquear
todos los accesos a los sistemas de información. Es responsabilidad del Gerente del área del colaborador
que se retira informar al Directo de TI la novedad, para que proceda de inmediato al bloqueo preventivo
de accesos de dicho usuario.

Posteriormente, el área de nómina envía al área de tecnología el paz y salvo con el colaborador para firma.
Con este documento se inicia el proceso de cancelación de las credenciales en los diferentes sistemas de
información.

El área de control interno deberá realizar una auditoría a los sistemas de información validando que los
usuarios se encuentren vigentes y que no existan inconsistencias, según listado de usuarios activos
enviado por nómina. Dicha verificación se ejecuta rutinariamente de manera trimestral.

8.3 Identificación de requerimientos de seguridad

La inclusión de un nuevo producto de hardware, software, aplicativo, desarrollo interno o externo, los
cambios y/o actualizaciones a los sistemas existentes, deben estar acompañados de la identificación,
análisis, documentación y aprobación de los requerimientos de seguridad de la información.

Los requerimientos de seguridad de la información identificados, las obligaciones derivadas de las leyes
de propiedad intelectual y los derechos de autor deben ser establecidos en los acuerdos contractuales que
se realicen entre el grupo empresarial y cualquier proveedor de productos y/o servicios asociados a la
infraestructura de procesamiento de información. Es responsabilidad del director de IT garantizar la
definición y cumplimiento de los requerimientos de seguridad de la información.

8.4 Protección Física de Equipos de Cómputo, Comunicación y otros Dispositivos

Los dispositivos de computación móvil, por su diseño portátil, tienden a ser expuestos en mayor
porcentaje a daño, pérdida o robo, lo que deriva en que puede existir un gran riesgo que pueda
comprometer a la Compañía. Por esto, los usuarios deben comprender los siguientes lineamientos que les
ayudarán a proteger su dispositivo móvil de información mientras se encuentra en su lugar de trabajo, en
otros lugares:

• Para el caso de laptops, guarde siempre toda la información sólo en la carpeta “Mis documentos” de su
equipo, por ningún motivo guarde información del negocio en otra ubicación distinta a ésta, ya que esta
carpeta posee configuraciones de seguridad de backup, para asegurar que la información, en caso de
pérdida o robo del dispositivo pueda ser utilizada por personas ajenas a la Compañía.

• No se debe trabajar con información confidencial de la Compañía en ambientes públicos, que no pueden
ser controlados con las políticas de seguridad de la Compañía.

• Si está utilizando su laptop y está trabajando con información de la Compañía, asegúrese que nadie que
se encuentre cerca a usted pueda leer la información desplegada en su pantalla.

• Cuando se desplaza, mantenga sus pertenencias a la vista y nunca deje sus equipos o dispositivos
desatendidos en lugares públicos, mesas, escritorios, cuartos de hotel, salas de conferencias, oficinas de
clientes o en un vehículo durante su ausencia. No salga de una reunión o de una sala de conferencias sin
sus equipos o dispositivos, llévelos con usted.

• Cuando por sus funciones deba portarlos a casa, tenga cuidados especiales con el lugar en que los
guarda: lejos de líquidos, salvaguardados de posibles caídas y en condiciones ambientales adecuadas.
Procure adicionalmente que otras personas no tengan acceso a éstos. Nunca utilice su vehículo para
guardarlos en fines de semana u horas nocturnas.

• No coloque el maletín en el que transporte su equipo o dispositivos móviles en el equipo de rayos X

hasta que los otros pasajeros hayan despejado el puesto de control.

• Asegure su equipo o dispositivos móviles en su oficina o área de trabajo durante horas no laborales o
almacénelos en un escritorio o archivador con llave.

• Porte su equipo o dispositivo móvil sólo cuando por su trabajo lo requiera. No los lleve consigo cuando
esté disfrutando de su temporada de vacaciones, a menos que sea estrictamente necesario por sus
funciones.

• Tenga cuidados adicionales con su equipo o dispositivo móvil cuando acuda a espacios concurridos
como eventos, plazas y mercados, aeropuertos, restaurantes, bares, etc. Evite en la medida de lo posible
hacer uso de estos o exhibirlos en lugares poco seguros.

• Cuando porte sus dispositivos móviles en bolsillos o bolsos, cerciórese de que no pueda ser fácilmente
sustraídos.

• Guarde equipos como computadores portátiles, proyectores, etc., en el baúl del vehículo durante el
transporte en carro. • La pérdida, robo, daño de equipo o dispositivo móvil deberán ser reportados
inmediatamente a Help Desk

9. Técnicas y Veracidad de los datos

 Actas de Autorización de Datos: En el ingreso de cada empleado se realiza la firma de acta de

autorización de datos.
  Proceso de creación de datos en Plataforma: Los datos recolectados en nuestras bases de datos
digitados por medio de sistemas contables y plataformas son comprensibles, veraces y
actualizados las áreas encargadas se abstienen de crear datos incompletos y parciales.

2 Cambios en esta Política

La compañía se abroga el derecho de cambiar, modificar o adicionar la presente política cuando las
circunstancias así lo exijan o cuando haya cambio en las necesidades del negocio.

3 Manejo de Excepciones:

Cuando sea necesaria una excepción a esta política, esta debe presentar por escrito a la Gerencia
General quién evaluará si es procedente o no.

4 Administración de la Política

Todos los colaboradores del Grupo, son responsables directos de la correcta aplicación de esta
Política. Si en su implementación persisten dudas o se genera algún inconveniente, el colaborador
deberá acudir a la Gerencia de Planeación y Control para la validación o aclaración de lo que
suscite alguna duda.

5.1 Vigencia:

Este procedimiento entra en vigencia a partir de su publicación.

6. Incumplimiento

La violación de la presente política puede resultar en llamados de atención con copia a la hoja de
vida para los funcionarios involucrados en la actividad.

Anexos:

-Anexo 1: Instructivo Administración de Contraseñas

-Anexo 2: Formato de autorización de ingreso
-Anexo 3: Flujo grama de Creación, modificación y retiro de usuarios

5.2 Historial de Revisión