Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Versión 1.0
Código SGSI-POL-000
documento
SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACIÓN
1 OBJETIVO
Establecer los criterios y comportamientos que debemos seguir todos los miembros de la comunidad
empresarial de ETB (empleados, contratistas, pasantes y terceros, entre otros) con el fin de preservar la
confidencialidad, integridad y disponibilidad de la información, entendidas como (NTC-BS 7799-2):
Disponibilidad: Seguridad de que los usuarios autorizado tienen acceso a la información y a los
activos asociados cuando lo requieren.
Para tal efecto, se obrará en concordancia con nuestra guía ética y las disposiciones legales vigentes, y en
consecuencia, se establecen las siguientes políticas agrupadas en tres niveles, así:
PRIMER NIVEL. Corresponde a la política del Sistema de Gestión de Seguridad de la información (SGSI), es
una directriz global que establece qué y por qué se quiere proteger. Su definición y actualización esta alineada
con la planeación estratégica de la organización.
TERCER NIVEL. Corresponde a políticas específicas enfocadas a grupos, servicios o actividades particulares.
Su definición y actualización debe reflejar cambios de índole organizacional y tecnológico.
Si por alguna razón, estas Políticas no cubren algún caso en concreto, se deberá consultar a la Vicepresidencia
Informática, quien emitirá su concepto o disposición al respecto previa consulta a la Vicepresidencia Jurídica de
ETB y demás áreas de la empresa a que haya lugar, según sea el caso.
2 A LC A N C E
Todas las áreas de la Organización por su condición de negocio, manejan y procesan información (cualquier
dato con significado o cualquier forma de comunicación) soportada en: papel, disco magnético, óptico o
electrónico, fotografía o muestra patrón o una combinación de éstos. Dicha información podría quedar expuesta
a cambios, daños y revelación indebida, que puede comprometer la imagen de ETB o de terceros, de no contar
con mecanismos y disposiciones que garanticen su confidencialidad, integridad y disponibilidad.
3 POLÍTICAS
En ETB entregamos soluciones integrales a nuestros clientes como elemento diferenciador y fidelizador,
manteniendo la confidencialidad, integridad y disponibilidad de los activos de información a través de:
Pág 2 de 2
SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACIÓN
c. El cumplimiento de las disposiciones legales y regulatorias emitidas por los diferentes organismos.
d. Una metodología de gestión de riesgos como herramienta para actuar proactivamente ante la
presencia de situaciones que puedan afectar la continuidad de los procesos del negocio.
3.2 GENERALES
3.2.1 La información que se maneja en ETB, solamente podrá ser utilizada con fines empresariales.
3.2.2 Las herramientas y servicios informáticos asignados a cada usuario, son para uso limitado a la función
empresarial.
3.2.3 Todos los colaboradores que conforman las diferentes áreas de ETB deberán clasificar la información
que tengan bajo su custodia en alguna de las categorías establecidas en la SGSI-POL006-Política
clasificación de la información.
3.2.4 La información confidencial de terceros que por cualquier circunstancia se conozca por parte de ETB,
debe ser tratada bajo los mismos lineamientos establecidos para el tratamiento de la información
confidencial de ETB.
3.2.5 Toda la información catalogada por las áreas como critica debe contar con copias de respaldo para
garantizar su seguridad.
3.2.6 Los centros de computo y procesamiento de información son áreas de acceso restringido por tal motivo
el ingreso y permanencia debe ser controlado y supervisado.
3.2.7 El acceso a los diferentes equipos informáticos y sistemas de información debe hacerse a través de los
mecanismos de autenticación establecidos de acuerdo con los niveles de seguridad.
3.2.8 El acceso no autorizado a los sistemas de información y uso indebido de los recursos informáticos de la
compañía está prohibido. Se considera que hay uso indebido de la información y de los recursos,
cuando la persona incurre en cualquiera de las siguientes conductas:
a. Suministrar la información a quien no tiene derecho a conocerla.
b. Usar la información con el fin de obtener beneficio propio o de terceros.
c. Ocultar la información maliciosamente causando cualquier perjuicio.
d. Hacer pública la información sin la debida autorización.
e. Hurtar software de ETB (copia o reproducción entre usuarios finales).
f. Realizar copias no autorizadas de software de ETB, dentro y fuera de sus instalaciones.
g. Falsificar y duplicar un producto informático de ETB.
h. Descargar software, a través de Internet sin la debida autorización.
Pág 3 de 3
SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACIÓN
NOTA IMPORTANTE: Para detalle sobre cómo implementar éstas directrices generales, se dispone de
políticas específicas, estándares y guías de consulta. Las cuales pueden ser consultadas en iaia/Servicios al
trabajador/Seguridad Informática/Políticas y Directivas.
3.3 ESPECÍFICAS
Forman parte integral de la Política de Seguridad de la Información, todas aquellas directrices que por su tema
particular, requieren un mayor nivel de detalle y especialización para su definición, las cuales son elaboradas y
mantenidas por las áreas de seguridad, según el dinamismo del negocio, y las cuales a su vez pueden estar
complementadas por estándares y guías.
Política de antivirus
Pág 4 de 4
SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACIÓN
Política de Red
4 SANCIONES
Estas políticas a todo nivel, son mandatorias, por lo tanto deben ser cumplidas por la Comunidad
Empresarial de ETB (Empleados, Contratistas, Entes Reguladores, Socios de Negocios, pasantes y
terceros entre otros) que interactúen con los Sistemas de Información y demás recursos
informáticos de la Compañía.
a. Los empleados que sean negligentes en la aplicación de medidas de Seguridad y control dentro
de la organización.
b. Una acción o inacción por parte de un empleado que contribuye a la violación de las normas
orientadas al buen uso de la información.
c. Un empleado que no resuelve o remite inmediatamente a una autoridad superior los problemas
de seguridad de la información que sean detectados.
d. Los empleados que no tomen las medidas correspondientes ante una queja o un incidente de
seguridad.
Todos los miembros de la Comunidad Empresarial de ETB serán responsables de implementar las
políticas y procedimientos de Seguridad que se contemplan o son referenciados en este
documento y sus complementarios. Cualquier incumplimiento de las políticas y procedimientos de
Pág 5 de 5
SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACIÓN
5 NOTIFICACIÓN DE INCIDENTES
Toda violación de estas políticas se deberá notificar inmediatamente a las áreas de seguridad a
través de las cuentas cat@etb.com.co y/o seguridad_informatica@etb.com.co, y al jefe inmediato
del empleado que notifica tal violación, de modo que se pueda resolver debidamente el asunto. Se
busca asegurar que todos comprendan y respeten las políticas con el fin de reducir al mínimo el
riesgo, protegiendo a todas las personas, así como a la empresa.
Se deberán notificar situaciones tales como: personas ajenas de ETB en centros de computo,
correos con virus, reinicio de los equipos de cómputo o enrutadores, mala utilización de recursos,
uso ilegal del software, mal uso de información corporativa, alteración de información, etc.
Las políticas de seguridad de la información de ETB fueron diseñadas para ajustarse o exceder, sin
contravenir, las medidas de protección establecidas en las leyes y regulaciones, por lo tanto si
algún funcionario y/o tercero de ETB considera que alguna política de seguridad de información
esta en conflicto con las leyes y regulaciones existentes, tiene la responsabilidad de reportar en
forma inmediata dicha situación a través de la cuenta seguridad_informática@etb.com.co donde
será atendida.
Pág 6 de 6