POLÍTICA

SEGURIDAD DE
LA INFORMACIÓN
 Tabla de Contenido
1. INTRODUCCIÓN ........................................................................................................................ 5
2. RESPONSABILIDADES ............................................................................................................ 6
3. DECLARACIÓN ......................................................................................................................... 7
3.1. ACCESO RESPONSABLE A LA INFORMACIÓN ........................................................................... 7
3.2. PROBLEMAS DE SEGURIDAD .................................................................................................. 7
3.3. ACCESO RESTRINGIDO A LA INFORMACIÓN ............................................................................. 7
3.4. PROTECCIÓN DE LA INFORMACIÓN ......................................................................................... 8
3.5. RESPONSABILIDAD DE LA SEGURIDAD DE LA INFORMACIÓN ..................................................... 8
3.6. RIESGOS ............................................................................................................................. 8
3.7. PROPIEDAD SOBRE LOS RECURSOS ....................................................................................... 9
3.8. EVALUACIONES DE SEGURIDAD ............................................................................................. 9
3.9. DEFINICIÓN DE CONTROLES .................................................................................................. 9
3.10. USO DE RECURSOS ............................................................................................................ 10
3.11. CONEXIÓN DE DISPOSITIVOS MÓVILES PERSONALES A LA RED CORPORATIVA ......................... 10
3.12. MANEJO DE USUARIOS Y CONTRASEÑAS .............................................................................. 11
3.13. USO DEL CARNET Y TARJETA DE ACCESO ............................................................................. 11
3.14. USO DE LA NUBE O CLOUD COMPUTING ............................................................................... 12
3.15. ROLES ADMINISTRATIVOS SOBRE LOS ACTIVOS .................................................................... 12
3.16. TRANSFERENCIA DE INFORMACIÓN ...................................................................................... 12
3.17. RELACIONES CON LOS PROVEEDORES ................................................................................. 13
3.18. RESPALDO DE LA INFORMACIÓN .......................................................................................... 13
3.19. DESARROLLO SEGURO ....................................................................................................... 13
3.20. CRIPTOGRAFÍA ................................................................................................................... 14
3.21. OMISIÓN DE PROCEDIMIENTOS O EVASIÓN DE CONTROLES DE SEGURIDAD............................. 14
3.22. CUMPLIMIENTO .................................................................................................................. 15
3.23. SANCIONES/DECISIONES .................................................................................................... 15
3.24. EXCEPCIONES .................................................................................................................... 15
 1. DEFINICIÓN
La Alta Dirección de Konecta Colombia entiende la información, sin
importar el medio en que ésta se encuentre o si es de su propiedad o
solamente administrada por ella, como un activo crítico para el
funcionamiento del negocio.

Por tal razón y en atención a los compromisos con los accionistas, los
clientes, los empleados y los entes de control, ha decidido definir y
promulgar las siguientes políticas de seguridad de la información que
establecen los principios básicos a tener en cuenta para el manejo de
dicha información, en la ejecución normal de las actividades del
negocio.

Para conocer la forma específica de manejar la información, de

acuerdo con los principios incluidos en este documento, se deben
consultar las normas, estándares y procedimientos de seguridad de la
información.

Este documento está basado en la misión y visión de Konecta Colombia

y exhorta a todas y cada una de las personas, naturales o jurídicas,
nacionales de la República de Colombia o extranjeras, que tienen
acceso a dicha información para que la manejen de acuerdo con lo aquí
expuesto.

Las presentes políticas sustituyen toda la normativa interna publicada

con anterioridad para esta materia y, especialmente, a las políticas de
seguridad definidas en Octubre de 2015. Sus disposiciones son de
aplicación inmediata a la fecha de su promulgación y complementan lo
establecido por el reglamento interno de trabajo así como por las
demás normas legales vigentes y aplicables.
 2. RESPONSABILIDADES
Para la aplicación de las políticas de seguridad de la información se han
definido las siguientes responsabilidades:

Usuario: Empleado, proveedor, contratista o visitante que tiene acceso a

los recursos de tecnología de la información. Los usuarios son los
responsables de aplicar las políticas de seguridad de la información.

Grupo primario de la Dirección de Tecnología: Responsable de la

definición de las políticas de seguridad de la información y coordinación
con las otras áreas involucradas en la seguridad de la información.

Comité de seguridad de la información: Responsable de la revisión y

aprobación de las políticas de seguridad de la información.

Oficial de seguridad de la información: responsable del monitoreo y

seguimiento a la aplicación de las políticas de seguridad de la
informació.

Gerencia de bienestar y comunicaciones: Responsable de publicar y

difundir las políticas de uso para y entre los usuarios de los bienes,
servicios y recursos informáticos provistos a través de la red de Konecta.
 3. DECLARACIÓN
3.1. Acceso responsable a la información
Todas las personas que tienen acceso a la información tienen responsabilidad
sobre su protección. La seguridad es responsabilidad de todos no sólo del área
de tecnología. Por esta razón, los usuarios asignados son de uso personal y no
está permitido el préstamo de este.

Todas las personas que tienen acceso a la información propiedad de o

administrada por Konecta Colombia, tienen responsabilidades inherentes a ese
hecho que deben conocer y cumplir. Dichas responsabilidades están definidas en
función del rol que desempeñan en el manejo de la información y están
disponibles en todo momento para consulta (p.e. Multiconsulta, Servidor de
Archivos, etc). Es responsabilidad de los directores y gerentes dueños de proceso
definir los roles y responsabilidades de acuerdo al tipo de información que tienen
acceso, así como también garantizar que las personas puedan conocer la
información asociada a su rol.

3.2. Problemas de seguridad

Cuando presencie un problema de seguridad y no sepa exactamente qué hacer,
evite actuar por cuenta propia. Consiga ayuda especializada pues podría agravar
la situación. Contactar con el área de seguridad de la información.

Konecta Colombia realiza permanentes esfuerzos con miras a proporcionar los

medios y la asesoría necesaria para la protección de la información por parte de
las personas que tienen acceso a ella; como parte de esto, se realizan labores de
sensibilización y formación sobre los conceptos básicos, la importancia de la
seguridad y la forma de reportar cualquier situación anómala. En todo caso, se
alienta a dichas personas a contactar al área de seguridad de la información para
despejar dudas, ampliar información o pedir asesoramiento antes de actuar por su
cuenta.
3.3. Acceso restringido a la información
Asegúrese de tener acceso sólo a lo necesario para su trabajo y reporte cualquier
situación que vaya en contra de este principio. De esta manera, se evita
problemas usted y los evita a Konecta Colombia.

El acceso a la información y a los recursos en general se otorga con base en el

principio del menor privilegio, es decir, las personas tienen acceso a toda la
información y recursos que requieran según su función pero no más que eso. Esto
permite tener mayor control y evita verse envuelto en problemas innecesarios en
caso de presentarse algún incidente de seguridad.

3.4. Protección de la información

Al momento de definir la forma de proteger la información (sea porque usted es
el responsable o porque tiene acceso a ella como usuario) use medidas acordes
con la importancia de la información para el negocio.

Las acciones tendientes a preservar la seguridad de la información, propiedad de

o administrada por Konecta Colombia, deben seleccionarse y ejecutarse con
criterio de proporcionalidad entre el costo de la implementación y el beneficio
obtenido.

3.5. Responsabilidad de la seguridad de la información

La seguridad de la información es mucho más que tecnología, tenga en cuenta a
la gente y la forma en que trabajan (procesos) para definir medidas de control
integrales.

Todos los intentos por alcanzar la seguridad de la información deben realizarse

teniendo en cuenta que es necesario usar un enfoque metódico y
multidisciplinario, integrando a las áreas de Konecta Colombia que sean
necesarias para impactar a las personas, las formas como estas trabajan y la
tecnología que usan para ello.
3.6. Riesgos
Evite poner en riesgo la información importante del negocio, en caso de
presentarse un problema, tenga claro cómo continuar su trabajo.
En gran medida, la protección adecuada de la información depende de la oportuna
implementación de controles y de la adecuada detección y atención a las
contingencias que se presenten. En ese sentido, todas las personas están
obligadas de reportar a tiempo las circunstancias de las que tenga conocimiento y
que puedan atentar contra la continuidad de la operación, así como conocer los
procedimientos de contingencia establecidos para continuar con su trabajo.
Dichos procedimientos deberán estar publicados y podrán ser consultados por el
personal involucrado en cualquier momento.
3.7. Propiedad sobre los recursos
Los recursos que se asignan para trabajar son propiedad de Konecta Colombia y
están orientados a cumplir con nuestra función, por esta razón, recuerde que
pueden ser revisados o monitoreados en cualquier momento.
Todos los recursos proporcionados por Konecta Colombia son para soportar la
ejecución normal de las actividades y el procesamiento de la información; son de
propiedad de Konecta Colombia y deben ser usados para propósitos del negocio. La
empresa se reserva el derecho de revisar tanto los elementos como la información
en ellos almacenada, procesada o comunicada.

3.8. Evaluaciones de seguridad

Konecta Colombia realizará evaluaciones periódicas de seguridad para probar la
efectividad de las medidas implementadas. Dichas evaluaciones son de
competencia de la gerencia de administración de riesgos, el área de seguridad
de la información de Konecta Colombia y de la auditoría interna y externa.
Como parte fundamental del éxito en los esfuerzos encaminados a preservar la
seguridad de la información, regularmente se realizan evaluaciones a los controles
existentes para verificar su efectividad. Dichas evaluaciones son de competencia
exclusiva del área de seguridad de la información, la gerencia de administración de
riesgos y/o la auditoria externa, e incluyen toda la información almacenada,
procesada o comunicada en la infraestructura e instalaciones de la empresa y por
ello son las únicas instancias autorizadas para tener y/o usar herramientas o
procedimientos orientados a probar los controles existentes en los sistemas.

3.9. Definición de controles

Cuando defina controles para acceder a la información tenga presente mantener
la facilidad para los usuarios (pero sin descuidar la seguridad).

Estas Políticas, así como las normas, procedimientos, herramientas y controles

definidos e implementados para preservar la seguridad de la información, se
determinan teniendo como premisa fundamental la búsqueda de la facilidad de
uso, pero sin llegar a comprometer los intereses de Konecta Colombia que están
representados en sus activos de información.

3.10. Uso de recursos

El uso de Internet, medios de almacenamiento de datos externo (llaves USB,
unidades de CD/DVD de lectura-escritura, celulares), correo electrónico y
mensajería instantánea están restringidos para algunos roles en la operación
del contact center de Konecta Colombia. Tales roles son definidos y aprobados
por el área de Seguridad de la Compañía.
Está prohibido al interior de las áreas físicas destinadas a las operaciones de
Konecta, el ingreso, porte y uso de medios de comunicación (celulares, manos
libres, avantel, radios, entre otros), USB, CD, computadores portátiles, cámaras
fotográficas, tabletas, y demás dispositivos que permitan comunicarse, distribuir,
divulgar, extraer, almacenar, modificar o copiar cualquier tipo de información,
tanto por parte de los empleados, como de los proveedores, representantes de los
clientes corporativos y visitantes. Para el personal administrativo que se
encuentre o tenga acceso al interior de las operaciones, podrán portar los
dispositivos o medios de comunicación anteriormente descritos, pero no el uso
de los mismos. Para los equipos que están en las redes asignadas a la operación,
queda prohibido el acceso remoto interno y por vpn, entendiendo que de esta forma
se evaden controles de seguridad existentes y requeridos en estas estaciones.

Cualquier excepción a esta prohibición en razón del rol o la necesidad, deberá

contar con la aprobación formal y por escrito del órgano o persona natural con
capacidad para adquirir obligaciones en nombre del cliente corporativo al que
corresponda la operación.

Todas las áreas dedicadas a las operaciones en la prestación del servicio, tendrán
advertencias visuales al ingreso, que así lo señalen.

3.11. Conexión de dispositivos móviles personales a

la red corporativa
No está permitida la conexión a la red corporativa de ningún dispositivo personal
que no cumpla con los controles de seguridad definidos por Konecta. Estos
dispositivos son, pero no se limitan solo a estos, tabletas, celulares, iPods, y
portátiles

Con el fin de preservar la seguridad de la red corporativa y dar cumplimiento a

las leyes de legalidad del software, no se permite la conexión de ningún
dispositivo personal a la red. El área de seguridades se encargará de revisar los
casos especiales, documentarlos y de dar los lineamientos de controles de
seguridad en caso de ser necesaria la conexión.
3.12 . Manejo de usuarios y contraseñas
Sin importar las circunstancias, las contraseñas son de uso personal y nunca
deben ser compartidas o reveladas.
Los usuarios y contraseñas asignados por la empresa ya sean de los sistemas de
Konecta, como los asignados por los clientes, son de uso personal e intransferible
y bajo ninguna circunstancia se permite su préstamo ni uso por parte de terceros.

Ninguna persona podrá iniciar labores sin el usuario y contraseña personal.

No se admite el uso de claves compartidas, genéricas o para grupos. La

identificación y autenticación en los dispositivos y sistemas de cómputo deberá
ser única y personalizada.

Cualquier excepción a estas prohibiciones en razón del rol o la necesidad, para el

caso de personal operativo deberán contar con la aprobación formal del órgano o
persona natural con capacidad para adquirir obligaciones en nombre del cliente
corporativo al que corresponda la operación. Para los cargos administrativos esta
revisión y aprobación la realizará el área de seguridad de la información de
Konecta.

Si por algún motivo el usuario o contraseña es conocido por un tercero como

ocurre en los casos de entrega inicial de éstos o en razón del oficio por el área de
soporte técnico, será responsabilidad del empleado el cambio inmediato de la
contraseña. En el evento de no poder hacerlo, deberá reportar formalmente esta
situación.

Los jefes y gerentes tienen la responsabilidad de informar a las áreas de apoyo las
novedades del personal que tienen a cargo como son retiro, incapacidad, renuncia
y despido, con el fin de inhabilitar los usuarios de manera oportuna.

La solicitud por parte de los superiores para el préstamo de usuarios y

contraseñas, independientemente del motivo que de origen a la solicitud, será
considerada falta grave.
3.13. Uso del carnet y tarjeta de acceso
El uso del carnet y la tarjeta de acceso son de uso personal, y deberán estar en
un lugar visible durante todo el tiempo que permanezca en las instalaciones.
El uso del carné y la tarjeta de acceso son de uso personal e intransferible, y bajo
ninguna circunstancia se permite su préstamo ni uso por parte de terceros que les
facilite o permita el acceso a las operaciones.

Para los visitantes o proveedores esporádicos o inusuales que para efectos del
negocio deban ingresar a la zona de operaciones y no dispongan de una tarjeta de
acceso asignada, deberán estar acompañados en todo momento por el área
encargada de atender la visita.

Todos los empleados deben portar su carné y tarjeta de acceso para el ingreso a
las diferentes sedes de Konecta. Si el empleado no cuenta con estos elementos no
podrá ingresar a las instalaciones. En caso de pérdida de dichos documentos,
deberá presentar el carnet temporal que le fue asignado cuando reportó la
novedad.

3.14. Uso de la nube o Cloud Computing

No está permitido el uso de la nube pública, o Cloud Computing, para
almacenar, trasmitir, enviar o recibir información de Konecta Colombia.

La información de la compañía debe ser almacenada y trasmitida por los canales y

plataformas definidos por Konecta Colombia. Dada la confidencialidad de la
información, utilizar servicios como, servicios de correos públicos o
almacenamiento virtual público, no está permitido. Los casos particulares deben
ser avalados por el área de seguridad de la información de la compañía
3.15. Roles administrativos sobre los activos
Los roles administrativo sobre los activos de la compañía como servidores y
estaciones de trabajo son exclusivos de las áreas técnicas. Ninguna otra
persona diferente de esas áreas debe tener ese rol.

Con el fin de garantizar el servicio, Konecta cuenta con áreas técnicas definidas
para realizar las labores que requieren ese rol. Adicional, estas áreas también son
responsables del cumplimiento en la legalidad del software instalado en la
compañía. Por esta razón, serán los únicos autorizados a realizar cambios en las
maquinas, tanto físicos como en software.

3.16. Transferencia de información

La información confidencial deberá estar segura en todos sus estados, tanto en
estado de reposo como en movimiento.

La información categorizada como confidencial por parte de los dueños de la

información deberán mantener la integridad y la confidencialidad durante la
transferencia, utilizando protocolos seguros. Para mayor detalle se encuentran en
el “instructivo para el manejo de información”

3.17. Relaciones con los proveedores

El responsable del monitoreo y seguimiento de las actividades y cumplimiento por
parte de los proveedores es responsabilidad de la gerencia/área responsable
contratante del mismo.

La identificación de los requisitos de seguridad de la información en los procesos

tercerizados con los proveedores es responsabilidad del dueño del proceso quien
realiza el contrato con el tercero. Adicional, es responsable del seguimiento y
verificación del cumplimiento de las políticas. Mayor detalle, en el procedimiento
de Compras de TI.
3.18. Respaldo de la información
Cada dueño de la información es responsable de definir el ciclo de vida de su
información, garantizando que la información sea custodiada y respaldada
según la necesidad de los procesos o de la información.

Las copias de respaldo de la información se realizan de acuerdo al ciclo de vida de

la información, la cual es definida por el dueño de la información, garantizando el
tiempo de retención acordado o requerido por acuerdos internos, contractuales
con los clientes o requisitos de ley. La política de respaldo está incluida en las
políticas de los procesos que manejan información.

3.19. Desarrollo seguro

Con el fin de garantizar que los desarrollos internos cumplan con las buenas
prácticas de desarrollo seguro, se deberán realizar validaciones de seguridad
sobre el código, evitando generar riesgos de pérdida de información, afectación
del servicio, monetaria o reputacional.
El proceso de desarrollo de software tiene definidas políticas para el desarrollo de
aplicaciones seguras, basadas en reglas y estándares de seguridad que permiten
tener mayor confiabilidad y seguridad de la información acuerdo a los requisitos
exigidos por nuestros clientes y certificaciones vigentes. Mas detalle en el proceso
de desarrollo de software.

3.20. Criptografía
Los dueños de la información son los responsables de definir los controles de
seguridad requeridos para salvaguardar la confidencialidad de la información,
aplicando en algunos casos, controles criptográficos.
La información confidencial que requiere controles adicionales criptográficos
deberá seguir la política de control criptográfico de la compañía, con el fin de
garantizar la seguridad de la información durante la trasmisión o almacenamiento
de la misma.
3.21. Omisión de procedimientos o evasión de controles de
seguridad
Los controles a nivel procedimental deberán ser conocidos y ejecutados en su
totalidad por todos los involucrados.

Se prohíbe la omisión de los procedimientos y/o evasión de los controles de

seguridad establecidos por la Empresa, que puedan comprometer la
confidencialidad, integridad y disponibilidad de la información de los clientes
corporativos y los usuarios.

3.22. Cumplimientocontroles de seguridad

Las normas nacionales e internacionales, políticas y procedimientos
relacionados con la seguridad de la información se deben cumplir de manera
estricta. Tenga especial cuidado con la información importante del negocio, la
información de nuestros clientes y los programas de computador o dispositivos
diferentes a los asignados por la Dirección de Tecnología.
El estricto cumplimiento de la Ley es parte fundamental de los valores de Konecta
Colombia y por tanto, las acciones dirigidas a proteger la información deben
ajustarse en todo momento a lo contemplado por las Leyes y regulaciones en
cada uno de los territorios donde tiene operaciones Konecta Colombia. Esto hace
especial referencia a las leyes de habeas data, derechos de autor, propiedad
intelectual, protección de datos personales, etc.
3.23. Sanciones/Decisiones
El incumplimiento a éstas políticas será considerado como una falta grave y dará
lugar a sanciones disciplinarias, o incluso, al despido, conforme a lo establecido
por la normatividad legal laboral vigente y al Reglamento Interno de Trabajo.
3.24. Excepciones
Cualquier excepción a las política o normas de seguridad de la información, que,
por necesidades del negocio u alguna condición especial, deberán ser escaladas
al correo del área de seguridad de la información (seguridadti@grupokonecta.com)
o por solicitud de servicio, para su revisión, análisis y aprobación.