Manual

Gobierno corporativo
tecnologías de la
información
Versión Elaborado por: Aprobado por: Fecha de Vigencia
2 Analista infraestructura de TI Coordinador infraestructura de TI Enero de 2019
 MANUAL GOBIERNO CORPORATIVO TECNOLOGIAS DE LA INFORMACIÓN

Objetivo:

Brindar lineamientos específicos sobre el uso de los servicios de Tecnología de

Información y Comunicaciones del Grupo Logístico TCC.

Alcance:

Aplica para todos los colaboradores, proveedores y clientes del Grupo Logístico TCC que
hagan uso de los servicios de TI

1. PRESENTACIÓN
El Manual de Gobierno de Tecnología es la manera como el área de Tecnología del grupo
TCC manifiesta su enfoque hacia las iniciativas y usos de las Tecnologías de Información
para habilitar la eficiencia en los procesos de la Organización generando así valor al
negocio.

La implementación del este manual genera los siguientes beneficios para la

organización:

• Reduce la incertidumbre en la operación del negocio e incrementa su

disponibilidad a través de información en tiempo real y oportuna para toma de
decisiones.
• Mejora la productividad de las personas por el uso continuo de la tecnología.
• Crea bases fuertes para la gestión de activos de información.
• Incrementa la credibilidad de gestión ante los grupos de interés.
• Minimiza los riesgos corporativos en la dotación, uso y control de las tecnologías
de la información.
• Verificar que los recursos de TI se administran correctamente.

2. QUIENES SOMOS

Somos un equipo humano con experticia en tecnologías de la información y

comunicaciones, íntegro y cálido, que brinda tranquilidad y confianza a sus clientes, a
través de la implementación de innovadoras soluciones tecnológicas.

Nuestro compromiso con “Green IT” y nuestras actuaciones responsables y coherentes

serán nuestro mejor aporte al desarrollo sostenible y rentable de nuestra compañía.
 MANUAL GOBIERNO CORPORATIVO TECNOLOGIAS DE LA INFORMACIÓN

3. DEFINICIONES

Disponibilidad: Contar el acceso a la información siempre que el usuario la necesite.

Confidencialidad: Propiedad que determina que la información ni sea revelada a

individuos, entidades o procesos no autorizados.

Continuidad: Capacidad de la Gestión de Servicios de Tecnología para continuar con la

entrega de productos o servicios a los niveles predefinidos aceptables después de un
evento perjudicial.

Integridad: Propiedad de salvaguardar la exactitud y el estado completo de los activos.

Vulnerabilidad: Debilidad de un activo o grupo de activos, que puede ser aprovechada

por una o más amenazas.

Estaciones de trabajo: Son todos los dispositivos computacionales como: computadores

de escritorio, computadores portátiles, tabletas, Smartphones y similares utilizados para
desempeñar las labores asignadas a un cargo.

4. POLÍTICAS PARA LOS PROCESOS DE LA DIRECCION DE TECNOLOGÍA

4.1. Planeación estratégica de TI y gestión financiera de sus servicios: Establece la

alineación entre la estrategia del Grupo TCC y la función de TI, articulando la misión,
visión y objetivos estratégicos de la compañía, proporcionando una guía acerca de
cómo diseñar, desarrollar e implementar la administración de los servicios de TI a
través de su ciclo de vida, realizando inversiones en servicios nuevos y actualizados
que ofrezcan el máximo valor al cliente y minimizando a su vez los riesgos y costes
asociados.
4.2. Gestión de la demanda de TI: Analiza, da seguimiento, monitorea y documenta los
patrones generados en las actividades del negocio para predecir la demanda actual
y futura de los servicios a través de la optimización y racionalización de los recursos
y capacidades de TI para asegurar que el servicio se sigue prestando de acuerdo
con los tiempos y niveles de calidad acordados.
4.3. Gestión del Catálogo y los acuerdos de niveles de servicio: Administra el catálogo
de servicios, realiza la implementación de los nuevos y mejoramiento o
actualización a los actuales. Incluye la alineación de los niveles de servicio con las
necesidades y expectativas de Grupo TCC. Comprende desde la identificación,
especificación, diseño, publicación, acuerdo y supervisión de los servicios, niveles
de servicio hasta el seguimiento de los indicadores de desempeño.
 MANUAL GOBIERNO CORPORATIVO TECNOLOGIAS DE LA INFORMACIÓN

4.4. Gestión de la Disponibilidad: Garantizar que se cumplen los niveles de

disponibilidad acordados en los acuerdos de niveles de servicio
4.5. Gestión de la Capacidad: Define, hace seguimiento y controla las capacidades de
los servicios para asegurar que la carga del servicio está lista para cumplir con los
niveles de desempeño acordados, teniendo en cuenta la capacidad de los sistemas
de información y la infraestructura tecnológica.
4.6. Gestión de la seguridad Informática: Vela por que la información y los datos de
Grupo TCC se encuentren custodiados, protegidos y disponibles al negocio para que
sean utilizados sólo por aquellos que tienen autorización para hacerlo.
4.7. Gestión de la continuidad del servicio TI: Establece y mantiene un plan para permitir
al negocio y a TI responder a incidentes e interrupciones de servicio asegurando la
operación continua de los procesos críticos para el negocio y los servicios TI.
4.8. Gestión de Proveedores: Realiza la selección de proveedores y administración de
los contratos de compra de bienes y prestación de servicios, la revisión del
cumplimiento de los niveles de servicio acordados, tiempos de entrega y calidad de
los entregables. Este es un proceso corporativo donde TI se alinea a lo definido por
el responsable.
4.9. Gestión de Cambios: l objetivo de este proceso es administrar los cambios
realizados sobre los servicios de información tecnológica del Grupo TCC en los
ambientes de producción, que permita asegurar la calidad y continuidad de los
mismos, controlando que sean registrados, autorizados y evaluados previo a su
implementación y revisados posterior a su implantación.
• Todas las solicitudes de cambio se deben registrar de acuerdo a su clasificación
que son: estándar, normal o de emergencia.
• Las solicitudes de cambio se deben evaluar y aprobar por el Comité de Cambios
para determinar sus riesgos, impactos y beneficios para el negocio.
• El proceso de gestión de cambios de TI debe incluir la forma en la que se va a
revertir o remediar el cambio si este no tiene éxito.
• Los cambios de TI no se podrán realizar en los últimos 5 y los primeros 3 días del
mes, a excepción de cambios de emergencia con previa autorización de la
Dirección o Coordinadores de TI.
• El Comité de Cambios de TI debe estar conformado por un representante de cada
una de las Coordinaciones de TI y el Centro Especializado de Servicios (UNICO) y
un representante de las áreas afectas por el cambio o su aprobación por escrito
del impacto en la operación del negocio.
4.10. Gestión de Activos de TI: EL área de Tecnología garantizará el ciclo de vida de los
activos de TI a través de la integración de las diferentes áreas de la organización
que intervienen en el proceso desde la adquisición hasta la finalización de la vida
útil del activo.
El área de Gestión Humana y Organizacional deberá entregar al área de tecnología cada
año la cantidad de nuevos ingresos de personas que van a requerir recursos
tecnológicos para diseñar y planear el presupuesto de TI.
 MANUAL GOBIERNO CORPORATIVO TECNOLOGIAS DE LA INFORMACIÓN

Cada que se haga una requisición de personal donde el cargo requiera recursos de TI se
deberá gestionar una solicitud a través del catálogo de servicios de UNICO para reservar
los equipos y/o herramientas necesarias. Esta solicitud deberá hacerla el jefe inmediato
y es responsabilidad del área de selección garantizar el proceso.

En el momento de seleccionar la persona que ingresará a la compañía, el área de

selección deberá notificar el ingreso a través del catálogo de servicios de UNICO para
que desde tecnología se asignen los recursos previamente reservados.

Cuando se presente un traslado, cambios de contrato, cambio de UEN y ciudades se

debe notificar a UNICO para que el área de tecnología haga los ajustes necesarios en el
inventario de activos de TI.

Cuando se haga efectivo el retiro de un colaborador de la empresa, el área de Nómina

deberá notificar a través del catálogo de servicios de UNICO la novedad. El jefe inmediato
recibirá de parte del colaborador los equipos de TI asignados, posteriormente, el área
de tecnología procederá con el respaldo de información para ser entregado al jefe
inmediato con acta de recibo del activo. TI actualizará el inventario y el equipo quedará
disponible.

Cuando se presente una pérdida de un equipo de TI el usuario deberá notificar a través

del catálogo de servicios de UNICO adjuntando la documentación requerida según el
caso (informe administrativo, denuncia). Desde UNICO llegará una notificación a
Tecnología para que se realice el ajuste del inventario y se reasigne un nuevo equipo.
Otra notificación llegará al área de riesgos para que desde allí se haga la gestión de
acuerdo con el proceso definido.

4.11. Gestión del Conocimiento. Gestionar la información relevante a la prestación de

los servicios asegurando que esté disponible para los agentes implicados en su
concepción, diseño, desarrollo, implementación y operación, de tal forma que se
compartan las ideas y experiencia que permitan fortalecer la dinámica de los
procesos reduciendo la necesidad de redescubrir el conocimiento.
4.12. Gestión de soporte a usuarios
Es prioridad en la operación de las Tecnologías de Información velar por la disponibilidad
pactada de todos los servicios y soluciones informáticas que apoyan las actividades del
negocio, cumpliendo siempre con los Niveles de Servicios acordados con los grupos de
interés, comprometidos con la supervisión del comportamiento y capacidad tanto en
servicios como soluciones previniendo así sucesos no deseados en la operación del
negocio como también la minimización de los incidentes sobre dichas tecnologías.

El área de Tecnología cuenta con el Centro Especializado de Servicios Informáticos

“UNICO” como único punto de contacto para recibir incidentes y solicitudes por parte de
 MANUAL GOBIERNO CORPORATIVO TECNOLOGIAS DE LA INFORMACIÓN

los usuarios asociados a los diferentes servicios o sistemas de información que se

encuentren en producción.

Es responsabilidad de los usuarios reportar a través de los siguientes mecanismos de

atención sus requerimientos (incidentes – solicitudes) para que se dé inicio al proceso
de atención:

Teléfono: (+57 4) 444 48 88 Ext. 9999

unico@tcc.com.co

http://unico.tcc.com.co

4.13. Gestión de requerimientos y soluciones de TI

Las necesidades suscitadas desde los grupos de interés serán registradas, evaluadas y
priorizadas de acuerdo con lineamientos organizacionales y la estrategia corporativa,
donde los actores del TI levantarán los requisitos y serán ellos los encargados de
determinar cómo se dará la solución. Dicha solución estará enmarcada en el
cumplimiento de los planes organizacionales, el cumplimiento a las normas del estado
y el cumplimiento a las directrices empresariales.

Las soluciones que se deben entregar a la Organización serán tipificadas de acuerdo

con su tamaño e impacto seleccionando así la metodología de cómo se deben construir
para llevar a feliz término, cómo será medido su valor y aporte, cómo se mitigarán sus
riesgos de manera preventiva. Adicionalmente toda solución debe ser planeada de
acuerdo con su alcance, costo y tiempos de entrega donde se vele siempre por la
optimización de los recursos corporativos.

4.14. Gestión de Problemas. Con este proceso se busca disminuir y/o evitar la
presencia de incidentes repetitivos o de alto impacto, a través de la identificación y
eliminación de la causa de raíz para mejorar la disponibilidad de los servicios de TI y
aumentar la satisfacción de los usuarios.

4.15. Gestión de accesos a los servicios de TI

El área de tecnología garantizará el acceso a los diferentes servicios de TI al personal
de TCC y sus proveedores teniendo en cuenta la matriz de acceso definida con el área
de diseño organizacional de tal manera que se otorguen los accesos de acuerdo con el
perfil y cargo a desempeñar.

Es responsabilidad del área de diseño organizacional reportar a tecnología las

modificaciones de perfiles que afecten la matriz de acceso.

4.16. Gestión y medición de los servicios de TI. Su objetivo es Recolectar, validar y

evaluar métricas y según los procesos definidos para supervisar que estos se están
 MANUAL GOBIERNO CORPORATIVO TECNOLOGIAS DE LA INFORMACIÓN

realizando acorde al desempeño acordado y conforme a los objetivos y métricas

definidos, proporcionando informes de gestión que permitan tomar acciones
correctivas y de mejora

5. POLÍTICA GLOBAL DE LA SEGURIDAD DE LA INFORMACIÓN GRUPO LOGÍSTICO TCC

La Política de Seguridad de la Información deberá ser de conocimiento general para
todos los colaboradores/proveedores y externos al Grupo Logístico TCC que representa
la posición de la administración de la información como es un activo fundamental para
la prestación de sus servicios y la toma de decisiones eficientes, por tal motivo se
manifiesta el compromiso expreso para proteger sus propiedades más significativas
como parte de una estrategia orientada a la continuidad del negocio, la administración
de riesgos y la consolidación de una cultura de seguridad dentro de la compañía.

Consciente de las necesidades actuales, el Grupo Logístico TCC implementa un modelo

de gestión de seguridad de la información como la herramienta que permite identificar
y minimizar los riesgos a los cuales se expone la información, ayuda a la reducción de
costos operativos y financieros, establece una cultura de seguridad y garantiza el
cumplimiento de los requerimientos legales, contractuales, regulatorios y de negocio
vigentes.

Los colaboradores, personal externo, proveedores y todos aquellos que tengan

responsabilidades sobre las fuentes, repositorios y recursos de procesamiento de la
información del Grupo TCC, deben adoptar los lineamientos contenidos en el presente
documento y en los documentos relacionados con él, con el fin de mantener la
confidencialidad, la integridad y asegurar la disponibilidad de la información.
 MANUAL GOBIERNO CORPORATIVO TECNOLOGIAS DE LA INFORMACIÓN

La Política Global de Seguridad de la Información del Grupo Logístico TCC deberá ser
soportada por lineamientos y procedimientos específicos que guíen el manejo adecuado
de la información. Adicionalmente, las políticas aquí establecidas se fundamentan en
los propósitos de la norma internacional ISO/IEC 27001:2013.

6. COMPROMISO DEL GRUPO LOGÍSTICO TCC

Las responsabilidades de seguridad de la información deben ser comunicadas a todos
los empleados y contratistas durante el proceso de contratación. Todos los empleados
y los contratos de contratista incluirán las responsabilidades del empleado / contratista
y de la Compañía por la seguridad de la información, incluyendo la clasificación y
administración de los activos de información, el manejo de la información recibida de
partes externas y las consecuencias y/o penalidad de violar la política de seguridad de
la información. Todos los empleados y contratistas que tengan acceso a información
confidencial deberán firmar un acuerdo de confidencialidad o no divulgación antes de
acceder a esta información.

7. COMPROMISO DE LA DIRECCIÓN DE TECNOLOGÍA INFORMÁTICA

La política Global de seguridad de la información será revisada y aprobada por el
Director de Tecnología Informática al menos una vez al año o en caso de cambios
significativos (por ejemplo, cambios en las operaciones comerciales, cambios
tecnológicos, cambios normativos, incidentes críticos de seguridad, etc.) en el entorno
existente de seguridad de la información. El Director de Tecnología Informática será
responsable de realizar los cambios necesarios en el presente documento. La política
también será comunicada a todos los empleados de Grupo Logístico TCC y a las partes
interesadas por el medio correspondiente.

8. SANCIONES
Definir en conjunto con el área de Gestión Humana cuáles serán las consecuencias
y/o penalidad o procesos disciplinarios que acarrea el incumplimiento de los
lineamientos descritos en esta política para los empleados, contratistas o terceros
usuarios (de acuerdo con los requisitos legales y reglamentarios del país) que hayan
violado las políticas y procedimientos de seguridad de la Compañía, con el objetivo de
aplicar medidas correctivas conforme con los niveles de clasificación de las sanciones
definidas y mitigar posibles afectaciones contra la seguridad de la información.

BASARNOS EN EL SISTEMA DE CONSECUENCIAS

 MANUAL GOBIERNO CORPORATIVO TECNOLOGIAS DE LA INFORMACIÓN

9. POLÍTICAS DE LA ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

9.1 POLÍTICA DE ESTRUCTURA ORGANIZACIONAL DE SEGURIDAD DE LA INFORMACION

El Grupo Logístico TCC debe definir un esquema de seguridad de la información en

donde existan roles y responsabilidades claros que consideren actividades de
administración, operación y gestión de la seguridad de la información. (Roles y
funciones por definir por Grupo Logístico TCC)

9.1.1. Normas que rigen para la estructura organizacional de seguridad de la

información

Normas dirigidas a: ALTA DIRECCION

• La Alta Dirección del grupo TCC debe definir y establecer los roles y
responsabilidades relacionados con la seguridad de la información en niveles
directivo y operativo.
• La Alta Dirección debe definir y establecer el procedimiento de contacto con las
autoridades en caso de ser requerido, así como los responsables para establecer
dicho contacto.
• La Alta Dirección debe revisar y aprobar las Políticas de Seguridad de la
Información contenidas en este documento.
• La Alta Dirección debe promover activamente una cultura de seguridad de la
información en la organización.
• La Alta Dirección debe facilitar la divulgación de las Políticas de Seguridad de la
Información

Normas dirigidas a: DIRECCION DE GOBIERNO, RIESGOS Y CUMPLIMIENTO

 MANUAL GOBIERNO CORPORATIVO TECNOLOGIAS DE LA INFORMACIÓN

• La DIRECCION DE GOBIERNO, RIESGOS Y CUMPLIMIENTO debe liderar la

generación de lineamientos para gestionar la seguridad de la información del
grupo TCC y el establecimiento de controles técnicos, físicos y administrativos
derivados de análisis de riesgos de seguridad.
• La DIRECCION DE GOBIERNO, RIESGOS Y CUMPLIMIENTO debe validar y
monitorear de manera periódica la implantación de los controles de seguridad
establecidos.

Normas dirigidas a: OFICINA DE CONTROL INTERNO

• La Oficina de Control Interno debe planear y ejecutar las auditorías internas al

Sistema de Gestión de Seguridad de la Información del grupo TCC a fin de
determinar si las políticas, procesos, procedimientos y controles establecidos
están conformes con los requerimientos institucionales, requerimientos de
seguridad y regulaciones aplicables.
• La Oficina de Control Interno debe ejecutar revisiones totales o parciales de los
procesos o áreas que hacen parte del alcance del Sistema de Gestión de
Seguridad de la Información, con el fin de verificar la eficacia de las acciones
correctivas cuando sean identificadas no conformidades.
• La Oficina de Control Interno debe informar a las áreas responsables los
hallazgos de las auditorías.

Normas dirigidas a: DIRECCION DE TECNOLOGIA

• La Dirección de Tecnología debe asignar las funciones, roles y responsabilidades,

a sus funcionarios para la operación y administración de la plataforma
tecnológica del grupo TCC. Dichas funciones, roles y responsabilidades deben
encontrarse documentadas y apropiadamente segregadas.

Normas dirigidas a: TODOS LOS USUARIOS

• Los funcionarios y personal provisto por terceras partes que realicen labores en
o para el grupo TCC, tienen la responsabilidad de cumplir con las políticas,
normas, procedimientos y estándares referentes a la seguridad de la
información.

9.2. POLITICA SEGURIDAD PARA USO DE DISPOSITIVOS MOVILES

El grupo TCC proveerá las condiciones para el manejo de los dispositivos móviles
(teléfonos, inteligentes y tabletas, entre otros) institucionales que hagan uso de servicios
de la compañía. Así mismo, velará porque los funcionarios hagan un uso responsable de
los servicios y equipos proporcionados por la entidad.

9.2.1 Normas para uso de dispositivos móviles

 MANUAL GOBIERNO CORPORATIVO TECNOLOGIAS DE LA INFORMACIÓN

LINEAMIENTOS DIRIGIDOS A LA DIRECCIÓN DE TI

• La Dirección de Tecnología debe establecer las configuraciones aceptables para los

dispositivos móviles corporativos que hagan uso de los servicios provistos por el
Grupo TCC.
• La Dirección de Tecnología debe configurar la opción de borrado remoto de
información en los dispositivos móviles institucionales, con el fin de eliminar los
datos de dichos dispositivos y restaurarlos a los valores de fábrica, de forma remota,
evitando así divulgación no autorizada de información en caso de pérdida o hurto.
Definir alcance de dispositivos (¿operación? ¿Administrativos?)

LINEAMIENTOS DIRIGIDOS A TODOS LOS USUARIOS

• Los usuarios deben evitar usar los dispositivos móviles corporativos en lugares que
no les ofrezcan las garantías de seguridad física necesarias para evitar pérdida o
robo de estos.
• Los usuarios no deben modificar las configuraciones de seguridad de los
dispositivos móviles institucionales bajo su responsabilidad, ni desinstalar el
software provisto con ellos al momento de su entrega.
• Los usuarios deben evitar la instalación de programas desde fuentes desconocidas.
• Los usuarios deben evitar conectar los dispositivos móviles institucionales
asignados por puerto USB a cualquier computador público, de hoteles o cafés
internet, entre otros.
• Definir esquemas de seguridad para el uso del dispositivo, como creación de un
número PIN o huella de seguridad.
• Los usuarios deberán eliminar toda la información sensible de Grupo TCC
descargada a sus equipos, una vez ha sido utilizada.

9.3 SERVICIO DE INTERNET, REDES Y CONEXIONES REMOTAS

OBJETIVO: Establecer los requisitos mínimos de seguridad para el establecimiento del
gobierno frente a la administración de las redes telemáticas corporativas.

Este servicio es brindado por el Grupo TCC para apoyar la gestión de las tareas
vinculadas a un cargo y se constituye en un recurso valorado, vigilado y cuidado para
que se haga un buen uso de él. Por esta razón, todos los colaboradores que tengan los
privilegios de acceso a internet deben cumplir cabalmente los siguientes requisitos:

LINEAMIENTOS DIRIGIDOS A LA DIRECCIÓN DE TI

• La Dirección de Tecnología debe proporcionar los recursos necesarios para la

implementación, administración y mantenimiento requeridos para la prestación
segura del servicio de Internet, bajo las restricciones de los perfiles de acceso
establecidos. (SE HACE CON PERFILES EN FSSO con FW, ADEMAS DE CUBRIR EN
 MANUAL GOBIERNO CORPORATIVO TECNOLOGIAS DE LA INFORMACIÓN

ALGUNOS CASOS CON EL ENDPOINT DE SEGURIDAD EN LUGARES EXTERNOS

COMO PLS Y EQUIPOS INHOUSE, EN OCASIONES EN EQUIPOS INTERNOS PARA
BLOQUEO DE SITIOS ESPECIFICOS)
• La Dirección de Tecnología debe diseñar e implementar mecanismos que
permitan la continuidad o restablecimiento del servicio de Internet en caso de
contingencia interna. (SE TIENE UN INTERNET DE 100 MBPS UNE, ADEMAS SE
CUENTA CON INTERNET CON CONTINGENCIA EN RED EN ANILLO Y SALIDAS
DIFERENTES EN LA CONEXIÓN PRINCIPAL CON SU PROVEEDOR ISP)
• La Dirección de Tecnología debe monitorear continuamente el canal o canales
del servicio de Internet.
• La Dirección de Tecnología debe generar registros de la navegación y los accesos
de los usuarios a Internet. (SE REALIZA MONITOREO DE LOS LOGS A TRAVES DE
UNA HERRAMIENTA LLAMADA FORTIANALIZER)
• Los equipos de telecomunicaciones deben tener una lista de acceso que permita
su conexión remota sólo al personal autorizado por TI.
• Todas las redes deben contar con medidas que rechacen las conexiones no
autorizadas, registrarlas y dar aviso de ello.
• Todos los equipos que acceden a la red LAN deben estar totalmente
identificados.
• La Dirección de Tecnología debe restringir las conexiones remotas a los recursos
de la plataforma tecnológica; únicamente se deben permitir estos accesos a
personal autorizado y por periodos de tiempo establecidos, de acuerdo con las
labores desempeñadas.
• La Dirección de TI debe adoptar medidas para asegurar la disponibilidad de los
recursos y servicios de red del Grupo TCC
• La Dirección de TI debe mantener las redes de datos segmentadas por dominios,
grupos de servicios, grupos de usuarios, ubicación geográfica o cualquier otra
tipificación que se considere conveniente para el Grupo.
• La Dirección de TI debe identificar los mecanismos de seguridad y los niveles de
servicio de red requeridos e incluirlos en los acuerdos de servicios de red, cuando
estos se contraten externamente.
• La Dirección de TI debe establecer los estándares técnicos de configuración de
los dispositivos de seguridad y de red de la plataforma tecnológica del Grupo.
• La Dirección de TI, a través de sus funcionarios, debe identificar, justificar y
documentar los servicios, protocolos y puertos permitidos en sus redes de datos
e inhabilitar o eliminar el resto de los servicios, protocolos y puertos.
• La Dirección de TI debe instalar protección entre las redes internas del Grupo
TCC y cualquier red externa, que este fuera de la capacidad de control y
administración del grupo.
• La Dirección de Tecnología debe velar por la confidencialidad de la información
del direccionamiento y el enrutamiento de las redes de datos del Grupo TCC.
LINEAMIENTOS DIRIGIDOS A TODOS LOS USUARIOS
 MANUAL GOBIERNO CORPORATIVO TECNOLOGIAS DE LA INFORMACIÓN

• El servicio de internet será utilizado únicamente para actividades laborales y no

para temas de entretenimiento.
• En general, está prohibido visitar sitios en internet que incluyan material
inapropiado como páginas pornográficas, páginas ofensivas, sitios de música,
videos y juegos.
• Los usuarios, deben evitar descargar y/o emplear archivos de imagen, sonido o
similares que puedan estar protegidos por derechos de autor de terceros sin la
previa autorización de los mismos.
• Los usuarios no deben descargar software de Internet en ninguna circunstancia.

10. POLÍTICAS DE SEGURIDAD DEL PERSONAL

11. POLÍTICAS DE GESTIÓN DE ACTIVOS DE INFORMACIÓN

INVENTARIO DE ACTIVOS

Con el fin de garantizar la administración y control sobre los activos de información de

la Compañía, la Dirección de tecnología a través de la Coordinación mantiene un
inventario actualizado de los activos con su respectivo análisis de riesgos, el cual se
encuentra dentro del alcance del Sistema de Gestión de Seguridad de la Información.

En el inventario se identifica el propietario del activo, quien es el responsable de

establecer los controles necesarios para el acceso a la información y los activos
asociados a su cargo, así como de asegurar que los mismos están clasificados de
manera apropiada de acuerdo con los lineamientos definidos por la Compañía y sus
unidades de negocio.

CLASIFICACIÓN DE ACTIVOS DE INFORMACIÓN

La información de la Compañía debe ser protegida de acuerdo con la clasificación de
seguridad adoptada, considerando su valor y las características de confidencialidad
para los colaboradores, clientes, proveedores, accionistas, u otros grupos de interés.

En la Compañía se han determinado tres niveles para la clasificación de la información

(Pública, Restringida, Confidencial) y de acuerdo con ésta se determinaron los accesos
(Propietario, Custodio y Usuario).

- Pública: Información que la Compañía ha declarado de conocimiento público. Esta

información puede ser entregada o publicada sin restricciones a los empleados o al
 MANUAL GOBIERNO CORPORATIVO TECNOLOGIAS DE LA INFORMACIÓN

público en general, sin que esto implique daños a terceros ni a las actividades o
procesos de la Compañía.

- Restringida: Información que es utilizada por sólo un grupo de empleados para

realizar sus labores y que no puede ser conocida por otros empleados o terceros sin
autorización del propietario de la información. En caso de ser conocida, utilizada o
modificada por personas sin la debida autorización, impactaría de forma importante
a terceros o a las actividades y procesos de la Compañía y podrá generar sanciones
a quien incumpla la política.

- Confidencial: Es toda aquella información que no debe ser revelada a terceros sin
previa autorización del Presidente, ya que puede representar un alto riesgo para la
Compañía, sus empleados y/o demás partes interesadas, con efectos catastróficos
para las actividades y sus procesos, generando sanciones a quien incumpla dicha
política.

11.4. POLÍTICA DE USO DE PERIFERICOS Y MEDIOS DE ALMACENAMIENTO

12. POLÍTICA DE GESTIÓN DE ACCESOS

12.1. CUENTAS DE USUARIO

OBJETIVO: Establecer los requisitos mínimos de seguridad que deben cumplir todas las
cuentas de usuarios que accedan a información que es propiedad intelectual del Grupo
TCC.

Las cuentas de usuario son la manera como los colaboradores del Grupo TCC acceden
a los aplicativos que les entrega la Empresa, no hacer buen uso de ellas pone en riesgo
los activos corporativos; por esta razón, es obligatorio que las personas con cuentas de
usuarios las protejan y sigan los siguientes requisitos:

Longitud de la Contraseña • Todas las contraseñas deben

tener una longitud considerable
(preferiblemente mayor o igual a
ocho caracteres)

Complejidad de la Contraseña
• Las contraseñas deben estar
compuestas por letras
mayúsculas, letras minúsculas,
números y símbolos de
puntuación.
 MANUAL GOBIERNO CORPORATIVO TECNOLOGIAS DE LA INFORMACIÓN

Reutilización de Contraseñas • Una nueva contraseña no puede

ser la misma que las últimas 3
contraseñas utilizadas.

Vencimiento de contraseñas • Las contraseñas de administrador

y de usuario deben expirar
periódicamente después de un
período de 30 días

Bloqueo/Restablecimiento de cuenta • Un usuario puede intentar

ingresar sus credenciales máximo
5 veces, a la sexta se bloqueará la
cuenta.
• La duración del bloqueo de
cuenta será de treinta (30)
minutos después del inicio sin
éxito de la sesión, a menos que el
administrador del sistema o el
UNICO lo restablezcan
• La identidad del usuario debe
verificarse antes de restablecer la
contraseña

Tiempo de inactividad • El tiempo de espera de inactividad

de sistema / aplicación no
excederá 15 minutos

Contraseñas temporales • Los usuarios deben cambiar las

contraseñas temporales,
incluidas las contraseñas
emitidas por el administrador del
sistema, en el primer inicio de
sesión.

Privacidad de la contraseña / cuenta • Las cuentas y contraseñas de

grupo, compartidas o genéricas
no están permitidas.

• Otras Disposiciones
 MANUAL GOBIERNO CORPORATIVO TECNOLOGIAS DE LA INFORMACIÓN

• Todo colaborador debe velar por la

confidencialidad de sus cuentas de
usuario y evitar que estas sean
conocidas.
• Las cuentas de usuario y
contraseñas son de carácter
personal y no pueden ser
compartidas con otros
colaboradores para hacer uso de
los servicios de tecnología. Si lo
hace, cualquier anomalía que
ocurra con la información será
responsabilidad del colaborador
dueño de la cuenta.
• Si se requiere utilizar una misma
cuenta para ser utilizada desde
diferentes equipos por distintas
personas, esto deberá ser
solicitado por el director del área a
la Coordinación de Infraestructura
de TI o la Dirección de TI donde se
analizará el impacto y los riesgos
asociados a este procedimiento y
se determinará la viabilidad de la
solicitud.
• En el evento en que cualquier
usuario sospeche de que su cuenta
ha sido comprometida, está
llamada a cambiar inmediatamente
su contraseña y reportar el caso.

13. POLÍTICA DE SEGURIDAD FÍSICA Y MEDIOAMBIENTAL

OBJETIVO: Proveer espacios y ambientes adecuados para custodiar, proteger los

equipos, sistemas, información y las personas a través de lineamientos que intenten
mitigar los riesgos asociados a accesos físicos no autorizados, pérdida o daño de
equipos.
LINEAMIENTOS DIRIGIDOS A LA DIRECCIÓN DE TI

• El área de tecnología, o quien la represente en las sedes, velará porque los

servidores y equipos de comunicaciones y demás activos de TI estén ubicados en
instalaciones físicas, que estén debidamente administradas, cuenten con
 MANUAL GOBIERNO CORPORATIVO TECNOLOGIAS DE LA INFORMACIÓN

condiciones ambientales adecuadas, tengan mecanismos de seguridad lógica y

física apropiados y que cuenten con planes de contingencia convenientes ante
amenazas.
• Deben existir sistemas de control ambiental de temperatura y humedad, sistemas
de detección y extinción de incendios, sistemas de descarga eléctrica, sistemas de
vigilancia y monitoreo y alarmas en caso de detectarse condiciones ambientales
inapropiadas. Estos sistemas se deben monitorear de manera permanente.
• Todos los equipos de Grupo TCC estarán protegidos contra fallas de alimentación y
otras interrupciones causadas por fallas en los servicios.
• Limitar el acceso a sitios restringidos de aquellos que no posean la debida
autorización (data center, servidores, cuartos técnicos y de cableado)
• Las solicitudes de acceso al centro de cómputo o a los centros de cableado deben
ser aprobadas por funcionarios de la Dirección de Tecnología autorizados; no
obstante, los visitantes siempre deberán estar acompañados de un funcionario de
dicha dirección durante su visita al centro de cómputo o los centros de cableado.
• Se aplicará una protección adecuada a la protección de los cables de alimentación
y telecomunicaciones que transporten datos o servicios de información de apoyo de
la interceptación o daños.
• Los cables que conecten el equipo informático y otro equipo de apoyo deberán estar
bien organizados y distribuidos.
• La Dirección de Tecnología debe generar y aplicar lineamientos para la disposición
segura de los equipos de cómputo de los funcionarios del instituto, ya sea cuando
son dados de baja o cambian de usuario.

LINEAMIENTOS DIRIGIDOS A TODOS LOS USUARIOS

• No deje sus equipos en el carro

• No envíe su equipo en el equipaje de bodega
• Mantener cajones bajo llave
• No publicar o dejar a la vista documentos o datos sensibles (nombres de usuario y
contraseñas, direcciones IP, contratos, números de cuenta, lista de clientes, datos
de funcionarios)

13.1. POLÍTICA DE SEGURIDAD PARA LOS EQUIPOS INSTITUCIONALES

El grupo TCC para evitar la pérdida, robo o exposición al peligro de los recursos de la
plataforma tecnológica del grupo que se encuentren dentro o fuera de sus instalaciones,
proveerá los recursos que garanticen la mitigación de riesgos sobre dicha plataforma
tecnológica.

Normas dirigidas a: DIRECCION DE TECNOLOGIA

• La Dirección de Tecnología debe realizar mantenimientos preventivos y

correctivos de los recursos de la plataforma tecnológica del instituto.
 MANUAL GOBIERNO CORPORATIVO TECNOLOGIAS DE LA INFORMACIÓN

• La Dirección de Tecnología debe generar estándares de configuración segura

para los equipos de cómputo de los funcionarios del instituto y configurar dichos
equipos acogiendo los estándares generados.
• La Dirección de Tecnología debe establecer las condiciones que deben cumplir
los equipos de cómputo de personal provisto por terceros, que requieran
conectarse a la red de datos del grupo TCC y verificar el cumplimiento de dichas
condiciones antes de conceder a estos equipos acceso a los servicios de red.
•
Normas dirigidas a: OFICINA DE RIESGOS

• El área de riesgos en coordinación con la empresa de seguridad debe revisar los

accesos físicos en horas no hábiles a las áreas donde se procesa información.
• El área de riesgos en coordinación con la empresa de seguridad debe restringir
el acceso físico a los equipos de cómputo de áreas donde se procesa información
sensible.
• El Grupo de Recursos Físicos debe velar porque la entrada y salida de estaciones
de trabajo, servidores, equipos portátiles y demás recursos tecnológicos del
grupó TCC cuente con la autorización documentada y aprobada previamente por
el Coordinador de Recursos Físicos.

Normas dirigidas a: TODOS LOS USUARIOS

• La Dirección de Tecnología es la única área autorizada para realizar movimientos

y asignaciones de recursos tecnológicos; por consiguiente, se encuentra
prohibida la disposición que pueda hacer cualquier funcionario de los recursos
tecnológicos del grupo TCC
• Las estaciones de trabajo, dispositivos móviles y demás recursos tecnológicos
asignados a los funcionarios y personal provisto por terceras partes deben acoger
las instrucciones técnicas de proporcione la Dirección de Tecnología.
• Cuando se presente una falla o problema de hardware o software en una estación
de trabajo u otro recurso tecnológico propiedad del grupo TCC el usuario
responsable debe informar a la Mesa de Ayuda en donde se atenderá o escalará
al interior de la Dirección de Tecnología, con el fin de realizar una asistencia
adecuada. El usuario no debe intentar solucionar el problema.
• La instalación, reparación o retiro de cualquier componente de hardware o
software de las estaciones de trabajo, dispositivos móviles y demás recursos
tecnológicos del grupo TCC, solo puede ser realizado por los funcionarios de la
Dirección de Tecnología, o personal de terceras partes autorizado por dicha
dirección.
• Los funcionarios del grupo TCC y el personal provisto por terceras partes deben
bloquear sus estaciones de trabajo en el momento de abandonar su puesto de
trabajo.
 MANUAL GOBIERNO CORPORATIVO TECNOLOGIAS DE LA INFORMACIÓN

• Los funcionarios del grupo TCC y el personal provisto por terceras partes no
deben dejar encendidas las estaciones de trabajo u otros recursos tecnológicos
en horas no laborables.
• Los equipos de cómputo, bajo ninguna circunstancia, deben ser dejados
desatendidos en lugares públicos o a la vista, en el caso de que estén siendo
transportados.
• Los equipos portátiles siempre deben ser llevados como equipaje de mano y se
debe tener especial cuidado de no exponerlos a fuertes campos
electromagnéticos.
• En caso de pérdida o robo de un equipo de cómputo del grupo TCC, se debe
informar de forma inmediata al líder del proceso para que se inicie el trámite
interno y se debe poner la denuncia ante la autoridad competente.

14. POLÍTICA DE COPIAS DE SEGURIDAD Y RESPALDO DE INFORMACIÓN

OBJETIVO: Definir un esquema para gestionar la recuperación de la información

crítica de la compañía en caso de pérdida o robo.

De acuerdo con la clasificación de la información, la Dirección de Tecnología

Informática apoyará la generación de copias de respaldo y almacenamiento de
información crítica, proporcionando los recursos necesarios y estableciendo los
procedimientos y mecanismos para la realización de estas actividades. Las áreas
propietarias de la información, con el apoyo de la Dirección de Tecnología, encargada
de la generación de copias de respaldo, definirán la estrategia a seguir y los periodos
de retención para el respaldo y almacenamiento de la información.

14.1. LINEAMIENTOS DIRIGIDOS A LA DIRECCIÓN DE TI

• El área de TI deberá definir el procedimiento para garantizar el respaldo de

información, incluyendo aspectos como periodicidad, procedimiento de
recuperación de documentos, extensión y frecuencia de las copias de seguridad,
almacenamiento de las copias y retención de copias de seguridad de tal manera
que cumpla con los establecido en el Plan de Gestión de la Información (PGI).
• Todo líder técnico de proyectos deberá entregar a Infraestructura de TI los
lineamientos de la información a ser respaldada bajo un documento que soporte
dicha solicitud y así tener un control de los equipos e información nueva.
• La información crítica deberá tener un respaldo externo (offsite) diferente al
Datacenter o locaciones de la empresa.
• Se deberá efectuar “simulacros” de restauración de los archivos almacenados en
las copias de respaldo a los sistemas core del negocio mínimo una vez por año.
• Garantizar el correcto funcionamiento y disponibilidad de la herramienta OneDrive
para que sea utilizada por los usuarios.
 MANUAL GOBIERNO CORPORATIVO TECNOLOGIAS DE LA INFORMACIÓN

• La Dirección de Tecnología tendrá a disposición de los usuarios manuales, ayudas

y el servicio de UNICO para orientar a los usuarios sobre el uso adecuado de la
herramienta OneDrive.

14.2. LINEAMIENTOS DIRIGIDOS A TODOS LOS USUARIOS

• Es responsabilidad de cada uno de los usuarios de los servicios tecnológicos del

Grupo Logístico TCC identificar la información crítica que debe ser respaldada y
almacenarla de acuerdo con su nivel de clasificación e importancia.
• El Grupo Logístico TCC dispone de la herramienta Office 365 la cual contiene
OneDrive que es un servicio que se encuentra en la nube de Microsoft y es allí donde
los usuarios deben almacenar la información corporativa clasificada y de
importancia como estrategia de respaldo de información.
• El uso de herramientas para respaldo de información diferentes a OneDrive no será
soportado por la Dirección de Tecnología.

POLÍTICAS DE INCLUSION DE SEGURIDAD DE LA INFORMACION EN LA GESTIÓN DE LA

CONTINUIDAD DEL NEGOCIO

15. POLÍTICA DE USO DE LOS ACTIVOS DE TI

OBJETIVO: Establecer las condiciones formales y técnicas que se han de cumplir para
que los equipos y licencias de TI puedan operar óptimamente dentro del Grupo TCC.

Estos lineamientos están dirigidos todos los colaboradores, proveedores y clientes del
Grupo Logístico TCC que laboran dentro y fuera de las instalaciones de TCC y que utilicen
recursos de TI propiedad o responsabilidad de la compañía.

Los dispositivos de cómputo son propiedad o responsabilidad del Grupo TCC y por lo
tanto la Empresa está en pleno derecho de establecer cualquier acción sobre ellos o
sobre la información que reciban, procesen, almacenen o transmitan, incluyendo
acciones de revisión y auditorías. Las directrices son:

15.1. LINEAMIENTOS DIRIGIDOS A LA DIRECCIÓN DE TI

El área de tecnología definirá el esquema para garantizar el mantenimiento de los

equipos que conforman la infraestructura tecnológica de la compañía (PC'S,
portátiles, impresoras, escáner, UPS, periféricos, telefonía ip, móviles, entre otros)
de propiedad o responsabilidad del Grupo TCC de acuerdo con los lineamientos
establecidos previamente para ello.
 MANUAL GOBIERNO CORPORATIVO TECNOLOGIAS DE LA INFORMACIÓN

La propiedad intelectual de los desarrollos contratados o realizados por los

colaboradores dentro de su trabajo serán propiedad del Grupo TCC, salvo acuerdo
escrito expreso que diga lo contrario.

• Todos los equipos deben contar con los últimos parches de seguridad y
funcionalidad recomendados por el proveedor y criterio de TI.
• Todos los dispositivos deben estar actualizados y/o reemplazados frente a sus
capacidades vs responsabilidades del cargo del empleado y política de
obsolescencia.
• Todos los activos de TI de Grupo TCC deberán estar registrados a lo largo de su
ciclo de vida según políticas de TI y gestión de activos de la compañía.
• El equipo de TI deberá confirmar que el mantenimiento preventivo de todos los
dispositivos de TI se realiza a intervalos regulares para la disponibilidad continua
de estos sistemas y se llevará a cabo de acuerdo con las instrucciones y
especificaciones del fabricante o políticas de tecnología TCC.
• El equipo de TI y proveedores aliados mantendrá las contingencias de equipos
de cómputo y comunicaciones necesarias para darle continuidad a la compañía
en todos los procesos operativos y administrativos.

15.2. LINEAMIENTOS DIRIGIDOS A TODOS LOS USUARIOS

• Todo proyecto de cualquier índole que requiera o involucre el uso de recursos
informáticos y/o comunicaciones deberá contar con el visto bueno del área de
tecnología.
• Nadie podrá adquirir, desarrollar e implementar sistemas de información, sin la
previa concertación con el área de tecnología. Si este caso sucediera, no es
responsabilidad del Grupo TCC ante ninguna entidad, compañía o institución
externa, dar soporte o mantenimiento, una vez que de manera inconsulta y sin
autorización del área de tecnología se estén utilizando.
• Ningún usuario debe instalar o desinstalar software, sólo está autorizado para
realizar este proceso en los dispositivos o equipos corporativos el personal de
Servicios de TI.
• La Dirección de TI no es responsable por las fotos, música, vídeos y otros archivos
personales almacenados en los equipos corporativos. En la medida de lo posible
debe evitarse el almacenamiento de dichos archivos en los computadores
corporativos.
• Para solicitar la instalación de software el líder del proceso (vicepresidente,
Gerente o Director) hará la petición mediante requerimiento y justificación al
Centro Especializado de Servicios Informáticos (Único). El software se instalará
bajo los lineamientos del área de Tecnología.
• Ningún usuario está autorizado para modificar la configuración de los equipos
que son propiedad del Grupo TCC. Sólo están acreditadas para hacerlo las
 MANUAL GOBIERNO CORPORATIVO TECNOLOGIAS DE LA INFORMACIÓN

personas de servicios de TI, previa solicitud al Centro Especializado de Servicios

Informáticos (Único).
• No está permitido destapar, desarmar o intercambiar piezas de los equipos que
son propiedad o responsabilidad del Grupo TCC. Sólo están acreditado para
hacerlo las personas de servicios de TI, previa solicitud en el Centro Especializado
de Servicios Informáticos (Único).
• En caso de pérdida o robo del equipo, el usuario que lo utilizaba presenta el
respectivo denuncio ante las autoridades competentes, y entrega dicho
documento al área de Riesgos mediante el portal de ÚNICO.
• Todos los equipos utilizados por los usuarios que están conectados a las redes
de la compañía, ya sean de propiedad suya o de la compañía, deben estar
actualizados con software antivirus y con los últimas actualizaciones del sistema
operativo. Esto incluye conexiones locales y remotas (VPN).
• Al terminarse la relación laboral el usuario debe entregar en buenas condiciones
los elementos informáticos que le fueron dotados durante su estadía en la
organización.
• Obrar con racionalidad y disciplina en el uso de los activos de TI (evitar comer
alimentos al lado de los equipos, no pegar stickers en los equipos)
• Todos los equipos de comunicaciones deben tener habilitados únicamente los
puertos estrictamente necesarios para su funcionamiento y/o bajo aprobación.

16. POLÍTICA DE SISTEMAS DE INFORMACIÓN Y APLICACIONES

OBJETIVO: Establecer los lineamientos para el tratamiento de los sistemas de

información y las aplicaciones corporativas del Grupo TCC.

16.1. LINEAMIENTOS DIRIGIDOS A LA DIRECCIÓN DE TI

• El código fuente debe estar protegido de accesos no autorizados.

• Si el aplicativo deja cookies o ayudas similares, estas no deben tener
información sensible. Si no es posible esta medida, dichas cookies o
ayudas deben estar cifradas.
• Debe hacerse monitoreo de la no implantación de código malicioso.
• Definir los controles para hacer frente a software tipo malware.
• Todo cambio o parche tiene que ser evaluado con pruebas de aceptación
por parte del Product Owner, usuarios interesados o stakeholders y dentro
del ambiente de pruebas antes de ser puesto en los ambientes de
capacitación o producción.
• Los cambios o parches en la aplicación deben ser aprobados por el
Comité de Cambios.
• Todo software que utilice el Grupo TCC debe contar con las respectivas
licencias y será adquirido de acuerdo con las normas vigentes y siguiendo
los procedimientos específicos y reglamentos internos.
 MANUAL GOBIERNO CORPORATIVO TECNOLOGIAS DE LA INFORMACIÓN

• Toda adquisición, desarrollo e implementación de sistemas de

información, deberá contar con la participación y aprobación del área de
Tecnología.
• Existirá un inventario de software, tanto licenciado como sin costo,
adquirido o instalado por el Grupo TCC, que permita su adecuada
administración y control evitando riesgos de virus o incumplimiento de
normas legales.

16.2. LINEAMIENTOS DIRIGIDOS A TODOS LOS USUARIOS

• Los usuarios del aplicativo no deben tener acceso al código fuente bajo ninguna
modalidad.
• Los usuarios de las aplicaciones o soluciones no deben tener acceso directo a
las bases de datos mediante las herramientas de los motores de bases de datos
usados.

17. POLÍTICA DE USO DE DISPOSITIVOS MÓVILES Y CELULARES CORPORATIVOS

OBJETIVO: Proporcionar la información necesaria para la evaluación y análisis de los

riesgos, amenazas, y vulnerabilidades de seguridad a las que están expuestos los
dispositivos móviles de la compañía.

17.1.1. ASIGNACIÓN DE PLANES DE CELULARES y DISPOSITIVOS MOVILES

17.1.1.1. PERSONAL ADMINISTRATIVO Y DE APOYO A LA OPERACIÓN

• Presidente, Vicepresidentes, Gerentes de UEN y Directores son quienes están

autorizados para hacer la solicitud de la asignación de línea celular y se debe
realizar a través del catálogo de servicios de UNICO indicando el plan autorizado
y la justificación.
• La cantidad de minutos de los planes son para hablar a todo destino nacional.
Los planes cuentan con las características de llamadas ilimitadas entre líneas
del Grupo TCC, es decir, dichas llamadas no serán descontados de los minutos
asignados.
• El criterio para asignar plan de datos es que el rol del colaborador implique tener
conexión y disponibilidad permanente al correo electrónico, servicios de
mensajería o acceso a sistemas de información para ejecutar o soportar
procesos de negocio.
• Las personas podrán adquirir planes de capacidades mayores a las definidas por
la organización asumiendo el cobro adicional a través de descuento por nómina
con previa autorización de la capacidad de endeudamiento.
• El Grupo TCC solo paga lo relacionado con el consumo de voz y datos del cargo
fijo, no entrega a los colaboradores equipos excepto a aquellas líneas que sean
para trabajo exclusivo de operaciones del negocio, como por ejemplo Movilidad,
 MANUAL GOBIERNO CORPORATIVO TECNOLOGIAS DE LA INFORMACIÓN

áreas de servicio al cliente, plataformas, conductores de reparto local y nacional,

entre otros.

17.1.1.2. RUTA NACIONAL-REPARTO LOCAL

• Solo los directores de ruta nacional y planeación de operaciones están
autorizados para solicitar a TI líneas celulares.
• TI propondrá los planes de voz y datos de acuerdo con el dimensionamiento de
las necesidades planteadas por las direcciones de ruta nacional y planeación de
operaciones.
• TI definirá el equipo celular que se asignarán a las respectivas líneas.

17.1.2. POLITICAS DE USO DE LAS LÍNEAS CELULARES y DISPOSITIVOS

MOVILES

17.1.2.1. PERSONAL ADMINISTRATIVO Y DE APOYO A LA OPERACIÓN

• Cuando el colaborador se retire de la organización si la línea aún tiene tiempo de
permanencia asociado al costo del celular aceptará que se haga cesión de
contrato a nombre de él y autoriza descontar de su liquidación el valor que esté
pendiente por el saldo correspondiente al subsidio del celular. Si la línea no tiene
permanencia y el colaborador no desea hacer cesión de contrato, se procederá
con la cancelación de la línea.
• TI entregará a cada VP un informe trimestral con la cantidad de líneas y el uso
que se dan a las mismas en cuanto a cantidad de minutos y datos.
• El colaborador que tenga asignado una línea tiene la responsabilidad de atender
de manera permanente y oportuna las llamadas que reciba.
• Los costos generados por consumos adicionales serán descontados por nómina.

17.1.2.2. RUTA NACIONAL-REPARTO LOCAL

• Todo colaborados, que tengan asignado un Celular y/o un Dispositivo Móvil
Corporativo, debe velar por el resguardo y protección del mismo.
• En caso de ser despojado del Celular y/o del dispositivo Móvil Corporativo, el
empleado debe realizar la denuncia correspondiente ante el organismo
encargado y reportarlo a través del director del área a TI .
• El Celular y Dispositivo Móvil Corporativo, es de uso exclusivo para la actividad
de la empresa.
• El empleado que tenga asignado un Celular y/o Dispositivo Móvil Corporativo,
deberá de atender todas las llamadas recibidas en dichos equipos.
• Los colaboradores no podrán instalar ningún tipo de software en los celulares y/o
Dispositivo Móvil operativos; este proceso solo lo realizará TI .
 MANUAL GOBIERNO CORPORATIVO TECNOLOGIAS DE LA INFORMACIÓN

• Los planes de voz son cerrados, una vez se termine el total de minutos asignados
la línea quedará habilitada para recibir llamadas y realizar llamadas al NIT.
• Solo el Director de Ruta Nacional y el Director de Planeación de Operaciones en
acuerdo con TI, tienen la potestad de cambiar el Plan asignado, por lo que no
están autorizados los cambios por los Colaboradores.
• El empleado que tenga asignado un Celular y/o Dispositivo Móvil Corporativo,
está en conocimiento de que tanto el celular como la tarjeta SIM que recibe es
propiedad exclusiva de TCC; si por alguna razón la relación laboral culmina,
deberá devolver tanto el equipo como la tarjeta SIM a Ruta Nacional o en su
defecto al Coordinador del Centro de Control.
• En ningún momento la SIM Card podrá ser retirada del celular y/o Dispositivo
Móvil asignado para ser utilizada en otro dispositivo sin previa autorización del
centro de control y de TI.

17.2. LINEAMIENTOS DIRIGIDOS A LA DIRECCIÓN DE TI

• La Dirección de Tecnología debe establecer las configuraciones aceptables para los

dispositivos móviles corporativos que hagan uso de los servicios provistos por el
Grupo TCC.
• La Dirección de Tecnología debe configurar la opción de borrado remoto de
información en los dispositivos móviles, con el fin de eliminar los datos de dichos
dispositivos y restaurarlos a los valores de fábrica, de forma remota, evitando así
divulgación no autorizada de información en caso de pérdida o hurto.
• La Dirección de Tecnología debe instalar un software de antivirus en los dispositivos
móviles.

17.3. SERVICIO DE INTERNET, REDES Y CONEXIONES REMOTAS

OBJETIVO: Establecer los requisitos mínimos de seguridad para el establecimiento del
gobierno frente a la administración de las redes telemáticas corporativas.

Este servicio es brindado por el Grupo TCC para apoyar la gestión de las tareas
vinculadas a un cargo y se constituye en un recurso valorado, vigilado y cuidado para
que se haga un buen uso de él. Por esta razón, todos los colaboradores que tengan los
privilegios de acceso a internet deben cumplir cabalmente los siguientes requisitos:

17.3.1. LINEAMIENTOS DIRIGIDOS A LA DIRECCIÓN DE TI

• La Dirección de Tecnología debe proporcionar los recursos necesarios para la

implementación, administración y mantenimiento requeridos para la prestación
 MANUAL GOBIERNO CORPORATIVO TECNOLOGIAS DE LA INFORMACIÓN

segura del servicio de Internet, bajo las restricciones de los perfiles de acceso
establecidos.
• La Dirección de Tecnología debe diseñar e implementar mecanismos que
permitan la continuidad o restablecimiento del servicio de Internet en caso de
contingencia interna.
• La Dirección de Tecnología debe monitorear continuamente el canal o canales
del servicio de Internet.
• La Dirección de Tecnología debe generar registros de la navegación y los accesos
de los usuarios a Internet.
• Los equipos de telecomunicaciones deben tener una lista de acceso que permita
su conexión remota sólo al personal autorizado por TI.
• Todas las redes deben contar con medidas que rechacen las conexiones no
autorizadas, registrarlas y dar aviso de ello.
• Todos los equipos que acceden a la red LAN deben estar totalmente
identificados.
• La Dirección de Tecnología debe restringir las conexiones remotas a los recursos
de la plataforma tecnológica; únicamente se deben permitir estos accesos a
personal autorizado y por periodos de tiempo establecidos, de acuerdo con las
labores desempeñadas.
• La Dirección de TI debe adoptar medidas para asegurar la disponibilidad de los
recursos y servicios de red del Grupo TCC
• La Dirección de TI debe mantener las redes de datos segmentadas por dominios,
grupos de servicios, grupos de usuarios, ubicación geográfica o cualquier otra
tipificación que se considere conveniente para el Grupo.
• La Dirección de TI debe identificar los mecanismos de seguridad y los niveles de
servicio de red requeridos e incluirlos en los acuerdos de servicios de red, cuando
estos se contraten externamente.
• La Dirección de TI debe establecer los estándares técnicos de configuración de
los dispositivos de seguridad y de red de la plataforma tecnológica del Grupo.
• La Dirección de TI, a través de sus funcionarios, debe identificar, justificar y
documentar los servicios, protocolos y puertos permitidos en sus redes de datos
e inhabilitar o eliminar el resto de los servicios, protocolos y puertos.
• La Dirección de TI debe instalar protección entre las redes internas del Grupo
TCC y cualquier red externa, que este fuera de la capacidad de control y
administración del grupo.
• La Dirección de Tecnología debe velar por la confidencialidad de la información
del direccionamiento y el enrutamiento de las redes de datos del Grupo TCC.

17.3.2. LINEAMIENTOS DIRIGIDOS A TODOS LOS USUARIOS

• El servicio de internet será utilizado únicamente para actividades laborales y no
para temas de entretenimiento.
 MANUAL GOBIERNO CORPORATIVO TECNOLOGIAS DE LA INFORMACIÓN

• En general, está prohibido visitar sitios en internet que incluyan material

inapropiado como páginas pornográficas, páginas ofensivas, sitios de música,
videos y juegos.
• Los usuarios, deben evitar descargar y/o emplear archivos de imagen, sonido o
similares que puedan estar protegidos por derechos de autor de terceros sin la
previa autorización de los mismos
• Los usuarios no deben descargar software de Internet bajo ninguna
circunstancia.

17.4. CORREO ELECTRÓNICO

OBJETIVO: Definir los lineamientos de uso del correo electrónico corporativo.

El servicio de correo electrónico corporativo ha sido creado para que los colaboradores
del Grupo TCC puedan comunicar sus decisiones y acciones. Por ser un servicio que es
propiedad del Grupo TCC, este puede estar sujeto a auditorías de contenido y utilización.
Por lo tanto, estos son los requisitos para su uso:

17.4.1. LINEAMIENTOS DIRIGIDOS A LA DIRECCIÓN DE TI

• La Dirección de Tecnología debe proveer un ambiente seguro y controlado para

el funcionamiento de la plataforma de correo electrónico.
• La Dirección de Tecnología debe establecer procedimientos e implantar controles
que permitan detectar y proteger la plataforma de correo electrónico contra
código malicioso que pudiera ser transmitido a través de los mensajes.

17.4.2. LINEAMIENTOS DIRIGIDOS A TODOS LOS USUARIOS

• El servicio de correo electrónico corporativo sólo debe usarse para fines del
negocio, en ningún momento para temas personales.
• El acceso a correos electrónicos personales será dispuesto por las directrices de
la Organización, se ratifica que desde estos correos no debe accederse a
contenidos que atenten contra los principios y valores de la compañía.
• Todo correo corporativo debe contar con la respectiva presentación y firma,
según plantilla enviada por la Dirección de Comunicaciones.
• Sea precavido con los correos enviados por desconocidos y valide la autenticidad
de ellos antes de responder.
• Si desconocidos envían algún vínculo, evite dar clic sobre él, puesto que puede
ser un engaño para instalarle alguna aplicación maligna. Proceda de igual
manera cuando un desconocido envíe un archivo adjunto.
• Está prohibido iniciar o reenviar cadenas de correo. Los correos de procedencia
desconocida deben ser eliminados.
 MANUAL GOBIERNO CORPORATIVO TECNOLOGIAS DE LA INFORMACIÓN

• No está permitido generar o enviar correos electrónicos a nombre de otra

persona sin autorización o suplantándola
• No se deberá imprimir lo recibido por correo electrónico mientras no sea
necesario, pues esto generaría un costo adicional para la compañía e impactos
negativos en el medio ambiente. (GREEN IT).
• La solicitud de cuenta de correo debe ser enviada a través de UNICO y debe tener
una vigencia de acuerdo a la fecha de vencimiento de la vinculación del usuario
con el Grupo TC. Finalizada su vinculación o terminada la prestación del servicio,
el Grupo TCC eliminará las autorizaciones relacionadas con la cuenta.
• Prohibir el ofrecimiento o facilitamiento de cuentas de correo de la compañía a
terceras personas.
• Realizar revisiones periódicas de los mensajes almacenados con el fin de no
mantener información innecesaria.
• Reportar los correos sospechosos que reciben a UNICO.
• Establecer lineamientos para la retención y conservación de correo electrónico
según su grado de importancia. (Definir tiempos)

18. POLÍTICA DE PRIVACIDAD Y PROTECCIÓN DE DATOS PERSONALES

OBJETIVO: Regular de acuerdo a los lineamientos constitucionales respecto al
tratamiento de la información confidencial y privada que se recoge sobre personas en
bases de datos y/o archivos.

En cumplimiento de las disposiciones legales para la protección de datos personales

emitidas en la Ley 1581 de 2012, los Decretos 1377 de 2013 y 886 de 2014 y la
Circular Única de la Superintendencia de Industria y Comercio, la Dirección de TI DEL
Grupo TCC a través del área legal, propenderá por la protección de los datos personales
de sus beneficiarios, proveedores y demás terceros de los cuales reciba y administre
información.

(Se requiere validar con el área legal si se tienen en sus políticas internas contemplados
lineamientos de Habeas Data o disposiciones generales en cuanto a la recolección, uso,
almacenamiento y divulgación de información personal)

18.1.1. LINEAMIENTOS DIRIGIDOS A LA DIRECCIÓN DE TI

• La Dirección de Tecnología debe implantar los controles necesarios para proteger

la información personal de los beneficiarios, funcionarios, proveedores u otras
terceras partes almacenada en bases de datos o cualquier otro repositorio y
evitar su divulgación, alteración o eliminación sin la autorización requerida.

18.1.2. LINEAMIENTOS DIRIGIDOS A TODOS LOS USUARIOS

 MANUAL GOBIERNO CORPORATIVO TECNOLOGIAS DE LA INFORMACIÓN

• Los usuarios deben guardar discreción o la reserva absoluta con respecto a la

información del grupo o de sus colaboradores.
• Es deber de los usuarios, verificar la identidad de todas aquellas personas, a
quienes se les entrega información por teléfono, por correo electrónico o por
correo certificado, entre otros.

19. POLÍTICA DE RELACIONAMIENTO CON TERCEROS

OBJETIVO: Controlar las acciones de los proveedores, contratistas o consultores en

el Grupo TCC.

19.1. LINEAMIENTOS DIRIGIDOS A LA DIRECCIÓN DE TI

• Previo a cualquier tipo de relacionamiento que se vaya a realizar es indispensable

que el tercero conozca de antemano las disposiciones enunciadas en la presente
la política y su responsabilidad frente a la confidencialidad de la información y el
buen uso de los activos.
• Prohibir a los terceros la copia o cesión sin autorización de las aplicaciones que
son propiedad de la compañía ni las aplicaciones o programas de los que esta
tenga licencia de uso (Hacer firmar contratos de confidencialidad cuando se
comparta con terceros código propietario del Grupo TCC)
• Monitorear los niveles de desempeño del servicio para verificar el cumplimiento
de los acuerdos con los proveedores.
• Denegar el acceso de terceros desde internet a la red LAN a menos que se cuente
con la aprobación respectiva.
• Prohibir la utilización de cualquier sistema de almacenamiento como CD-ROMs,
memorias UBS, discos duros, provistos por externos en los sistemas de Grupo
TCC, a menos que éstos medios hayan sido analizados con sistemas antivirus
por personal autorizado para evitar infecciones.
• Se deben definir los tipos de acceso a la información que se permitirá a los
diferentes tipos de proveedores y controlar su acceso.
• Asegurar que todos los terceros tengan su acuerdo de confidencialidad,
vencimientos de claves y garantizar la calidad de los entregables.
• La conexión entre sistemas internos de la compañía y otros de terceros debe ser
aprobada y certificada por el área de Tecnología con el fin de no comprometer la
seguridad de la información interna de la Organización.

19.2. LINEAMIENTOS DIRIGIDOS A TODOS LOS USUARIOS TERCEROS

 MANUAL GOBIERNO CORPORATIVO TECNOLOGIAS DE LA INFORMACIÓN

• Los recursos de TI que no sean propiedad del Grupo TCC y deban ser utilizados
por terceros al interior de la organización, deben garantizar la legalidad del
recurso para su funcionamiento.
• Los usuarios terceros tendrán acceso a los servicios de TI que sean estrictamente
necesarios para el cumplimiento de su función, dichos accesos deben ser
aprobados por el Director del área encargada y serán analizados por el área de
Tecnología.
• La conexión entre sistemas internos de la compañía y otros de terceros debe ser
aprobada y certificada por el área de Tecnología con el fin de no comprometer la
seguridad de la información interna de la Organización.
• Los equipos de usuarios terceros que deban estar conectados a la Red, deben
contar con un antivirus actualizado y con las respectivas licencias del software
instaladoToda la información de propiedad de Grupo TCC debe ser clasificada en
términos de requisitos legales / contractuales / regulatorios / valor / criticidad
para el negocio con respecto a la confidencialidad, integridad y disponibilidad.