Documentos de Académico
Documentos de Profesional
Documentos de Cultura
BARRANQUILLA - COLOMBIA
2017
Página 1 de 11
INTRODUCCIÓN.
Mediante la ley 1581 de 2012, se establecen parámetros que permiten establecer pautas para
la seguridad de los datos personales de todo el personal que mantenga o haya mantenido
relaciones con la compañía; para el caso de IREYNEL GUEVARA Y COMPAÑIA LIMITADA.
esto denota una evaluación de nuestros procesos recolección y administración de datos
personales y una exhortación a continuar trabajando por mantener unos estándares adecuados
para el manejo de la información de nuestros accionistas, clientes, acreedores, empleados y
terceros que permitan llevar a cabo nuestra actividad de negocio.
Página 2 de 11
TABLA DE CONTENIDO
CAPÍTULO I. GENERALIDADES
Página 3 de 11
CAPÍTULO I. GENERALIDADES
1.2 OBJETIVO
Establecer las medidas organizacionales, técnicas, físicas y legales, necesarias para proteger
los activos de información contra acceso no autorizado, divulgación, duplicación, interrupción
de sistemas, modificación, destrucción, pérdida, robo, o mal uso que se pueda producir en
forma intencional o accidental.
1.3 ALCANCE
Esta Política es aplicable a todos los colaboradores, consultores, contratistas, terceras partes,
que usen activos de información que sean propiedad de la compañía.
1.4 RESPONSABILIDAD
Es responsabilidad de del Comité de tratamiento de datos personales y del departamento de
sistemas hacer uso de la Política de Seguridad de la Información, como parte de sus
herramientas de gobierno y de gestión, de definir los estándares, procedimientos y
lineamientos que garanticen su cumplimiento.
1.5 CUMPLIMIENTO
El cumplimiento de la Política de Seguridad de la Información es obligatorio. Si los
colaboradores, consultores, contratistas, terceras partes violan estas políticas, la organización
se reserva el derecho de tomar las medidas correspondientes.
1.6 EXCEPCIONES
Las excepciones a cualquier cumplimiento de Política de Seguridad de la Información deben
ser aprobadas por el Comité de Tratamiento de Datos personales y la dirección tecnológica de
Página 4 de 11
la compañía, la cual requiere autorización de la Gerencia de la compañía. Todas las
excepciones a la Política deben ser formalmente documentadas, registradas y revisadas.
Periódicamente (con plazo máximo de cada año) se debe realizar una valoración del riesgo
para contemplar los cambios en los requisitos de seguridad de la información física y
sistematizada, así como la situación de riesgo tales como cambio en los activos, las amenazas,
las vulnerabilidades, siniestros, mala praxis y los impactos que se puedan presentar. Se debe
decidir cuándo un riesgo es aceptable, ya sea por motivos de objetivos de negocio o por costos
no rentables.
- Evitar el riesgo.
- Disminuir la probabilidad de ocurrencia.
- Disminuir el impacto.
- Transferir los riesgos.
- Retener los riesgos.
- Acciones durante la ocurrencia de los riesgos.
- Acciones posteriores a la ocurrencia de los riesgos.
- Control de acceso a la red.
- Control de acceso a las aplicaciones.
Página 5 de 11
2.1.1 La tenencia, custodia y administración de los archivos y bases de datos físicos
serán única y exclusiva responsabilidad de encargado del área y recolector de los
mismos.
2.1.2 El acceso a los archivos y bases de datos físicos se encuentra restringido a
terceros no autorizados para el manejo de la documentación de referencia salvo
autorización expresa indicando fines específicos y alcance de responsabilidades.
2.1.3 Los archivos físicos y bases de datos reposaran únicamente en las instalaciones
de la compañía bajo las medidas mínimas requeridas para mantener su
seguridad, se encontrarán debidamente inventariados, foliados y respaldados por
las debidas actas y copias de entrega y aceptación siempre y cuando lo ameriten.
2.1.4 La transferencia de archivos y documentación en las diferentes dependencias de
la compañía se encuentra limitada a su fin y tenencia por parte del responsable
de la misma.
2.1.5 El archivo se considerará inactivo y se transferirá a las bodegas de archivos de la
compañía destinados para tal fin cuando por periodo igual o superior a un año no
se haya mantenido relación alguna con el titular de la información y que luego de
realizar las gestiones de contacto respectivo titular de la información no se haya
tenido contacto con este.
2.1.6 La destrucción y eliminación definitiva del archivo inactivo y bases de datos de la
compañía se realizará cuando dichos archivos cumplan un periodo de inactividad
igual o superior a cinco (5) años o que el titular de la información solicite dicho
procedimiento mediante solicitud realizada a la compañía bajo comunicación
escrita o la utilización del formato de Solicitud de Reclamos del Titular de BDP.
2.1.7 Como medida cautelar, todos los archivos y documentos físicos deben ser
digitalizados y almacenados en los servidores y espacios que para tal fin
disponga la compañía en un orden adecuado que permita su fácil consulta.
2.1.8 Tratamiento para la información de carácter confidencial, archivos y bases de
datos sensibles:
a. Los responsables por la custodia de la información de carácter confidencial,
archivos y bases de datos sensibles serán los encargados de su producción,
recolectores o quienes hayan sido designados para la administración de la
misma. El uso, manipulación, adulteración o destrucción de esta por los mismos o
por terceros no autorizados acarreará las sanciones a que haya lugar sobre su
custodio.
b. La información sensible para su recolección debe ser acordada previamente son
su titular, indicando mediante documento escrito los fines que a la misma se le
darán por parte de IREYNEL GUEVARA Y COMPAÑIA LIMITADA. y se dejara
constancia de su aceptación y consentimiento.
c. La información de carácter confidencial, archivos y bases de datos sensibles
serán conservados en los lugares asignados por la compañía para tales fines bajo
las medidas de seguridad que se consideren necesarias para mantener la
Página 6 de 11
integridad y seguridad de los mismos y nunca estando expuestos a la vista o a
incidentes que deriven en la afectación de estos.
d. Los responsables de la custodia de la información de carácter confidencial,
archivos y bases de datos sensibles serán los encargados de la digitalización y
almacenamiento en los medios estipulados por la compañía para tal fin de todo el
material con estas características que generen o recolecten.
2.2 Procedimiento para gestión de riesgos en bases de datos y archivos
sistematizados
Página 7 de 11
f. Eliminar accesos directos en los escritorios de los equipos de la compañía que faciliten
el acceso a la información de manera ágil a personal no autorizado.
g. La protección de los equipos, incluso cuando se utilizan fuera de la oficina, es necesaria
para reducir el riesgo no autorizado de acceso a la información y para protegerlo contra
pérdida o robo.
h. Únicamente se debe proporcionar a los colaboradores el acceso a los servicios para los
que específicamente se les haya autorizado su uso. Se deben utilizar métodos
apropiados de autenticación para el control de acceso a los usuarios remotos. Se deben
implantar controles
i. El uso de programas que puedan ser capaces de invalidar los controles del sistema y de
la aplicación, deben estar restringidos y estrictamente controlados. Las sesiones
inactivas deben cerrarse después de un período de inactividad definido y se deben usar
restricciones en los tiempos de conexión para proporcionar una seguridad adicional a las
aplicaciones de alto riesgo.
j. Establecer controles que como garanticen la operación tecnológica. Estos controles
deben incluir como mínimo los siguientes procedimientos:
- Copias de seguridad.
- Recuperación de datos y reversión de cambios.
- Administración de sistemas de antivirus.
- Administración de usuarios y contraseñas.
- Administración de acceso a los recursos.
- Administración de acceso remoto.
- Medición de desempeño.
- Capacidad y disponibilidad de los recursos de TI.
- Gestión de pistas de auditoria y sistemas de registro de información.
- Aseguramiento de plataformas.
CAPITULO III.
SEGURIDAD DE LA INFORMACION EN LA GESTION DE RECURSO HUMANO.
3.2.1 Seguridad previa a la contratación del personal. Para toda persona que
ingrese a la compañía, la Vicepresidencia de Gestión Humana y Administrativa
debe asegurar las responsabilidades sobre seguridad de manera previa a la
Página 8 de 11
contratación. Esta tarea debe reflejarse en una adecuada descripción del cargo y
en los términos y condiciones de la contratación.
3.2.2 Seguridad durante el contrato. La Vicepresidencia de Gestión Humana y
Administrativa debe desarrollar un programa efectivo y continuo de
concientización de protección de la información para todo el personal. También se
requiere de capacitación específica en administración de riesgos tecnológicos
para aquellos individuos que están a cargo de responsabilidades especiales de
protección y los conceptos básicos con que debe cumplir todo colaborador. Es
responsabilidad y deber de cada colaborador de IREYNEL GUEVARA Y
COMPAÑIA LIMITADA. asistirá los cursos de concientización en seguridad de la
información que la empresa programe y aplicar la seguridad según las políticas y
los procedimientos establecidos por la empresa.
3.2.3 Finalización de la relación laboral o cambio de puesto. El departamento de
Gestión Humana debe asegurar que todos los colaboradores, consultores,
contratistas, terceras partes, que salgan de la empresa o cambien de puesto de
trabajo, hayan firmado un acuerdo de confidencialidad, cuyo cumplimiento será
vigente hasta que IREYNEL GUEVARA Y COMPAÑIA LIMITADA.. o considere
conveniente, incluso después de la finalización del puesto de trabajo o del
contrato.
CAPITULO IV.
POLÍTICA DE CONTROL DE ACCESO A LA INFORMACIÓN.
Página 11 de 11