IREYNEL GUEVARA Y COMPAÑIA LIMITADA.

SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACIÓN.

BARRANQUILLA - COLOMBIA
2017

Página 1 de 11
 INTRODUCCIÓN.

Para IREYNEL GUEVARA Y COMPAÑIA LIMITADA. el tratamiento de los datos e información

de su propiedad y tenencia representa parte fundamental en el andamiaje que permite el
desarrollo de sus operaciones comerciales. Cada uno de los departamentos de la compañía en
su quehacer diaria producen y/o recolectan un sinnúmero de datos que van desde lo público y
confidencial hasta lo sensible y que demandan para la compañía establecer canales y
mecanismos de almacenamiento seguros que garanticen la adecuada custodia y
mantenimiento de la disponibilidad de la misma a fin de contar con fácil acceso para los
administradores de la misma y el personal autorizado para su consulta cuando lo sean
requerido guardando los lineamientos que para ello disponga la administración.

Mediante la ley 1581 de 2012, se establecen parámetros que permiten establecer pautas para
la seguridad de los datos personales de todo el personal que mantenga o haya mantenido
relaciones con la compañía; para el caso de IREYNEL GUEVARA Y COMPAÑIA LIMITADA.
esto denota una evaluación de nuestros procesos recolección y administración de datos
personales y una exhortación a continuar trabajando por mantener unos estándares adecuados
para el manejo de la información de nuestros accionistas, clientes, acreedores, empleados y
terceros que permitan llevar a cabo nuestra actividad de negocio.

Página 2 de 11
 TABLA DE CONTENIDO

CAPÍTULO I. GENERALIDADES

1.1 Ámbito de aplicación

1.2 Objetivo
1.3 Alcance
1.4 Responsabilidad
1.5 Cumplimiento
1.6 Excepciones

CAPÍTULO II. GESTION DEL RIESGO DE DATOS PERSONALES

2.1 Procedimiento para gestión de riesgos en bases de datos y archivos físicos

2.2 Procedimiento para gestión de riesgos en bases de datos y archivos sistematizados

CAPITULO III. SEGURIDAD DE LA INFORMACION EN LA GESTION DE RECURSO

HUMANO

3.1 Política de Responsabilidad del Personal

3.2 Estándares de la Política de Seguridad del Personal
3.2.1 Seguridad previa a la contratación del personal
3.2.2 Seguridad durante el contrato
3.2.3 Finalización de la relación laboral o cambio de puesto

CAPITULO IV. POLÍTICA DE CONTROL DE ACCESO A LA INFORMACIÓN.

4.1 Estándares de Política de Control de Acceso a la Información

4.1.1 Gestión de acceso a usuarios.
4.1.2 Registro de usuarios
4.1.3 Responsabilidades de usuario
4.1.4 Control de acceso a la red
4.1.5 Control de acceso a las aplicaciones.

Página 3 de 11
 CAPÍTULO I. GENERALIDADES

1.1 ÁMBITO DE APLICACIÓN

En cumplimiento de las disposiciones de la ley 1581 de 2012, la presente norma se aplicará

para el fortalecimiento en la gestión de seguridad de Datos Personales en el territorio
colombiano para IREYNEL GUEVARA Y COMPAÑIA LIMITADA.
Los principios y disposiciones contenidos en esta política de seguridad de la información de
datos se aplicarán a las normas básicas de seguridad en la información a través de los
mecanismos del sistema físico, informático y con la implementación de los sistemas de control
administrativo.
Todos los procesos organizacionales que involucren el tratamiento de datos de carácter
personal, información sensible y de carácter privado, deberán someterse a lo dispuesto en este
reglamento y de las normas legales e internas de obligatorio cumplimiento.

1.2 OBJETIVO
Establecer las medidas organizacionales, técnicas, físicas y legales, necesarias para proteger
los activos de información contra acceso no autorizado, divulgación, duplicación, interrupción
de sistemas, modificación, destrucción, pérdida, robo, o mal uso que se pueda producir en
forma intencional o accidental.

1.3 ALCANCE
Esta Política es aplicable a todos los colaboradores, consultores, contratistas, terceras partes,
que usen activos de información que sean propiedad de la compañía.

1.4 RESPONSABILIDAD
Es responsabilidad de del Comité de tratamiento de datos personales y del departamento de
sistemas hacer uso de la Política de Seguridad de la Información, como parte de sus
herramientas de gobierno y de gestión, de definir los estándares, procedimientos y
lineamientos que garanticen su cumplimiento.

1.5 CUMPLIMIENTO
El cumplimiento de la Política de Seguridad de la Información es obligatorio. Si los
colaboradores, consultores, contratistas, terceras partes violan estas políticas, la organización
se reserva el derecho de tomar las medidas correspondientes.

1.6 EXCEPCIONES
Las excepciones a cualquier cumplimiento de Política de Seguridad de la Información deben
ser aprobadas por el Comité de Tratamiento de Datos personales y la dirección tecnológica de

Página 4 de 11
la compañía, la cual requiere autorización de la Gerencia de la compañía. Todas las
excepciones a la Política deben ser formalmente documentadas, registradas y revisadas.

CAPITULO II: GESTIÓN DE RIESGOS EN EL TRATAMIENTO DE DATOS PERSONALES

Cada departamento de la compañía encargado de la tenencia, custodia y tratamiento de

archivos y datos personales acorde a las acciones que estas generen será encargado de velar
por su adecuado uso acorde al cumplimiento de unos Estándares de la Política del Tratamiento
y Gestión del Riesgo en Seguridad de la Información.

Periódicamente (con plazo máximo de cada año) se debe realizar una valoración del riesgo
para contemplar los cambios en los requisitos de seguridad de la información física y
sistematizada, así como la situación de riesgo tales como cambio en los activos, las amenazas,
las vulnerabilidades, siniestros, mala praxis y los impactos que se puedan presentar. Se debe
decidir cuándo un riesgo es aceptable, ya sea por motivos de objetivos de negocio o por costos
no rentables.

Se deben hacer copias de respaldo de la información, archivos y bases de datos, de

aplicaciones y del software. Para garantizar su integridad y disponibilidad, se debe hacer su
comprobación regular de los mecanismos y la información en conformidad con la política de
respaldo acordada, conservando los niveles de confidencialidad requeridos.

La Dirección de sistemas debe almacenar las copias de seguridad de la información

sistematizada, digitalizada por fuera de las instalaciones de la compañía o en su defecto
almacenadas en medios sistemáticos alternos como buzones en red contratados con el fin de
garantizar su recuperación en caso de un evento mayor o siniestro en la sede principal.

Los posibles tratamientos a los riesgos identificados incluyen:

- Evitar el riesgo.
- Disminuir la probabilidad de ocurrencia.
- Disminuir el impacto.
- Transferir los riesgos.
- Retener los riesgos.
- Acciones durante la ocurrencia de los riesgos.
- Acciones posteriores a la ocurrencia de los riesgos.
- Control de acceso a la red.
- Control de acceso a las aplicaciones.

2.1. Procedimiento para gestión de riesgos en bases de datos y archivos físicos

Página 5 de 11
2.1.1 La tenencia, custodia y administración de los archivos y bases de datos físicos
serán única y exclusiva responsabilidad de encargado del área y recolector de los
mismos.
2.1.2 El acceso a los archivos y bases de datos físicos se encuentra restringido a
terceros no autorizados para el manejo de la documentación de referencia salvo
autorización expresa indicando fines específicos y alcance de responsabilidades.
2.1.3 Los archivos físicos y bases de datos reposaran únicamente en las instalaciones
de la compañía bajo las medidas mínimas requeridas para mantener su
seguridad, se encontrarán debidamente inventariados, foliados y respaldados por
las debidas actas y copias de entrega y aceptación siempre y cuando lo ameriten.
2.1.4 La transferencia de archivos y documentación en las diferentes dependencias de
la compañía se encuentra limitada a su fin y tenencia por parte del responsable
de la misma.
2.1.5 El archivo se considerará inactivo y se transferirá a las bodegas de archivos de la
compañía destinados para tal fin cuando por periodo igual o superior a un año no
se haya mantenido relación alguna con el titular de la información y que luego de
realizar las gestiones de contacto respectivo titular de la información no se haya
tenido contacto con este.
2.1.6 La destrucción y eliminación definitiva del archivo inactivo y bases de datos de la
compañía se realizará cuando dichos archivos cumplan un periodo de inactividad
igual o superior a cinco (5) años o que el titular de la información solicite dicho
procedimiento mediante solicitud realizada a la compañía bajo comunicación
escrita o la utilización del formato de Solicitud de Reclamos del Titular de BDP.
2.1.7 Como medida cautelar, todos los archivos y documentos físicos deben ser
digitalizados y almacenados en los servidores y espacios que para tal fin
disponga la compañía en un orden adecuado que permita su fácil consulta.
2.1.8 Tratamiento para la información de carácter confidencial, archivos y bases de
datos sensibles:
a. Los responsables por la custodia de la información de carácter confidencial,
archivos y bases de datos sensibles serán los encargados de su producción,
recolectores o quienes hayan sido designados para la administración de la
misma. El uso, manipulación, adulteración o destrucción de esta por los mismos o
por terceros no autorizados acarreará las sanciones a que haya lugar sobre su
custodio.
b. La información sensible para su recolección debe ser acordada previamente son
su titular, indicando mediante documento escrito los fines que a la misma se le
darán por parte de IREYNEL GUEVARA Y COMPAÑIA LIMITADA. y se dejara
constancia de su aceptación y consentimiento.
c. La información de carácter confidencial, archivos y bases de datos sensibles
serán conservados en los lugares asignados por la compañía para tales fines bajo
las medidas de seguridad que se consideren necesarias para mantener la

Página 6 de 11
 integridad y seguridad de los mismos y nunca estando expuestos a la vista o a
incidentes que deriven en la afectación de estos.
d. Los responsables de la custodia de la información de carácter confidencial,
archivos y bases de datos sensibles serán los encargados de la digitalización y
almacenamiento en los medios estipulados por la compañía para tal fin de todo el
material con estas características que generen o recolecten.
2.2 Procedimiento para gestión de riesgos en bases de datos y archivos
sistematizados

a. Toda la información, archivos, bases de datos y demás que se encuentre en los

sistemas del almacenamiento y equipos de la compañía es de carácter privado y
exclusivo para el desarrollo de las tareas propias para las cuales fue obtenida y/o
generada. Su uso sin autorización, sustracción, y mala manipulación en el que se
compruebe dolo eventual será causal de las sanciones previstas en la ley.
b. El acceso a las terminales y equipos de la compañía se encuentra restringido única y
exclusivamente al responsable del mismo, el cual al momento de su asignación deberá
solicitar y cambiar su clave de acceso personal al mismo.
c. Los responsables de cada departamento como recolectores de información, bases de
datos y generadores de archivos deberán generar la digitalización de la documentación
que tengan bajo su custodia y su almacenamiento en los medios indicados para tal fin.
d. La utilización de memorias o cualquier dispositivo de almacenamiento y transferencia de
información físico se encuentra restringida a fin de evitar siniestros con la infección de
malware y el retiro de información, archivos y bases de datos de propiedad de la
empresa para fines no indicados.
e. El acceso a áreas TIC restringidas sólo se debe permitir para:
- Desarrollo de operaciones tecnológicas que conlleven a robustecimiento de los
espacios y canales con los que cuente la compañía, así como facilitar la
administración de los archivos e interfaces de las aplicaciones que tenga la
compañía.
- Tareas de aseo (monitoreado por personal responsable de la custodia de las
terminales TIC).
- Pruebas de equipos de carácter corporativo bajo supervisión del responsable y
encargado del mismo, cuando este último genere el requerimiento e involucre
adulteración de algunas de las aplicaciones instaladas en este o eliminación de
archivos deberá estar soportado por acta de solicitud y atención de novedades.
- Almacenamiento de equipos nuevos o en desuso, equipos de impresión y de
telecomunicaciones bajo actas de entrega identificando los seriales de los mismos,
fechas de entregas y tenedor de estos.
- Implementación o mantenimiento de los controles ambientales mínimos exigidos por
la ley.

Página 7 de 11
 f. Eliminar accesos directos en los escritorios de los equipos de la compañía que faciliten
el acceso a la información de manera ágil a personal no autorizado.
g. La protección de los equipos, incluso cuando se utilizan fuera de la oficina, es necesaria
para reducir el riesgo no autorizado de acceso a la información y para protegerlo contra
pérdida o robo.
h. Únicamente se debe proporcionar a los colaboradores el acceso a los servicios para los
que específicamente se les haya autorizado su uso. Se deben utilizar métodos
apropiados de autenticación para el control de acceso a los usuarios remotos. Se deben
implantar controles
i. El uso de programas que puedan ser capaces de invalidar los controles del sistema y de
la aplicación, deben estar restringidos y estrictamente controlados. Las sesiones
inactivas deben cerrarse después de un período de inactividad definido y se deben usar
restricciones en los tiempos de conexión para proporcionar una seguridad adicional a las
aplicaciones de alto riesgo.
j. Establecer controles que como garanticen la operación tecnológica. Estos controles
deben incluir como mínimo los siguientes procedimientos:
- Copias de seguridad.
- Recuperación de datos y reversión de cambios.
- Administración de sistemas de antivirus.
- Administración de usuarios y contraseñas.
- Administración de acceso a los recursos.
- Administración de acceso remoto.
- Medición de desempeño.
- Capacidad y disponibilidad de los recursos de TI.
- Gestión de pistas de auditoria y sistemas de registro de información.
- Aseguramiento de plataformas.

CAPITULO III.
SEGURIDAD DE LA INFORMACION EN LA GESTION DE RECURSO HUMANO.

3.1 Política de Responsabilidad del Personal

La coordinación de recursos humanos o quien haga sus veces debe notificar al área de
sistemas de la compañía todas las novedades del personal directo e indirecto tales como
ingresos, traslados, delegaciones, retiros y vacaciones en el momento que sea generada la
novedad a fin de guardar registro de estas en los recursos sistemáticos de la compañía y
preservar los estándares de protección de su información.

3.2 Estándares de la Política de Seguridad del Personal

3.2.1 Seguridad previa a la contratación del personal. Para toda persona que
ingrese a la compañía, la Vicepresidencia de Gestión Humana y Administrativa
debe asegurar las responsabilidades sobre seguridad de manera previa a la

Página 8 de 11
 contratación. Esta tarea debe reflejarse en una adecuada descripción del cargo y
en los términos y condiciones de la contratación.
3.2.2 Seguridad durante el contrato. La Vicepresidencia de Gestión Humana y
Administrativa debe desarrollar un programa efectivo y continuo de
concientización de protección de la información para todo el personal. También se
requiere de capacitación específica en administración de riesgos tecnológicos
para aquellos individuos que están a cargo de responsabilidades especiales de
protección y los conceptos básicos con que debe cumplir todo colaborador. Es
responsabilidad y deber de cada colaborador de IREYNEL GUEVARA Y
COMPAÑIA LIMITADA. asistirá los cursos de concientización en seguridad de la
información que la empresa programe y aplicar la seguridad según las políticas y
los procedimientos establecidos por la empresa.
3.2.3 Finalización de la relación laboral o cambio de puesto. El departamento de
Gestión Humana debe asegurar que todos los colaboradores, consultores,
contratistas, terceras partes, que salgan de la empresa o cambien de puesto de
trabajo, hayan firmado un acuerdo de confidencialidad, cuyo cumplimiento será
vigente hasta que IREYNEL GUEVARA Y COMPAÑIA LIMITADA.. o considere
conveniente, incluso después de la finalización del puesto de trabajo o del
contrato.

El departamento de Gestión Humana se asegurará que a la salida o movilidad de los

colaboradores, contratistas o terceros sea gestionada hasta la completa devolución de todos
los activos y retirada de los derechos de acceso a las diferentes plataformas de la compañía.
Se debe proceder al cierre de todas las claves y accesos que entraran en desuso, así como a
la clausura del correo corporativo que le había sido asignado al titular, dejando constancia de
esto al mismo.

CAPITULO IV.
POLÍTICA DE CONTROL DE ACCESO A LA INFORMACIÓN.

El departamento de sistemas, conforme la clasificación de activos de información, debe

implementar las medidas de seguridad aplicables según el caso, con el fin de evitar la
adulteración, pérdida, fuga, consulta, uso o acceso no autorizado o fraudulento.
El control de acceso de datos e información sensible se debe basar en el principio del menor
privilegio, lo que implica que no se otorgará acceso a menos que sea explícitamente permitido.

4.1 Estándares de Política de Control de Acceso a la Información

4.1.1 Gestión de acceso a usuarios.

El departamento de sistemas establecerá procedimientos formales para controlar
la definición de perfiles y la asignación de derechos de acceso a los usuarios,
previamente definidos por la coordinación responsable del proceso o área a las
Página 9 de 11
que este esté vinculado. Dichos procedimientos deben cubrir todas las etapas del
ciclo de vida del usuario, desde su registro inicial hasta la eliminación o
desactivación del registro a quienes no necesiten el acceso. Se debe brindar
atención y seguimiento especial, donde sea apropiado, a la necesidad del control
de asignaciones de accesos privilegiados.

4.1.2 Registro de usuarios.

Todos los usuarios deben tener una identificación única personal o jurídica, que
se utilizará para el seguimiento de las actividades de responsabilidad individual o
jurídica. Las actividades habituales de usuario no deben ser desempeñadas a
través de cuentas privilegiadas.
a. En circunstancias excepcionales, por beneficio de la compañía, se podrá usar
un identificador compartido, para un grupo de usuarios con trabajo específico;
este debe ser autorizado y debidamente aprobado por el departamento de
sistemas en conjunto con la coordinación del departamento al que los
colaboradores estén vinculados.
b. El usuario debe tener autorización para el uso del sistema o servicio de
información. Se debe verificar que el nivel de acceso otorgado sea adecuado
para los propósitos de la empresa y conserven una adecuada segregación de
funciones. Adicionalmente, deben tomar y certificar la formación y así
garantizar el uso adecuado del sistema o servicio de información.

4.1.3 Responsabilidades del usuario.

Una seguridad efectiva requiere la cooperación de los usuarios autorizados,
quienes deben saber sus responsabilidades para el mantenimiento de controles
efectivos al acceso, en particular, aquellos con referencia al uso de contraseñas,
el departamento de sistemas implementará los procedimientos necesarios que
permitan controlar la creación, modificación, desactivación y eliminación de
usuarios, administración de contraseñas y permisos de acceso a los recursos
tecnológicos y a la información. Adicionalmente, es necesario implementar un
procedimiento de revisión periódica de los permisos de acceso de los usuarios.
Los colaboradores, contratistas y terceros entienden las condiciones de acceso y
deben mantener confidenciales las contraseñas personales y conservar las
contraseñas de grupo únicamente entre los miembros de este. Esta declaración
puede ser incluida en los términos y condiciones laborales. Igualmente deben
cumplir las buenas prácticas en la selección y uso de la contraseña.

4.1.4 Control de acceso a la red.

Únicamente se debe proporcionar a los colaboradores el acceso a los servicios
para los que específicamente se les haya autorizado su uso. Se deben utilizar
métodos apropiados de autenticación para el control de acceso a los usuarios
remotos. Se deben implantar controles adicionales para el acceso por redes
Página 10 de 11
inalámbricas. Se debe establecer una adecuada segregación de redes, separando
los entornos de red de usuarios y los servicios.

4.1.5 Control de acceso a las aplicaciones.

El uso de programas que puedan ser capaces de invalidar los controles del
sistema y de la aplicación, deben estar restringidos y estrictamente controlados.
Las sesiones inactivas deben cerrarse después de un período de inactividad
definido y se deben usar restricciones en los tiempos de conexión para
proporcionar una seguridad adicional a las aplicaciones de alto riesgo.
Las cuentas de usuario de herramientas o productos que vengan por omisión se
deben deshabilitar inmediatamente después de la instalación de los sistemas o
software.
Las contraseñas predeterminadas por el proveedor se deben cambiar
inmediatamente después de la instalación de los sistemas o software.

Página 11 de 11