POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

Introducción
La política de seguridad es una declaración ética, responsables y de estricto cumplimiento en toda la
organización, la cual es des
plegada a través de las diferentes guías y procedimientos, procurando que los riesgos sean tratados
adecuadamente.

Se ha definido que las políticas de seguridad de la información deben identificar responsabilidades y

establecer los objetivos para una protección apropiada de los activos de información de la OCA
GLOBAL COLOMBIA SAS. La implementación de las políticas busca reducir el riesgo de que en forma
accidental o intencional se divulgue, modifique, destruya o use en forma indebida la información de la
Empresa.

Objetivos
Objetivo General
Establecer los lineamientos que permitan proteger, asegurar y salvaguardar la confidencialidad,
integridad y disponibilidad de los activos de información de la OCA GLOBAL COLOMBIA SAS, y de
terceros por relación comercial, técnico o laboral, teniendo en cuenta los procesos, de las operaciones,
los objetivos de negocio y los requisitos legales vigentes.

Objetivos Específicos
 Definir la política de seguridad y privacidad de la información de la OCA GLOBAL COLOMBIA
SAS
 Definir los lineamientos a ser considerados para diseñar e implementar la Gestión de Seguridad de
la Información alineado con las necesidades, los procesos, los objetivos y la operación de OCA
GLOBAL COLOMBIA SAS.
 Dar conformidad y cumplimiento a las leyes, regulaciones y normativas que le aplican a OCA
GLOBAL COLOMBIA SAS en el desarrollo de su misión.
 Proteger los activos de información de OCA GLOBAL COLOMBIA SAS
 Mantener un sistema de políticas, manuales, procedimientos y estándares actualizados, a efectos
de asegurar su vigencia y un nivel de eficacia, que permitan minimizar el nivel de riesgo de los
activos de información de la OCA GLOBAL COLOMBIA SAS
 Fortalecer la cultura de seguridad de la información en funcionarios, terceros y clientes de OCA
GLOBAL COLOMBIA SAS, mediante la definición de una estrategia de uso y apropiación de la
política.
 Garantizar la continuidad de negocio frente a la materialización de incidentes de seguridad
basados seguridad informática.
 Definir una estrategia de continuidad de los procesos de la OCA GLOBAL COLOMBIA SAS
frente a incidentes de seguridad de la Información.

Alcance
La política de seguridad de la información aplica a cualquier información de la empresa y que esté sobre
las redes de comunicaciones y sistemas de información que apoyan los servicios al segmento de hogares,
que sea propia o de terceros (clientes, proveedores y contratistas) y que esté en custodia (almacenada o en
tránsito).
Esta política va dirigida hacia los empleados y contratistas que tengan contacto o uso de las tecnologías de
información y comunicaciones que hacen parte de la seguridad de la información.

Compromiso de la alta Dirección

Se define la Política de Seguridad de la Información como la manifestación que hace la alta dirección de
OCA GLOBAL COLOMBIA SAS, sobre la intención de definir las bases para gestionar de manera
adecuada y efectiva, la seguridad de la información; garantizando la confidencialidad, integridad y
disponibilidad de sus activos de información.

OCA GLOBAL COLOMBIA SAS pretende mediante la adopción e implementación de un Modelo de

Seguridad y Privacidad de la Información la Seguridad de la información, proteger, preservar y
administrar la confidencialidad, integridad, disponibilidad, autenticidad y no repudio de la información.

La OCA GLOBAL COLOMBIA SAS asume el compromiso de implementar un Modelo de Seguridad de

la Información l para proteger los activos de información de los procesos misionales, comprometiéndose
a:

 La gestión de los riesgos de los activos de información teniendo en cuenta el nivel de tolerancia al
riesgo de la OCA GLOBAL COLOMBIA SAS.
 Una gestión integral de riesgos basada en la implementación de controles físicos y digitales
orientados a la prevención de incidentes.
 La implementación de políticas de seguridad de alto nivel, para asegurar la confidencialidad,
integridad y disponibilidad de la información institucional.
 El fomento de la cultura y toma de conciencia entre el personal (funcionarios, contratistas,
proveedores y terceros) sobre la importancia de la seguridad de la información.
 Las responsabilidades frente a la seguridad de la información serán definidas, compartidas,
publicadas y aceptadas por cada uno de los empleados, proveedores, socios de negocio o
terceros.
 Proteger la información generada, procesada o resguardada por los procesos de negocio, su
infraestructura tecnológica y activos del riesgo que se genera de los accesos otorgados a terceros
(ej.: proveedores o clientes), o como resultado de un servicio interno en Outsourcing.
 Se mitigarán los incidentes de Seguridad y Privacidad de la Información, Seguridad Digital de
forma efectiva, eficaz y eficiente, y se protegerá la información creada, procesada, transmitida o
resguardada por sus procesos de negocio, con el fin de minimizar impactos financieros,
operativos o legales debido a un uso incorrecto de esta
 Se protegerá la información de las amenazas originadas por parte del personal de la OCA
GLOBAL COLOMBIA SAS.
 Se generará conciencia para el cambio organizacional requerido para la apropiación de la
Seguridad y Privacidad de la Información
 Se protegerá las instalaciones de procesamiento y la infraestructura tecnológica que soporta sus
procesos críticos.
 Se controlará la operación de sus procesos de negocio garantizando la seguridad de los recursos
tecnológicos y las redes de datos.
 Se implementará control de acceso a la información, sistemas y recursos de red.
 Se garantizará que la seguridad sea parte integral del ciclo de vida de los sistemas de
información.
 Se garantizará a través de una adecuada gestión de los eventos de seguridad y las debilidades
asociadas con los sistemas de información una mejora efectiva de su modelo de seguridad.
 Se garantizará la disponibilidad de sus procesos de negocio y la continuidad de su operación
basada en el impacto que pueden generar los eventos.
 Se garantizará el cumplimiento de las obligaciones legales, regulatorias y contractuales
establecidas.

Revisión de la Política y Demás Requerimientos

La Alta Dirección y el responsable del cuidado de la información, debe revisar, las políticas de seguridad
de la información, normas, procedimientos, estándares, controles, formatos y procedimientos, deben ser
revisados y actualizados sistemáticamente, de forma periódica y planificada (mínimo una vez por periodo
o año o cada vez que ocurra un cambio sustancial en los activos de información), por parte del de
seguridad de la Información o en su defecto si se requiere una revisión independiente; se debe realizar
por un organismo, empresa o consultor externo especializado, en cuyo caso debe seguir los lineamientos
empresariales estipulados en la política.

Deberes de los Responsables de Personal

 Conceder autorizaciones de acceso a la información acorde con las funciones a ser realizadas por
las personas a quienes le coordinan el trabajo.
 Asegurar que los privilegios de acceso individuales reflejen una adecuada segregación de
funciones. Un usuario no debe tener los permisos suficientes para originar, registrar y
corregir/verificar una transacción sensitiva del negocio sin controles adecuados o una revisión
independiente.
 Restringir el acceso del personal a aquellas áreas que hayan sido restringidas por razones de
seguridad.
 Ser el responsable de conocer, solicitar y ratificar los privilegios de acceso a los empleados que le
reportan.

 Conservar los registros de los empleados con privilegios de acceso a la información.

Adicionalmente, como encargada de la Seguridad de la Información, debe mantener actualizadas
las autorizaciones y perfiles de usuario basándose en los archivos de Recursos Humanos y/o
contratación (gestión del Outsourcing), donde se encuentran todos los empleados y las áreas a las
que pertenecen, al igual que como se establece en la Política de roles y Perfiles.
 Los contratos de Outsourcing o con terceras personas, deben identificar claramente los acuerdos
relacionados con la propiedad de la información y la no divulgación de información confidencial.
 Cuando un empleado se ausenta de su trabajo por un período de tiempo superior al mínimo
establecido para cumplir con las regulaciones su superior inmediato debe:
▪ Determinar si los accesos a los recursos físicos y a la información deben ser suspendidos.
▪ Notificar la fecha en que el acceso debe ser suspendido, de ser necesario.
▪ Recoger los equipos de seguridad como por ejemplo llaves, claves, computadoras, etc.
 Cuando un empleado se encuentra por fuera de las funciones e instalaciones de OCA GLOBAL
COLOMBIA SAS, ya sea por licencia, permiso sindical, suspensión, encargo, etc., el acceso a los
recursos físicos y a la información debe ser inmediatamente suspendido por solicitud de su jefe
inmediato, de ser necesario.
 Cuando un empleado es retirado (voluntaria o involuntariamente), su jefe inmediato es
responsable por:
▪ Solicitar la revocación de las autorizaciones.
▪ Revocar o restringir los privilegios de acceso antes de notificarle la terminación del
contrato, si es apropiado.
▪ Recoger los equipos, los dispositivos físicos y la revocación de las autorizaciones a los
sistemas de información.

Deberes individuales de los usuarios de la información

 Usar la información de OCA GLOBAL COLOMBIA SAS únicamente para propósitos del
negocio autorizado y en cumplimiento de su labor.
 Respetar la confidencialidad de la información de OCA GLOBAL COLOMBIA SAS.
  No compartir perfiles de usuario, contraseñas, sesiones en estaciones de trabajo, documentos o
cualquier tipo de información confidencial.
 No anotar y/o almacenar en logares visibles las contraseñas de acceso a los sistemas.
 Ajustarse a las directrices de clasificación de la información.
 Bloquear la sesión de la estación de trabajo al momento de ausentarse de la misma.
 Las impresiones deben ser recogidas al momento de generarlas, no se deben dejar por largos
periodos de tiempo en la impresora.
 Devolver y no conservar ningún tipo de copia sus activos de información, en buen estado, una vez
cese su relación laboral con la OCA GLOBAL COLOMBIA SAS
 Está estrictamente prohibido la divulgación, cambio, retiro o pérdida no autorizada de
información de la OCA GLOBAL COLOMBIA SAS almacenada en medios físicos removibles,
como USB, cintas magnéticas, entre otros.
 Está estrictamente prohibido utilizar software no licenciado en los recursos tecnológicos, copiar
software licenciado de OCA GLOBAL COLOMBIA SAS para utilizar en computadores
personales, ya sea en su domicilio o en cualquier otra instalación y/o entregarlos a terceros.

Sanción y Cumplimiento
Tanto la política de seguridad, sus lineamientos, guías y procedimientos son de estricto cumplimiento,
cada empleado y tercero debe reconocer los riesgos a que está expuesta la información, así mismo
conocer, interiorizar y cumplir su rol dentro del modelo de Gestión de Seguridad de la Información
limitado por el alcance.
Cualquier incumplimiento de la política de seguridad y el modelo que la despliega, podrá generar
sanciones administrativas, disciplinarias y/o penales (en términos de la ley Colombiana).

Para esto se considera lo siguiente:

 Se deben conservar los niveles de seguridad en el manejo de la información electrónica conforme
a los parámetros definidos institucionalmente para tal fin.
 La asignación de cuentas de correo electrónico a contratistas será autorizada por el responsable de
sistemas y la Gerencia.
 Todas las direcciones de correo electrónico deben ser creadas usando el estándar establecido para
dicho fin.
 Todos los funcionarios de OCA GLOBAL COLOMBIA SAS tendrán correo electrónico
personalizado.
 El uso del correo electrónico para fines personales deberá ser racional.
 Se establecerá un tamaño de buzón de correo para cada usuario, es decir un espacio en disco en el
servidor de correo, destinado al almacenamiento de mensajes electrónicos de cada usuario.
 El usuario responsable del buzón deberá dar un trámite ágil al correo electrónico recibido, es
decir, diariamente debe leer, responder y eliminar o archivar en el disco duro local, solamente los
mensajes que soporten información relevante para el desarrollo de sus labores en la entidad.
 Todos los mensajes que superen un (1) mes de almacenamiento en el servidor podrán ser
eliminados permanentemente de acuerdo con las políticas de limpieza del servidor y La Secretaria
de las TIC no se responsabiliza por el backup de los buzones de correo electrónico.
 El mantenimiento de la lista de contactos y del buzón será responsabilidad del usuario y deberá
conservar únicamente los mensajes necesarios con el fin de no exceder el máximo límite de
almacenamiento.
 Los mensajes deben ser redactados de forma clara y concreta, evitando el uso de MAYUSCULAS
sostenidas, que, según normas internacionales de redacción en Internet, equivale a gritar.
 En el nombre del destinatario y el asunto debe evitarse el uso de caracteres especiales como slash
(O, tildes ('), guiones (-), etc.
 Los mensajes de correo salientes siempre deben llevar en el campo "Asunto" una frase que haga
referencia directa al contenido del texto.
  Todos los mensajes de correo enviados deben contener como mínimo la siguiente información:
Nombre: Cargo: Dependencia: Entidad: Teléfono.: Ext. Email.
 Ningún usuario deberá permitir a otro enviar correos utilizando su cuenta, sin aclarar el remitente.
 La "confirmación de lectura" solo debe ser utilizada en situaciones estrictamente necesarias con el
fin de evitar la congestión de mensajes.
 Cuando un funcionario requiere ausentarse de la Entidad por un período superior a 8 días debe
programar el correo electrónico para que automáticamente responda a los remitentes indicando
fecha de llegada, nombre y dirección de correo electrónico de la persona encargada durante su
ausencia.
 El envío de mensajes a grupos de usuarios múltiples como "Todos los usuarios" cuyo tamaño
pueda ocasionar saturación en el tráfico de la red ponen en riesgo la disponibilidad de los
servicios informáticos al exceder su capacidad, por lo que este servicio se restringe para enviar
mensajes hasta 20 usuarios máximo y que sean de carácter oficial. Como alternativa, cuando se
desee publicar documentos o manuales se deben publicar en la Intranet. Por lo anterior, queda
rotundamente prohibido enviar correos a más de 20 usuarios para
 evitar spam y cualquier otro tipo de anomalía que afecte el buen uso de esta herramienta.
 Antes de enviar un correo deberá verificarse que esté dirigido solamente a los interesados y/o a
quienes deban conocer o decidir sobre el tema, evitando duplicidades o desmejoramiento en el
servicio y operación de la red.

Política de Manejo de información confidencial etiquetado

 Los documentos con esta información no pueden ser dejados desatendidos o inseguros.
 Debe indicar el usuario dueño o fuente de información en la primera página o cubierta, o en algún
repositorio central.
 Debe ser apropiadamente autorizado para la divulgación de acuerdo con los estándares de
clasificación de la información por parte de los propietarios.
 La divulgación cualquiera que fuere su medio, verbal, escrita, telefónica o electrónica, debe ser
efectuada sobre la base de la necesidad de conocerla de acuerdo con sus funciones.
 Reuniones relacionadas con el manejo de esta información deben llevarse a cabo en áreas de
oficinas cerradas.
 No debe ser accedida o enviada a través de cualquier tecnología de fácil acceso, tales como
teléfonos celulares o inalámbricos.
 Para propósitos de seguridad toda la información debe ser etiquetada con la clasificación
respectiva.
 El etiquetado debe ser fácilmente leíble a simple vista.
 Antes de divulgarse verbalmente información clasificada como Restringida o Confidencial debe
indicarse su clasificación.
 El acceso o distribución de información de Uso Interno debe estar limitado a empleados u otros
con la necesidad de conocerla o usarla para cumplir con sus funciones.
 Documentos que contengan información Confidencial deben ser impresos en un área segura o con
la supervisión adecuada.
 Distribución de información confidencial debe ser limitada a personas o grupos con la necesidad
de conocerla o usarla para cumplir con sus funciones.
 Los mecanismos de entrega utilizados para información Restringida, deben contemplar
confirmación de recibo.
 Estas políticas aplican tanto a los originales como a todas las copias de la información.
 Acceso a información confidencial que se encuentre almacenada debe ser adecuadamente
controlado. Esto incluye información confidencial almacenada externamente o copias de respaldo.
 Las copias de respaldo de información confidencial deben ser protegidas de destrucción
intencionada o accidental. Algunos métodos de protección pueden incluir contenedores a prueba
de fuego, contenedores asegurados y almacenamiento externo.
  Información almacenada por períodos prolongados debe ser revisada regularmente para verificar
su legibilidad.
 Las personas que tienen acceso remoto a la información de OCA GLOBAL COLOMBIA SAS
son responsables por la seguridad de la información con los mismos niveles de control requeridos
dentro de OCA GLOBAL COLOMBIA SAS.

Política Gestión de los activos

Todos los activos de información que hagan parte del alcance de implementación deben ser identificados,
etiquetados e inventariados, para ello:
• Se debe definir la propiedad de los activos.
• Se debe contar con mecanismos para la clasificación.

5.1 Política de control integral de acceso lógico y documental

Igualmente, dentro del Manual y la Gestión Documental Se establecen los siguientes lineamentos que
hace parte integral de la política de manejos de documentos electrónicos. En este sentido y con el ánimo
de evidenciar procesos de transparencia en la gestión y el mejoramiento de los servicios, OCA
GLOBAL COLOMBIA SAS, ha adelantado procesos de fortalecimiento a la gestión electrónica para
potenciar la gestión documental.
• OCA GLOBAL COLOMBIA SAS cuenta con Internet y servicios de correo electrónico, internos
y se creará para manejo de información específica para con el cliente correos institucionales nuestros
que permitan tener una identificación de la información compartida, reglamentando su utilización de
acuerdo con las políticas y asignarán responsabilidades de acuerdo con la cantidad de cuentas
habilitadas. El responsable de sistemas tendrá el control de los mismos, garantizando el seguimiento de
las comunicaciones oficiales recibidas y enviadas.
• Para los efectos de acceso y uso de los mensajes de datos del comercio electrónico y de las firmas
digitales se deben atender las disposiciones de la Ley 527 de 1999 y demás normas relacionadas.

Uso adecuado de Software.

 En las estaciones de trabajo de OCA GLOBAL COLOMBIA SAS sólo se puede instalar software
desarrollado o adquirido legalmente y cuya licencia de uso esté a nombre de OCA GLOBAL
COLOMBIA SAS.
 La coordinación y ejecución de mantenimiento de programas o aplicaciones instaladas en las
estaciones de trabajo es del equipo de trabajo.
 Las estaciones de trabajo de OCA GLOBAL COLOMBIA SAS deben ser utilizadas por los
empleados, proveedores o contratistas sólo para el desarrollo de las funciones normales de su
trabajo.
 Los usuarios deben cumplir con la Legislación Colombiana que regula los derechos de autor.

Control de Virus.
 Los computadores personales deben mantener activo un software antivirus, Sistema Operativo,
Microsoft Office, licenciados y Actualizados y que su uso haya sido Autorizado por OCA
GLOBAL COLOMBIA SAS.
 Los servidores de archivos y correo electrónico deben mantener activo un software antivirus.
 Los computadores personales y servidores deben ser analizados contra virus periódica y
automáticamente.
 Cualquier información que venga por medio electrónico o magnético como correo electrónico o
información de INTERNET, debe ser revisada por un software antivirus antes de ser descargada y
utilizada.
 El responsable de trabajo del programa es responsable por la actualización oportuna del software
antivirus.
  Es responsabilidad de los usuarios reportar todos los incidentes de infección de virus a las áreas
encargadas.
 Es responsabilidad de los usuarios tomar copias de la información y verificar que el respaldo esté
libre de cualquier infección de virus.
 El usuario debe asegurar que toda la información provenga de fuentes conocidas.
 Ningún usuario puede escribir, distribuir o introducir software que conozca o sospeche que tiene
virus.

Control de Contraseñas.
 Los perfiles de usuario y la contraseña tienen que ser asignados individualmente para soportar el
principio de responsabilidad individual.
 Los usuarios no pueden prestar su contraseña, lo que se realice con su perfil queda bajo la
responsabilidad del dueño.
 El usuario no debe compartir, escribir o revelar su contraseña.
 Las contraseñas individuales no deben ser mostradas en texto claro. Todos los sistemas de
procesamiento deben eliminar la visualización de contraseñas ya sea en pantallas o en impresoras.
 Las contraseñas deben cambiarse con regularidad. La duración máxima de la contraseña debe ser
un tiempo razonable (máximo 60 días).
 Si un sistema no obliga al cambio de contraseña, es responsabilidad del usuario realizar este
cambio.
 No se deben repetir contraseñas utilizadas anteriormente, en los últimos cinco cambios.
 Debe verificarse la identidad del usuario antes de que las contraseñas o perfiles de usuario sean
habilitados nuevamente. Solo se puede cambiar una contraseña cuando el perfil de usuario
pertenezca a quien solicita el cambio.
 La identificación del usuario y su contraseña no deben ser iguales.
 Las contraseñas deben ser cuidadosamente seleccionadas para que no sean adivinadas fácilmente,
por lo tanto, se deben tener en cuenta las siguientes recomendaciones:
▪ No utilizar el primer o segundo nombre, los apellidos, el nombre del esposo, el nombre de sus
hijos, etc., en ninguna forma (reversado, diminutivos, etc.)
▪ No utilizar otra información fácil de obtener acerca de Usted. Esto incluye:
▪ Placa o marca del carro, número del teléfono, marca, nombre del edificio, etc.
▪ No use contraseñas que contengan sólo números o sólo letras.
▪ No utilice palabras contenidas en el diccionario u otras listas de palabras.
▪ Use contraseñas fáciles de recordar para que no tenga que escribirlas.
▪ No use el nombre del perfil de usuario en ninguna forma como por ejemplo: reversado o
duplicado.

 Siempre que el Administrador de contraseñas asigne una contraseña, es responsabilidad del

usuario cambiarla en su primer uso.

Políticas de seguridad en el acceso a áreas restringidas.

 El acceso a las áreas donde se procesa y almacena información de OCA GLOBAL COLOMBIA
SAS clasificada como restringida o confidencial debe ser autorizado a aquellos empleados con
necesidades del negocio de accederla.
 Servidores de aplicaciones y bases de datos, y otros dispositivos (excepto las estaciones de trabajo
individuales) que son utilizadas para mantener funciones críticas del negocio, deben estar en un
área de acceso restringido y separadas del ambiente de las oficinas.
  Las puertas exteriores deben ser cerradas con llave o estar aseguradas de otra forma durante las
horas no hábiles.
 Áreas diseñadas como restringidas deben también tener controles de acceso especiales. El acceso
a estas áreas debe ser únicamente para personal autorizado.
 Los privilegios de acceso físico autorizados deben ser revisados periódicamente por los jefes de
áreas, directores, subdirectores, Gerentes y de más personas con mando o designados para tal fin,
de acceso restringido y revocados o modificados oportunamente a la terminación, transferencia o
cambio en las funciones de una persona.
 Los jefes, directores, subdirectores, Gerentes y de más personas con mando o designados para tal
fin, y encargados de áreas de acceso restringido deben asegurar que los controles de acceso como
llaves de seguridad o cerraduras con claves maestras sean cambiadas cuando el control haya sido
comprometido.
 Las cerraduras convencionales deben ser cambiadas periódicamente.
 Se debe restringir el ingreso de dispositivos móviles (Tablet, celulares, cámaras digitales, etc.) a
áreas catalogadas como restringidas.

Política de uso criptográfico

La información que contenga contraseñas de usuario o claves para el control de acceso a los sistemas
de información no podrá ser almacenada en texto plano y deberá hacer uso de mecanismos
criptográficos.
Todos los documentos que se han cifrado y descifrado, en caso de que se requiera, deberán ser
almacenados y tratados con las medidas de seguridad requeridas conforme al grado de clasificación
de la información.
 Se deberá identificar todo sistema de información que requiera realizar transmisión de
información pública reservada y pública clasificada, para así garantizar que cuente con
mecanismos de cifrado de datos.
 Se deberán cifrar los discos duros de los equipos de cómputo que contengan información pública
reservada o pública clasificada.

Política Seguridad física y ambiental

Se deben tener elementos de protección física que resguardes los centros de datos y las redes en general:
• Se debe tener control de acceso físico a las instalaciones, que proteja contra amenazas internas y
externas.
Identificación del personal propio, proveedores y contratistas.
• Se debe medir las variables ambientales de los centros de cómputo como humedad y temperatura.
• Seguridad para los equipos informáticos que estén por fuera de las instalaciones. 
Implementar y mantener sistemas de video vigilancia en todas las zonas.

Política de Copias de Respaldo de Información (Backup):

 Se debe contar con un sistema automático para la recolección de copias de respaldo.
 Las copias de respaldo deben tener el mismo nivel de protección de la información que poseen en
su fuente original.
 Los medios magnéticos que contienen información deben ser almacenados en lugares físicamente
seguros.
 Los usuarios responsables por respaldar la información también son responsables de facilitar la
oportuna restauración de la información.
 Los medios magnéticos deben tener rótulos visibles y legibles tanto internos como externos.
 Se debe mantener suficientes respaldos de la información para que en caso de contingencia se
pueda recuperar la información oportunamente.
  Para responder adecuadamente a una contingencia, los respaldos de la información se deben
almacenar en sitios externos.
 Cualquier medio magnético que contenga información clasificada como restringida o
confidencial, debe estar claramente identificada.
 Al enviar Información clasificada como restringida o confidencial a terceros se debe exigir un
acuse de recibo.
 Todos los medios que contengan información clasificada como restringida o confidencial y que
finalice su ciclo de vida, deben ser sobre escritos o destruidos físicamente para que la información
no pueda ser recuperada.
 Es responsabilidad de los Administradores de las Plataformas, mantener respaldo de la
configuración del sistema operativo y de los servicios que estas proveen.

Política de transferencia de información

Intercambio de Información entre Personal de la SSF.
 Solo se puede realizar intercambio de información de la SSF entre su personal cuando dicho
intercambio corresponda a actividades relacionadas con el desarrollo de sus labores.
 Siempre que se realice intercambio de información catalogada como pública clasificada o pública
reservada, dicho intercambio debe ser aprobado por el jefe directo o supervisor de contrato.

Intercambio de información con terceros.

 Todo intercambio de información electrónica perteneciente al la SSF con terceros, debe ser
respaldado con un acuerdo (convenio o contrato), incluyendo una cláusula de confidencialidad y
no divulgación de la información proporcionada.
 La solicitud de intercambio de información puede ser por requerimientos de la SSF, del organismo
externo o incluso de un tercero que, ante disposiciones legales o directrices del gobierno hacen
necesaria dicha interoperabilidad.
 La excepción en la entrega de información debe estar regida por lo establecido según legislación
vigente.
 La información recibida de otra entidad en Colombia se debe salvaguardar a un nivel igual o
mayor que el aplicado por la entidad que originó el documento.
 El intercambio de información digital pública clasificada y pública reservada, debe realizarse por
canales cifrados que garanticen la protección de la confidencialidad de la información y que
cumpla con la política de controles criptográficos, esto debe quedar registrado en los convenios o
acuerdos de intercambio de información que firmen las partes.

Intercambio de Información Física

 El intercambio de información que se encuentre en formatos físicos debe estar debidamente
etiquetada, en caso de que sea catalogada como pública clasificada o pública reservada, el
intercambio debe realizarse en un sobre sellado para ser enviada a terceros.
 Para el transporte de medios físicos de información sensibles, se debe generar una bitácora de
entrega de estos medios y recepción de estos.
 Se debe transportar en un dispositivo con un sello de seguridad que garantice que en su
desplazamiento no ha sido intervenido por un tercero.
 Para la apertura de ese sello se debe generar un registro y garantizar que no se reutilice el sello.
 Se deben transportar estos medios en un recipiente que proteja al activo de amenazas ambientales.

Intercambio de información vía correo electrónico institucional

  Toda información enviada desde la SSF a través de correos electrónicos deberá incluir en su pie
de página la siguiente advertencia:
 Este mensaje y cualquier archivo que se adjunte al mismo es confidencial y podría contener
información clasificada y reservada de la SSF, para el uso exclusivo de su destinatario. Si usted no
es el receptor autorizado, cualquier retención, difusión, distribución o copia de este mensaje es
prohibida y sancionada por la ley. Si por error recibe este mensaje, por favor reenviarlo al
remitente y borrar el mensaje recibido inmediatamente.

Política de cumplimiento legal, regulatorio y normativo de seguridad de la información

Como toda política se debe cumplir con los requisitos de Ley y normatividad vigente que estipula cada
país y región donde se ubique la empresa, para lo cual existe:

Marco Legal Y Normativo

 Constitución Política de Colombia 1991. Artículo 15. Reconoce como Derecho Fundamental el
Habeas Data. Artículo 20. Libertad de Información.
 Código Penal Colombiano - Decreto 599 de 2000
 Ley 906 de 2004, Código de Procedimiento Penal.
 Ley 87 de 1993, por la cual se dictan Normas para el ejercicio de control interno en las entidades y
organismos del Estado, y demás normas que la modifiquen.
 Ley 734 de 2002, del Congreso de la República de Colombia, Código Disciplinario Único.
 Ley 23 de 1982 de Propiedad Intelectual - Derechos de Autor.
 Ley 594 de 2000 - Ley General de Archivos.
 Ley 80 de 1993, Ley 1150 de 2007 y decretos reglamentarios.
 Ley 527 de 1999, por la cual se define y reglamenta el acceso y uso de los mensajes de datos, del
comercio electrónico y de las firmas digitales y se establecen las entidades de certificación y se
dictan otras disposiciones.
 Directiva presidencial 02 del año 2000, Presidencia de la República de Colombia, Gobierno en
línea.
 Ley 1032 de 2006, por el cual se dictan disposiciones generales del Habeas Data y se regula el
manejo de la información contenida en base de datos personales.
 Ley 1266 de 2007, por la cual se dictan disposiciones generales del Habeas Data y se regula el
manejo de la información contenida en base de datos personales.
 Ley 1273 de 2009, "Delitos Informáticos" protección de la información y los datos.
 Ley 1437 de 2011, "Código de procedimiento administrativo y de lo contencioso administrativo".
 Ley 1581 de 2012, "Protección de Datos Personales".
 Decreto 2609 de 2012, por la cual se reglamenta la ley 594 de 200 y ley 1437 de 2011
 Decreto 1377 de 2013, por la cual se reglamenta la ley 1581 de 2012
 Ley 1712 de 2014, “De transparencia y del derecho de acceso a la información pública nacional” •
Ley 962 de 2005. “Simplificación y Racionalización de Trámite. Atributos de seguridad en la
Información electrónica de entidades públicas;”
 Ley 1150 de 2007. “Seguridad de la información electrónica en contratación en línea”
 Ley 1341 de 2009. “Tecnologías de la Información y aplicación de seguridad”.
 Decreto 2952 de 2010. “Por el cual se reglamentan los artículos 12 y 13 de la Ley 1266 de 2008”
 Decreto 886 de 2014. “Por el cual se reglamenta el artículo 25 de la Ley 1581 de 2012”
  Decreto 1083 de 2015. “Por el cual se reglamenta el artículo 25 de la Ley 1581 de 2012”
 CONPES 3701 de 2011 Lineamientos de Política para Ciberseguridad y Ciberdefensa
 CONPES 3854 de 2016 Política Nacional de Seguridad digital.

Requisitos Técnicos
 Norma Técnica Colombiana NTC/ISO 27001:2013 Sistemas de gestión de la seguridad de la
información
 Norma Técnica Colombiana NTC/ISO 17799 Código de práctica para la gestión de la seguridad
de la información.
 ISO/lEC 27005 Information technology Systems- Security techniques- information security risk
management.
 Modelo Estándar de Control Interno MECI 1000 2da versión "Subsistema: Control de Gestión;
Componente: Actividades de Control; Elemento: Monitoreo y Revisión e Información"
 Norma Técnica Colombiana NTC - ISO 19011 "Directrices para la Auditoria de los Sistemas de
Gestión de la Calidad y/o Ambiental"

Política de teletrabajo para actividades desde casa

Autorización
El Teletrabajo para cualquiera de los colaboradores de la Entidad debe estar autorizado por el jefe o
supervisor inmediato y el Jefe de la Oficina de las TIC, aprobando un formato que especifique los
siguientes datos:
 Nombre del colaborador
 Cargo del colaborador
 Razón por la que se requiere el Teletrabajo
 Fecha desde cuándo se requiere el Teletrabajo
 Fecha hasta cuando se hará uso del Teletrabajo
 Definir los días de la semana y el horario en el que se hará uso del Teletrabajo
 Especificar las aplicaciones que van a ser usadas

El jefe inmediato debe validar que los requerimientos solicitados están acordes a las funciones asignadas
al rol correspondiente.

Equipo remoto
El equipo utilizado para el Teletrabajo puede ser:
 Computador asignado por la SSF, provisto con el licenciamiento para todo el software utilizado.
 Escritorio Virtual: software que permite el acceso a los datos de un servidor desde un equipo que
únicamente brinda la interfaz requerida.
 Cliente de VPN: existen opciones de clientes de VPN que cuentan con la opción de Escritorio
Virtual.
 La selección depende de los recursos disponibles y de las funciones que se vayan a ejecutar, lo
cual será discrecional del responsable del área correspondiente.

Conexión
En general se deben aplicar todas las políticas de seguridad de la información de la SSF que sean
pertinentes, y se hace énfasis en los siguientes aspectos:

 No es permitido que la sesión establecida con la SSF sea utilizada por una persona diferente al
colaborador autorizado.
 No hacerlo desde un sitio de acceso público como un Café Internet, Aeropuerto y Restaurante,
entre otros.
 Cumplir con las condiciones establecidas en el formato de autorización.
 Se deben considerar los requerimientos de seguridad definidos en Seguridad de la Información
para los activos de información involucrados, es decir aplicar todas las restricciones y
protecciones para la confidencialidad, integridad y disponibilidad definidas.
 Reportar cualquier evento anormal aplicando la Política de Gestión de Incidentes.

Política de desarrollo seguro

OCA GLOBAL COLOMBIA SAS es la responsable de planificar, desarrollar y ejecutar las actividades
relacionadas con el desarrollos, actualizaciones e instalaciones de software. Además, debe planificar la
ejecución de pruebas funcionales y de seguridad de los sistemas nuevos o modificados antes de ejecutar la
instalación en los servidores de producción.

Normas de seguridad para todo el personal

 Se deberá estandarizar el ciclo de vida, criterios de seguridad y de calidad en el desarrollo de
software.
 Toda modificación de software crítico bien sea por actualizaciones o modificaciones, deberá ser
analizada previamente en ambientes independientes de desarrollo y prueba, con el objetivo de
identificar y analizar los riesgos de seguridad que acarrea dicha modificación.
 Se deberán planificar detalladamente las etapas de paso a producción, incluyendo respaldos,
recursos, conjunto de pruebas pre y pos-instalación, y criterios de aceptación del cambio.
 Para propósitos de desarrollo y pruebas de software, se deberán generar datos de prueba distintos a
los que se encuentran en el ambiente de producción.

Normas de seguridad para la gestión de Vulnerabilidades

 Se deberá establecer una gestión de vulnerabilidades técnicas orientada a analizar los problemas
de seguridad (vulnerabilidades) que surgen en los productos de software, que sean publicadas por
los proveedores de tecnología o detectados por cualquier usuario y proponer las medidas de
mitigación al riesgo definido.
 Se deberá establecer un plan de actualización para el software que es desarrollado o se utiliza en la
Entidad, asegurando que las últimas versiones y parches sean instalados lo antes posible, con el
fin de evitar que alguna vulnerabilidad sea explotada.
Normas de seguridad para la documentación del software
 El diccionario de datos, o repositorio de metadatos, deberá mantener una descripción actualizada
de las definiciones de datos.
 Si el desarrollador incluye comentarios en el programa fuente, estos no deben divulgar
información de configuración innecesaria.
 Todo sistema desarrollado por la SSF debe generar el protocolo de las condiciones de
autenticación a la aplicación, el cual deberá ser revisado y aprobado por el equipo de seguridad de
la información.

La documentación de los desarrollos deberá:

 Generarse durante el ciclo de vida de desarrollo y no postergarla hasta el final.
 Ser revisada por los usuarios finales del sistema en desarrollo.
  Actualizarse si el programa cambia alguna de sus funcionalidades.
 Almacenarse en un sitio centralizado (Servidor) administrado por la subdirección de desarrollo de
aplicaciones.

Normas de seguridad para proyectos de desarrollo

Como parte de las actividades a realizar en esta fase de un proyecto de desarrollo, se deberán describir los
requerimientos de seguridad que deben ser cubiertos por el nuevo sistema.

Normas de seguridad para la especificación detallada de requerimientos

 En el análisis de factibilidad de los requerimientos, se deberá considerar el nivel de criticidad del
sistema, además del nivel de protección de seguridad que requerirán los datos y las aplicaciones
que lo compongan.
 Los requerimientos de seguridad deberán ser compatibles con lo que se establece en las demás
políticas de seguridad de la información.
 Todos los programas críticos deberán incluir la generación de registros de auditoría, considerando
como mínimo la identidad del usuario que lee, borra, escribe, o actualiza, el tipo de evento y la
fecha y hora del evento. Estos registros deben ser protegidos contra la manipulación no
autorizada.
 En la etapa de diseño se deberá proyectar el rendimiento esperado, con el objetivo de no sobre
dimensionar los recursos necesarios para el funcionamiento del sistema (ancho de banda, RAM,
recursos del servidor, etc.).

Normas de seguridad para la codificación y pruebas

 No está permitido modificar programas sin que quede registrado o documentado el cambio. En
caso de requerirse la implementación de un cambio, este deberá ceñirse a los lineamientos
descritos en el procedimiento de control de cambios.
 No está permitido escribir o modificar código auto-copiante o cualquier otro tipo de código
malicioso (virus y gusanos), así como funciones u operaciones no documentadas o no autorizadas
en los programas.
 En lo posible, las pruebas del sistema deberán incluir: instalación, volumen, stress, rendimiento,
almacenamiento, configuración, funcionalidad, seguridad y recuperación ante errores.
 En lo posible, las pruebas deberán ser realizadas en forma automática, almacenando criterios y
datos de pruebas en archivos, para permitir la verificación rápida y repetitiva.
Se deberán tener las siguientes consideraciones con relación a los datos de entrada y salida de los sistemas
de información:
 Realizar las validaciones de datos de entrada y salida en un sistema confiable (por ejemplo: un
servidor).
 Construir los aplicativos para que validen los datos de entrada y generen los datos de salida de
manera confiable, utilizando rutinas de validación centralizadas y estandarizadas.
 Validar la información suministrada por los usuarios antes de procesarla, teniendo en cuenta
aspectos como tipos de datos, rangos válidos y longitud, entre otros.
 Validar las entradas de datos con una lista “blanca” que contenga un directorio de caracteres
aceptados.
 Validar el intento de ingreso de bytes nulos, caracteres de nueva línea o caracteres de alteración de
rutas.

Se deberán establecer los siguientes controles para la autenticación en los sistemas de información:
 Realizar los controles de autenticación en un sistema confiable (por ejemplo, un servidor).
 Si la aplicación administra un almacenamiento de credenciales, asegurar que únicamente se
almacena el hash de las contraseñas.
 Validar los datos de autenticación, luego de haber completado todos los datos de entrada.
Se deberá realizar una gestión de las sesiones, que tenga en cuenta los siguientes aspectos:
 Realizar la creación de identificadores de sesión en un sistema en cual se confíe (por ejemplo: el
servidor).
 Garantizar la existencia de opciones de desconexión o cierre de sesión de los aplicativos que
permita terminar completamente con la conexión asociada.
 No exponer los identificadores de sesión en URL, mensajes de error ni logs, y no transmitirlos
como parámetros.
 Asegurar que los aplicativos proporcionen la mínima información de la sesión establecida,
almacenada en cookies y complementos, entre otros.
 Asegurar que la sesión expire después de cierto tiempo.
 No permitir la apertura de sesiones simultaneas con el mismo usuario.
 Se deberá asegurar el manejo de operaciones sensibles en los aplicativos desarrollados,
permitiendo el uso de dispositivos adicionales como tokens o el ingreso de parámetros adicionales
de verificación.
 Todas las funciones de criptografía de las aplicaciones desarrolladas deben ser implementadas en
sistemas confiables (por ejemplo: el servidor).

Se deben considerar los siguientes aspectos en el manejo de errores:

 Garantizar que no se divulgue información sensible en respuestas de error, incluyendo detalles del
sistema, identificadores de sesión o información de las cuentas de usuarios. Los mensajes de error
deben ser genéricos.
 Liberar espacio en memoria cuando ocurra una condición de error.

Para el manejo de archivos se deberán acatar las siguientes consideraciones:

 Remover todas las funcionalidades y archivos que no sean necesarios para los aplicativos, previo a
la puesta en producción.
 Prevenir la revelación de la estructura de directorios de los sistemas construidos.

Para el establecimiento de conexión a las bases de datos se deberán considerar los siguientes aspectos:
 No incluir las cadenas de conexión a las bases de datos en el código de los aplicativos.
 Cerrar la conexión a las bases de datos desde los aplicativos, tan pronto como estas no sean
requeridas.
 Se deberá remover información innecesaria en los encabezados de respuesta que se refieran a los
sistemas operativos y versiones del software utilizado.
 Se deberán desarrollar los controles necesarios para la transferencia de archivos, como exigir
autenticación, vigilar los tipos de archivos a transmitir, almacenar los archivos transferidos en
repositorios destinados para este fin o en bases de datos, eliminar privilegios de ejecución a los
archivos transferidos y garantizar que dichos archivos solo tengan privilegios de lectura.
 No se deberá incluir en parámetros, nombres de directorios o rutas de archivos. En su lugar, se
deben utilizar índices que internamente se asocien a directorios o rutas pre-definidas.
 Se deberá liberar la memoria previa a la salida de una función y de todos los puntos de
finalización de la aplicación.
 Se deberá garantizar la protección del código fuente de los aplicativos construidos, de tal forma de
que no pueda ser descargado ni modificado por los usuarios.
 No se deberá permitir que los aplicativos desarrollados ejecuten comandos directamente en el
sistema operativo.
 Se deberán utilizar funciones de control de integridad (hash) para verificar la integridad del
código interpretado, bibliotecas, ejecutables y archivos de configuración previo a su utilización.
Normas de seguridad para la Implementación
 Se deberá velar por la implementación de los controles de seguridad al mismo tiempo que la
implementación de los componentes, funciones o módulos a los cuales controla.
 Se deberá efectuar sintonía o ajuste de los controles establecidos en la fase de diseño.
 Las aplicaciones deberán contar con un sistema de autenticación de usuario, que mínimo exija
nombre de usuario y contraseña. Además, en los casos que la aplicación esté expuesta a internet,
debe implementarse la validación de captcha.
 Las aplicaciones deberán contar con manejo de diferentes roles con permisos de acceso y
operaciones asociados a estos.

Normas de seguridad para la post implementación

 Se deberá revisar y auditar la existencia de los controles de seguridad definidos en la etapa de
diseño.
 Al menos una vez cada año, se debe realizar un escaneo de las aplicaciones más recientes puestas
en producción, en busca de vulnerabilidades, manteniendo un registro de los resultados y las
acciones correctivas tomadas.