DISPOSICIONES NORMATIVAS

DE CONSERVACIÓN Y
SEGURIDAD.
SIELEC S.A.S
 TIEMPO DE CONSERVACIÓN DE DOCUMENTOS.
Ley 962 de 2005. Antitrámites.
“ARTÍCULO 28. RACIONALIZACIÓN DE LA CONSERVACIÓN
DE LIBROS Y PAPELES DE COMERCIO. Los libros y papeles
del comerciante deberán ser conservados por un período
de diez (10) años contados a partir de la fecha del último
asiento, documento o comprobante, pudiendo utilizar
para el efecto, a elección del comerciante, su
conservación en papel o en cualquier medio técnico,
magnético o electrónico que garantice su reproducción
exacta.
Igual término aplicará en relación con las personas, no
comerciantes, que legalmente se encuentren obligadas a
conservar esta información.
Lo anterior sin perjuicio de los términos menores
consagrados en normas especiales.”
Art. 632 E.T. Deber de conservar
informaciones y pruebas.
Para efectos del control de los impuestos administrados
por la Dirección General de Impuestos Nacionales, (Hoy
UAE Dirección de Impuestos y Aduanas Nacionales) las
personas o entidades, contribuyentes o no contribuyentes
de los mismos, deberán conservar por un período mínimo
de cinco (5) años*, contados a partir del 1o. de enero del
año siguiente al de su elaboración, expedición o recibo,
los siguientes documentos, informaciones y pruebas, que
deberán ponerse a disposición de la Administración de
Impuestos, cuando ésta así lo requiera:
Cuando la contabilidad se lleve en computador,
adicionalmente, se deben conservar los medios
magnéticos que contengan la información, así como los
programas respectivos.
 REQUISITOS PARA LA CONSERVACIÓN DE INFORMACIÓN.

Ley 527 de 1999.

ARTICULO 12. CONSERVACION DE LOS MENSAJES DE DATOS Y DOCUMENTOS. Cuando la ley

requiera que ciertos documentos, registros o informaciones sean conservados, ese requisito quedará
satisfecho, siempre que se cumplan las siguientes condiciones:
1. Que la información que contengan sea accesible para su posterior consulta.
2. Que el mensaje de datos o el documento sea conservado en el formato en que se haya generado,
enviado o recibido o en algún formato que permita demostrar que reproduce con exactitud la
información generada, enviada o recibida, y
3. Que se conserve, de haber alguna, toda información que permita determinar el origen, el destino
del mensaje, la fecha y la hora en que fue enviado o recibido el mensaje o producido el documento.
No estará sujeta a la obligación de conservación, la información que tenga por única finalidad facilitar
el envío o recepción de los mensajes de datos. Los libros y papeles del comerciante podrán ser
conservados en cualquier medio técnico que garantice su reproducción exacta.
ISO 27001
El eje central de ISO 27001 es proteger la confidencialidad, integridad y disponibilidad de la
información en una empresa. Esto lo hace investigando cuáles son los potenciales problemas que
podrían afectar la información (es decir, la evaluación de riesgos) y luego definiendo lo que es
necesario hacer para evitar que estos problemas se produzcan (es decir, mitigación o tratamiento del
riesgo).
Las medidas de seguridad (o controles) que se van a implementar se presentan, por lo general, bajo
la forma de políticas, procedimientos e implementación técnica (por ejemplo, software y equipos).
Sin embargo, en la mayoría de los casos, las empresas ya tienen todo el hardware y software pero
utilizan de una forma no segura; por lo tanto, la mayor parte de la implementación de ISO 27001
estará relacionada con determinar las reglas organizacionales (por ejemplo, redacción de
documentos) necesarias para prevenir violaciones de la seguridad.
Como este tipo de implementación demandará la gestión de múltiples políticas, procedimientos,
personas, bienes, etc., ISO 27001 ha detallado cómo amalgamar todos estos elementos dentro del
sistema de gestión de seguridad de la información (SGSI).
Por eso, la gestión de la seguridad de la información no se acota solamente a la seguridad de TI (por
ejemplo, cortafuegos, anti-virus, etc.), sino que también tiene que ver con la gestión de procesos, de
los recursos humanos, con la protección jurídica, la protección física, etc.
¿CÓMO IMPLEMENTAR ISO 27001?
Para implementar la norma ISO 27001 en una
empresa, usted tiene que seguir estos 16 pasos:
1) Obtener el apoyo de la dirección
2) Utilizar una metodología para gestión de proyectos
3) Definir el alcance del SGSI
4) Redactar una política de alto nivel sobre seguridad
de la información
5) Definir la metodología de evaluación de riesgos
6) Realizar la evaluación y el tratamiento de riesgos
7) Redactar la Declaración de aplicabilidad
8) Redactar el Plan de tratamiento de riesgos
9) Definir la forma de medir la efectividad de sus
controles y de su SGSI
10) Implementar todos los controles y procedimientos
necesarios
11) Implementar programas de capacitación y
concienciación
12) Realizar todas las operaciones diarias establecidas
en la documentación de su SGSI
13) Monitorear y medir su SGSI
14) Realizar la auditoría interna
15) Realizar la revisión por parte de la dirección
16) Implementar medidas correctivas
En términos generales, al hablar de conservación y
seguridad de la información, se debe tener en cuenta:
✓ Actualización y migración de los datos a soportes confiables.
✓ Actualización del software, para que los documentos que se archivan conserven su aspecto y
originalidad.

Por su parte, la seguridad informática se refiere a las condiciones de sistemas de procesamiento de datos para
garantizar confidencialidad e integridad. En este concepto se debe tener en cuenta los siguientes aspectos:
➢ Seguridad de la información. (Claves y acceso de usuarios)
➢ Protección de datos. (Medio donde se conserva la información)

De igual manera, es importante considerar las amenazas que se pueden presentar en un sistema de información
tecnológico, se analizan en tres momentos: antes, durante y después. De acuerdo con las amenazas que se
presenten en un sistema de información , se pueden definir tres tipos de control, preventivo, detectivo y
correctivo.
CONFIDENCIALIDAD DE LA SEGURIDAD INFORMÁTICA.

En el tratamiento de la seguridad informática se desprenden algunos

conceptos importantes, como lo son:

❖ Privacidad: es una información que no se puede compartir con otros.

❖ Exactitud: consiste en la autenticidad y fidelidad de los datos.
❖ Propiedad: son los derechos del autor de la información.
❖ Disponibilidad: cualquier persona de la empresa puede acceder a la información con la
debida autorización.

Sandy Yulieth Sofán Hoyos.

Aprendiz – Especialización Tecnológica
Planeación Tributaria.