Política de seguridad de la información

1. Objetivo

Definir las políticas, responsabilidades, principios y directrices que deben cumplir las personas frente al uso de los activos con el .n de regular la gestión de la seguridad de la información en DATAICO.

2. Alcance

Las políticas contenidas en este documento se establecen, aplican y deberán ser conocidas, aceptadas y cumplidas por todos los empleados, contratistas, practicantes, terceros, entre otros. El incumplimiento de las mismas se considerará un incidente de seguridad que, de acuerdo al caso, podrá dar lugar a un proceso disciplinario para los empleados o una causa válida para terminación de contratos establecidos con los terceros involucrados, sin perjuicio de la iniciación de otro tipo de acciones a las que haya lugar.

3. Política De Seguridad De La Información

DATAICO como empresa de desarrollo de sistemas informáticos y actividades de generación, transmisión, expedición, entrega y recepción de documentos electrónicos, reconoce que la información es un activo fundamental para su funcionamiento y toma de decisiones que puede ser objeto de amenazas deliberadas o accidentales.

Por consiguiente, DATAICO define como objetivo proteger la información contra diversas amenazas e implementa el Sistema de Gestión de Seguridad de la Información como una estrategia para garantizar la continuidad del negocio, minimizar los riesgos, reducir el impacto ocasionado por la materialización de incidentes de seguridad, establecer mecanismos de monitoreo, prevención, minimización de riesgos y vulnerabilidades en la infraestructura tecnológica, alineándose con los estándares de cumplimiento legales y regulatorios. Esta estrategia es parte de la responsabilidad social adquirida por DATAICO con sus clientes, al tratarse de sistemas críticos para la operación.

Por otra parte, DATAICO al encargarse de la generación, transmisión, expedición, entrega y recepción de documentos electrónicos define como objetivo cumplir con la normatividad relacionada con la protección de datos personales, adoptando las medidas de control y de seguridad de la información para minimizar los riesgos de exposición, difusión, adulteración o pérdida de estos datos.

Para el desarrollo de la estrategia se implementará una cultura organizacional enfocada en identificar y evaluar los riesgos de acuerdo con los objetivos de DATAICO tomando como base los criterios de clasificación, evaluación y valoración, descritos en la metodología de riesgo para la definición de controles relacionados con la seguridad y la búsqueda hacia la mejora continua, teniendo en cuenta los requerimientos de nuestras partes interesadas para incrementar la credibilidad, la confianza de los procesos y garantizar la confidencialidad, integridad y disponibilidad de la información y de los activos tecnológicos.

4. Compromiso De La Dirección

La Alta Dirección de DATAICO aprueba esta Política de Seguridad de la Información como muestra de su compromiso y apoyo en el diseño e implementación de políticas eficientes que garanticen la seguridad de la información de DATAICO. La Alta Dirección de la Entidad demuestran su compromiso a través de:

  • La revisión y aprobación de las Políticas de Seguridad de la Información.
  • La promoción activa de una cultura de seguridad.
  • La promoción y divulgación de las políticas a todos los colaboradores de DATAICO.
  • El aseguramiento de los recursos adecuados para implementar y mantener las políticas de seguridad de la información.
  • La verificación del cumplimiento de las políticas aquí mencionadas.

Con el objetivo de mantener alineadas las políticas de seguridad de la información con los procedimientos y actividades de DATAICO, estas deben ser revisadas anualmente o cada que se presenten cambios representativos que ameriten su revisión.

5. Sanciones Por Incumplimiento

El incumplimiento de las Políticas de Seguridad de la Información se gestiona mediante procedimientos administrativos, cuando se identifique un incumplimiento a la presente Política se deberá reportar al Director General de DATAICO utilizando los canales definidos para dicho fin, para los efectos de su competencia y atribuciones. Se consideran violaciones graves el robo, daño, divulgación de información restringida o confidencial de DATAICO o los delitos informáticos contemplados en el Artículo 269 de la ley 1273 de 2009.

 

Versión aprobada 1.6