POLÍTICA DE SEGURIDAD

  1.  INTRODUCCIÓN

NODEXUM tiene la necesidad de diseñar, establecer, implementar, operar y mantener un Sistema de Gestión Integrado que contemple los aspectos de Seguridad y Privacidad de la información basada en ISO 27001:2013

Debido a lo anterior, este documento tiene como fin establecer la Política del Sistema de Gestión integrado de Seguridad de la Información, Protección de Datos Personales y Continuidad de Negocio. 

 

  1.  OBJETIVO GENERAL

Definir la política del Sistema de Gestión Integrado de Seguridad de la Información, Protección de Datos Personales y Continuidad de Negocio para NODEXUM, con el fin de establecer los lineamientos requeridos por el estándar ISO 27001:2013.

 

2.1. OBJETIVOS ESPECÍFICOS

Establecer las responsabilidades y deberes de la alta dirección, funcionarios, contratistas y usuarios en general con el Sistema de Gestión de Seguridad de la Información, Protección de Datos Personales y Continuidad de Negocio. 

Garantizar la asignación de recursos administrativos y financieros necesarios para alcanzar y mantener los objetivos del Sistema de Gestión de Seguridad de la Información, Protección de Datos Personales Y Continuidad de Negocio. 

Establecer los lineamientos mínimos necesarios para dar cumplimiento a los estándares que conforman el Sistema de Gestión Integrado.

  1. POLÍTICA DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN, PROTECCIÓN DE DATOS PERSONALES Y CONTINUIDAD DE NEGOCIO

 NODEXUM, como una Compañía tecnológica, en cumplimiento de sus funciones y entendiendo la importancia de una adecuada gestión de la información, se ha comprometido con el establecimiento, implementación y mejora continua del Sistema de Gestión de Seguridad de la Información, Protección de Datos Personales y Continuidad de Negocio, como mecanismo para identificar y mitigar los riesgos asociados a la generación e integración de conocimientos, el levantamiento, compilación, validación, almacenamiento y suministro de información, en el ejercicio de sus deberes con el Estado y sus clientes, enmarcado en el estricto cumplimiento de las leyes y en concordancia con la misión y visión de la Compañía.

El Sistema de Gestión de Seguridad de la Información, Protección de Datos Personales y Continuidad de Negocio establece los mecanismos para proteger, recuperar y conservar la información física y digital en el tiempo, asegurando su integridad, confidencialidad, disponibilidad, interacción y usabilidad, consolidando la cultura de seguridad de la información y protección de la propiedad intelectual de NODEXUM.

Esta política aplica a la Compañía según lo establecido en el alcance del sistema a: activos y contenedores de información gestionados por todos los procesos, así como a todos los funcionarios, aliados, contratistas y proveedores que generen, accedan o utilicen información de la Compañía, con el fin de garantizar su confidencialidad, integridad y disponibilidad. Esto teniendo en cuenta que los principios sobre los que se basa el desarrollo de las acciones o toma de decisiones alrededor del sistema integrado estarán determinadas por las siguientes premisas:

  • Minimizar el riesgo en las funciones más importantes de la Compañía.
  • Cumplir con los principios de seguridad de la información, protección de datos personales y continuidad del negocio.
  • Mantener la confianza de sus clientes, socios y empleados.
  • Apoyar la innovación tecnológica.
  • Proteger los activos tecnológicos.
  • Establecer las políticas, procedimientos e instructivos en materia de seguridad de la información, protección de datos personales y continuidad del negocio.
  • Establecer las políticas de iteración sobre los procesos para su mejora continua
  • Fortalecer la cultura de seguridad de la información, protección de datos personales y continuidad del negocio en los funcionarios, aliados, terceros, aprendices, practicantes y clientes de NODEXUM.
  • Garantizar la continuidad del negocio frente a incidentes.

Por lo anterior, se definen los siguientes roles: Oficial de Seguridad de la Información, Oficial de Protección de Datos Personales y Oficial de Continuidad, al igual que los equipos de trabajo comités de: Seguridad de la Información, Protección de Datos Personales y Continuidad de Negocio y Crisis. Estos roles deben encontrarse libres de conflicto de intereses por ende deben depender de la Alta Dirección de NODEXUM, con el fin de monitorear y dar cumplimiento a las políticas establecidas en Seguridad de la Información, Protección de Datos Personales y Continuidad de Negocio. 

 

De igual manera Nodexum se compromete con lo siguiente:

  • NODEXUM deberá asegurar que las políticas y los objetivos del Sistema de Gestión de Seguridad de la Información, Protección de Datos Personales Y Continuidad de Negocio sean adecuados al propósito de la Compañía.
  • NODEXUM dispondrá los recursos administrativos y financieros necesarios para alcanzar y mantener los objetivos del Sistema de Gestión de Seguridad de la Información, Protección de Datos Personales Y Continuidad de Negocio.
  • NODEXUM protegerá la información creada, procesada, transmitida o resguardada por sus procesos de negocio, con el fin de minimizar impactos financieros, operativos o legales debido a un uso incorrecto de esta. Para ello es fundamental la aplicación de controles de acuerdo con la clasificación de la información de su propiedad o en custodia.
  • NODEXUM gestionará los riesgos Seguridad de la Información, Protección de Datos Personales y Continuidad de Negocio acorde con la metodología de gestión de riesgos aprobada.
  • NODEXUM controlará la operación de sus procesos de negocio garantizando la seguridad de los recursos tecnológicos.
  • NODEXUM implementará control de acceso a la información, sistemas y recursos de red.
  • NODEXUM garantizará que la seguridad sea parte integral del ciclo de vida de los sistemas de información.
  • NODEXUM garantizará a través de una adecuada gestión de los eventos de seguridad y las debilidades asociadas con los sistemas de información una mejora efectiva de su modelo de seguridad.
  • NODEXUM garantizará la disponibilidad de sus procesos de negocio y la continuidad de su operación basada en el impacto que pueden generar los eventos.
  • NODEXUM deberá velar por el cumplimiento de los requisitos legales o reglamentarios y las obligaciones contractuales en materia de Seguridad de la Información, Protección de Datos Personales Y Continuidad de Negocio, que le apliquen a la Compañía, para esto se han definido los siguientes documentos como pilares del Sistema de Gestión de Seguridad de la Información, Protección de Datos Personales Y Continuidad de Negocio, los cuales también deben ser cumplidos por funcionarios, contratistas y usuarios en general del sistema:
  1. Plan de Continuidad de Negocio
  2. Manual de Protección de Datos Personales
  • La Política de Seguridad de la Información, Protección de Datos Personales y Continuidad de Negocio, debe ser revisada, por los comités establecidos en el sistema de gestión al menos una vez al año, y/o cuando ocurran cambios significativos en la Compañía, garantizando su evolución, divulgación y cumplimiento, con el fin de lograr la mejora continua del Sistema de Gestión de Seguridad de la Información, Protección de Datos Personales y Continuidad de Negocio. 

Por otra parte, los usuarios de información de NODEXUM se comprometen a:

  • Toda persona que tenga acceso a información institucional de NODEXUM, debe mantenerla en estricta confidencialidad y no deberá compartirla ni modificarla sin la debida autorización.
  • Los usuarios deben acceder exclusivamente a la información a la que tienen permisos y que es necesaria para cumplir sus funciones. 
  • Los usuarios tienen la obligación de reportar los incidentes que afecten la Seguridad de la Información, la Protección de Datos Personales y la Continuidad del Negocio de acuerdo a los procedimientos y los canales establecidos en el Sistema Gestión de Seguridad de la Información, Protección de Datos Personales y Continuidad de Negocio.
  • Los empleados, aliados, contratistas y proveedores de NODEXUM deben conocer, cumplir y divulgar, ésta y todas las políticas y buenas prácticas de Seguridad de la Información, Protección de Datos Personales y Continuidad de Negocio. 
  • Las Políticas de Seguridad de la Información, Protección de Datos Personales y Continuidad de Negocio son de aplicación obligatoria para todos los funcionarios, aliados, contratistas y proveedores de NODEXUM, así como a cualquier persona que tenga acceso a la información de carácter institucional independientemente del área en la que se encuentren y sin importar las características de las tareas que desempeñen.
  • Es de carácter obligatorio la implementación de las Políticas de Seguridad de la Información, Protección de Datos Personales y Continuidad de Negocio, en cada una de las direcciones, así como el cumplimiento de dichas políticas por funcionarios, contratistas, pasantes y proveedores.

 

  1. ROLES Y RESPONSABILIDADES DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN, PROTECCIÓN DE DATOS PERSONALES Y CONTINUIDAD DE NEGOCIO 

El comité Institucional de Gestión y Desempeño está integrado por:

  1. Gerente General. 
  2. Gerente Operaciones. 
  3. Talento Humano. 
  4. Oficial de SGSI.

Dicho comité tendrá las funciones relacionadas a continuación y que son requeridos por el sistema:

 

4.1.1.  ROLES Y RESPONSABILIDADES DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN, PROTECCIÓN DE DATOS PERSONALES Y CONTINUIDAD DE NEGOCIO 

El comité de Seguridad de la Información determina las estrategias para el desarrollo del Sistema de Gestión de Seguridad de la Información, garantizando que se cumplan los lineamientos establecidos y los objetivos establecidos. Sus funciones son:

  • Decide la asignación de los recursos necesarios para el cumplimiento de las metas establecidas del SGSI.
  • El comité deberá realizar un proceso continuo de revisión de las políticas de seguridad de la Información con el fin de mantenerlas actualizadas, vigentes, operativas para asegurar su permanencia y nivel de eficacia.
  • Monitorear cambios significativos en los riesgos que afectan a los recursos de la información de NODEXUM frente a posibles amenazas, sean internas o externas.
  • Aprobar iniciativas para incrementar la seguridad de la información.
  • Estudiar y conceptuar los casos especiales de seguridad presentados en la Compañía, para recomendar las acciones pertinentes y apoyar la toma de decisiones.
  • Revisar los diagnósticos del estado de seguridad de la información.
  • Acompañar e impulsar el desarrollo de proyectos de seguridad. 
  • Aprobar el uso de metodologías y procesos específicos para la seguridad de la Información. 
  • Realizar revisiones periódicas o cuando ocurran cambios significativos del SGSI.
  • Promover la difusión y sensibilización de la seguridad de la información en NODEXUM. 

 

4.1.2.  RESPONSABILIDADES DEL OFICIAL DE SEGURIDAD DE LA INFORMACIÓN 

El Oficial de Seguridad de la Información tendrá asignadas las siguientes responsabilidades:

 

  • Responsable de establecer, implementar, mantener y mejorar continuamente el Sistema de Gestión de Seguridad de la Información de NODEXUM.
  • Verifica que el Sistema de Gestión de Seguridad de la Información cuente con los procedimientos, formatos y herramientas necesarias para su correcta implementación dentro de NODEXUM. 
  • Coordina la realización de un análisis de riesgos de seguridad de la información en cada una de las áreas de NODEXUM, el cual debe llevarse a cabo como mínimo una vez al año, para determinar el grado de exposición a las amenazas relacionadas con los activos de información.
  • Difunde y controla la aplicación e implementación de las políticas de Seguridad de la Información con el fin de garantizar su cumplimiento.
  • Prepara el plan de formación y sensibilización para la seguridad de la información
  • Mantiene el inventario de activos de la Información actualizado.
  • Evalúa los riesgos de las actividades subcontratadas
  • Controla la efectividad de las medidas adoptadas.

 

4.2.  PROTECCIÓN DE DATOS PERSONALES

4.2.1 FUNCIONES DEL COMITÉ DE GESTIÓN Y DESEMPEÑO INSTITUCIONAL SOBRE PROTECCIÓN DE DATOS PERSONALES

El Comité con las funciones sobre la Protección de Datos Personales determina las estrategias para el cumplimiento de la ley 1581 de 2012, garantizando que se cumplan las disposiciones allí establecidas. Sus funciones son:

  • Realizar un proceso continuo de revisión de las políticas de Protección de Datos Personales, con el fin de mantenerlas actualizadas y operativas para asegurar su eficacia. 
  • Analizar las iniciativas para incrementar la protección de los datos personales. 
  • Estudiar y conceptuar los casos especiales en materia de Protección de Datos Personales, con el fin de recomendar las acciones pertinentes. 
  • Revisar el diagnóstico del estado de privacidad de la Información de SGSI. 
  • Acompañar e Impulsar el desarrollo de Proyectos de Privacidad de la Información, solicitando la aprobación del Presupuesto necesario.  
  • Escalar la aprobación de metodologías y Políticas de Privacidad de la Información cuando sea necesario. 
  • Evaluar y aprobar los planes de tratamiento establecidos para prevenir la materialización de los riesgos identificados en materia de Protección de Datos Personales.
  • Promover la difusión y sensibilización en la privacidad de la Información. 

 

4.2.2 RESPONSABILIDADES DEL OFICIAL DE PROTECCIÓN DE DATOS PERSONALES

  • Proteger los datos personales y dar trámite a las solicitudes de los Titulares de los datos personales para el ejercicio de los derechos que se consagran en la ley 1581 de 2012. 
  • Servir de coordinador con las demás áreas de la organización para asegurar una implementación transversal del cumplimiento de la ley 1581 de 2012. 
  • Mantener un inventario de las bases de datos personales en poder de NODEXUM y clasificarlas según su contenido. 
  • Registrar las bases de datos de NODEXUM en el Registro Nacional de Bases de Datos, en cuanto corresponda, y actualizar el reporte atendiendo a las instrucciones que sobre el particular emita la Superintendencia de Industria y Comercio (“SIC”).
  • Implementar en los contratos que celebre NODEXUM, disposiciones que aseguren el cumplimiento de la ley 1581 de 2012.
  • Velar porque se capacite periódicamente en temas de protección de datos personales al personal de NODEXUM, para generar una cultura de protección de datos dentro de la Compañía. Esto incluirá realizar sesiones de sensibilización y medir la participación y calificar el desempeño de los asistentes.
  • Integrar las políticas de datos personales dentro de las actividades de las demás áreas de la Compañía. 
  • Velar por la implementación de planes de auditoría interna para verificar el cumplimiento de las políticas y procedimientos en materia de Protección de Datos Personales.
  • Coordinar la realización de un análisis de riesgos anual de Protección de datos Personales de cada una de las áreas. 
  • Proponer un Plan de Sensibilización semestral en materia de Protección de Datos Personales para NODEXUM.

 

4.3.  CONTINUIDAD DEL NEGOCIO

 

4.3.1.  FUNCIONES DEL COMITÉ DE GESTIÓN Y DESEMPEÑO INSTITUCIONAL SOBRE CONTINUIDAD / CRISIS

 

  • Obtener y proteger el presupuesto para la sostenibilidad del Business Continuity Plan (BCP), garantizando la sostenibilidad de este. 
  • Garantizar que el personal que tenga la responsabilidad del Plan de Continuidad de Negocio esté capacitado y entrenado, teniendo claro su rol y sus responsabilidades. 
  • Revisar y Aprobar el BCP, por lo menos una vez al año. 
  • Revisar que las pruebas BCP sean integrales teniendo en cuenta el Plan de Emergencias, el Plan de Recuperación de Desastres (DRP) y la gestión adecuada de Crisis. 
  • Identificar la categoría del desastre, según el informe entregado por el equipo de respuesta a emergencias y el equipo de evaluación de daños y recuperación de instalaciones. 
  • Definir si se requieren equipos de apoyo según la situación presentada.
  • Tomar la decisión de activar el Plan de Continuidad del Negocio y/o el Plan de Recuperación de Desastres.
  • Definir las acciones a seguir para recuperar la infraestructura física (sede, muebles y enseres) y la tecnológica, estableciendo la necesidad de reemplazarla o de recuperarla dependiendo del reporte de daños que entregue el equipo de evaluación de daños y recuperación de instalaciones, buscando siempre la mejor opción costo / beneficio.
  • Autorizar la publicación de comunicaciones sobre la crisis y manejo de la misma a interesados. 
  • Coordinar la emisión de comunicados con los voceros autorizados.
  • Hacer seguimiento a los procedimientos y a las actividades involucradas en las fases de respuesta y de restauración del Plan de Continuidad del Negocio.

 

4.3.2.  RESPONSABILIDADES DEL OFICIAL DE CONTINUIDAD

 

  • Actualizar la información de contacto de los miembros del Comité de Crisis.
  • Actualizar la información de contacto de clientes, proveedores, e interesados críticos. 
  • Mantener actualizado el Plan de Continuidad del Negocio y sus anexos correspondientes.
  • Asegurar que existe y funciona un procedimiento de control de cambios al plan de continuidad del negocio.
  • Estimar el presupuesto anual de mantenimiento del plan de continuidad del negocio.
  • Estimar el presupuesto anual de capacitación requerida en continuidad del negocio. 
  • Convocar o disolver el Comité de Crisis.
  • Gobernar la secuencia de recuperación de los procesos de negocio. 
  • Actuar como enlace entre los diferentes equipos que hacen parte del Plan de Continuidad del Negocio y el Comité de Crisis.
  • Controlar la ejecución del Plan de Continuidad del Negocio, detectar desvíos y comunicarlos al Comité de Crisis para realizar los ajustes necesarios en función de los inconvenientes, problemas y errores hallados durante la ejecución del mismo.
  • Informar de lo sucedido a Proveedores, Contratistas, Aseguradoras y demás fuentes externas previa autorización del Comité de Crisis.