POLÍTICA DE SEGURIDAD

SEGURIDAD EN LA INFORMACIÓN

1.1. INTRODUCCIÓN

NODEXUM tiene la necesidad de diseñar, establecer, implementar, operar y mantener un Sistema de Gestión Integrado que contemple los aspectos de Seguridad y Privacidad de la información basada en ISO 27001:2013 dentro del alcance determinado por la empresa.

Debido a lo anterior, este documento tiene como fin establecer la Política de Seguridad de la Información, Protección de Datos y Continuidad del Negocio.

1.2.  OBJETIVO GENERAL 

Definir la Política de Seguridad de la Información, Protección de Datos y Continuidad del Negocio para NODEXUM, con el fin de establecer los lineamientos requeridos por el estándar ISO 27001:2013.

1.3. OBJETIVOS ESPECÍFICOS

Establecer las responsabilidades y deberes de la alta dirección, colaboradores, contratistas y usuarios en general con el Sistema de Gestión de Seguridad de la Información. 

Garantizar la asignación de recursos administrativos y financieros necesarios para alcanzar y mantener los objetivos del Sistema de Gestión de Seguridad de la Información.

Establecer los lineamientos mínimos necesarios para dar cumplimiento a el alcance dentro de los estándares que conforman el Sistema de Gestión Integrado.

Garantizar la protección de la confidencialidad, integridad y disponibilidad de la información suministrada por el cliente.

1.4. ALCANCE

Aplicar a los procesos de procesos de facturación electrónica y nómina electrónica, para la gestión de habilitación, puesta en producción y soporte como proveedor de servicios tecnológicos.

2.  PROTECCIÓN DE DATOS

2.1.  POLÍTICA DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN, PROTECCIÓN DE DATOS PERSONALES Y CONTINUIDAD DE NEGOCIO

NODEXUM es una Compañía dedicada al desarrollo de sistemas informáticos (planificación, análisis, diseño, programación y pruebas), en cumplimiento de sus funciones y entendiendo la importancia de una adecuada gestión de la información, a través de la Gerencia, se ha comprometido con el establecimiento, implementación y mejora continua del Sistema de Gestión de Seguridad de la Información, como mecanismo para identificar y mitigar los riesgos asociados a la generación e integración de conocimientos, el levantamiento, compilación, validación, almacenamiento y suministro de información, en el ejercicio de sus deberes con el Estado y sus clientes, enmarcado en el estricto cumplimiento de las leyes y en concordancia con la misión y visión de la Compañía.

El Sistema de Gestión de Seguridad de la Información establece los mecanismos para proteger, recuperar y conservar la información física y digital en el tiempo, asegurando su integridad, confidencialidad, disponibilidad, interacción y usabilidad, consolidando la cultura de seguridad de la información y protección de la propiedad intelectual de NODEXUM.

Esta política aplica a la Compañía según lo establecido en el alcance del sistema a: activos y contenedores de información gestionados por todos los procesos, así como a todos los colaboradores, aliados, contratistas y proveedores que generen, accedan o utilicen información de la Compañía, con el fin de garantizar su confidencialidad, integridad y disponibilidad. Esto teniendo en cuenta que los principios sobre los que se basa el desarrollo de las acciones o toma de decisiones alrededor del sistema integrado estarán determinadas por las siguientes premisas:

  • Minimizar el riesgo en las funciones más importantes de la Compañía.
  • Cumplir con los principios de seguridad de la información, protección de datos personales y continuidad del negocio.
  • Mantener la confianza de sus clientes, socios y empleados.
  • Apoyar la innovación tecnológica.
  • Proteger los activos tecnológicos.
  • Establecer las políticas, procedimientos e instructivos en materia de seguridad de la información, protección de datos personales y continuidad del negocio.
  • Establecer las políticas de interacción sobre los procesos para su mejora continua
  • Fortalecer la cultura de seguridad de la información, protección de datos personales y continuidad del negocio en los colaboradores, aliados, terceros, aprendices, practicantes y clientes de NODEXUM.
  • Garantizar la continuidad del negocio frente a incidentes.

Por lo anterior, se define que el Auxiliar de seguridad de la información asume el rol de oficial de seguridad de la Información y como equipo de trabajo se conforma el comité de Seguridad de la Información, el cual también asumirá el rol de continuidad de negocios y protección de datos personales. Estos roles deben encontrarse libres de conflicto de intereses por ende deben depender de la Alta Dirección de NODEXUM, con el fin de monitorear y dar cumplimiento a las políticas establecidas en Seguridad de la Información, Protección de Datos Personales y Continuidad de Negocio. 

De igual manera Nodexum se compromete con lo siguiente:

  • NODEXUM deberá asegurar que las políticas y los objetivos del Sistema de Gestión de Seguridad de la Información, sean adecuados al propósito de la Compañía.
  • NODEXUM dispondrá los recursos administrativos y financieros necesarios para alcanzar y mantener los objetivos del Sistema de Gestión de Seguridad de la Información, Protección de Datos Personales Y Continuidad de Negocio.
  • NODEXUM protegerá la información creada, procesada, transmitida o resguardada por sus procesos de negocio, con el fin de minimizar impactos financieros, operativos o legales debido a un uso incorrecto de esta. Para ello es fundamental la aplicación de controles de acuerdo con la clasificación de la información de su propiedad o en custodia.
  • NODEXUM gestionará los riesgos Seguridad de la Información, Protección de Datos Personales y Continuidad de Negocio acorde con la metodología de gestión de riesgos aprobada.
  • NODEXUM controlará la operación de sus procesos de negocio garantizando la seguridad de los recursos tecnológicos.
  • NODEXUM implementará control de acceso a la información, sistemas y recursos de red.
  • NODEXUM garantizará que la seguridad sea parte integral del ciclo de vida de los sistemas de información.
  • NODEXUM garantizará a través de una adecuada gestión de los eventos de seguridad y las debilidades asociadas con los sistemas de información una mejora efectiva de su modelo de seguridad.
  • NODEXUM garantizará la disponibilidad de sus procesos de negocio y la continuidad de su operación basada en el impacto que pueden generar los eventos.
  • NODEXUM deberá velar por el cumplimiento de los requisitos legales o reglamentarios y las obligaciones contractuales en materia de Seguridad de la Información, Protección de Datos Personales Y Continuidad de Negocio, que le apliquen a la Compañía, para esto se han definido los siguientes documentos como pilares del Sistema de Gestión de Seguridad de la Información, Protección de Datos Personales Y Continuidad de Negocio, los cuales también deben ser cumplidos por colaboradores, contratistas y usuarios en general del sistema:
  1. Plan de Continuidad de Negocio
  2. Manual de Protección de Datos Personales

La Política de Seguridad de la Información, Protección de Datos Personales y Continuidad de Negocio, debe ser revisada, por los comités establecidos en el sistema de gestión al menos una vez al año, y/o cuando ocurran cambios significativos en la Compañía, garantizando su evolución, divulgación y cumplimiento, con el fin de lograr la mejora continua del Sistema de Gestión de Seguridad de la Información, Protección de Datos Personales y Continuidad de Negocio. 

Por otra parte, los usuarios de información de NODEXUM se comprometen a:

  • Toda persona que tenga acceso a información institucional de NODEXUM, debe mantenerla en estricta confidencialidad y no deberá compartirla ni modificarla sin la debida autorización.
  • Los usuarios deben acceder exclusivamente a la información a la que tienen permisos y que es necesaria para cumplir sus funciones. 
  • Los usuarios tienen la obligación de reportar los incidentes que afecten la Seguridad de la Información, la Protección de Datos Personales y la Continuidad del Negocio de acuerdo a los procedimientos y los canales establecidos en el Sistema Gestión de Seguridad de la Información, Protección de Datos Personales y Continuidad de Negocio.
  • Los empleados, aliados, contratistas y proveedores de NODEXUM deben conocer, cumplir y divulgar, ésta y todas las políticas y buenas prácticas de Seguridad de la Información, Protección de Datos Personales y Continuidad de Negocio. 
  • Las Políticas de Seguridad de la Información, Protección de Datos Personales y Continuidad de Negocio son de aplicación obligatoria para todos los colaboradores, aliados, contratistas y proveedores de NODEXUM, así como a cualquier persona que tenga acceso a la información de carácter institucional independientemente del área en la que se encuentren y sin importar las características de las tareas que desempeñen.
  • Es de carácter obligatorio la implementación de las Políticas de Seguridad de la Información, Protección de Datos Personales y Continuidad de Negocio, en cada una de las direcciones, así como el cumplimiento de dichas políticas por colaboradores, contratistas, pasantes y proveedores.
  • Garantizar el uso adecuado de los recursos suministrados por la Compañía para el desarrollo de las actividades laborales.

3. ROLES Y RESPONSABILIDADES

3.1 COMITÉ DE SEGURIDAD DE LA INFORMACIÓN, PROTECCIÓN DE DATOS Y CONTINUIDAD DE NEGOCIO

El comité Institucional de Gestión y Desempeño está integrado por:

1. Gerente General.
2. Gerente Operaciones.
3. Gestión Humana
4. Jefe de Sistemas de Gestión.
5. Oficial del SGSI.

3.1.1 RESPONSABILIDADES EN SEGURIDAD DE LA INFORMACIÓN

El comité determina las estrategias para el desarrollo del Sistema de Gestión de Seguridad de la Información, garantizando que se cumplan los lineamientos establecidos y los objetivos establecidos. Sus funciones son:

• Decide la asignación de los recursos necesarios para el cumplimiento de las metas establecidas del SGSI.
• El comité deberá realizar un proceso continuo de revisión de las políticas de seguridad de la Información con el fin de mantenerlas actualizadas, vigentes, operativas para asegurar su permanencia y nivel de eficacia.
• Monitorear cambios significativos en los riesgos que afectan a los recursos de la información de NODEXUM frente a posibles amenazas, sean internas o externas.
• Aprobar iniciativas para incrementar la seguridad de la información.
• Estudiar y conceptuar los casos especiales de seguridad presentados en la Compañía, para recomendar las acciones pertinentes y apoyar la toma de decisiones.
• Revisar los diagnósticos del estado de seguridad de la información.
• Acompañar e impulsar el desarrollo de proyectos de seguridad.
• Aprobar el uso de metodologías y procesos específicos para la seguridad de la Información.
• Realizar revisiones periódicas o cuando ocurran cambios significativos del SGSI.
• Promover la difusión y sensibilización de la seguridad de la información en NODEXUM.

3.1.2 PROTECCIÓN DE DATOS

El Comité con las funciones sobre la Protección de Datos Personales determina las estrategias para el cumplimiento de la ley 1581 de 2012, garantizando que se cumplan las disposiciones allí establecidas. Sus funciones son:

• Realizar un proceso continuo de revisión de las políticas de Protección de Datos Personales, con el fin de mantenerlas actualizadas y operativas para asegurar su eficacia.
• Analizar las iniciativas para incrementar la protección de los datos personales.
• Estudiar y conceptuar los casos especiales en materia de Protección de Datos Personales, con el fin de recomendar las acciones pertinentes.
• Revisar el diagnóstico del estado de privacidad de la Información de SGSI.
• Acompañar e Impulsar el desarrollo de Proyectos de Privacidad de la Información, solicitando la aprobación del Presupuesto necesario.
• Escalar la aprobación de metodologías y Políticas de Privacidad de la Información cuando sea necesario.
• Evaluar y aprobar los planes de tratamiento establecidos para prevenir la materialización de los riesgos identificados en materia de Protección de Datos Personales.
• Promover la difusión y sensibilización en la privacidad de la Información.

3.1.3 CONTINUIDAD DEL NEGOCIO

● Garantizar que el personal que tenga la responsabilidad del Plan de Continuidad de Negocio esté capacitado y entrenado, teniendo claro su rol y sus responsabilidades.
● Revisar y Aprobar el Plan de Continuidad del Negocio, por lo menos una vez al año.
● Revisar que las pruebas del Plan de Continuidad del Negocio, sean integrales teniendo en cuenta el Plan de Emergencias, el Plan de Recuperación de Desastres (DRP) y la gestión adecuada de Crisis.
● Identificar la categoría del desastre, según el informe entregado por el equipo de respuesta a emergencias y el equipo de evaluación de daños y recuperación de instalaciones.
● Definir si se requieren equipos de apoyo según la situación presentada.
● Tomar la decisión de activar el Plan de Continuidad del Negocio y/o el Plan de Recuperación de Desastres.
● Definir las acciones a seguir para recuperar la infraestructura física (sede, muebles y enseres) y la tecnológica, estableciendo la necesidad de reemplazarla o de recuperarla dependiendo del reporte de daños que entregue el equipo de evaluación de daños y recuperación de instalaciones, buscando siempre la mejor opción costo / beneficio.
● Autorizar la publicación de comunicaciones sobre la crisis y manejo de la misma a interesados.
● Coordinar la emisión de comunicados con los voceros autorizados.
● Hacer seguimiento a los procedimientos y a las actividades involucradas en las fases de respuesta y de restauración del Plan de Continuidad del Negocio.

3.2 JEFE DE SISTEMAS DE GESTIÓN

El jefe de Sistemas de gestión tendrá asignadas las siguientes responsabilidades:

• Planear y coordinar las actividades de inducción, capacitación e inspección del Sistema de Gestión y asignar las responsabilidades para la ejecución de estas.
• Apoyar el proceso de Identificación y evaluación de los riesgos de la empresa y determinar controles.
• Implementar estrategias para el cumplimiento de los requisitos en materia de Seguridad de la Información.
• Controlar el presupuesto asignado para la implementación del Sistema de Gestión.
• Diseñar, implementar y mejorar los procedimientos, directrices, formatos y guías del Sistema de Gestión.
• Asesorar a los comités de la empresa para garantizar el cumplimiento de las funciones asignadas.
• Realizar el cálculo y seguimiento de los diferentes sistemas de gestión de la empresa.
• Realizar la autoevaluación de los Sistemas de Gestión y definir planes de acción para la mejora continua.
• Asesorar a la Gerencia en el proceso de Revisión por la Dirección de los Sistemas de Gestión.
• Formar, concientizar y sensibilizar a la organización en cuanto a temas relacionados con los Sistemas de Gestión.

3.3 RESPONSABILIDADES DEL OFICIAL DE SEGURIDAD DE LA INFORMACIÓN

El Oficial de Seguridad de la Información tendrá asignadas las siguientes responsabilidades:

• Establecer, implementar, mantener y mejorar continuamente el Sistema de Gestión de Seguridad de la Información de NODEXUM.
• Verifica que el Sistema de Gestión de Seguridad de la Información cuente con los procedimientos, formatos y herramientas necesarias para su correcta implementación dentro de NODEXUM.
• Coordina la realización de un análisis de riesgos de seguridad de la información en cada una de las áreas de NODEXUM, el cual debe llevarse a cabo como mínimo una vez al año, para determinar el grado de exposición a las amenazas relacionadas con los activos de información.
• Difunde y controla la aplicación e implementación de las políticas de Seguridad de la Información con el fin de garantizar su cumplimiento.
• Prepara el plan de formación y sensibilización para la seguridad de la información
• Mantiene el inventario de activos de la Información actualizado.
• Evalúa los riesgos de las actividades subcontratadas
• Controla la efectividad de las medidas adoptadas.

4. SEGURIDAD DE LA INFORMACIÓN EN LOS PROYECTOS

Cada vez que la empresa NODEXUM S.A.S planee, desarrolle, ejecute e implemente nuevos proyectos de adquisición o mejora de recursos tecnológicos, físicos o de cualquier índole, hace el estudio de conveniencia y oportunidad en el cual deberá considerar los riesgos jurídicos y operativos del proyecto, así como realizar la inclusión de cláusulas de firma de acuerdos de confidencialidad y estudios de confiabilidad. Para la adquisición de nuevos recursos y servicios tecnológicos de Información y comunicaciones, así como software y hardware asociado, serán autorizados únicamente por La Gerencia de la empresa NODEXUM S.A.S.

5. NUMERALES DEL ANEXO A DE LA NORMA ISO 270001 QUE NO APLICAN PARA NUESTRA EMPRESA. 

El Anexo A es un documento normativo que sirve como guía para implementar los controles de seguridad específicos de ISO 27001. Todos estos controles están dirigidos a mejorar la Seguridad de la información de nuestra organización. Si deseamos implementar la norma, la aplicación de dichos controles es obligatoria salvo en los casos que no se puedan aplicar.

Dicho documento está compuesto de 114 controles de seguridad, sin embargo, como hemos dicho anteriormente, solo se aplicarán aquellos que procedan.

El hecho de conocer estos controles, nos hace darnos cuenta de que la seguridad de la información no solo se refiere a lo que comúnmente se conoce como ciberseguridad. El enfoque va mucho más allá, ya que un SGSI abarca tanto este tipo de información como la que se encuentra en formato físico y de diferentes áreas como gestión humana, desarrollo, administración y financiera, de soporte, etc.

En base a esto el Oficial del SGSI determino que los controles que no aplican para Nodexum son los siguientes:

A.8.3 Manejo de los medios

Objetivo:

Prevenir la divulgación no autorizada, modificación, eliminación o destrucción de la información almacenada en los medios.

La excepción al cumplimiento de este control, aplica también para los siguientes numerales:

A.8.3.1 Gestión de los medios removibles.

A.8.3.2 Eliminación de los medios.

A.8.3.3 Transferencia física de medios.

Las principales razones por las cuales la empresa no aplica a este anexo son las siguientes:

  • Evitar que se pueden presentar riesgos de seguridad, como la pérdida o el robo de datos importantes o la introducción de malware o virus en la red de la empresa.
  • En segundo lugar, la empresa utiliza otras herramientas o sistemas para compartir archivos y colaborar en proyectos, como el almacenamiento en la nube o las plataformas de gestión de proyectos en línea, que son más eficientes y seguras.
  • En tercer lugar, controlar costos y garantizar un uso eficiente de los recursos disponibles.