POLÍTICA DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN, PROTECCIÓN DE DATOS PERSONALES Y CONTINUIDAD DE NEGOCIO
NODEXUM es una Compañía dedicada al desarrollo de sistemas informáticos (planificación, análisis, diseño, programación y pruebas), en cumplimiento de sus funciones y entendiendo la importancia de una adecuada gestión de la información, a través de la Gerencia, se ha comprometido con el establecimiento, implementación y mejora continua del Sistema de Gestión de Seguridad de la Información, como mecanismo para identificar y mitigar los riesgos asociados a la generación e integración de conocimientos, el levantamiento, compilación, validación, almacenamiento y suministro de información, en el ejercicio de sus deberes con el Estado y sus clientes, enmarcado en el estricto cumplimiento de las leyes y en concordancia con la misión y visión de la Compañía.
El Sistema de Gestión de Seguridad de la Información establece los mecanismos para proteger, recuperar y conservar la información física y digital en el tiempo, asegurando su integridad, confidencialidad, disponibilidad, interacción y usabilidad, consolidando la cultura de seguridad de la información y protección de la propiedad intelectual de NODEXUM.
Esta política aplica a la Compañía según lo establecido en el alcance del sistema a: activos y contenedores de información gestionados por todos los procesos, así como a todos los colaboradores, aliados, contratistas y proveedores que generen, accedan o utilicen información de la Compañía, con el fin de garantizar su confidencialidad, integridad y disponibilidad. Esto teniendo en cuenta que los principios sobre los que se basa el desarrollo de las acciones o toma de decisiones alrededor del sistema integrado estarán determinadas por las siguientes premisas:
– Minimizar el riesgo en las funciones más importantes de la Compañía.
– Cumplir con los principios de seguridad de la información, protección de datos personales y continuidad del negocio.
– Mantener la confianza de sus clientes, socios y empleados.
– Apoyar la innovación tecnológica.
– Proteger los activos tecnológicos.
– Establecer las políticas, procedimientos e instructivos en materia de seguridad de la información, protección de datos personales y continuidad del negocio.
– Establecer las políticas de interacción sobre los procesos para su mejora continua
– Fortalecer la cultura de seguridad de la información, protección de datos personales y continuidad del negocio en los colaboradores, aliados, terceros, aprendices, practicantes y clientes de NODEXUM.
– Garantizar la continuidad del negocio frente a incidentes.
Por lo anterior, se define que la Directora de Gestión Humana y Sistemas de Gestión asume el rol de oficial de seguridad de la Información y como equipo de trabajo se conforma el comité de Seguridad de la Información, el cual también asumirá el rol de continuidad de negocios y protección de datos personales. Estos roles deben estar libres de conflictos de intereses por ende depender de la Alta Dirección de NODEXUM, para monitorear y cumplir las políticas establecidas en Seguridad de la Información, Protección de Datos Personales y Continuidad de Negocio.
De igual manera Nodexum S.A.S. se compromete con lo siguiente:
– NODEXUM deberá asegurar que las políticas y los objetivos del Sistema de Gestión de Seguridad de la Información, sean adecuados al propósito de la Compañía.
– NODEXUM dispondrá los recursos administrativos y financieros necesarios para alcanzar y mantener los objetivos del Sistema de Gestión de Seguridad de la Información, Protección de Datos Personales Y Continuidad de Negocio.
– NODEXUM protegerá la información creada, procesada, transmitida o resguardada por sus procesos de negocio, para minimizar impactos financieros, operativos o legales por su uso incorrecto. Para ello es fundamental aplicar controles según la clasificación de la información de su propiedad o en custodia.
– NODEXUM gestionará los riesgos Seguridad de la Información, Protección de Datos Personales y Continuidad de Negocio acorde con la metodología de gestión de riesgos aprobada.
– NODEXUM controlará la operación de sus procesos de negocio garantizando la seguridad de los recursos tecnológicos.
– NODEXUM implementará control de acceso a la información, sistemas y recursos de red.
– NODEXUM garantizará que la seguridad sea parte integral del ciclo de vida de los sistemas de información.
– NODEXUM garantizará a través de una adecuada gestión de los eventos de seguridad y las debilidades asociadas con los sistemas de información una mejora efectiva de su modelo de seguridad.
– NODEXUM garantizará la disponibilidad de sus procesos de negocio y la continuidad de su operación basada en el impacto que pueden generar los eventos.
– NODEXUM deberá velar por el cumplimiento de los requisitos legales o reglamentarios y las obligaciones contractuales en materia de Seguridad de la Información, Protección de Datos Personales y Continuidad de Negocio que le apliquen a la Compañía.
La Política de Seguridad de la Información, Protección de Datos Personales y Continuidad de Negocio, debe ser revisada al menos una vez al año, y/o cuando ocurran cambios significativos en la Compañía, garantizando su evolución, divulgación y cumplimiento, con el fin de lograr la mejora continua del Sistema de Gestión de Seguridad de la Información, Protección de Datos Personales y Continuidad de Negocio.
Por otra parte, los usuarios de información de NODEXUM S.A.S. se comprometen a:
– Toda persona que tenga acceso a información institucional de NODEXUM, debe mantenerla en estricta confidencialidad y no deberá compartirla ni modificarla sin la debida autorización.
– Los usuarios deben acceder exclusivamente a la información a la que tienen permisos y que es necesaria para cumplir sus funciones.
– Los usuarios tienen la obligación de reportar los incidentes que afecten la Seguridad de la Información, la Protección de Datos Personales y la Continuidad del Negocio de acuerdo con los procedimientos y los canales establecidos en el Sistema Gestión de Seguridad de la Información, Protección de Datos Personales y Continuidad de Negocio.
– Los empleados, aliados, contratistas y proveedores de NODEXUM deben conocer, cumplir y divulgar, ésta y todas las políticas y buenas prácticas de Seguridad de la Información, Protección de Datos Personales y Continuidad de Negocio.
– Es obligatorio implementar las Políticas de Seguridad de la Información, Protección de Datos Personales y Continuidad de Negocio en cada dirección, y cumplirlas por colaboradores, contratistas, pasantes y proveedores.
– Participar en las actividades de prevención de riesgos de Seguridad de la Información realizadas por la Compañía.
– Garantizar el uso adecuado de los recursos suministrados por la Compañía para el desarrollo de las actividades laborales. No deberá utilizarse para ver correos electrónicos personales, redes sociales u otras páginas no autorizadas por la Compañía.
– No utilizar medios removibles para guardar información de la Compañía.
COMITÉ DE SEGURIDAD DE LA INFORMACIÓN, PROTECCIÓN DE DATOS Y CONTINUIDAD DE NEGOCIO
El Comité de Seguridad de la Información está integrado por:
1. Gerente General o delegado
2. Director de Tecnología
3. Directora de Gestión Humana y Sistemas de Gestión
4. Directora de Proyectos de Innovación y Automatización
5. Directora Administrativa y Financiera
6. Director Comercial Nacional
7. Auxiliar de Sistemas de Gestión
RESPONSABILIDADES EN SEGURIDAD DE LA INFORMACIÓN
El comité determina las estrategias para el desarrollo del Sistema de Gestión de Seguridad de la Información, garantizando que se cumplan los lineamientos y los objetivos establecidos. Sus funciones son:
– Decide la asignación de los recursos necesarios para el cumplimiento de las metas establecidas del SGSI.
– Realizar un proceso continuo de revisión de las políticas de seguridad de la Información con el fin de mantenerlas actualizadas, vigentes, operativas para asegurar su permanencia y nivel de eficacia.
– Mantener actualizada la matriz DOFA de la Compañía.
– Monitorear cambios significativos en los riesgos que afectan a los recursos de la información de NODEXUM frente a posibles amenazas, sean internas o externas.
– Aprobar iniciativas para incrementar la seguridad de la información.
– Estudiar y conceptuar los casos especiales de seguridad presentados en la Compañía, para recomendar las acciones pertinentes y apoyar la toma de decisiones.
– Revisar los diagnósticos del estado de seguridad de la información.
– Acompañar e impulsar el desarrollo de proyectos de seguridad.
– Aprobar el uso de metodologías y procesos específicos para la seguridad de la Información.
– Realizar revisiones periódicas o cuando ocurran cambios significativos del SGSI.
– Promover la difusión y sensibilización de la seguridad de la información en NODEXUM.
– Atender los incidentes de seguridad de la información y darle tratamiento.
PROTECCIÓN DE DATOS PERSONALES
El Comité con las funciones sobre la Protección de Datos Personales determina las estrategias para el cumplimiento de la ley 1581 de 2012, garantizando que se cumplan las disposiciones allí establecidas. Sus funciones son:
– Realizar un proceso continuo de revisión de las políticas de Protección de Datos Personales, con el fin de mantenerlas actualizadas y operativas para asegurar su eficacia.
– Analizar las iniciativas para incrementar la protección de los datos personales.
– Estudiar y conceptuar los casos especiales de Protección de Datos Personales, para recomendar las acciones pertinentes.
– Revisar el diagnóstico del estado de privacidad de la Información de SGSI.
– Acompañar e Impulsar el desarrollo de Proyectos de Privacidad de la Información, solicitando la aprobación del Presupuesto necesario.
– Escalar la aprobación de metodologías y Políticas de Privacidad de la Información cuando sea necesario.
– Evaluar y aprobar los planes de tratamiento establecidos para prevenir la materialización de los riesgos identificados en materia de Protección de Datos Personales.
– Promover la difusión y sensibilización en la privacidad de la Información.