Pagar factura
Servicio al cliente
Noticias
Trabaje con nosotros
Proveedores

Lineamiento de Seguridad de la Información

Consulta los Lineamientos de Seguridad de la Información

Definir los parámetros y políticas para el uso apropiado de la información de PROMOAMBIENTAL
DISTRITO S.A.S., E.S.P., a los usuarios internos y externos, para proteger la información de la
compañía y de nuestros clientes, minimizando los riesgos que puedan llegar a afectar la
confidencialidad, integridad, disponibilidad y privacidad de la información.

Los términos y condiciones descritos en este lineamiento aplican a todos los procesos,
colaboradores internos, consultores, contratistas y proveedores de PROMOAMBIENTAL
DISTRITO S.A.S., E.S.P., que usen o tengan acceso a la información que sea de propiedad de
PROMOAMBIENTAL DISTRITO S.A.S., E.S.P. o nuestros clientes.

Software: En computación, término inglés que hace referencia a todo lo lógico, es todo programa o aplicación, programado para realizar tareas específicas.

Cámara de Circuito Cerrado de Televisión “CCTV”: Es un sistema que funciona tras la instalación de cámaras de seguridad que permiten comprobar desde otra ubicación (en forma remota), el funcionamiento o el estado de un lugar.

Acuerdo de Confidencialidad: Es un convenio que crea obligaciones a una o a ambas partes que intervienen, con respecto al uso, manejo y divulgación de la información, con el propósito de preservar la confidencialidad, integridad, privacidad y disponibilidad de la misma, como parte de una relación contractual o comercial.

Activo: Cualquier cosa que tenga un valor de importancia relevante para la organización. Entre los activos de una organización se encuentra hardware, software, documentos electrónicos o físicos, infraestructura, servicios, personal, entre otros. El término Activo es sinónimo de Activo de Información.

Amenaza: Es una fuente generadora de eventos o acciones que puede producir o causar un daño representativo al activo de información, generando un factor o escenario de riesgo que originaría a la organización pérdidas por riesgo de seguridad de la información. La amenaza es un contexto de seguridad de la información que se manifiesta a través de actos deliberados, intencionados o impredecibles y provocados por las personas, la tecnología, la infraestructura, acontecimientos externos, entre otros.

Autorización: Consentimiento previo, expreso e informado otorgado por el Titular para llevar a cabo el tratamiento de datos personales.

Base de Datos: Conjunto organizado de datos personales que sea objeto de tratamiento.

Confidencialidad: Propiedad de salvaguardar el activo de información de personas, procesos o entidades no autorizados.

Controles: Medidas de protección o salvaguardas dispuestas para reducir el nivel de riesgo. Pueden ser políticas, procedimientos, directrices, prácticas, estructuras de la organización, soluciones tecnológicas, entre otros.

Dato Personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables.

Dato Sensible: Información que afectan la intimidad de las personas o cuyo uso indebido puede generar discriminación (Origen racial o étnico, orientación política, convicciones filosóficas o religiosas, pertinencia a sindicatos u organizaciones sociales o derechos humanos, datos de salud, vida sexual y biométricos).

Dato público: Es el dato que no sea semiprivado, privado o sensible. Entre ellos: los datos relativos al estado civil de las personas, profesión y oficio, calidad de comerciarte o de servidor público. Es aquel, que por su naturaleza puede estar contenido en registros o documentos públicos, entre otros.

Disponibilidad: Propiedad de garantizar que el activo de información sea accesible y utilizable en el momento que se requiera, por parte de las personas, procesos o entidades autorizada.

Encargado del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el tratamiento de datos personales por cuenta del responsable del Tratamiento. En los eventos en que el responsable no ejerza como Encargado de la base de datos, se identificará expresamente quién será el Encargado.

 Equipamiento: El equipamiento de procesamiento de la información incluye todo tipo de elemento físico soportado para el desarrollo de las actividades diarias del negocio. Estos elementos pueden ser entre otros: computadores de escritorio o personales, organizadores físicos, teléfonos móviles, escáneres, impresoras, tóner, fotocopiadoras, dispositivos USB, discos removibles, medios de y papel.

Evento de seguridad de la información: Es la ocurrencia identificada de un estado del activo de información (sistema, servicio, red, entre otros) que indica un incumplimiento posible de la política de seguridad de la información, una falla de controles existentes, o una situación previamente desconocida que puede ser pertinente para la seguridad.

Habeas Data: En Colombia se cataloga como un Derecho Fundamental, y aquel que tiene toda persona de conocer, actualizar y rectificar la información que se haya recogido, recolectado y almacenado sobre ella en archivos y bancos de datos de naturaleza pública o privada.

Incidente de seguridad de la información: Uno o una serie de eventos de seguridad de la información indeseados o inesperados que afecta un activo de información y que tienen una probabilidad significativa de comprometer las operaciones del negocio y/o amenazar la seguridad de la información asociada con el mismo.

Integridad: Propiedad de salvaguardar la exactitud y estado completo del activo de información, de acuerdo a los diferentes métodos de proceso a que se exponga.

Perímetro de seguridad física: Corresponde a un mecanismo o división implementada e identificable, que permite limitar o aislar un área segura o crítica de la organización con el propósito de brindar niveles de seguridad adecuados para el acceso o restricción al área respectiva.

Procesamiento de Información: Es la capacidad que tiene un sistema de información de efectuar cálculos con base a una secuencia de operaciones preestablecidas y permitiendo la transformación de datos fuentes en información para ser utilizada en la toma de decisiones.

Programa de concientización en seguridad de la información: Conjunto de estrategias que busca que todos los Colaboradores de la Compañía y los Colaboradores provistos por terceras partes interioricen y adopten las políticas, normas, procedimientos y guías existentes al interior de la Institución dentro de sus labores diarias.

Propietario: Se refiere al dueño responsable del activo de información utilizado para el desarrollo y cumplimiento de sus funciones. Está encargado de garantizar la seguridad adecuada del mismo, con base a los principios básicos de seguridad a saber: confidencialidad, integridad, disponibilidad y privacidad.

Proteger la organización: Reducción del riesgo a través de la implementación de acciones o medidas de control dirigidas a disminuir el impacto o severidad de las consecuencias del riesgo si éste ocurre.

Responsable del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el tratamiento de los datos.

Riesgo: Se entiende por riesgo, la posibilidad de incurrir en pérdidas económicas, operativas, legales o de imagen para la organización por deficiencias, fallas o al no adecuado uso y/o manejo del activo de información, a causa de amenazas o vulnerabilidades que le altere su correcto funcionamiento u operatividad.

Seguridad de la información: Preservación fundamental de la confidencialidad, integridad, disponibilidad y privacidad del activo de información, además de otros criterios o propiedades tales como la autenticidad, no repudio, confiablidad, propiedad y/o responsabilidad, entre otros.

Sistema de Información: Es una disposición de personas, actividades o procedimientos y recursos tecnológicos integrados entre sí, para apoyar y mejorar las operaciones diarias de la organización, con la finalidad de satisfacer las necesidades de información en general y facilitar la toma de decisiones por parte de los directivos de la organización. Ejemplos aplicados: sistemas de automatización de oficina, sistemas de procesamiento de transacciones y sistemas de información de gestión.

Software malicioso: Es una variedad de software o programas de códigos hostiles e intrusivos que tienen como objeto infiltrarse o dañar recursos informáticos, sistemas operativos, redes de datos o sistemas de información.

Titular: Persona natural cuyos datos personales sean objeto de tratamiento.

Transferencia: La transferencia de datos tiene lugar cuando el responsable y/o Encargado del Tratamiento de datos personales, ubicado en Colombia, envía la información o los datos personales a un receptor, que a su vez es Responsable del Tratamiento y se encuentra dentro o fuera del país.

Transmisión: Tratamiento de datos personales que implica la comunicación de los mismos dentro o fuera del territorio de la República de Colombia cuando tenga por objeto la realización de un tratamiento por el Encargado por cuenta del responsable.

Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales,tales como la recolección, almacenamiento, uso, circulación o supresión.

Tratamiento del riesgo: Proceso de selección e implementación de controles o acciones para ajustar el nivel de riesgo del activo a los niveles aceptables para la Organización.

Video Vigilancia: es un sistema de videovigilancia conformado por cámaras y un software de grabación

Vulnerabilidad: Es la debilidad o incapacidad de resistencia de un activo de información frente a una amenaza.

Privacidad: s cuando una organización o individuo debe determinar qué datos en un sistema informático se pueden compartir con terceros.

Oficial de privacidad de la Información: Es el responsable de diseñar y administrar un conjunto de políticas, procedimientos o manuales que permitan a la organización cumplir las normas sobre protección de datos personales, así como establecer los controles de evaluación y revisión permanente.

Oficial de seguridad de la Información: Es el responsable de planificar, desarrollar, controlar y gestionar las políticas, procedimientos y acciones con el fin de mejorar      la seguridad de la información dentro de sus pilares fundamentales de confidencialidad, integridad y disponibilidad.

Ciberseguridad: Es la práctica de proteger equipos, redes, aplicaciones de software, sistemas críticos y datos de posibles amenazas digitales.

Área restringida: Zona dentro de las instalaciones que requiere controles de acceso adicionales debido a la sensibilidad de la información o equipos que se encuentran en su interior.

Controles de acceso físico: Medidas implementadas para asegurar que solo personal autorizado pueda acceder a determinadas áreas.

Capacidad: La cantidad máxima de recursos de TI que un sistema puede manejar eficazmente.

Umbral de capacidad: Nivel predeterminado de uso de recursos que, al alcanzarse, puede desencadenar acciones de escalamiento o mejora.

Plan de capacidad: Documento que describe la estrategia para gestionar los recursos de TI de manera que se puedan cumplir las demandas actuales y futuras.

Datos Sensibles: Información que, si se divulga sin autorización, podría comprometer la privacidad, seguridad, o integridad de la organización o de los individuos, como números de identificación personal, información financiera, datos médicos, etc.

Enmascaramiento de Datos: Proceso de ocultar datos originales con caracteres ficticios o irreversibles para proteger la información sensible mientras se mantiene la utilidad de los datos en entornos no productivos.

Entorno No Productivo: Sistemas o bases de datos que se utilizan para actividades distintas a la producción, como desarrollo, pruebas, o análisis, donde no se requiere la información original.

Red Interna: Redes de comunicación que operan dentro de la organización y están bajo su control directo.

Red Externa: Redes de comunicación fuera del control directo de la organización, como internet o redes de proveedores.

Firewall: Dispositivo o software que controla el tráfico de red, permitiendo o bloqueando conexiones según políticas de seguridad definidas.

Segmentación de Redes: División de la red en subredes más pequeñas para mejorar la seguridad y el rendimiento.

Objetivo del control: Definir y asignar de acuerdo a la necesidad de PROMOAMBIENTAL DISTRITO S.A.S., E.S.P., los roles y responsabilidades de seguridad de la información.

Oficial de Seguridad de la Información

  • Definir y desarrollar el plan de seguridad de la información.
  • Definir y actualizar los políticas, normas, procedimientos y estándares del Sistema de Gestión de Seguridad de la Información.
  • Definir una metodología de riesgo adecuada y alineada con la estructura organizacional.
  • Realizar el análisis de riesgo de los procesos críticos del
  • Asesorar en la aplicación de la metodología para el mantenimiento de los planes de contingencia y continuidad del negocio
  • Evaluar, seleccionar e implementar herramientas que faciliten la labor de seguridad de la información
  • Emitir políticas para controlar el acceso a los sistemas de información y la modificación de privilegios
  • Promover la formación, educación y el entrenamiento para fortalecer la cultura de seguridad de la información al interior de la compañía.
  • Mantenerse actualizado    ante    la    evolución    de    las    amenazas       y vulnerabilidades existentes y las nuevas que
  • Realizar estudios de penetración y pruebas de seguridad en los ambientes productivos
  • Desarrollar e implementar el enfoque de
  • Garantizar la identificación y cierre de las
  • Desarrollar métodos y métricas para evaluar el rendimiento del

Oficial de Privacidad de la Información

  • Supervisión del Cumplimiento Normativo: Asegurar que en Promoambiental Distrito S.A.S ESP, se cumpla con todas las leyes y regulaciones de privacidad y protección de datos aplicables e informar al comité de seguridad de la información ante posibles incumplimientos de dichas directrices, por parte de los colaboradores y de terceros.
  • Políticas y Procedimientos: Desarrollar, implementar, mantener las políticas y procedimientos establecidos en Promoambiental Distrito S.A.S ESP, relacionados con la privacidad y la protección de datos
  • Evaluaciones de Riesgos: Participar en evaluaciones periódicas de riesgos de privacidad de la información y llevar a cabo seguimientos internos para verificar el
  • Capacitación y Concienciación: Proveer capacitación continua y programas de concienciación para los colaboradores y demás partes interesadas sobre prácticas de privacidad y protección de datos
  • Gestión de Incidentes: Participar de manera activa en la gestión de cualquier incidente relacionado con la privacidad de los datos que se presenten en la empresa, incluyendo la comunicación con las autoridades competentes y a las personas afectadas, según sea necesario. En caso de incidentes graves, se deberá notificar inmediatamente al comité se seguridad de la información siguiendo el protocolo establecido en el procedimiento TI-PR-0006 Gestión de Incidentes de Seguridad de Información.
  • Interacción con Partes Externas: Actuar como contacto para consultas de privacidad de la información tanto internas como externas.
  •  Los contratistas, proveedores y terceros que tengan acceso a los activos de información, están obligados a cumplir las políticas de la seguridad de la información de PROMOAMBIENTAL DISTRITO S.A.S., E.S.P.
  • Deben firmar acuerdos de confidencialidad y seguridad, de acuerdo a lo establecido en la matriz de requisitos de proveedores, incluyendo cláusulas de protección de datos y uso ético de la información.
  • Mantener la confidencialidad de la información a la que tengan acceso como parte de sus actividades.
  • Implementar controles de acceso adecuados para que solo el personal autorizado acceda a la información confidencial y sensible.
  • Utilizar los recursos y sistemas de información de PROMOAMBIENTAL DISTRITO S.A.S E.S.P., solo para los fines especificados en el contrato.
  • Informar a PROMOAMBIENTAL DISTRITO S.A.S E.S.P., de inmediato sobre cualquier incidente de seguridad de la información, como accesos no autorizados, pérdida de datos o problemas de seguridad en sus sistemas.

Objetivo del control: Definir responsabilidades de la dirección y comprender su papel en la seguridad y privacidad de la información, así como requerir a todos los colaboradores, contratistas y demás partes interesadas que apliquen las políticas establecidas en este documento.

  • Desde la alta dirección se establece en el proceso de gestión humana en el ingreso del personal, una inducción que incluye la divulgación de las políticas de seguridad de la información establecidas en este documento. Posterior la aceptación, compromiso y responsabilidad del colaborador de los lineamientos en el formato: GH-PR-0010-F08 Comprensión y Compromiso lineamiento de Seguridad de la Información, el cual se adjunta al contrato laborar.
    Así, mismo, se establece divulgación periódica masiva por los medios de comunicación establecidos.
  • La alta dirección debe requerir a todos los colaboradores y terceros el cumplimiento normativo interno de la empresa (políticas, lineamientos y procedimientos establecidos), así como la normatividad externa a la entidad relacionada con seguridad y privacidad de la información.
  • Respaldar y promover a los colaboradores y demás partes interesadas para que contribuyan al desarrollo del Modelo de Seguridad y Privacidad de la Información y adquieran un rol de liderazgo en cada uno de sus procesos.
  •  Gestionar los recursos requeridos para el mantenimiento del sistema de Seguridad y Privacidad de la Información.
  •  Los lideres de procesos deben promover el cumplimiento, por parte del personal bajo su responsabilidad, de las políticas, lineamientos, directrices y procedimientos de seguridad y privacidad de información.
  • Los lideres de procesos deben cumplir con los controles establecidos por PROMOAMBIENTAL DISTRITO S.A.S., para activar o desactivar, de manera temporal o permanente, el acceso a la información digital catalogada como pública, privada, confidencial y de uso interno, así como la protección de datos personales no públicos, por parte de los colaboradores o terceros vinculados a su proceso.

Objetivo del control: Establecer medidas de seguridad para proteger la infraestructura de redes de PROMOAMBIENTAL DISTRITO S.A.S., contra accesos no autorizados, interrupciones, y amenazas, asegurando que la información transmitida a través de las redes se mantenga segura y protegida.

  • Infraestructura debe restringir las redes de datos alámbricas o inalámbricas de PROMOAMBIENTAL DISTRITO S.A.S., únicamente a los colaboradores, contratistas o proveedores.
  • autorizados para conectarse y acceder a los sistemas de información de la empresa.
  • Las redes deberán ser administradas y controladas para proteger la información en los sistemas y aplicaciones, de acuerdo a lo establecido en la política TI-LI- 0004 Infraestructura y Seguridad Informática.
  • Se debe monitorear accesos y uso de los servicios informáticos. En caso de evidenciar un mal uso del recurso informático por parte de un colaborador, se debe suspender de forma parcial, temporal o total el acceso a este recurso y notificar a la gerencia de TI.
  • Restringir el uso del servicio de internet solo para fines laborales e institucionales y realizar las funciones asignadas.
  • Restringir la sincronización de información de la nube con cuentas personales.
  • Mantener la documentación actualizada, incluidos los diagramas de red y los archivos de configuración de los dispositivos.
  • Los lideres de proceso deben determinar el tipo de información a almacenar en la nube de acuerdo con su clasificación y sensibilidad. De igual manera, establecer cuáles colaboradores pueden tener acceso o permisos de modificación sobre la misma y se debe solicitar a TI la creación del usuario por la mesa de ayuda – GLPI.
  • Infraestructura debe implementar segmentación de redes para separar los distintos procesos funcionales y sensibles de la organización, reduciendo así el riesgo de propagación de ataques y limitando el acceso a recursos críticos.
  • Instalar y configurar firewalls en los perímetros de la red y entre las diferentes segmentaciones de red para controlar el tráfico de entrada y salida, aplicando

 

reglas estrictas de filtrado basadas en políticas de seguridad.

  • Asegurarse de que todos los dispositivos y sistemas de la red (firewalls, routers, switches, etc.) estén actualizados con los últimos parches de seguridad y firmware, para mitigar vulnerabilidades conocidas.
  • Implementar sistemas de detección y prevención de intrusiones (IDS/IPS) para monitorear el tráfico de red en busca de actividades sospechosas o no autorizadas, generando alertas y bloqueando automáticamente amenazas detectadas.
  • El proceso de TI, será la encargada de la operación y administración de la plataforma tecnológica (Voz y datos) que apoya los procesos de PROMOAMBIENTAL DISTRITO S.A.S., asignará funciones específicas a sus colaboradores y/o contratistas, quienes actuarán como responsables de garantizar la adecuada operación y administración de dicha plataforma, manteniendo y actualizando la documentación de los procesos operativos para la ejecución de dichas actividades.

Objetivo del control: Asegurar que los servicios de red, incluyendo la provisión de acceso a internet, servicios de correo electrónico, VPN, y otros, se gestionen de manera segura.

  • Los mecanismos de seguridad, niveles de servicio y los requisitos de gestión de todos los servicios de la red se encuentran establecidos en la política TI-LI-0004 Infraestructura y Seguridad Informática.
  • Se debe Asegurar que los contratos con proveedores de servicios de red incluyen acuerdos de nivel de servicio (SLA) específicos sobre seguridad, confidencialidad, y disponibilidad, además de cláusulas que permitan auditorías y revisiones de seguridad.
  • Se debe implementar herramientas de monitoreo continuo para detectar y responder a amenazas en los servicios de red, como herramientas de análisis de tráfico de red.
  • Infraestructura debe monitorear permanente los canales de comunicación para identificar y establecer su desempeño y generar los mecanismos de control.
  • TI debe establecer los únicos medios autorizados por PROMOAMBIENTAL DISTRITO S.A.S., para el acceso a redes y servicios de red (como VPN).
  • Todos los colaboradores, contratistas y proveedores deben reportar a tecnología de la información los eventos y/o incidentes que involucren compromiso de activos de información por incidentes asociados a la seguridad de los servicios de red.
  • Infraestructura debe mantener una configuración segura para todos los servicios de red. Esto incluye la configuración de firewalls, routers, servidores DNS, y otros dispositivos y servicios relacionados con la red.
  • Se debe asegurar que todos los componentes de los servicios de red se mantengan actualizados con los últimos parches de seguridad y actualizaciones de software.
  • Se debe implementar redundancia en los servicios de red críticos en PROMOAMBIENTAL DISTRITO S.A.S., para garantizar la continuidad del servicio en caso de fallos.

Objetivo del control: Proteger la información sensible y los recursos críticos de PROMOAMBIENTAL DISTRITO S.A.S., mediante la segregación efectiva de las redes, asegurando que solo los colaboradores autorizados tengan acceso a las áreas de la red que requieren dicho acceso.

  • PROMOAMBIENTAL DISTRITO S.A.S., E.S.P., debe establecer mecanismos de identificación automática de equipos en la red, como medio de autenticación de conexiones, desde segmentos de red específicos hacia las plataformas donde operan los sistemas de información.
  • Es responsabilidad de infraestructura garantizar que los puertos físicos y lógicos de diagnóstico y configuración de plataformas que soporten sistemas de información deban estar siempre restringidos y monitoreados con el fin de prevenir accesos no autorizados.
  • Infraestructura debe segregar la red en segmentos basados en la funcionalidad, como separar las redes de usuario final, redes administrativas, redes de servidores, y redes de invitados. Esto ayuda a controlar el acceso y a minimizar la propagación de amenazas.
  • Se debe implementar VLANs para segregar el tráfico de red en función de la sensibilidad de la información y las funciones de los colaboradores. Por ejemplo, separación por procesos.
  • Infraestructura debe garantizar que los dispositivos que facilitan la segregación de redes, como switches y routers, estén físicamente protegidos y ubicados en áreas seguras para prevenir el acceso no autorizado.
  • Se debe implementar controles de acceso físico para las áreas donde se ubican los dispositivos de red, limitando el acceso solo al personal autorizado.

Objetivo del control: Administrar el acceso a sitios web en los equipos de PROMOAMBIENTAL DISTRITO S.A.S., E.S.P., mediante la implementación de mecanismos de filtrado web, para reducir la exposición a sitios web maliciosos, contenidos inapropiados y otros riesgos asociados con la navegación en internet.

  • Infraestructura debe implementar una solución de filtrado web que pueda controlar y restringir el acceso a sitios web según políticas establecida en TI para la navegación de los usuarios. Esta solución debe ser capaz de bloquear automáticamente sitios web en listas negras conocidas y permitir el acceso a sitios en listas blancas.
  • Se debe identificar y documentar los tipos de sitios web a los que los funcionarios y terceros deben o no tener acceso.
  • Infraestructura debe configurar la herramienta (Fortigate) para clasificar y bloquear categorías de contenido no deseado, como sitios de phishing, sitios de juegos, contenido para adultos, redes sociales, y otras categorías no alineadas con esta política en el ítem 5.2.14. Transferencia de información –
    8. Políticas para el uso adecuado de Internet.
  • Infraestructura debe verificar, al menos una vez al año, que los filtros web se están aplicando de acuerdo con los lineamientos establecidos.
  • Todos los procesos debe sensibilizar a los colaboradores, contratistas y proveedores de PROMOAMBIENTAL DISTRITO S.A.S., E.S.P., sobre el uso seguro y apropiado de los recursos en línea, incluido el acceso a la web y los siguientes aspectos:
  1.   Las políticas definidas para el uso adecuado de Internet.
  2.   A quien notificar en caso de eventos o incidentes de seguridad la información.
  3.   El proceso de excepción cuando se necesita acceder a recursos web restringidos por razones de cumplimiento de sus funciones.
  • TI debe restringir el acceso a redes sociales (Facebook, Twitter, YouTube, Tik Tok y similares), escuchar música, ver videos, televisión y sitios de streaming, tales como Netflix, HBO GO, prime video, entre otros, a los que se acceda utilizando la red de datos y el servicio de internet institucional, salvo que por las funciones asignadas sea necesario su acceso y sea debidamente solicitado y autorizado por líder de proceso y revisado el alcance por la gerencia de TI.
Contenido del conmutador
Pagar factura
Facebook Youtube Twitter