Lineamiento de Seguridad de la Información

Consulta los Lineamientos de Seguridad de la Información

Objetivo

Definir los parámetros y políticas para el uso apropiado de la información de PROMOAMBIENTAL
DISTRITO S.A.S., E.S.P., a los usuarios internos y externos, para proteger la información de la
compañía y de nuestros clientes, minimizando los riesgos que puedan llegar a afectar la
confidencialidad, integridad, disponibilidad y privacidad de la información.

Alcance

Los términos y condiciones descritos en este lineamiento aplican a todos los procesos,
colaboradores internos, consultores, contratistas y proveedores de PROMOAMBIENTAL
DISTRITO S.A.S., E.S.P., que usen o tengan acceso a la información que sea de propiedad de
PROMOAMBIENTAL DISTRITO S.A.S., E.S.P. o nuestros clientes.

Definiciones

Software: En computación, término inglés que hace referencia a todo lo lógico, es todo programa o aplicación, programado para realizar tareas específicas.

Cámara de Circuito Cerrado de Televisión “CCTV”: Es un sistema que funciona tras la instalación de cámaras de seguridad que permiten comprobar desde otra ubicación (en forma remota), el funcionamiento o el estado de un lugar.

Acuerdo de Confidencialidad: Es un convenio que crea obligaciones a una o a ambas partes que intervienen, con respecto al uso, manejo y divulgación de la información, con el propósito de preservar la confidencialidad, integridad, privacidad y disponibilidad de la misma, como parte de una relación contractual o comercial.

Activo: Cualquier cosa que tenga un valor de importancia relevante para la organización. Entre los activos de una organización se encuentra hardware, software, documentos electrónicos o físicos, infraestructura, servicios, personal, entre otros. El término Activo es sinónimo de Activo de Información.

Amenaza: Es una fuente generadora de eventos o acciones que puede producir o causar un daño representativo al activo de información, generando un factor o escenario de riesgo que originaría a la organización pérdidas por riesgo de seguridad de la información. La amenaza es un contexto de seguridad de la información que se manifiesta a través de actos deliberados, intencionados o impredecibles y provocados por las personas, la tecnología, la infraestructura, acontecimientos externos, entre otros.

Autorización: Consentimiento previo, expreso e informado otorgado por el Titular para llevar a cabo el tratamiento de datos personales.

Base de Datos: Conjunto organizado de datos personales que sea objeto de tratamiento.

Confidencialidad: Propiedad de salvaguardar el activo de información de personas, procesos o entidades no autorizados.

Controles: Medidas de protección o salvaguardas dispuestas para reducir el nivel de riesgo. Pueden ser políticas, procedimientos, directrices, prácticas, estructuras de la organización, soluciones tecnológicas, entre otros.

Dato Personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables.

Dato Sensible: Información que afectan la intimidad de las personas o cuyo uso indebido puede generar discriminación (Origen racial o étnico, orientación política, convicciones filosóficas o religiosas, pertinencia a sindicatos u organizaciones sociales o derechos humanos, datos de salud, vida sexual y biométricos).

Dato público: Es el dato que no sea semiprivado, privado o sensible. Entre ellos: los datos relativos al estado civil de las personas, profesión y oficio, calidad de comerciarte o de servidor público. Es aquel, que por su naturaleza puede estar contenido en registros o documentos públicos, entre otros.

Disponibilidad: Propiedad de garantizar que el activo de información sea accesible y utilizable en el momento que se requiera, por parte de las personas, procesos o entidades autorizada.

Encargado del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el tratamiento de datos personales por cuenta del responsable del Tratamiento. En los eventos en que el responsable no ejerza como Encargado de la base de datos, se identificará expresamente quién será el Encargado.

Equipamiento: El equipamiento de procesamiento de la información incluye todo tipo de elemento físico soportado para el desarrollo de las actividades diarias del negocio. Estos elementos pueden ser entre otros: computadores de escritorio o personales, organizadores físicos, teléfonos móviles, escáneres, impresoras, tóner, fotocopiadoras, dispositivos USB, discos removibles, medios de y papel.

Evento de seguridad de la información: Es la ocurrencia identificada de un estado del activo de información (sistema, servicio, red, entre otros) que indica un incumplimiento posible de la política de seguridad de la información, una falla de controles existentes, o una situación previamente desconocida que puede ser pertinente para la seguridad.

Habeas Data: En Colombia se cataloga como un Derecho Fundamental, y aquel que tiene toda persona de conocer, actualizar y rectificar la información que se haya recogido, recolectado y almacenado sobre ella en archivos y bancos de datos de naturaleza pública o privada.

Incidente de seguridad de la información: Uno o una serie de eventos de seguridad de la información indeseados o inesperados que afecta un activo de información y que tienen una probabilidad significativa de comprometer las operaciones del negocio y/o amenazar la seguridad de la información asociada con el mismo.

Integridad: Propiedad de salvaguardar la exactitud y estado completo del activo de información, de acuerdo a los diferentes métodos de proceso a que se exponga.

Perímetro de seguridad física: Corresponde a un mecanismo o división implementada e identificable, que permite limitar o aislar un área segura o crítica de la organización con el propósito de brindar niveles de seguridad adecuados para el acceso o restricción al área respectiva.

Procesamiento de Información: Es la capacidad que tiene un sistema de información de efectuar cálculos con base a una secuencia de operaciones preestablecidas y permitiendo la transformación de datos fuentes en información para ser utilizada en la toma de decisiones.

Programa de concientización en seguridad de la información: Conjunto de estrategias que busca que todos los Colaboradores de la Compañía y los Colaboradores provistos por terceras partes interioricen y adopten las políticas, normas, procedimientos y guías existentes al interior de la Institución dentro de sus labores diarias.

Propietario: Se refiere al dueño responsable del activo de información utilizado para el desarrollo y cumplimiento de sus funciones. Está encargado de garantizar la seguridad adecuada del mismo, con base a los principios básicos de seguridad a saber: confidencialidad, integridad, disponibilidad y privacidad.

Proteger la organización: Reducción del riesgo a través de la implementación de acciones o medidas de control dirigidas a disminuir el impacto o severidad de las consecuencias del riesgo si éste ocurre.

Responsable del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el tratamiento de los datos.

Riesgo: Se entiende por riesgo, la posibilidad de incurrir en pérdidas económicas, operativas, legales o de imagen para la organización por deficiencias, fallas o al no adecuado uso y/o manejo del activo de información, a causa de amenazas o vulnerabilidades que le altere su correcto funcionamiento u operatividad.

Seguridad de la información: Preservación fundamental de la confidencialidad, integridad, disponibilidad y privacidad del activo de información, además de otros criterios o propiedades tales como la autenticidad, no repudio, confiablidad, propiedad y/o responsabilidad, entre otros.

Sistema de Información: Es una disposición de personas, actividades o procedimientos y recursos tecnológicos integrados entre sí, para apoyar y mejorar las operaciones diarias de la organización, con la finalidad de satisfacer las necesidades de información en general y facilitar la toma de decisiones por parte de los directivos de la organización. Ejemplos aplicados: sistemas de automatización de oficina, sistemas de procesamiento de transacciones y sistemas de información de gestión.

Software malicioso: Es una variedad de software o programas de códigos hostiles e intrusivos que tienen como objeto infiltrarse o dañar recursos informáticos, sistemas operativos, redes de datos o sistemas de información.

Titular: Persona natural cuyos datos personales sean objeto de tratamiento.

Transferencia: La transferencia de datos tiene lugar cuando el responsable y/o Encargado del Tratamiento de datos personales, ubicado en Colombia, envía la información o los datos personales a un receptor, que a su vez es Responsable del Tratamiento y se encuentra dentro o fuera del país.

Transmisión: Tratamiento de datos personales que implica la comunicación de los mismos dentro o fuera del territorio de la República de Colombia cuando tenga por objeto la realización de un tratamiento por el Encargado por cuenta del responsable.

Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales,tales como la recolección, almacenamiento, uso, circulación o supresión.

Tratamiento del riesgo: Proceso de selección e implementación de controles o acciones para ajustar el nivel de riesgo del activo a los niveles aceptables para la Organización.

Video Vigilancia: es un sistema de videovigilancia conformado por cámaras y un software de grabación

Vulnerabilidad: Es la debilidad o incapacidad de resistencia de un activo de información frente a una amenaza.

Privacidad: s cuando una organización o individuo debe determinar qué datos en un sistema informático se pueden compartir con terceros.

Oficial de privacidad de la Información: Es el responsable de diseñar y administrar un conjunto de políticas, procedimientos o manuales que permitan a la organización cumplir las normas sobre protección de datos personales, así como establecer los controles de evaluación y revisión permanente.

Oficial de seguridad de la Información: Es el responsable de planificar, desarrollar, controlar y gestionar las políticas, procedimientos y acciones con el fin de mejorar la seguridad de la información dentro de sus pilares fundamentales de confidencialidad, integridad y disponibilidad.

Ciberseguridad: Es la práctica de proteger equipos, redes, aplicaciones de software, sistemas críticos y datos de posibles amenazas digitales.

Área restringida: Zona dentro de las instalaciones que requiere controles de acceso adicionales debido a la sensibilidad de la información o equipos que se encuentran en su interior.

Controles de acceso físico: Medidas implementadas para asegurar que solo personal autorizado pueda acceder a determinadas áreas.

Capacidad: La cantidad máxima de recursos de TI que un sistema puede manejar eficazmente.

Umbral de capacidad: Nivel predeterminado de uso de recursos que, al alcanzarse, puede desencadenar acciones de escalamiento o mejora.

Plan de capacidad: Documento que describe la estrategia para gestionar los recursos de TI de manera que se puedan cumplir las demandas actuales y futuras.

Datos Sensibles: Información que, si se divulga sin autorización, podría comprometer la privacidad, seguridad, o integridad de la organización o de los individuos, como números de identificación personal, información financiera, datos médicos, etc.

Enmascaramiento de Datos: Proceso de ocultar datos originales con caracteres ficticios o irreversibles para proteger la información sensible mientras se mantiene la utilidad de los datos en entornos no productivos.

Entorno No Productivo: Sistemas o bases de datos que se utilizan para actividades distintas a la producción, como desarrollo, pruebas, o análisis, donde no se requiere la información original.

Red Interna: Redes de comunicación que operan dentro de la organización y están bajo su control directo.

Red Externa: Redes de comunicación fuera del control directo de la organización, como internet o redes de proveedores.

Firewall: Dispositivo o software que controla el tráfico de red, permitiendo o bloqueando conexiones según políticas de seguridad definidas.

Segmentación de Redes: División de la red en subredes más pequeñas para mejorar la seguridad y el rendimiento.

Roles y Responsabilidades en la Seguridad de información

Objetivo del control: Definir y asignar de acuerdo a la necesidad de PROMOAMBIENTAL DISTRITO S.A.S., E.S.P., los roles y responsabilidades de seguridad de la información.

Oficial de Seguridad de la Información

Definir y desarrollar el plan de seguridad de la información.
Definir y actualizar los políticas, normas, procedimientos y estándares del Sistema de Gestión de Seguridad de la Información.
Definir una metodología de riesgo adecuada y alineada con la estructura organizacional.
Realizar el análisis de riesgo de los procesos críticos del
Asesorar en la aplicación de la metodología para el mantenimiento de los planes de contingencia y continuidad del negocio
Evaluar, seleccionar e implementar herramientas que faciliten la labor de seguridad de la información
Emitir políticas para controlar el acceso a los sistemas de información y la modificación de privilegios
Promover la formación, educación y el entrenamiento para fortalecer la cultura de seguridad de la información al interior de la compañía.
Mantenerse actualizado ante la evolución de las amenazas y vulnerabilidades existentes y las nuevas que
Realizar estudios de penetración y pruebas de seguridad en los ambientes productivos
Desarrollar e implementar el enfoque de
Garantizar la identificación y cierre de las
Desarrollar métodos y métricas para evaluar el rendimiento del

Oficial de Privacidad de la Información

Supervisión del Cumplimiento Normativo: Asegurar que en Promoambiental Distrito S.A.S ESP, se cumpla con todas las leyes y regulaciones de privacidad y protección de datos aplicables e informar al comité de seguridad de la información ante posibles incumplimientos de dichas directrices, por parte de los colaboradores y de terceros.
Políticas y Procedimientos: Desarrollar, implementar, mantener las políticas y procedimientos establecidos en Promoambiental Distrito S.A.S ESP, relacionados con la privacidad y la protección de datos
Evaluaciones de Riesgos: Participar en evaluaciones periódicas de riesgos de privacidad de la información y llevar a cabo seguimientos internos para verificar el
Capacitación y Concienciación: Proveer capacitación continua y programas de concienciación para los colaboradores y demás partes interesadas sobre prácticas de privacidad y protección de datos
Gestión de Incidentes: Participar de manera activa en la gestión de cualquier incidente relacionado con la privacidad de los datos que se presenten en la empresa, incluyendo la comunicación con las autoridades competentes y a las personas afectadas, según sea necesario. En caso de incidentes graves, se deberá notificar inmediatamente al comité se seguridad de la información siguiendo el protocolo establecido en el procedimiento TI-PR-0006 Gestión de Incidentes de Seguridad de Información.
Interacción con Partes Externas: Actuar como contacto para consultas de privacidad de la información tanto internas como externas.

8. Contratistas, proveedores y terceros

Los contratistas, proveedores y terceros que tengan acceso a los activos de información, están obligados a cumplir las políticas de la seguridad de la información de PROMOAMBIENTAL DISTRITO S.A.S., E.S.P.
Deben firmar acuerdos de confidencialidad y seguridad, de acuerdo a lo establecido en la matriz de requisitos de proveedores, incluyendo cláusulas de protección de datos y uso ético de la información.
Mantener la confidencialidad de la información a la que tengan acceso como parte de sus actividades.
Implementar controles de acceso adecuados para que solo el personal autorizado acceda a la información confidencial y sensible.
Utilizar los recursos y sistemas de información de PROMOAMBIENTAL DISTRITO S.A.S E.S.P., solo para los fines especificados en el contrato.
Informar a PROMOAMBIENTAL DISTRITO S.A.S E.S.P., de inmediato sobre cualquier incidente de seguridad de la información, como accesos no autorizados, pérdida de datos o problemas de seguridad en sus sistemas.

Responsabilidades de la dirección

Objetivo del control: Definir responsabilidades de la dirección y comprender su papel en la seguridad y privacidad de la información, así como requerir a todos los colaboradores, contratistas y demás partes interesadas que apliquen las políticas establecidas en este documento.

Desde la alta dirección se establece en el proceso de gestión humana en el ingreso del personal, una inducción que incluye la divulgación de las políticas de seguridad de la información establecidas en este documento. Posterior la aceptación, compromiso y responsabilidad del colaborador de los lineamientos en el formato: GH-PR-0010-F08 Comprensión y Compromiso lineamiento de Seguridad de la Información, el cual se adjunta al contrato laborar.
Así, mismo, se establece divulgación periódica masiva por los medios de comunicación establecidos.
La alta dirección debe requerir a todos los colaboradores y terceros el cumplimiento normativo interno de la empresa (políticas, lineamientos y procedimientos establecidos), así como la normatividad externa a la entidad relacionada con seguridad y privacidad de la información.
Respaldar y promover a los colaboradores y demás partes interesadas para que contribuyan al desarrollo del Modelo de Seguridad y Privacidad de la Información y adquieran un rol de liderazgo en cada uno de sus procesos.
Gestionar los recursos requeridos para el mantenimiento del sistema de Seguridad y Privacidad de la Información.
Los lideres de procesos deben promover el cumplimiento, por parte del personal bajo su responsabilidad, de las políticas, lineamientos, directrices y procedimientos de seguridad y privacidad de información.
Los lideres de procesos deben cumplir con los controles establecidos por PROMOAMBIENTAL DISTRITO S.A.S., para activar o desactivar, de manera temporal o permanente, el acceso a la información digital catalogada como pública, privada, confidencial y de uso interno, así como la protección de datos personales no públicos, por parte de los colaboradores o terceros vinculados a su proceso.

Seguridad de redes

Objetivo del control: Establecer medidas de seguridad para proteger la infraestructura de redes de PROMOAMBIENTAL DISTRITO S.A.S., contra accesos no autorizados, interrupciones, y amenazas, asegurando que la información transmitida a través de las redes se mantenga segura y protegida.

Infraestructura debe restringir las redes de datos alámbricas o inalámbricas de PROMOAMBIENTAL DISTRITO S.A.S., únicamente a los colaboradores, contratistas o proveedores.
autorizados para conectarse y acceder a los sistemas de información de la empresa.
Las redes deberán ser administradas y controladas para proteger la información en los sistemas y aplicaciones, de acuerdo a lo establecido en la política TI-LI- 0004 Infraestructura y Seguridad Informática.
Se debe monitorear accesos y uso de los servicios informáticos. En caso de evidenciar un mal uso del recurso informático por parte de un colaborador, se debe suspender de forma parcial, temporal o total el acceso a este recurso y notificar a la gerencia de TI.
Restringir el uso del servicio de internet solo para fines laborales e institucionales y realizar las funciones asignadas.
Restringir la sincronización de información de la nube con cuentas personales.
Mantener la documentación actualizada, incluidos los diagramas de red y los archivos de configuración de los dispositivos.
Los lideres de proceso deben determinar el tipo de información a almacenar en la nube de acuerdo con su clasificación y sensibilidad. De igual manera, establecer cuáles colaboradores pueden tener acceso o permisos de modificación sobre la misma y se debe solicitar a TI la creación del usuario por la mesa de ayuda – GLPI.
Infraestructura debe implementar segmentación de redes para separar los distintos procesos funcionales y sensibles de la organización, reduciendo así el riesgo de propagación de ataques y limitando el acceso a recursos críticos.
Instalar y configurar firewalls en los perímetros de la red y entre las diferentes segmentaciones de red para controlar el tráfico de entrada y salida, aplicando

reglas estrictas de filtrado basadas en políticas de seguridad.

Asegurarse de que todos los dispositivos y sistemas de la red (firewalls, routers, switches, etc.) estén actualizados con los últimos parches de seguridad y firmware, para mitigar vulnerabilidades conocidas.
Implementar sistemas de detección y prevención de intrusiones (IDS/IPS) para monitorear el tráfico de red en busca de actividades sospechosas o no autorizadas, generando alertas y bloqueando automáticamente amenazas detectadas.
El proceso de TI, será la encargada de la operación y administración de la plataforma tecnológica (Voz y datos) que apoya los procesos de PROMOAMBIENTAL DISTRITO S.A.S., asignará funciones específicas a sus colaboradores y/o contratistas, quienes actuarán como responsables de garantizar la adecuada operación y administración de dicha plataforma, manteniendo y actualizando la documentación de los procesos operativos para la ejecución de dichas actividades.

Gestión de seguridad de la información en la cadena de suministro de la tecnología de la información y las telecomunicaciones (TIC)

Objetivo del control: Definir e implementar procesos y procedimientos para
gestionar los riesgos de seguridad de la información asociados con la cadena de
suministro de productos y servicios de TIC en la empresa.
TI y el proceso de compras deben definir en la matriz CR-PR-0002-F07 Matríz de
Requisitos SIG Proveedores YO contratistas, los requisitos para los acuerdos con
proveedores para abordar los riesgos de la seguridad de la información, asociada
con los servicios de las tecnologías de información y comunicación, y de la
cadena de suministro de productos.
En los requisitos se debe establecer en los contratos con proveedores los
Nota: Si este documento está fuera del espacio en línea no es válido dentro del Sistema
integrado de gestión
PROMOAMBIENTAL DISTRITO SAS ESP Lineamiento de Seguridad de la Información Versión 08 25/09/2024
Código: TI-LI-0006 Página 30 de 90
requisitos de seguridad de la información y la gestión de riesgos, aplicables a la
adquisición de productos o servicios de tecnología de la información y de
comunicaciones.
TI y compras deben revisar que los servicios o los productos sean entregados de
acuerdo con las especificaciones contractuales establecidas.
El proceso de compras debe incluir dentro de los componentes de los contratos
de TI garantías asociadas a la cadena de suministro de las TIC.
TI debe identificar y documentar los componentes del producto o servicio que son
críticos para la empresa.
TI debe monitorear las novedades relacionadas con el suministro de productos y
servicios de tecnología de información y comunicaciones.
Jurídica, compras y TI deben verificar que se incluyan obligaciones para la
cadena de suministro de tecnologías de acuerdo a la CR-PR-0002-F07 Matríz de
Requisitos SIG Proveedores YO contratistas.
TI y compras deben verificar el aprovisionamiento de servicios en la nube,
proveedores de servicios de telecomunicaciones y proveedores de hardware y
que acepten el cumplimiento de la política de seguridad y de la información de la
empresa de acuerdo a el procedimiento CR-PR-0002 Compras.
Jurídica debe notificar situaciones de riesgos a compras y a TI relacionadas con
el suministro de productos y servicios de tecnología de información y
comunicaciones

Gestión de cambios en los servicios prestados por proveedores

Objetivo del control: monitorear, revisar, evaluar y gestionar periódicamente los cambios en las prácticas de seguridad y privacidad de la información de los proveedores y prestación de servicios.

TI y compras deben definir procedimientos donde se establezcan las condiciones para el seguimiento, la revisión y la gestión de cambios en los servicios suministrados por los proveedores.
TI debe establecer acciones a tomas cuando se observen deficiencias en la prestación del servicio por parte de los proveedores y notificar a compras para el proceso de cambio de proveedor así mismo, se debe evaluar el riesgo de seguridad de la información en la gestión de cambios.
Los cambios en la prestación de servicios por parte de los proveedores, incluyendo el mantenimiento y la mejora de los actuales lineamientos de seguridad de información, procedimientos y controles, se gestionarán, teniendo en cuenta la criticidad de la información, sistemas y procesos que intervienen, considerando los estipulado en el procedimiento TI-PR-0005 Gestión de Cambio en Tecnología.
Monitorear la asignación de permisos de acceso de los proveedores a los sistemas de información de la empresa; lo anterior, teniendo en cuenta las condiciones que estos deben cumplir en cuanto a la gestión de usuarios y contraseñas definidos en este manual.
Involucrar a los responsables del plan de recuperación de desastre (DRP) para los temas que puedan afectar la continuidad de la operación.
Realizar seguimiento con regularidad a la prestación del servicio de los proveedores en los términos y condiciones de seguridad y privacidad de la información de los acuerdos se cumplan y que el manejo de incidentes de seguridad de la información se gestione adecuadamente.
Los proveedores de PROMOAMBIENTAL DISTRITO S.A.S. E.S.P., deben Reportar a la empresa cualquier incidente de seguridad o privacidad de la información que se presente con el fin de tomar las medidas respectivas para mitigar el riesgo de indisponibilidad.
Jurídica debe incluir dentro de las cláusulas contractuales la posibilidad de realizar auditorías a los proveedores cuando haya cambios en los servicios que suministra.
TI debe monitorear periódicamente el cumplimiento de los Acuerdos de Niveles de Servicio (ANS), acuerdos de confidencialidad y acuerdos de intercambio de información por parte de los proveedores.
Compras debe realizar una revisión y actualización de los proveedores TIC, que presten servicios de software, o se comparta información relevante para la prestación del servicio, cada vez que se requiera, como mínimo una vez al año, con el apoyo de los lideres de procesos responsable del proveedor.
Los proveedores deben respaldar y proteger los activos de información que sean utilizados para las labores contratadas.

Seguridad de la información para el uso de servicios en la nube

Objetivo del control: establecer procesos de adquisición, uso, gestión y salida de los servicios en la nube, de acuerdo con los requisitos de seguridad y privacidad de la información definidos por PROMOAMBIENTAL DISTRITO S.A.S., E.S.P.

TI debe definir los requisitos de seguridad y privacidad de la información asociados con el uso de los servicios en la nube.
TI debe definir las funciones y las responsabilidades relacionadas con el uso y la gestión de los servicios en la nube.
En los contratos se debe especificar las garantías que ofrecen los proveedores, en cuanto al cumplimiento de los principios de disponibilidad, confidencialidad, privacidad e integridad de la información en los servicios en nube.
TI debe definir los criterios de selección de los proveedores de servicios en la nube en CR-PR-0002-F07 Matríz de Requisitos SIG Proveedores YO contratistas, teniendo en cuenta aspectos como la reputación, la fiabilidad, los mecanismos de protección de datos, las certificaciones de cumplimiento relevantes para el sector, la escalabilidad, la alta disponibilidad, el rendimiento y el modelo de costos.
TI debe definir los riesgos de seguridad o privacidad de la información asociados con el uso de servicios en la nube como IaaS, PaaS, SaaS.
TI debe verificar la conformidad de los controles de seguridad y privacidad de la información con lo que cuenta el proveedor de servicios en la nube.
Dar cumplimiento a la Guía de Computación en la nube de MinTIC, donde se establecen los lineamientos de uso de las capacidades de las nubes en Colombia.
Infraestructura debe disponer de una herramienta para monitorear las capacidades de la nube, optimizando de manera periódica los recursos desplegados.
Los incidentes de seguridad de servicios en la nube se atenderán de acuerdo al procedimiento TI-PR-0006 Gestión de Incidentes de Seguridad de Información Así mismo, los cambios en los servicios en la nube se realizan de acuerdo a TI-PR- 0005 Gestión de Cambio en Tecnología y al procedimiento de compras.
En la CR-PR-0002-F07 Matríz de Requisitos SIG Proveedores YO contratistas, se debe establecer los requisitos para la adquisición de servicios en la nube, tales como IaaS, PaaS, SaaS.
Compras con el apoyo de TI debe definir con el (los) proveedor(es) de nube los ANS correspondientes a los tiempos de atención para fallas, nuevos requerimientos y demás que se requieran para la operación.
Jurídica debe revisar la viabilidad de incluir una cláusula en los contratos de nube donde indique que PROMOAMBIENTAL DISTRITO SAS ESP., tiene toda la propiedad de cualquier información agregada, creada, generada, modificada, almacenada o en cualquier otra forma asociada con la propiedad intelectual, la cual no podrá ser reclamada por el proveedor.
Jurídica debe revisar la viabilidad de incluir una cláusula en los contratos de nube para exigir al proveedor la eliminación segura de la información de la entidad al finalizar el contrato.
TI debe incluir los criterios de seguridad y privacidad para el aprovisionamiento y configuración de los recursos de nube.
Infraestructura debe implementar la gestión de identidades y acceso a los servicios que se utilizan en la nube, garantizando accesos basados en roles, auditorías periódicas, depuraciones y la aplicación del principio de mínimo privilegio.
Infraestructura debe configurar los grupos de seguridad de red o reglas de firewall para restringir el tráfico de red entrante y saliente a los recursos de la nube.
Infraestructura debe monitorear y optimizar el uso de los recursos en la nube
Infraestructura debe restringir el tráfico de red entrante y saliente a los recursos de nube, mediante reglas de firewall y/o grupos de seguridad de red.
Infraestructura debe incluir los aprovisionamientos y actualizaciones en los elementos de la nube, en el proceso de Gestión de cambios.
Infraestructura debe incluir los elementos de la nube en los análisis de vulnerabilidades, actualizaciones y aplicación de parches de seguridad.
Compras, Jurídica y TI deben validar que el país donde se aloje la información; especialmente la relacionada con datos personales, disponga de una seguridad jurídica similar a la colombiana para la transferencia o transmisión de estos, según la legislación en Colombia para la protección de datos personales.
Compras debe validar que el proveedor cuente con las mejores las prácticas y los procedimientos de seguridad de la información para el servicio prestado (Se puede apoyar en concepto técnicos con TI).
TI debe conservar los principios de seguridad de la información: confidencialidad, integridad y disponibilidad durante la operación del servicio.
TI debe analizar qué información de la entidad puede migrarse a la nube.
Los colaboradores y terceros deben reportar los eventos o incidentes de seguridad o privacidad relacionados con la nube.

Planificación y preparación de la gestión de incidentes de seguridad de la información

Objetivo del control: Definir los roles, las responsabilidades y los procedimientos de gestión para la atención oportuna y eficaz de los incidentes de seguridad y privacidad de la información en PROMOAMBIENTAL DISTRITO S.A.S., E.S.P.

Los incidentes de seguridad, resultantes del incumplimiento de los políticas y normas de seguridad de PROMOAMBIENTAL DISTRITO S.A.S., E.S.P. serán direccionados por el procedimiento de manejo de incidentes TI-PR-0006 establecido por el proceso de TI, con el objetivo de realizar la respectiva investigación y entregar los resultados a los respectivos responsables dentro de la compañía, encargados de tomar las acciones correctivas y preventivas del caso.
Los colaboradores deberán estar informados del proceso disciplinario que se llevará a cabo en caso de incumplimiento de las políticas de seguridad de la información o alguno de los elementos que la soportan. En cualquier caso, se hará un seguimiento de acuerdo con el procedimiento establecido para el manejo de incidentes de seguridad.
Responsabilidades y procedimientos: La responsabilidad y el procedimiento de manejo para asegurar una respuesta rápida, eficaz y ordenada a los incidentes de seguridad de la información está en cabeza del proceso de tecnología.

Preparación de las TIC para continuidad del negocio

Objetivo del control: Planificar, implementar, mantener y probar la preparación de las TIC en función de los objetivos de continuidad del negocio y los requisitos de continuidad de las TIC en PROMOAMBIENTAL DISTRITO S.A.S., E.S.P.

Verificar que el plan de recuperación ante desastres TI-PG-0002 DRP, se desarrolle y se implemente de forma adecuada, teniendo en cuenta la criticidad de los servicios, procesos y procedimientos.
Incluir en el Plan de Continuidad de Negocio GC-PG-0002 las especificaciones TIC de rendimiento y capacidad para cumplir con los requisitos y objetivos de continuidad de PROMOAMBIENTAL DISTRITO S.A.S., E.S.P.
Establecer un plan de pruebas anual de las estrategias de recuperación de desastres definidos por la entidad.
Contar con manuales, instructivos o procedimientos del plan de recuperación ante desastres DRP.
Tomar las lecciones aprendidas de las pruebas de las estrategias de recuperación ante desastres definidos por la entidad e incluirlas en las futuras actualizaciones de los planes.
Mantener actualizada la documentación del plan de recuperación ante desastres.
Incluir al comité en gestión de cambios en los procesos relacionados con el plan de recuperación de desastres.
Contar con la infraestructura requerida para el plan de recuperación ante desastres, como centros de datos alternos, sin importar las estrategias de continuidad definidas.
Contar con la infraestructura requerida para el plan de recuperación ante desastres, como centros de datos alternos, sin importar las estrategias de continuidad definidas

Requisitos legales, reglamentarios y contractuales

Objetivo: Identificar la legislación y los registros contractuales en materia de seguridad y privacidad de la información, vigilar su cumplimiento y actualización de manera permanente.

Todos los requisitos pertinentes, legislativos estatutarios, reglamentarios, contractuales y el planteamiento de la entidad para cumplir con estos requisitos deberán estar explícitamente identificados, documentados y protegidos al día para cada sistema de información y la compañía.
Mantener actualizado la matriz legal JCO-PR-0004-F01, donde se identifiquen, documenten y actualicen todos los requerimientos de la legislación y la regulación nacional e internacional, con el fin de salvaguardar la información que se genere, obtenga, adquiera, transforme, controle, transfiera o se intercambie en PROMOAMBIENTAL DISTRITO S.A.S., E.S.P.
Las situaciones o acciones que violen la presente política deben ser detectadas, registradas, analizadas, resueltas y reportadas de manera inmediata a través de los canales señalados para el efecto.
Dar cumplimiento de las leyes y normas reglamentarias y regulatorias establecidas, así como la normatividad interna en relación con seguridad y privacidad de la información.
Con el fin de mantener un nivel de seguridad adecuado con la operación de PROMOAMBIENTAL DISTRITO S.A.S. ESP, esta política se debe apoyar con las mejores prácticas de seguridad de la información y aquellas que el mercado y la compañía reconozcan como tal.
El sistema de gestión en seguridad de la información de PROMOAMBIENTAL DISTRITO S.A.S. ESP será auditado anualmente para verificar y garantizar su grado de cumplimiento, implementación y madurez.
Periódicamente se debe evaluar el cumplimiento de los requerimientos de seguridad por parte de los usuarios. El incumplimiento de los requerimientos de seguridad, se debe registrar como un incidente a las políticas de seguridad de la información que debe ser resuelto de acuerdo con los procedimientos de manejo de incidentes de PROMOAMBIENTAL DISTRITO S.A.S. ESP.
Deben establecerse procedimientos apropiados para asegurar el cumplimiento con las restricciones de carácter legal en el uso de material que puede estar sujeto a derechos de propiedad intelectual tales como derechos de autor y derechos de diseño.
Todos los colaboradores, proveedores, terceros y demás partes interesadas, deben cumplir con las obligaciones legales, estatutarias, reglamentarios o contractuales relacionadas con seguridad y privacidad de la información.

Derechos de la propiedad intelectual

Objetivo del control: Implementar procedimientos apropiados para el cumplimiento de los requisitos legislativos, reglamentarios y contractuales relacionados con los derechos de propiedad intelectual y el uso de software patentado.

Se aplicarán procedimientos apropiados para garantizar el cumplimiento de los requisitos legales, reglamentarios y contractuales, relacionados con los derechos de propiedad intelectual y uso de productos de software propietario.
Se debe establecer en los contratos de trabajo de los colaboradores y en los contratos de desarrollo realizados por proveedores y contratistas, cláusulas respecto a la propiedad intelectual de PROMOAMBIENTAL DISTRITO S.A.S. ESP, al material y productos generados en el desarrollo del negocio.
Incluir, dentro de las políticas de navegación de PROMOAMBIENTAL DISTRITO S.A.S., el bloqueo de páginas que puedan infringir la ley de protección de derechos de autor.
Definir controles con el objetivo de proteger adecuadamente la propiedad intelectual de PROMOAMBIENTAL DISTRITO S.A.S., tanto propia como la de terceros según aplique para los derechos de autor de software, licencias y código fuente.
Validar que se use software autorizado por la empresa independiente si este es propietario, de licencia comercial o de software libre.
Verificar que todo el software utilizado por la entidad, para trabajar o desarrollar esté licenciado y sea usado únicamente bajo los términos y condiciones definidos en las licencias.

Privacidad y protección de la Información personal PII

Objetivo del control: Mantener la protección y privacidad de la información de datos personales tal como lo estipula la Ley 1581 de 2012, las regulaciones y, si fuese aplicable, las cláusulas contractuales.

Se garantizará el cumplimiento de las disposiciones generales para la Protección de Datos Personales, de conformidad con lo dispuesto en la legislación expedida sobre la materia y la política de protección de datos personales AD-PO-0001 de PROMOAMBIENTAL DISTRITO S.A.S. E.S.P.
Los colaboradores, proveedores y demás partes interesadas, deben atender las sugerencias dadas por el oficial de privacidad de la información en cumplimiento de las funciones asignadas a su rol.
Identificar y gestionar los riesgos de seguridad de la información de los activos de información que contengan datos personales. Estos deben ser controlados para evitar la adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento de la información que contiene datos personales.
Realizar la recolección, el tratamiento, el almacenamiento y la disposición final de los datos, observando los principios de: legalidad, finalidad, libertad, veracidad, transparencia, acceso y circulación restringida, seguridad y confidencialidad.
Los colaboradores, proveedores y demás partes interesadas deben cumplir la normatividad nacional vigente en materia de protección de datos personales. Proceder a la supresión de los datos personales en su posesión, una vez cumplida las finalidades del tratamiento y sin perjuicio de normas legales que dispongan lo contrario. Esta supresión o disposición final de los datos personales se realiza de acuerdo a la política de protección de datos personales AD-PO-0001 de PROMOAMBIENTAL DISTRITO S.A.S. E.S.P.

Cumplimiento de políticas, reglas y estándares de seguridad de la información

Objetivo del control: Revisar el cumplimiento de todos los lineamientos, las políticas, lo procedimientos y las normas establecidas en materia de seguridad y privacidad de la información, con el fin de preservar los principios de privacidad, disponibilidad y confidencialidad.

El proceso de TI deberá comprobar periódicamente el cumplimiento de los procedimientos de la información dentro de sus responsabilidades con los lineamientos, políticas, las normas y otros requisitos de seguridad.
El oficial de privacidad de la información debe revisar las situaciones o acciones que violen las presentes políticas deben ser detectadas, registradas, analizadas, resueltas e informadas al comité de seguridad de la información y a los procesos responsables por su tratamiento de manera inmediata.
Los colaboradores, proveedores y demás partes interesadas deben cumplir con las normas de seguridad y privacidad de la información establecidas en este lineamiento.

Acuerdos de confidencialidad o no divulgación

Objetivo del control: Proteger la información de PROMOAMBIENTAL DISTRITO S.A.S. ESP, y notificar a todos los colaboradores internos, externos y proveedores sobre la responsabilidad de proteger, usar y divulgar la información de manera responsable y autorizada según lo especificado en este documento para el tratamiento de datos personales las políticas establecidas.

Gestión humana debe definir compromisos de confidencialidad de la información tanto en colaboradores y en contratistas.
Todo colaborador, contratista y proveedor debe firmar los acuerdos de confidencialidad establecidos GH-PR-0010-F09 Acuerdo de Confidencialidad y CR-PR-0002-F13 Acuerdo de confidencialidad- Proveedores.
Jurídica junto con TI, Gestión humana y compras, deben revisar los requisitos de los acuerdos de confidencialidad y no divulgación, periódicamente o cuando ocurran cambios que influyan en los mismos.

Entrada física

Objetivo del control: Evitar accesos físicos no autorizados que atenten contra la confidencialidad, integridad, privacidad o disponibilidad de la información de la empresa. Así mismo, controlar los puntos de acceso tales como áreas de despacho y de carga, y otros puntos a donde pueda entrar personal no autorizado a PROMOAMBIENTAL DISTRITO S.A.S. E.S.P.

Las áreas seguras se protegerán mediante controles de entrada adecuados para garantizar que se le permita el acceso únicamente al personal autorizado, de acuerdo con los procedimientos de ingreso a las instalaciones AD-PR-0002 y AD-PR-0003.
Para el ingreso de terceros al centro de cableado, se tienen que registrar en la bitácora ubicada en un lugar visible a la entrada a este lugar.
Las oficinas e instalaciones donde haya atención al público no deben permanecer abiertas cuando los colaboradores se levantan de sus puestos de trabajo, así sea por periodos cortos de tiempo.
Todos los colaboradores deben permanecer con el carnet que los identifica como colaborador de PROMOAMBIENTAL DISTRITO S.A.S., E.S.P. mientras permanezcan en las instalaciones.
Todos los colaboradores deben reportar, a la mayor brevedad, cualquier sospecha de pérdida o robo de carnet de identificación.
Todos los visitantes que ingresan a la compañía deben ser recibidos y estar acompañados por la persona a quien visitan durante su permanencia en las instalaciones del mismo.

Lineamiento de Seguridad de la Información

Consulta los Lineamientos de Seguridad de la Información

Acerca de:

Asistencia

Legal

Corporativo

---

Proveedores

Entérate primero. Subscríbete a nuestro boletín informativo y mantente informado de las noticias de Promoambiental Distrito

© 2023 PROMOAMBIENTAL DISTRITO S.A.S. ESP

Powered by