Última actualización: 16 de abril de 2025
1. INTRODUCCIÓN Y OBJETIVOS
Esta Política de Seguridad de la Información establece el compromiso de nuestra organización con la protección de la información y los activos tecnológicos, tanto propios como de nuestros clientes, en el marco de nuestras actividades de desarrollo de sistemas informáticos, consultoría informática, administración de instalaciones informáticas, comercio de equipos y software, y servicios de telecomunicaciones, en cumplimiento con la normativa vigente en la República de Colombia.
1.1 Objetivos principales:
– Proteger la confidencialidad, integridad y disponibilidad de la información.
– Establecer un marco de gestión para implementar controles de seguridad efectivos.
– Cumplir con los requisitos legales y regulatorios aplicables en Colombia.
– Generar confianza entre nuestros clientes, proveedores y colaboradores.
– Minimizar los riesgos de seguridad asociados a nuestras operaciones.
2. ALCANCE
Esta política aplica a:
– Todo el personal de la organización, independientemente de su nivel jerárquico o función.
– Todos los sistemas de información, infraestructuras y datos gestionados por la organización.
– Todos los procesos relacionados con el desarrollo de software, consultoría, administración de sistemas, comercialización de equipos y servicios de telecomunicaciones.
– Terceros que accedan a nuestros sistemas o información (proveedores, partners, etc.).
– Todos los entornos: desarrollo, pruebas, preproducción y producción.
3. MARCO NORMATIVO COLOMBIANO
Esta política se desarrolla en cumplimiento con:
– Ley 1581 de 2012 – Ley de Protección de Datos Personales y su Decreto Reglamentario 1377 de 2013
– Ley 1266 de 2008 – Habeas Data y manejo de información financiera
– Ley 1273 de 2009 – Delitos Informáticos
– Decreto 1008 de 2018 – Política de Gobierno Digital
– CONPES 3854 de 2016 – Política Nacional de Seguridad Digital
– CONPES 3701 – Lineamientos de ciberseguridad y ciberdefensa
– Circular 052 de la Superintendencia Financiera (cuando aplique)
-ISO/IEC 27001:2013 – Sistema de Gestión de Seguridad de la Información
4. ORGANIZACIÓN DE LA SEGURIDAD
4.1 Responsabilidades
– Dirección: Aprueba la política de seguridad y provee los recursos necesarios para su implementación.
– Comité de Seguridad: Supervisa el cumplimiento de la política, evalúa riesgos y aprueba controles.
– Oficial de Seguridad de la Información: Coordina la implementación de la política y los controles de seguridad.
– Oficial de Protección de Datos Personales: Vela por el cumplimiento de la normativa de protección de datos.
– Responsables de Áreas: Implementan la política en sus áreas respectivas.
– Personal: Cumple con las normas y procedimientos establecidos en esta política.
4.2 Segregación de funciones
Se implementará una adecuada segregación de funciones en los procesos críticos para prevenir conflictos de interés, especialmente en:
– Desarrollo y pruebas de software
– Administración de sistemas y gestión de cambios
– Gestión de accesos y privilegios
– Procesos de compra y distribución de equipos
5. SEGURIDAD EN RECURSOS HUMANOS
5.1 Antes del empleo
– Verificación de antecedentes conforme a la legislación colombiana
– Acuerdos de confidencialidad y no divulgación
– Definición clara de roles y responsabilidades en materia de seguridad
5.2 Durante el empleo
– Formación y concienciación continua en seguridad
– Proceso disciplinario para violaciones de seguridad según el Código Sustantivo del Trabajo
– Evaluación periódica de conocimientos en seguridad
5.3 Terminación o cambio de empleo
– Devolución de activos
– Revocación de derechos de acceso
– Transferencia de conocimientos y responsabilidades
6. GESTIÓN DE ACTIVOS
6.1 Inventario y clasificación
– Mantenimiento de un inventario actualizado de activos informáticos
– Clasificación de activos según su criticidad y sensibilidad
– Asignación de propietarios responsables para cada activo
6.2 Manejo seguro de medios
– Procedimientos para la gestión de medios removibles
– Disposición segura de medios cuando ya no sean necesarios
– Protección de medios en tránsito
7. CONTROL DE ACCESOS
7.1 Gestión de accesos de usuarios
– Proceso formal de registro y baja de usuarios
– Asignación de privilegios basada en el principio de mínimo privilegio
– Revisión periódica de derechos de acceso
7.2 Control de acceso a redes y sistemas
– Política de control de acceso a la red
– Procedimientos seguros de inicio de sesión
– Gestión de contraseñas y autenticación
– Uso de autenticación multifactor para accesos críticos
7.3 Acceso remoto y teletrabajo
– Conexiones seguras mediante VPN o tecnologías equivalentes
– Requisitos mínimos de seguridad para equipos de teletrabajo en conformidad con la Ley 1221 de 2008
– Monitorización de sesiones remotas
8. SEGURIDAD EN OPERACIONES
8.1 Procedimientos operacionales
– Documentación de procedimientos operativos
– Gestión de cambios controlada
– Separación de entornos (desarrollo, pruebas, producción)
8.2 Protección contra malware
– Uso de soluciones antimalware actualizadas
– Concientización sobre amenazas de malware
– Restricciones en la instalación de software
8.3 Respaldo de información
– Política de copias de seguridad y restauración
– Pruebas periódicas de restauración
– Almacenamiento seguro de copias de respaldo
8.4 Registro y supervisión
– Registro de eventos y actividades de usuario
– Protección de registros de auditoría
– Sincronización de relojes en todos los sistemas
8.5 Gestión de vulnerabilidades
– Escaneos regulares de vulnerabilidades
– Aplicación oportuna de parches de seguridad
– Hardening de sistemas según estándares reconocidos
9. SEGURIDAD EN COMUNICACIONES
9.1 Gestión de seguridad de red
– Segmentación de redes
– Controles de seguridad perimetral (firewalls, IPS/IDS)
– Monitorización del tráfico de red
9.2 Transferencia de información
– Acuerdos de confidencialidad para intercambios de información
– Cifrado de información sensible en tránsito conforme a estándares aceptados en Colombia
– Protección de mensajería electrónica
10. ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS
10.1 Requisitos de seguridad de los sistemas
– Inclusión de requisitos de seguridad en especificaciones
– Validación de datos de entrada y salida
– Protección de transacciones en aplicaciones
10.2 Seguridad en el desarrollo
– Integración de principios de «Security by Design»
– Desarrollo seguro según estándares reconocidos (OWASP)
– Revisiones de código y pruebas de seguridad
10.3 Datos de prueba
– No utilización de datos reales en entornos de prueba
– Protección del acceso a los datos de prueba
– Eliminación segura tras su uso
11. SEGURIDAD EN RELACIONES CON PROVEEDORES
11.1 Seguridad en acuerdos con terceros
– Requisitos de seguridad en contratos según legislación colombiana
– Acuerdos de nivel de servicio (SLA) con proveedores
– Monitorización y revisión de servicios externos
11.2 Gestión de la entrega de servicios
– Supervisión del cumplimiento de acuerdos
– Gestión de cambios en servicios de proveedores
– Evaluaciones periódicas de seguridad a proveedores críticos
12. GESTIÓN DE INCIDENTES DE SEGURIDAD
12.1 Procedimientos de gestión de incidentes
– Identificación y reporte de eventos e incidentes
– Evaluación y clasificación de incidentes
– Respuesta y contención de incidentes
12.2 Notificación de incidentes
– Procedimientos para notificar a la SIC (Superintendencia de Industria y Comercio) violaciones de datos personales según lo establecido en la Ley 1581 de 2012
– Notificación a los titulares de datos cuando sea requerido
– Comunicación con el COLCERT (Grupo de Respuesta a Emergencias Cibernéticas de Colombia) cuando corresponda
12.3 Lecciones aprendidas
– Documentación y análisis post-incidente
– Implementación de mejoras identificadas
– Actualización de controles según sea necesario
13. CONTINUIDAD DEL NEGOCIO
13.1 Planificación de la continuidad
– Identificación de procesos críticos
– Desarrollo de planes de continuidad y recuperación
– Pruebas periódicas de planes de continuidad
13.2 Redundancias
– Diseño de sistemas críticos con redundancia
– Disponibilidad de equipos y servicios alternativos
– Acuerdos con proveedores para continuidad
14. CUMPLIMIENTO
14.1 Cumplimiento legal y contractual
– Identificación de legislación aplicable y requisitos contractuales en Colombia
– Protección de la propiedad intelectual según la legislación colombiana
– Protección de datos personales según la Ley 1581 de 2012
14.2 Registro Nacional de Bases de Datos
– Inscripción en el Registro Nacional de Bases de Datos (RNBD) de la SIC
– Actualización periódica de la información registrada
– Reportes de incidentes de seguridad cuando sea requerido
14.3 Revisiones de seguridad
– Auditorías internas periódicas
– Revisiones independientes cuando sea necesario
– Verificación de cumplimiento técnico
15. SEGURIDAD ESPECÍFICA PARA SERVICIOS OFRECIDOS
15.1 Desarrollo de sistemas informáticos (CIIU 6201)
– Metodologías de desarrollo seguro
– Pruebas de seguridad en cada fase del ciclo de vida
– Control de versiones y gestión de configuración segura
– Implementación de medidas para cumplir con el Decreto 1078 de 2015 cuando aplique
15.2 Consultoría informática y administración de instalaciones (CIIU 6202)
– Metodologías de evaluación de seguridad
– Procedimientos de acceso a instalaciones de clientes
– Protección de información recopilada durante consultorías
– Consideraciones de seguridad en el marco del MinTIC y la política de Gobierno Digital
15.3 Comercio de equipos y software (CIIU 4651)
– Verificación de la integridad de productos
– Cadena de suministro segura
– Garantía de autenticidad de software comercializado
– Cumplimiento con las normas de importación y comercialización establecidas por la DIAN
15.4 Servicios de telecomunicaciones (CIIU 6190)
– Seguridad en la infraestructura de comunicaciones
– Cifrado de comunicaciones según estándares actuales
– Monitorización de servicios para detectar intrusiones
– Cumplimiento con las regulaciones de la CRC (Comisión de Regulación de Comunicaciones) y del MinTIC
16. PROTECCIÓN DE DATOS PERSONALES
16.1 Principios de tratamiento
– Aplicación de los principios de legalidad, finalidad, libertad, veracidad, transparencia, acceso, seguridad y confidencialidad según la Ley 1581 de 2012
– Obtención de autorización previa, expresa e informada
– Limitación de la recolección a los datos pertinentes
16.2 Derechos de los titulares
– Implementación de procedimientos para garantizar los derechos de acceso, actualización, rectificación y supresión
– Atención de consultas y reclamos
– Revocatoria de la autorización
16.3 Transferencias internacionales
– Cumplimiento con las normas sobre transferencias internacionales de datos personales
– Verificación de nivel adecuado de protección en países destinatarios
– Implementación de contratos de transferencia cuando sea necesario
17. DISPOSICIONES FINALES
17.1 Sanciones por incumplimiento
El incumplimiento de esta política puede resultar en acciones disciplinarias según la gravedad de la infracción, desde amonestaciones hasta la terminación del contrato de trabajo conforme al Reglamento Interno de Trabajo y al Código Sustantivo del Trabajo de Colombia, sin perjuicio de las acciones legales que pudieran corresponder.
17.2 Revisión y actualización
Esta política será revisada al menos una vez al año o cuando se produzcan cambios significativos en la normativa colombiana, para asegurar su idoneidad, adecuación y eficacia.
17.3 Contacto
Para consultas relacionadas con esta política, contacte con el Oficial de Seguridad de la Información y/o el Oficial de Protección de Datos Personales:
Sitio web: www.yavasoft.com
Email: seguridad@yavasoft.com
Teléfono: 3207740154
Aprobado por: EFREN MORENO VALOYES
Fecha de aprobación: 16 de abril de 2025
Versión: 1.0