Main Menu

Política General de Seguridad de la Información

INTRODUCCIÓN

La Alta Dirección de POSSE HERRERA RUIZ, comprende la importancia de una adecuada gestión de la información, por lo tanto, se ha comprometido con la implementación, mantenimiento y mejora continua de un sistema de gestión de seguridad de la información (SGSI) basado en la Norma NTC SO/IEC 27001, con el fin de establecer un marco de confianza y asegurar el tratamiento de la información en las actividades que realiza para con sus clientes y demás partes interesadas, todo enmarcado bajo el riguroso cumplimiento de las leyes colombianas, los requisitos legales, contractuales y reglamentarios, así como aquellos requisitos de seguridad de la información, en concordancia con los objetivos estratégicos y de seguridad de la Firma.

Para POSSE HERRERA RUIZ, la protección de la información busca sistemáticamente identificar y administrar los riesgos que puedan impactar la confidencialidad, disponibilidad e integridad de los activos de información de La Firma, la disminución del impacto generado sobre los mismos o su probabilidad de ocurrencia, así como la definición de tratamiento para mantenerlos bajo el criterio de aceptación establecido por la firma, acorde con las necesidades de sus clientes y demás partes interesadas.

Anualmente se revisará tanto el contenido de este documento, como el de las demás políticas específicas definidas como control de seguridad que soportan el SGSI incorporando las modificaciones que pueden tener lugar, asegurando la eficiencia y efectividad y mejora del sistema.

El incumplimiento de las disposiciones contenidas en esta política, así como las políticas, procedimientos, directrices y otras directivas asociadas con la seguridad de la información,

dará lugar a un proceso disciplinario como se establece en el Código de Trabajo, el reglamento interno del trabajo, el contrato laboral, y será realizado por el Área de Gestión Humana.

OBJETIVO PRINCIPAL

Determinar los lineamientos que permitan proteger la Información de POSSE HERRERA RUIZ, así como la que recibe de sus partes interesadas, a través controles de seguridad de la Información teniendo en cuenta los requisitos legales, operativos, tecnológicos, de seguridad y de la entidad alineados con el contexto de direccionamiento estratégico y de gestión del riesgo con el fin de asegurar el cumplimiento de la integridad, disponibilidad y confidencialidad de la información.

Objetivos específicos

  • Gestionar riesgos hasta considerarlos dentro de niveles aceptables en la organización.
  • Garantizar el cumplimiento a cabalidad con las políticas y procedimientos definidos en el sistema de gestión.
  • Crear, mantener y mejorar un programa de concientización acerca de la seguridad de la información en los funcionarios.
  • Gestionar la capacidad de recursos humanos, tecnológicos o financieros para definir, implementar y validar un Plan de Continuidad de Negocio (BCP)
  • Asegurar la definición de planes de tratamiento para los riesgos identificados de seguridad de la información no considerables dentro del nivel de aceptación definido.

ALCANCE

La Política de Seguridad de la Información aplica a todo POSSE HERRERA RUIZ, sus funcionarios, contratistas, proveedores y terceros que tengan acceso a información clasificada como activo critico o aquella considerada con un nivel mínimo de protección a través de los documentos, equipos de cómputo, infraestructura tecnológica y canales de comunicación de La Firma.

GLOSARIO

  • Confidencialidad: significa que la información no esté disponible o revelada a individuos, entidades o procesos no autorizados.
  • Disponibilidad: es la característica, cualidad o condición de la información de encontrarse a disposición de quienes deben acceder a ella, ya sean personas, procesos o aplicaciones. A groso modo, la disponibilidad es el acceso a la información y a los sistemas por personas autorizadas en el momento que así lo requieran.
  • Información: se refiere a un conjunto organizado de datos contenido en cualquier documento que los sujetos mencionados en el alcance generen, obtengan, adquieran, transformen o controlen.
  • Integridad: propiedad de salvaguardar la exactitud de la información y sus métodos de procesamiento los cuales deben ser exactos.
  • Seguridad de la información: hace referencia a la preservación de la confidencialidad, integridad y disponibilidad de la información.

POLÍTICAS GENERALES

  • POSSE HERRERA RUIZ protege la información generada, procesada o resguardada por los procesos de negocio, su infraestructura tecnológica y activos del riesgo que se genera de los accesos otorgados a terceros (ej.: proveedores o clientes), o como resultado de un servicio interno en outsourcing.
  • POSSE HERRERA RUIZ protege su información de las amenazas originadas por parte del personal.
  • POSSE HERRERA RUIZ protege las instalaciones de procesamiento y la infraestructura tecnológica que soporta sus procesos críticos.
  • POSSE HERRERA RUIZ controla la operación de sus procesos de negocio garantizando la seguridad de los recursos tecnológicos y las redes de datos.
  • POSSE HERRERA RUIZ implementa mecanismos de control de acceso a la información, sistemas y recursos de red.
  • POSSE HERRERA RUIZ vela que la seguridad sea parte integral del ciclo de vida de los sistemas de información.
  • POSSE HERRERA RUIZ se compromete a través de una adecuada gestión de los eventos de seguridad y las debilidades asociadas con los sistemas de información una mejora efectiva de su modelo de seguridad.
  • POSSE HERRERA RUIZ cumplirá con la disponibilidad de sus procesos de negocio y la continuidad de su operación basada en el impacto que pueden generar los eventos disruptivos.
  • POSSE HERRERA RUIZ estará comprometido con el cumplimiento de las obligaciones legales, regulatorias y contractuales establecidas.

CUMPLIMIENTO

  • Todas las personas cubiertas por el alcance deberán cumplir a cabalidad con la política. El incumplimiento de las disposiciones contenidas en esta política, así como las políticas, procedimientos, directrices y otras directivas asociadas con la seguridad de la información, dará lugar a un proceso disciplinario como se establece en el Código de Trabajo, el reglamento interno del trabajo, el contrato laboral, y será realizado por el Área de Gestión Humana.