POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN GESTIÓN TOTAL CORPORATIVA S.A.S.
Razón Social: Gestión Total Corporativa S.A.S.
NIT: 900350772-3
Domicilio: Carrera 14 No. 76-25 Oficina 302
Correo electrónico: PQRS@gestion-total.com
Página web: www.gestión-total.com
Gestión Total Corporativa SAS reconoce la importancia de la seguridad de la información para el éxito continuo de sus operaciones y para la confianza de sus clientes. Como proveedor de consultoría empresarial y servicios de gestión empresarial, nos comprometemos a proteger la confidencialidad, integridad y disponibilidad de la información de nuestros clientes, empleados y socios comerciales.
1. OBJETIVO
La Política de Seguridad de la Información de Gestión Total Corporativa SAS tiene como objetivo establecer un marco claro y coherente para la gestión de la seguridad de la información, con el fin de proteger los activos de información contra amenazas internas y externas, garantizar la continuidad del negocio y cumplir con los requisitos legales y regulatorios aplicables.
2. ALCANCE
Esta política se aplica a todas las áreas y funciones de Gestión Total Corporativa SAS, así
como a todos los sistemas, procesos y activos de información relacionados.
3. RESPONSABILIDADES
La gerencia es responsable de proporcionar el liderazgo necesario y los recursos para implementar y mantener efectivamente esta política. El Business Development Consultant (BDC) es responsable de coordinar y supervisar la implementación de medidas de seguridad de la información. Todos los colaboradores y contratistas de Gestión Total Corporativa SAS son responsables de cumplir con las políticas y procedimientos de seguridad de la información, así como de informar cualquier incidente de seguridad o vulnerabilidad.
4. PRINCIPIOS DE SEGURIDAD DE LA INFORMACIÓN
Confidencialidad: Nos comprometemos a proteger la información confidencial de divulgaciones no autorizadas. Integridad: Nos comprometemos a garantizar la exactitud y la integridad de la información, protegiéndola contra modificaciones no autorizadas.
Disponibilidad: Nos comprometemos a garantizar la disponibilidad oportuna y continua de la información y los recursos relacionados. Cumplimiento Legal: Nos comprometemos a cumplir con todas las leyes y regulaciones aplicables relacionadas con la seguridad de la información.
5. EVALUACIÓN DE RIESGOS Y GESTIÓN
Se realizarán evaluaciones periódicas de riesgos de seguridad de la información para identificar y mitigar posibles amenazas y vulnerabilidades. Se implementarán controles de seguridad adecuados para reducir los riesgos a un nivel aceptable.
6. CONCIENTIZACIÓN Y FORMACIÓN
Se proporcionará formación en seguridad de la información a todos los empleados para aumentar la conciencia y la comprensión de las políticas y procedimientos de seguridad. Se fomentará una cultura de seguridad de la información en toda la organización.
7. MEJORA CONTINUA
Se revisará y actualizará periódicamente esta política para garantizar su relevancia y efectividad continua. Se fomentará la retroalimentación de los empleados y se considerarán las mejores prácticas de seguridad de la información para mejorar constantemente nuestros procesos y controles.
8. GARANTÍAS DE CUMPLIMIENTO
Todos los empleados deben cumplir con esta política y con los procedimientos y controles de seguridad de la información establecidos.
El incumplimiento de esta política puede resultar en acciones disciplinarias, incluida la terminación del empleo o acciones legales según corresponda. Gestión Total Corporativa SAS BIC cuenta con diversas herramientas diseñadas para proteger la información de sus clientes, usuarios y colaboradores contra amenazas como malware o ataques cibernéticos. Gestor Documental en la Nube Seguro Se utiliza un gestor documental alojado en la nube, con la seguridad del hosting para garantizar el acceso seguro a la información. Este sistema permite a los usuarios acceder a la información con restricciones basadas en niveles jerárquicos, asegurando que solo aquellos con los permisos adecuados puedan acceder a ciertos documentos.
Google Drive Aprobado por Google Workspace
El uso de Google Drive, respaldado por la seguridad proporcionada por Google Workspace, se emplea como un espacio de trabajo colaborativo. El acceso a este entorno está restringido y solo se otorga a los colaboradores directos de Gestión Total Corporativa, garantizando así la confidencialidad de la información compartida. Seguridad de Equipos y Almacenamiento Todos los equipos de cómputo y sus unidades de almacenamiento están equipados con al menos un sistema de seguridad de información contra malware, como Windows Defender. Esto asegura una primera línea de defensa contra posibles amenazas a la seguridad de la información almacenada en los dispositivos.
9. CONTROL DE ACCESO LÓGICO A SISTEMAS DE INFORMACIÓN DE PROCESO DE DATOS
PERSONALES
El siguiente procedimiento de control de acceso es recomendable ejecutar todos o algunos ítems, dependiendo de la dinámica de funcionamiento en activos digitales como:
• Repositorios documentales
• Herramientas d e formación
• Herramientas de Mailing
• Formularios
9.1. Identificación de Usuarios
Todos los usuarios deben ser identificados mediante credenciales únicas, como nombres de usuario y contraseñas seguras. Se prohíbe el uso compartido de credenciales entre usuarios.
9.2. Gestión de Cuentas de Usuario
Se crean las cuentas de usuario, que incluyen la asignación de roles y privilegios basados en las necesidades de cada usuario.
Se revisarán regularmente las cuentas de usuario para eliminar o modificar el acceso de aquellos usuarios que ya no lo necesiten o que hayan dejado la empresa.
9.3. Autenticación Multifactor (MFA):
Se implementará la autenticación multifactor siempre que sea posible, exigiendo a los usuarios que proporcionen más de una forma de autenticación para acceder a los sistemas de información sensibles.
9.4. Control de Acceso Basado en Roles:
Se utilizará un modelo de Control de Acceso Basado en Roles para definir y administrar los roles de usuario y los privilegios asociados. Esto garantizará que cada usuario tenga acceso solo a la información y funcionalidades necesarias para realizar sus tareas laborales.
9.5. Protección de Contraseñas:
Se establecerán contraseñas robustas (Deben incluir la cantidad mínima de letras mayúsculas y minúsculas, números y caracteres especiales mínimo que exijan contraseñas largas y complejas, y se promoverá la actualización periódica de las mismas.
PARAGRAFO PRIMERO: Gestión Total Corporativa SAS se compromete firmemente a realizar un seguimiento exhaustivo de los permisos o privilegios asignados a los sistemas de información que están involucrados en el procesamiento de datos personales. Este seguimiento incluirá un análisis detallado de los permisos otorgados en plataformas clave como MAGMA, Drive y Gmail, así como en las cuentas de usuario asociadas. A través de este proceso, se verificará que cada usuario tenga únicamente los permisos necesarios para desempeñar sus funciones laborales, evitando así la asignación excesiva de privilegios que pueda conducir a posibles vulnerabilidades de seguridad. Además, se establecerán mecanismos de monitoreo continuo para detectar cualquier cambio inesperado en los permisos o privilegios asignados, lo que permitirá una respuesta inmediata ante posibles brechas de seguridad o irregularidades en el acceso a la información. Este compromiso refleja la dedicación de Gestión Total Corporativa SAS a garantizar la protección y confidencialidad de los datos personales que maneja, cumpliendo con los más altos estándares de seguridad de la información.
10. EVIDENCIA DE GESTIÓN
Los registros o evidencias de gestión deben ser correctamente registrados en la carpeta designada para registros en el área de tecnología e infraestructura, correspondiente al año en curso, dentro del sistema de gestión de calidad de Gestión Total Corporativa. Esto se llevará a cabo en consonancia con la ejecución de los monitoreos pertinentes.
11. SOFTWARE DE PROTECCIÓN
Para garantizar la protección contra malware y otras amenazas, todos los equipos de cómputo de Gestión Total Corporativa SAS están equipados con Windows Defender, el software de protección integrado de Microsoft. Además, como medida complementaria, se permite la instalación opcional de software antivirus de diferentes proveedores en los equipos. Esta opción brinda a los usuarios y colaboradores la flexibilidad de añadir una capa adicional de protección según sus preferencias y necesidades específicas.
12. LICENCIAMIENTO DE SOFTWARE
De manera opcional, los licenciamientos de software, ya sean de uso libre o privado, se registran y mantienen en los archivos del área de tecnología e infraestructura. Estos registros se integran en el sistema de gestión de calidad de Gestión Total Corporativa SAS, organizados de acuerdo con el año correspondiente.
13. MONITOREO Y EVALUACIÓN DE CUMPLIMIENTO
Se sugiere desarrollar actividades de monitoreo y evaluación de cumplimiento de la política de seguridad de la información, por lo menos una vez al año, toda la documentación de evidencias y hallazgos debe ser registrada en los registros del sistema de gestión de calidad de Gestión total Corporativa SAS, en el repositorio del área de Tics e infraestructura del año en curso.
OFICINA DIRECCIÓN
Bogotá Carrera 14 No. 76-25 oficina 302
Atentamente,
GESTIÓN TOTAL CORPORATIVA S.A.S.
Carrera 14 No 76-25 Oficina 302.