POLÍTICA DE

SEGURIDAD DE
LA
INFORMACIÓN
 Objetivo
La presente Política de Seguridad de la Información tiene como objetivo
definir los lineamientos generales en materia de Seguridad de la Información
para garantizar la gestión, protección y el funcionamiento de los activos de
información al interior de Xorex de Colombia, así como promulgar y aplicar
el Sistema de Seguridad de la Información en los procesos internos y dentro
del alcance de los proyectos que desarrolla Xorex de Colombia para
minimizar los riesgos asociados a los activos de información y las personas.
 Aplicación
La Política de Seguridad de la Información cubre los activos de
información más relevantes (Personas, Información y Tecnología), que
soportan los procesos del negocio de XOREX de Colombia y es aplicable
para todos los funcionarios, contratistas y externos.

Así mismo tiene en cuenta los objetivos de control establecidos en el

Anexo A ISO/IEC 27001, y más específicamente establecidos en el
documento “R.GC.002 Declaración de Aplicabilidad”, en el cual se
detalla el alcance y selección realizada para su aplicación en la empresa,
posterior análisis de riesgos y teniendo en cuenta las necesidades
tecnológicas y de seguridad de la información actuales en la empresa.
 Definiciones

Activos de Información: Son los Recursos que se genera, procesa y/o

resguarda Información necesaria para que Xorex funcione y consiga el
cumplimiento de los objetivos.

• Análisis de Riesgo: Uso sistemático de la información para identificar las

fuentes y estimar el riesgo.

• Autorización: Consentimiento previo, expreso e informado del titular para

llevar a cabo el Tratamiento de datos personales (Ley 1581 de 2012- Art. 3).
 Definiciones

Base de datos: Conjunto organizado de datos personales que sea objeto de

tratamiento.

• Colaborador: Todo trabajador o prestador de servicios de Xorex de

Colombia permanente o transitorio a quien se le asigne un ID dentro de la
red corporativa.

• Controles: Conjunto de acciones, normas, documentos, procedimientos y

medidas técnicas adoptadas para propender porque cada amenaza,
identificada y valorada con un cierto nivel de riesgo sea minimizada.
 Definiciones

Criterios de Seguridad de la Información:

o Confidencialidad: La Información se revela sólo de forma autorizada, a

personas, procesos o entidades autorizadas y en el momento autorizado.

o Integridad: Se debe salvaguardar la exactitud y estado completo de la

información y de los activos de información.

o Disponibilidad: La información debe ser accesible y utilizable cada vez que

sea requerida por los interesados autorizados.
 Definiciones

Dato Personal: Cualquier información vinculada o que pueda asociarse a

una o varias personas naturales determinadas o indeterminables (Ley 1581 de
2012 Art. 3)

• Datos personales sensibles: son aquellos que afectan la intimidad del titular
o cuyo uso indebido puede generar discriminación, tales como aquellos que
revelen el origen racial o étnico, la orientación política, las convicciones
religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de
derechos humanos o que promueva intereses de cualquier partido político o
que garanticen los derechos y garantías de partidos políticos de oposición,
así como los datos relativos a al salud, a la vida sexual y los datos biométricos.
(Ley 1581 de 2012-Art.5).
 Definiciones

Eliminación segura de la información: Implementación de mecanismos físicos

o tecnológicos que permitan la destrucción total o limiten la posterior
consulta de información que requiere ser eliminada. Los mecanismos
empelados para la eliminación segura de la información comprenden en el
caso de documentos físicos por medio del uso de trituradoras de papel y
para información digital la aplicación de herramientas o métodos de borrado
seguro de la información.

• Encargado del Tratamiento: Persona natural o jurídica pública o privada,

que por sí misma, o en asocio con otros, realice el tratamiento de datos
personales por cuenta del responsable del tratamiento (Ley 1581 de 2021-
Art.3).
 Definiciones

• Evaluación del Riesgo: Proceso de comparar el riesgo estimado contra

criterios de riesgo dados, para determinar la importancia del riesgo.

• Gestión del Riesgo: Actividades coordinadas para dirigir y controlar una

empresa en relación con el riesgo.

• Incidente de Seguridad de la Información: Evento o serie de eventos de

seguridad de la información no deseados o inesperados, que tienen una
probabilidad significativa de comprometer las operaciones del negocio y
amenazar la seguridad de la información.
 Definiciones
Evaluación del Riesgo: Proceso de comparar el riesgo estimado contra criterios de
riesgo dados, para determinar la importancia del riesgo.

• Gestión del Riesgo: Actividades coordinadas para dirigir y controlar una empresa
en relación con el riesgo.

• Incidente de Seguridad de la Información: Evento o serie de eventos de seguridad

de la información no deseados o inesperados, que tienen una probabilidad
significativa de comprometer las operaciones del negocio y amenazar la seguridad
de la información.
 Definiciones

Información: Es un conjunto organizado de datos procesados que generan

valor a la ejecución de los procesos. • Responsable del tratamiento: Persona
natural o jurídica, pública o privada, que por sí misma, o en asocio con otros,
decida sobre la base de datos y/o tratamiento de los datos (Ley 1581 de
2021-Art.3).
 Definiciones

Responsable primario: Parte designada de XOREX, cargo, proceso o equipo de

trabajo que tiene la responsabilidad de definir:

o Quiénes tienen acceso y que pueden hacer con la información (modificar,

leer, procesar, entre otros)

o Cuáles son los requisitos para que la información se salvaguarde ante pérdida
de la confidencialidad, integridad o disponibilidad.

o Que se hace con la información una vez ya no sea requerida.

 Definiciones

• Roles específicos: Se refiere a los roles que intervienen en el proceso de

protección de los datos personales, se clasifican en: Responsable, Titular y
Encargado.

• Roles generales: Se refiere a los roles que intervienen en los activos de la

información de la empresa, se clasifican en: Responsable Primario Y Tratante
de la Información.

• Seguridad de la Información: Preservación de la confidencialidad, la

integridad y la disponibilidad de la información; además, puede involucrar
otras propiedades tales como: autenticidad, trazabilidad (Accountability), no
repudio y fiabilidad.
 Definiciones
• Sistema de Gestión de Seguridad de Información (SGSI): Conjunto de
elementos orientados al tratamiento y administración de datos e información,
organizados y listos para su uso posterior, generados para cubrir una
necesidad o un objetivo.

• Sistemas de Información: Es un conjunto de elementos orientados al

tratamiento y administración de datos e información organizados y listos para
su uso; compuestos por software (bases de datos entre otros), Tecnologías de
la Información (servidores y equipos de telecomunicaciones) e Información
(parámetros, bases de datos, entre otros).
 Definiciones
• Software Malicioso (Malware): Todo tipo de programa o código informático
malicioso cuya función es dañar un sistema, robar información o causar un
mal funcionamiento.

• Tratante de la información: Son los cargos, procesos o grupos de trabajo

que tienen acceso a la información y cuentan con autorización del
responsable primario.
Declaración de
Políticas
 POLÍTICA GENERAL DE SEGURIDAD DE LA
INFORMACIÓN
Xorex de Colombia se compromete con las partes interesadas, a liderar y fomentar la
confidencialidad, integridad y disponibilidad de la información, mediante la gestión de riesgos
de la seguridad de la información, el ajuste de las tecnologías con las necesidades y
expectativas, promoción de la cultura y conciencia en seguridad a sus trabajadores y
prestadores de servicios, permitiendo el cumplimiento de los requisitos normativos, legales y
reglamentarios; generando valor a la operación con un talento humano competente
orientado al mejoramiento continuo de los procesos de la empresa

Para cumplir con los principios de Seguridad de la Información (Confidencialidad, Integridad y

Disponibilidad), Xorex de Colombia S.A.S establece, divulga y monitorea la Política de
Seguridad de la Información para dar cumplimiento a los siguientes objetivos:
• Cumplir con los principios de seguridad de la información.

• Proporcionar apoyo a nivel de dirección general para la gestión de la seguridad de

la información.

• Identificar y Mantener controles que permitan minimizar los riesgos actuales y

potenciales con el fin de soportar la implementación de un procedimiento de gestión
de Seguridad de la Información.

• Proteger los activos de información de fraudes o eventos que tengan la

probabilidad de ocurrir e impactar negativamente la empresa.

• Mantener la confiabilidad y la cultura del Sistema de Gestión de Seguridad de la

Información en todos los funcionarios, contratistas y externos que tengan relación con
Xorex de Colombia S.A.S.
• Establecer los canales necesarios que permitan a la alta gerencia
mantenerse informada de los riesgos y uso adecuado de los activos de
información, así como de los controles asignados para la mitigación de
los riesgos.

• Mantener y generar la mejora continua sobre el SGSI.

• Generar el cumplimiento de las obligaciones legales, regulatorias y

contractuales establecidas.

• Minimizar los riesgos que puedan afectar la continuidad del negocio.

• Definir los roles y responsabilidades para la gestión de riesgos de

Seguridad de la Información y protección de datos personales.

• Monitorear periódicamente el Sistema de gestión de riesgos de la

seguridad de la información y protección de datos personales.

• Capacitar y sensibilizar a los trabajadores sobre las buenas prácticas

del sistema de gestión de riesgos de la seguridad de la información y
protección de datos personales.
 POLITICAS DE SEGURIDAD DE LA
INFORMACIÓN
Las políticas de seguridad de la información son una declaración de las
responsabilidades de funcionarios contratistas y externos, para mantener
un ambiente seguro en Xorex de Colombia para los activos informáticos y
de información. Estas políticas establecen las directrices los lineamientos
relacionados con el manejo seguro de la información.

RIESGOS DE SEGURIDAD DE LA INFORMACIÓN

a) La gestión de riesgos de seguridad de la información se realiza de

acuerdo al documento “P.GC.009 Gestión de Riesgos y Oportunidades”

b) Los riesgos de seguridad de la información deben ser conocidos y

aprobados por la alta dirección.
 RECURSOS HUMANOS
a) Se deben reportar a los administradores de los sistemas de gestión las
novedades de personal que se presenten por retiros, vacaciones,
licencias o incapacidades

b) Se debe asegurar que al terminar el contrato laboral o al realizarse un

cambio de función o de área, todos los funcionarios, contratistas o
externos devuelvan todos los activos que se le han asignado para su
gestión

c) Es responsabilidad de los administradores de los sistemas de

Información cancelar inmediatamente los accesos de los colaboradores
y usuarios externos reportados por Recursos Humanos; a los que se les
revoque la autorización, se desvinculen de la compañía o sufran
pérdida/robo de sus credenciales de acceso.
 POLÍTICAS DE SEGURIDAD DE LA
INFORMACIÓN PARA LA GESTIÓN DE
PROYECTOS
a) Incluir objetivos de seguridad de la información en los objetivos del proyecto.

b) Identificar los activos de información que se verán impactados con el

proyecto.

c) Realizar un análisis de riesgos en las etapas tempranas de los proyectos.

d) Realizar el análisis y tratamiento de los riesgos identificados e implementar

medidas de seguridad.

e) Hacer que la Política de Seguridad de la Información sea un elemento

indispensable en todas las etapas del proyecto.
POLITICA DE PROTECCIÓN DE
DATOS PERSONALES

a) El alcance de la Política de Protección de datos

Personales incluye todos los procesos de Xorex que
recolecten, almacenen o administren datos personales
de acuerdo con lo establecido en el documento
“L.PD.001 Tratamiento de Datos Personales”. b) Todas los
requerimientos y quejas de datos personales serán
gestionados por el oficial de cumplimiento de datos
personales.
 RESPONSABILIDAD DE XOREX DE
COLOMBIA Y SUS TRABAJADORES
FRENTE A LA SEGURIDAD DE LA
INFORMACIÓN.
a) Xorex debe garantizar que los colaboradores y terceros
conozcan y entiendan sus responsabilidades y deberes
frente a la Seguridad de la Información, y que estén
capacitados para cumplir con las Políticas establecidas
en ejercicio de sus labores frente a la seguridad de la
Información.

b) Los colaboradores de Xorex, son responsables del

manejo adecuado de la información y los activos de
información, mediante el cumplimiento de las políticas,
procesos, procedimientos y controles establecidos.
c) Todos los colaboradores deben respetar y cumplir las políticas,
normas y procedimientos de Seguridad de la información
establecidos, con el fin de garantizar la seguridad de los recursos
tecnológicos de la compañía. Además, son responsables de informar
al Responsable de Seguridad de la Información cualquier brecha o
incidente que ocurra.
d) Los colaboradores que dentro de sus funciones manejen
información clasificada como confidencial o restringida, deben
cumplir con los controles asociados a cada nivel de seguridad de la
información establecidos por Xorex.

e) Cuando se sospeche o se cuente con evidencia de fraude que

vaya en contra de las políticas o lineamientos de Xorex, se debe
cumplir con lo establecido en el procedimiento “P.GT.004 Gestión de
Incidentes” y “P.GH.003 Gestión Procesos Disciplinarios”.
 POLÍTICA DE ACTIVOS DE
INFORMACIÓN
a) Se debe mantener actualizado el inventario de activos informáticos por lo
menos una vez al año y deben estar claramente definidas que personas tienen
autorizado sacar equipos de las instalaciones de Xorex de Colombia S.A.S
b) Se debe mantener actualizado el inventario de activos de información por
lo menos una vez al año y deben estar claramente definido su nivel de
clasificación y su propietario

c) Todo funcionario, contratista o externo, que acceda a los activos de la

información de la compañía o de nuestros clientes, tiene la responsabilidad de
velar por la Integridad, Confidencialidad y Disponibilidad de la información
que sea almacenada o manejada en función de sus labores.
d) Los colaboradores deben garantizar el buen manejo de todos los activos
de información propios o del cliente, que tenga conexión local o desde un
sitio externo con la empresa; conexiones que podrán ser supervisadas o
auditadas sin autorización previa. Cualquier evidencia del uso inadecuado
o no autorizado, podrá ser utilizado para tomar las acciones administrativas
o legales a las que haya lugar.

e) El Profesional Senior en Seguridad de la Información deberá divulgar y

velar por el cumplimiento de las políticas ante colaboradores, contratistas,
consultores, proveedores y toda persona que tenga contacto con la
información e Tecnologías de la Información de la compañía.
f) La información accedida, procesada o generada por los colaboradores,
consultores, contratistas, temporales o cualquier otro tercero, en el ejercicio de
sus labores o en relación con la prestación de los servicios objeto del contrato, es
propiedad de Xorex.
g) Los Activos de Información, sin importar su sensibilidad o criticidad, deben
tener un responsable definido, quien será el responsable de vigilar que estos se
encuentren debidamente protegidos contra amenazas que puedan afectar los
criterios de Seguridad de la Información que generan, procesan o resguardan;
además deberá realizar la clasificación del mismo con el apoyo del Responsable
de Seguridad de la Información.
h) Los Activos de Información deben ser tratados de acuerdo con los criterios de
uso establecidos por Xorex. Cualquier violación a este tratamiento debe ser
notificada al responsable del Activo de Información y al Responsable de Seguridad
de la Información.

i) Para fines de mantenimiento y seguridad de la red, las personas autorizadas por

el Jefe de TI pueden monitorear equipos, sistemas y tráfico de red en evento de
auditoría o vulnerabilidad.
j) Es deber de los usuarios finales de las redes, respetar los criterios políticas y
niveles de acceso definidos para el buen uso de las redes y equipos de
cómputo y abstenerse de extralimitación de funciones, abuso de poder o
cualquier tipo de influencia en favor de requerimientos personales.
k) Todos los activos físicos cuentan con una etiqueta, código de barras o
identificación de activo, la cual identifica los mismos en los sistemas de
información de la Empresa, está prohibida su alteración, afectación o
remoción del activo, al igual que las correspondientes a las etiquetas de
seriales y licencia de los Equipos de Computo

l) Todos los empleados y usuarios de partes externas deberán devolver todos

los activos de la empresa que se encuentren a su cargo, al terminar su
empleo, contrato o acuerdo.

m) La gerencia de recursos humanos es el responsable por el adecuado

almacenamiento y custodia de la información alojada en el archivo físico.
 USO ACEPTABLE DE LOS ACTIVOS
a) Los funcionarios, contratistas o externos deben tomar las medidas necesarias para
evitar el acceso no autorizado a la información, teniendo en cuenta los respectivos
niveles de acceso a la misma establecidos en el procedimiento “P.GC.004 Control de
Información Documentada”, para así evitar toda práctica que comprometa la
seguridad de la información.

b) Todos los sistemas que consideran manejar información confidencial o restringida

cuentan con un usuario y contraseña el cual es único e intransferible. Es deber y
responsabilidad del usuario del sistema mantener los usuarios y contraseñas seguras,
adicional no compartir las cuentas con otros funcionarios. El usuario debe estar en
capacidad de realizar cambio de la contraseña cuando detecte criterios de
vulnerabilidad que amenacen la seguridad de la cuenta.
c) Todos los equipos de cómputo deben estar asegurados con un protector de
pantalla protegido por contraseña con la función de activación automática, y
a su vez contar con la opción de bloqueo por el usuario (CTRL + ALT + SUP o
Win + L), el usuario debe emplear esta opción al momento de ausentarse del
puesto de trabajo.

d) Se debe aplicar seguridad especial de cifrado a los equipos de cómputo

portátiles en los que se aloja información, para garantizar la confidencialidad
de la información.
e) Todos los funcionarios, contratistas o externos que posean cuentan de
correo electrónico, deben tener la precaución y certeza de cerciorarse del
remitente especialmente si los mensajes de correo traen adjuntos, ya que
correos con remitente Restringido-desconocido, son considerados como
amenaza a la red y pueden contener virus, bombas de correo electrónico, o
el código malicioso caballo de Troya.
ACTIVIDADES A NIVEL DE SISTEMAS Y RED
a) Se considera de uso inaceptable si se violan los derechos de cualquier
persona o empresa protegida por derechos de autor, secretos comerciales,
patentes u otra propiedad intelectual, leyes o reglamentos similares,
incluyendo la instalación o distribución de productos “Piratas” u otros
productos de software que no son debidamente autorizados para su uso por
Xorex de Colombia S.A.S
b) No está permitido alojar información no autorizada o ajena a la actividad
de la empresa, en los servidores.
c) No está permitido las copias no autorizadas de material con derechos
de autor, incluyendo digitalización y distribución de material de revistas,
software, libros o fuentes con derechos de autor, la música, y la instalación
de cualquier software protegido y que Xorex de Colombia S.A.S no cuente
con licencia activa.

d) No está permitido la introducción de software malicioso en la red o en

los servidores (por ejemplo: Virus, gusanos, caballos de Troya, bombas de
correo electrónico).

e) Está prohibido revelar las contraseñas de las cuentas corporativas o

permitir el uso de su cuenta a terceros. ce
f) Está prohibido hacer uso de activos informáticos de Xorex de Colombia S.A.S
para la adquisición o transmisión de material que viole las leyes de acoso sexual o
laboral.

g) No Hacer ofertas fraudulentas de productos, artículos o servicios procedentes

de Xorex de Colombia S.A.S

h) No está permitido Hacer declaraciones sobre garantías expresas o implícitas, a

menos que sea parte de los deberes normales de trabajo.

i) No generar brechas de seguridad o interrupciones de la comunicación en red.

Las brechas de seguridad incluyen conexiones a servidores no autorizados,
“sniffing”, “spoofing” de paquetes, denegación de servicio.
No realizar un escaneo de puertos o escaneo de seguridad,
salvo situaciones explícitamente autorizadas por el
Profesional Senior en Seguridad de la Información.
k) No ejecutar cualquier forma de supervisión de la red que
intercepte los datos del funcionario, sin considerarse
situación de riesgo para la operación del negocio.
l) No eludir la debida autenticación de usuarios o la
seguridad a nivel de host, red o cuenta.
m) No interferir o negar el servicio a cualquier usuario
mediante ataques de denegación de servicio o “Man in the
middle”.
n) El uso de cualquier programa / script / comando, o el envió de mensajes
de cualquier tipo, con la intención de interferir o deshabilitar, la sesión del
usuario final, a través de ningún medio, sea a nivel local o a través de
internet / Extranet.

o) Proporcionar información de Xorex de Colombia S.A.S o de sus clientes a

terceros.

p) Uso de los sistemas de información y equipos de procesamiento con

perfiles y cuentas que no correspondan o sean propios.

q) Los empleados deben abstenerse de participar en Blogs y grupos que

puedan atentar contra la buena imagen de Xorex de Colombia S.A.S y
cualquiera de sus empleados.

r) Cambiar la configuración de forma no autorizada a los activos

informáticos entregados.
s) Ningún funcionario puede instalar software en el computador portátil que le
que asignado, esta actividad es exclusiva del área de soporte y la gerencia de
tecnología.

t) No está permitido comer, consumir líquidos, y fumar en las áreas de gestión,

data center, y áreas de procesamiento y gestión de información.

u) No está autorizado la captura de información de datos personales a través de

dispositivos de captura de imágenes.

v) No está permitido Daño o deterioro por parte de los usuarios de los activos
informáticos y de información asignados a su cargo.

w) No está permitido el Ingreso y/o uso de dispositivos móviles no autorizados las

áreas consideradas como seguras.

x) Está prohibido el Ingreso y/o uso de memorias USB no autorizadas.

ALMACENAMIENTO DE INFORMACIÓN EN
ESTACIONES DE TRABAJO
a) El uso de las estaciones de trabajo que son asignados a los funcionarios,
contratistas o externos como herramientas de trabajo deben estar
direccionados al cumplimiento de su labor dentro de Xorex de Colombia y no
se debe almacenar información prohibida por ley, software no autorizado por
la compañía, así como información personal.

b) Está prohibido el almacenamiento de información de la empresa en equipos

que no son propiedad de la empresa salvo que exista un contrato o acuerdo
que lo autorice
POLÍTICA DE CONTROL DE ACCESO
XOREX proveerá los recursos y accesos que cada colaborador requiera para sus
funciones. Los accesos adicionales deben ser autorizados por el líder del proyecto para
el cual está asignado el funcionario y el profesional senior de seguridad de la
información.

El área de Tecnologías de la Información será la encargada de la creación de los

usuarios y la gestión de accesos en los diferentes sistemas y aplicativos.

Para esto, se deberá aplicar las matrices y los respectivos procedimientos definidos por
la empresa.

c) Las solicitudes de usuarios externos deben ser aprobadas por el responsable del
activo de información y el profesional senior de seguridad de la información antes de
ser atendido. En caso de aplicarse, esto se dará por el tiempo requerido para efectuar
el trabajo y será el responsable del proceso o proyecto el responsable de garantizar su
uso adecuado.
d) Se asignarán los accesos a la información de acuerdo a la clasificación del activo
de información.
 RESPONSABILIDADES DE LOS
COLABORADORES EN EL CONTROL DE
ACCESO
a) Los colaboradores deben ser informados sobre sus responsabilidades y
compromisos frente a las políticas que la entidad dispone para el control de
acceso mediante los contratos que para su vinculación se suscriban, así como
en el Reglamento Interno del Trabajo y la correspondiente capacitación
entrenamiento y sensibilización en seguridad de la información y protección de
datos personales dispuesta en Moodle

b) Cualquier colaborador deberá identificarse y autenticarse bajo los

mecanismos de acceso entregados por la empresa (contraseñas, llaves, tarjetas
de proximidad, tokens, biometría o demás) para el acceso a los activos de
información de Xorex de manera local o remota. Estos mecanismos no deberán
ser compartidos o entregados a ninguna persona, a menos que sea bajo un
procedimiento formal de custodia o exista un requerimiento legal.
c) Está prohibida la suplantación de un usuario y el uso de una sesión de trabajo
iniciada por otro colaborador; si el colaborador sospecha que ha sido
suplantado es su responsabilidad modificar su contraseña y notificar al
responsable de seguridad de la Información.

d) Para los sistemas y aplicaciones que requieran autenticación, se deberán

aplicar las políticas que la entidad dispone para este fin.

e) No Se debe almacenar contraseñas en texto claro, en activos de información

de uso compartido o en lugares públicos.

f) Los colaboradores deberán bloquear el acceso a dispositivos o aplicaciones

cuando no se encuentren haciendo uso de los mismo.
g) Los funcionarios, contratistas o externos de XOREX de Colombia no
deben compartir su contraseña o cualquier otro mecanismo otorgado
para su identificación y autenticación.

h) Todos los funcionarios, contratistas o externos deben portar el carnet

para identificarse dentro de las instalaciones de Xorex de Colombia.

i) En caso de robo o pérdida del carnet de identificación, se debe reportar

por medio de la herramienta de gestión o al correo
[email protected]
 POLÍTICA DE CREACIÓN DE
USUARIOS
a) La solicitud de una nueva cuenta deberá hacerse mediante el procedimiento
“P.GT.001 Procedimiento Gestión de Accesos”.

b) Los colaboradores que reciben los usuarios asignados deberán aceptar la

responsabilidad y políticas de la entrega de los nuevos recursos.

c) No debe concederse una cuenta a personas que no sean colaboradores de la

empresa, a menos que estén debidamente autorizados por el área de gestión
humana.

d) No se deben crear usuarios genéricos.

e) La gerencia de tecnología debe mantener registro y control de los accesos

otorgados a las cuentas de usuarios privilegiados, así mismo asignar controles
apropiados
POLÍTICA DE CREACIÓN DE CONTRASEÑAS
a) Las contraseñas de sistemas y aplicativos deberá contener como
mínimo 8 caracteres dentro de los cuales deben contener:

• Al menos un número (0,1, …,9)

• Letras mayúsculas y minúsculas de la a-z, A-Z
• Al menos un carácter especial ($ & @ #)
b) Como características adicionales de la administración de las contraseñas se
deberá cumplir con los siguientes parámetros de configuración:

• Deberán caducar por lo menos cada 42 días

• El sistema deberá validar que no se puedan reutilizar las últimas 5 contraseñas

utilizadas.

• Bloquear la cuenta después de 3 intentos fallidos

• Solicitar la contraseña anterior antes de asignar una nueva contraseña.

c) Todas las contraseñas de las cuentas administradoras del sistema (root,

administradores de servidores Windows, cuentas de administración de aplicaciones y
bases de datos) deben ser cambiados cada seis meses y de forma controlada.
 POLÍTICA DE ADMINISTRACIÓN DE
ACCESOS
a) Es responsabilidad del área de Tecnologías de la Información cuando se
requiera, reportar los accesos de los diferentes sistemas y aplicativos a los
líderes de proceso o proyecto, los cuales deberán hacer una revisión de
estos y garantizar que sean adecuados de acuerdo con sus
responsabilidades y que no dé lugar a conflicto de interés, adicionalmente
deben reportar las novedades que considere necesarias de acuerdo con el
procedimiento establecido.

b) Los líderes de procesos o proyectos y/o el área de Recursos Humanos

deberán informar al área de Tecnologías de la Información, las novedades
de los colaboradores a su cargo
c) El área de Tecnologías de la Información deberá mantener un registro
formal de todas las solicitudes de creación de usuarios, de la solicitud de
asignación de accesos.

d) El profesional senior de seguridad de la información deberá efectuar

revisiones periódicas con el objeto de identificar usuarios retirados o en
período de vacaciones que se encuentren activos en el sistema. (Frecuencia
mensual)

e) El Profesional Senior en Seguridad de la Información o quien el designe

llevaran a cabo validaciones periódicas para controlar la existencia de
usuarios habilitados pertenecientes a funcionarios, contratistas y/o externos
que ya no laboran ni presentan ningún servicio a la empresa

f) Para casos de fuerza mayor en que se requiera la activación de un usuario

que se encuentra en vacaciones o inactivado, el líder de proceso o proyecto
deberá tramitar dicha autorización ante el responsable de seguridad de la
información.
g) El área de Recursos Humanos debe reportar a los responsables de los
sistemas de información, los colaboradores que cesan sus actividades por
periodos de incapacidad, permisos, ausentismos o vacaciones mayores a
tres (3) días y solicitar la desactivación o redireccionamiento de su cuenta
hasta el regreso.

h) Los líderes de procesos, proyectos o área de Recursos Humanos

deberán informar al área de Tecnologías de la Información cuando exista
un cambio de funciones o de área por parte de un Trabajador, que
amerite la actualización de permisos de usuarios de acuerdo con el perfil.
i) Las cuentas de acceso a los sistemas operativos y de información, son únicas e
intransferibles, el propietario o encargado del activo es responsable por todos los
eventos que se puedan registrar en la misma.

j) Después de 5 minutos de inactividad se considerará tiempo muerto y se

bloqueará la sesión automáticamente, sin cerrar las sesiones en las aplicaciones
activas o de red.

k) En el evento de vencimiento de la contraseña de acceso, la cuenta se

bloquea y el usuario debe solicitar su desbloqueo y restablecimiento de
contraseña al área de soporte de la empresa.
l) Cuando el personal de Soporte de Tecnología se vea en la necesidad de
reestablecer una contraseña de acceso a un usuario, suministrara una
contraseña temporal y el sistema solicitara inmediatamente el cambio de la
misma por parte del usuario, de esta manera se evita que el personal de soporte
quede con conocimiento de la nueva contraseña.

m) A nivel de software los equipos de cómputo deberán tener bloqueos a nivel

de power shell, consola de comandos, juegos y aplicativos propios del sistema
operativo y demás descritos en el instructivo “I.ST.002 Hardening de Equipos”
POLÍTICA DE ACCESO A BASES DE DATOS

Para definir responsabilidades

asignadas para un adecuado manejo
de la información, se identifican dos
tipos de roles: en primera instancia los
roles generales que corresponden a
cada activo de información y
adicionalmente los roles específicos
referentes a Bases de datos
Personales, como se muestra a
continuación:
Con el fin de implementar medidas apropiadas de protección a cada activo de
información, estos se clasifican según su nivel de importancia y criticidad en
alguna de las siguientes categorías:
Base de datos personales: Se debe conservar el soporte de la autorización
suministrada por los titulares de datos personales, de acuerdo con lo establecido en
el documento “L.PD.001 Tratamiento de Datos Personales”. Si la información fue
cedida o suministrada por un tercero, se debe conservar el soporte de entrega de
dicha información a Xorex y validar que el tercero cuente con la autorización de los
titulares para el tratamiento de sus datos personales.

Durante el intercambio, traslado o copia de la información clasificada como

privada o sensible, se establecen mecanismos de protección para evitar la pérdida
o fuga de la información por medio de canales seguros, verificación periódica por
parte del responsable primario de los permisos y controles de acceso aplicados, y la
definición de repositorios centralizados que ayuden a evitar la duplicidad de
información o replicas desactualizadas de la misma que varíen frente a lo
almacenado en las fuentes originales.
Es responsabilidad del administrador de la Base de Datos garantizar el
cumplimiento de las siguientes políticas:

a) Garantizar el cambio inmediato de la contraseña por defecto de los

usuarios, en especial los que son administradores de la base de datos, al igual
que inactivar las cuentas que no se utilicen cada mes.

b) Los administradores de la base de datos son los únicos autorizados para

crear, modificar o eliminar objetos.

c) Se deberá definir lineamientos para la administración de los permisos “grant”

o “Asignar permisos”
d) Crear cuentas de usuarios personalizadas para la operación de la base de
datos, incluso de aquellos usuarios que tengan privilegios de solo consulta.

e) No se podrá utilizar el usuario “root”, “administrador”, “administrator” o

cualquier otro usuario con privilegio administrador por defecto.

f) Realizar copia de seguridad de las bases de datos en medios que permitan

su recuperación bajo criterios de integridad y disponibilidad.
 POLÍTICA DE ACCESO A LA RED

a) Los colaboradores no deben interferir en los procesos de Tecnologías de la

Información, ni en el buen funcionamiento de los servicios y recursos de esta
mediante acciones deliberadas y deben velar porque el uso del internet sea
aceptable.

• No usar Internet o sistemas de la empresa para acceder o descargar

material que sea inapropiado, ofensivo, ilegal o que ponga en peligro la
seguridad de la información.
• El uso de Internet para efectos distintos a las actividades laborales no es
permitido.
Las restricciones a ciertos sitios Web (que se consideren riesgosos o que afectan el
rendimiento de la red y el entorno laboral) establecidas por la compañía deben ser
acatadas.

b) Los puntos de accesos de red que no se estén utilizando no deben permanecer

habilitados, en especial aquellos que se encuentren en salas y sitios públicos que no
puedan ser vigilados.

c) Es obligatorio que todos los equipos de cómputo que se conectan a la red de la

compañía estén dentro del dominio Xorex.col.com que permitirá identificar y
autenticar al usuario antes de ingresar al sistema o dispositivo y en el cual se
especifiquen los usuarios autorizados y los niveles de acceso de acuerdo con su rol
en la compañía.
d) Los terceros que requieran acceso a internet deberán hacer uso
únicamente de la red de Invitados; previa autorización del líder de proceso
o proyecto.

e) Los equipos que se encuentren dentro de las instalaciones de la empresa

únicamente deberán conectarse a la red corporativa.

f) Los equipos no se deben conectar a redes inalámbricas inseguras o poco

confiables

g) Se debe generar controles de filtrado web sobre la red de las

instalaciones de Xorex de Colombia.
h) Las redes que forman parte de la infraestructura tecnológica deben
segmentarse de acuerdo con una arquitectura definida y con el nivel de
protección requerido

i) Todos los equipos de redes de datos y telecomunicaciones deben estar

plenamente identificados y deben hacer parte de un inventario actualizado

j) Los servidores que por su función tienen publicados servicios de internet,

deben estar ubicados en una zona desmilitarizada y con la seguridad
necesaria

k) Esta restringido el uso de protocolos de autenticación inseguros

 POLÍTICA DE CONEXIONES REMOTAS

a) Todas las conexiones remotas dentro de la compañía están restringidas

excepto para el área de Tecnologías de la Información.
Nota: Si se requiere conexión remota, esta debe ser gestionada a través de
una solicitud de servicio para su estudio, con previa aprobación del Jefe del
área de Tecnologías de la Información y de Seguridad de la Información.

b) Las conexiones a la red de Xorex desde sitios externos autorizadas en la

compañía, para colaboradores y personas externas podrán ser realizadas
únicamente a través de conexiones cifradas por medio de VPN (Site to Site) y
(Client to site)
c) Debe garantizarse que las conexiones remotas a servidores, equipos
de comunicaciones, sistemas operativos o aplicaciones, se haga a
través de conexiones seguras (https, sftp etc.)

d) Las contraseñas para las conexiones a través de VPN Client-Site

deben ser contraseñas fuertes y deben cambiarse como mínimo cada
seis (6) meses.

e) El área de Tecnologías de la Información es responsable del

bloqueo de las cuentas de usuarios VPN una vez el colaborador o
externo se haya retirado de la compañía.
f) Debe garantizarse un proceso de desconexión automática por
tiempos de inactividad en conexiones VPN.

g) Las conexiones a escritorio remoto deben estar limitadas a una lista

de control de acceso definido en la compañía.

h) Se debe garantizar que las conexiones VPN sean efectivas

exclusivamente al equipo asignado al colaborador o en su defecto a
los equipos autorizados por el líder del proceso, proyecto y responsable
de seguridad de la información.
 SEGURIDAD FISICA Y AMBIENTAL
Política de Acceso a las Instalaciones

a) La empresa debe establecer perímetros de seguridad como rejas

paredes, puertas de ingreso controlado o vigilancia

b) Las oficinas, recintos e instalaciones deben tener habilitado un sistema

de control de acceso para evitar el acceso no autorizado

c) Debe existir un área de recepción que sólo permita la entrada de

personal autorizado.

d) En caso de existir actividades de terceros en la compañía, la persona

responsable del proyecto al interior de la empresa debe garantizar la
ejecución de los controles que apliquen según sus actividades. ce
e) El área de compras y logística es la encargada se asegurar
físicamente las oficinas recintos e instalaciones.

f) Es necesario que exista una autorización previa por parte del líder de
Tecnologías de la Información o cargo superior para el ingreso de
personal externo a los cuartos técnicos. Este ingreso debe contar con un
acompañamiento permanente por parte del área de Tecnologías de la
Información.

g) Todos los visitantes que se encuentren en las instalaciones de Xorex

deben estar acompañados por un funcionario de XOREX de Colombia.
h) Las áreas responsables de los controles de seguridad física, ambientales y
de temperatura, deben velar por su funcionamiento y mantenimiento de la
siguiente forma:

• Biométricos – Gerencia de compras y logística

• Sistemas contraincendios y extintores – Salud Ocupacional
• Puertas – Administrativo
• Puertas de emergencia - Gerencia de compras y logística
• Circuito cerrado de televisión – Gerencia de compras y logística
• Aires acondicionados – Recursos Humanos
i) La empresa debe diseñar e implementar mecanismos de
protección física contra daño por fuego, inundación, terremoto,
explosión, disturbios civiles y otras formas de desastre natural o
provocado

j) Para trabajo en áreas seguras se debe atender los dispuesto en el

documento de gestión de seguridad y salud en el trabajo

k) Xorex de Colombia debe proveer los mecanismos necesarios

para proteger los equipos de fallas de energía y otras interrupciones
causadas por fallas de servicios públicos.
l) La empresa debe proveer mecanismos necesarios para
proteger el cableado de la energía y la información que es
transferida en las telecomunicaciones con el ánimo de evitar la
interceptación o daños de los mismos

m) Todos los equipos instalados para implementar los

mecanismos de seguridad física y lógica deben tener
actividades de mantenimiento programadas
POLÍTICA DE ACCESO A ÁREAS RESTRINGIDAS

a) Las áreas seguras vacías deben registrarse periódicamente y

mantenerse con llave.

b) No se debe ingresar equipo fotográfico o equipos de grabación a áreas

seguras a menos que se cuente con la respectiva autorización.

c) El sitio escogido para ubicar los sistemas de información, equipos de

cómputo y comunicaciones, deben estar protegidos por controles físicos
(Tarjeta de Proximidad, lector biométrico u otros), para evitar el ingreso de
personal no autorizado.
d) El perímetro de seguridad debe ser claramente definido y con un
circuito de cámaras de seguridad que garanticen el control.

e) En caso de pérdida de llaves, deberán existir procedimientos que

garanticen que las mismas no puedan ser utilizadas por extraños.

f) Se deben tener extintores de incendios vigentes y debidamente

probados, con categoría de detener el fuego generado por equipo
eléctrico, papel o químicos especiales.
g) No se permite fumar, tomar ningún tipo de bebidas o consumir
alimentos dentro del centro de procesamiento de datos.

h) Colaboradores, visitantes o terceras personas que ingresen a un área

definida como restringida, deberán tener una identificación a la vista la
cual será intransferible y estar acompañado por un funcionario de XOREX
de Colombia

i) Los activos de información deberán estar salvaguardados bajo los

controles ambientales de acuerdo con su naturaleza y a las normas y
regulaciones vigentes para edificaciones, instalaciones y protección de
cualquier desastre natural o artificial.
j) Para cambiar o trasladar un activo de información, los colaboradores
deberán recibir aprobación previa de forma clara y expresa del dueño del
activo de información y del responsable de seguridad de la información. Dicha
aprobación no podrá ser superior a 3 meses.

k) Los activos de información que prestan servicios críticos deben recibir

mantenimiento preventivo y correctivo para asegurar la continua disponibilidad
de los servicios que soportan.

l) Todo visitante que ingrese a un área restringida debe registrar su ingreso en el

formato “F.GC.012 Ingreso a Áreas Seguras”
SEGURIDAD DE LAS OPERACIONES
a) Los procedimientos de operación se deberían documentar y poner a
disposición de todos los usuarios que la necesiten

b) La empresa debe contar con un proceso de gestión de cambios

documentado, divulgado, actualizado y documentado.

c) Los relojes de todos los sistemas de información deben estar

sincronizados con la hora del instituto nacional de metrología.

d) Se debe monitorear la gestión de la capacidad y realizar

requerimientos de proyección futura para asegurar un procesamiento y
almacenamiento adecuado. Las proyecciones que se efectúen deben
tener en cuenta los nuevos requerimientos de los sistemas.
e) Se debe establecer y documentar criterios de seguridad de
aceptación para todos los proyectos y componentes de tecnología
para los sistemas nuevos o cambios para los sistemas existentes.

f) Todos los servidores, equipos de comunicaciones y dispositivos de

seguridad de la empresa, así como las aplicaciones, servicios y bases
de datos deben generar evidencia que registre las actividades de los
usuarios, errores, eventos de seguridad y cualquier otra información que
pueda ayudar a la identificación temprana de riesgos de seguridad y
futuras investigaciones

g) Los sistemas de información que manejan información sensible

deben activar el log de eventos para llevar trazabilidad de las acciones
realizadas.
h) Los logs de eventos se deben mantener por un periodo de tiempo
establecido, dependiendo de la plataforma, su capacidad, las
necesidades del negocio y de las normas y regulaciones que puedan
aplicar.

i) Los diferentes Logs y registros de auditoria deben tener las medidas

de seguridad que eviten la copia, la modificación, la eliminación sin
el procedimiento y/o autorización respectiva.
 POLÍTICA DE SOFTWARE
a) Se debe tener claramente identificado e inventariado el software
autorizado para usar en la infraestructura tecnológica de la empresa

b) Todo sistema de información desarrollado internamente, adquirido o en

arriendo, tendrá asignado un responsable del área técnica denominado
líder técnico quien es el encargado de garantizar el cumplimiento de los
controles de seguridad de la información.

c) Todo el software instalado en los diferentes componentes de la

infraestructura tecnológica debe estar licenciado.

d) La empresa no se hace responsable del software ilegal que sea

encontrado en alguna estación de trabajo asignada a sus empleados. Por
lo tanto, es la responsabilidad civil, económica y penal recaerá
directamente sobre el empleado.
 CRIPTOGRAFÍA
a) Todos los funcionarios, proveedores y externos de la empresa que
tengan administren información deben hacer uso de técnicas de cifrado
apropiadas a la clasificación del activo de información.

b) Se debe generar controles de cifrado sobre los canales de

comunicación y cifrado de la información transferida entre fuentes
internas y externas cuando aplique.

c) Los equipos portátiles que manejen información confidencial deben

cifrar el disco para evitar el robo o la pérdida

d) Se deben proteger las claves criptográficas contra modificación,

copia y divulgación no autorizada. Adicional se debe proporcionar una
protección adecuada a la infraestructura diseñada e implementada
para generar y almacenar claves, considerándolo como un activo
confidencial de riesgo alto.
 POLÍTICAS DE INSTALACIÓN, USO Y
ADMINISTRACIÓN DE EQUIPOS DE CÓMPUTO
Políticas de Instalación de Equipos

a) Todos los computadores, servidores y dispositivos móviles, propios o de

terceros que sean conectados a la red de datos de la compañía, deberán
contar con un software, antivirus o alguna otra herramienta actualizada para
detectar software malicioso (malware).

b) Todo equipo que sea asignado a un usuario y que haya sido utilizado por
otro, deberá entregarse libre de información, programas y/o configuraciones
que utilizaba el usuario anterior y deberá eliminarse los perfiles que
correspondan a usuarios previos. La información podrá ser entregada al líder
del proceso o proyecto a través de los procedimientos que disponga la
entidad para tal fin.
c) Las actualizaciones de sistemas operativos deberán estar en las últimas
versiones disponibles. Para los casos en que las configuraciones actuales no
permitan garantizar esto, se debe definir un plan de migración para
actualizar la configuración no superior a 6 meses.

d) Únicamente los usuarios administradores de dominio podrán crear o

modificar otros usuarios administradores de dominio.

e) No se debe conceder permisos de usuario administrador de máquina a

ningún usuario. Para los casos que sea necesario, se deberá contar la
autorización del líder del proceso o proyecto, el líder de Tecnologías de la
Información y el responsable de seguridad de la información y se deberá
establecer por un periodo de tiempo no superior a 1 mes.
f) Se deberá inhabilitar la cuenta “Administrador” por defecto de la máquina y crear
la cuenta “Xorexadmin” y debe tener definida una contraseña fuerte y conocida
únicamente por el área de Soporte técnico.

g) El área de Soporte técnico deberá tener un registro de todos los equipos

propiedad de la compañía.

h) El área de Tecnologías de la Información debe mantener un inventario actualizado

de los equipos de cómputo instalados en los centros de procesamiento de datos;
adicionalmente se debe llevar una bitácora con los cambios que se realicen.
i) Los equipos que sean de propósito específico y tengan una misión
crítica asignada, deben estar ubicados en un área que cumpla con los
requerimientos de seguridad física, condiciones ambientales y con fuentes
de energía temporal en casos de contingencia.

j) Se debe garantizar que los equipos de comunicaciones (Switch, Router,

Access Point, entre otros) no tengan configuraciones por defecto
(usuarios, claves comunidades, entre otros) y deberán ser configurados
según la necesidad, antes de ponerlos en producción.
k) Se deberá etiquetar los equipos de cómputo instalados en los centros
de procesamiento de datos, permitiendo ubicar el equipo de forma
rápida y precisa.

l) Únicamente el personal del área de Tecnologías de la Información está

autorizado para instalar nuevos equipos. Es necesario garantizar que
dichos equipos cuenten con las medidas de seguridad requeridas, antes
de la puesta en producción.

m) Los servicios críticos que estén expuestos en Internet deberán contar

con pruebas de Ethical Hacking al menos a 1 vez al año.
n) Se deben realizar pruebas de vulnerabilidad sobre la infraestructura
critica por lo menos 1 vez al año

o) Debe garantizarse que los computadores se bloquen automáticamente

después de 3 minutos de inactividad, con el objetivo de prevenir
suplantaciones o accesos no autorizados.

p) Se deben realizar validaciones periódicas del cableado y

mantenimiento de equipos de controles ambientales.
 POLÍTICAS DE USO DE COMPUTADORES,
SERVIDORES, IMPRESORAS Y PERIFÉRICOS

a) Servidores, computadores, impresoras, UPS, escáner y equipos en general;

no pueden ser utilizados en funciones diferentes a las institucionales.

b) Se debe asegurar que los equipos estén conectados a las instalaciones

eléctricas apropiadas según corresponda.

c) Los equipos deben estar ubicados en sitios adecuados bajo condiciones

que garanticen su seguridad y buen estado.
 POLÍTICA DE DESTRUCCIÓN O
REUBICACIÓN DE EQUIPOS ELECTRÓNICOS

a) Para los equipos que se den de baja o sean donados, se debe garantizar
que no contengan información de la entidad, Siguiendo el procedimiento
de borrado seguro

b) Para todo equipo (desktop, laptop, equipos de red, entre otros) que sea
reasignado, el área de Tecnologías de la Información deberá garantizar
que no contenga información de usuarios anteriores o rastros de servicios,
configuraciones o aplicaciones antes alojados.
c) Solo el área de Tecnologías de la Información está autorizada para reubicar
equipos una vez se cuente con autorización del área administrativa por medio
de una solicitud de servicio.

d) Se debe actualizar todas las novedades derivadas del traslado y/o

reubicación de los equipos.

e) Ningún equipo podrá ser retirado de las instalaciones de la compañía, sin la

autorización por escrito por parte del líder de proceso o proyecto. Para los
colaboradores cuyas labores requieran retirar los equipos de forma recurrente o
periodos prolongados (superior a 1 mes) se deberá solicitar autorización del área
de Tecnologías de la Información y seguridad de la información. En ningún caso
una autorización podrá superar 1 año de validez.
 ESCRITORIO Y PANTALLA LIMPIA
• Bloquear siempre la estación de trabajo al alejarse de ella mediante
(Crtl+Alt+Delete) o apagarlo directamente.

Se debe mantener el escritorio lo más limpio y organizado posible.

Los escritorios de equipo de cómputo no deben tener documentos o
archivos con información restringida o confidencial.

Se deben tener las siguientes precauciones:

Durante el día:
• No publicar documentos o datos sensitivos, por ejemplo:

− Nombre de Usuario y contraseñas

− Direcciones IP
− Contratos
− Números de Cuenta
− Información Propiedad de los clientes: Datos de localización, Números de
obligaciones, cuentas, etc.
− Datos de Empleados
− Cualquier cosa que no desea publicar
Los riesgos asociados a la información física
pueden ser: Información física desprotegida, falta
de cajones o sitios de custodia especiales para
almacenarla, con el fin de garantizar su integridad
y confidencialidad, falta de llaves en cajones o
gavetas, falta de material para protegerla o
clasificarla, posibles riesgos por humedad u otras
condiciones ambientales y demás situaciones que
puedan afectar la información.
POLÍTICA DE USO DE DISPOSITIVOS MÓVILES Y
EXTRAIBLES
a) Por defecto todos los computadores de la compañía deberán tener
bloqueado los puertos USB, Unidad CD/DVD y conexiones inalámbricas
diferentes a las autorizadas. En caso de ser requerido, se deberá contar
con autorización del líder de proceso o proyecto y el responsable de
seguridad de la información. En ningún caso una autorización podrá
superar 1 año de validez.

b) La autorización de acceso USB, CD-ROM u otros dispositivos, deben ser

consignadas en un formato para su respectivo control.
c) Todos los servidores y terminales que tengas acceso a información
deberán mantener inhabilitado los puertos de conexión USB, y unidades de
CD-ROM y DVD, las cuales deberán habilitarse únicamente por el
administrador del servidor en caso de mantenimientos o actualizaciones de
software.

d) Se debe tener un inventario de celulares, cada uno de ellos debe tener un

responsable.

e) El responsable del dispositivo móvil no lo debe utilizar para navegar por

internet a través de la red de la Compañía utilizando sincronización con el
computador, pues si lo hace debilita las medidas de seguridad de la red.
f) El responsable del dispositivo móvil no debe descargar aplicaciones móviles
o archivos de sitios Web poco confiables.

g) Se debe evitar el almacenamiento de información confidencial y restringida

de la compañía en dispositivos móviles.

h) Está prohibido el uso de dispositivos móviles por personal externo en los

centros de procesamiento de datos. En caso de ser necesario se deberá
contar con la autorización del área de Tecnologías de la Información y dicho
acceso deberá ser registrado en la bitácora.

i) No está dentro de las funciones del área de Tecnologías de la Información

dar soporte técnico a los dispositivos móviles que no sean propiedad de la
empresa.
CORREO ELECTRÓNICO E INTERCAMBIO
DE INFORMACIÓN
a) Los medios de intercambio de Información deben contar con un análisis de
riesgos, que permitan diseñar e implementar controles efectivos para la
protección de la Información que viaja a través de estos.

b) El acceso a cuentas de correo electrónico personal debe estar restringido.

c) Los colaboradores no deben realizar actividades que impliquen pérdida o

degradación del rendimiento de los activos de Información, incluyendo aquellas
utilizadas para el intercambio de información, tales como envío de cadenas,
descarga de archivos de gran tamaño, fotos personales, música, entre otros.

d) La información confidencial o restringida que sea trasmitida por correo o por

algún aplicativo de la empresa, deberá viajar cifrada y en la medida en que sea
posible el usuario emisor y receptor o en su defecto Cliente/Servidor, deberán
incluir certificados digitales.
e) Ningún colaborador está autorizado para utilizar cuentas de correo
asignadas a otra persona; en el caso de requerirse por ausencias, vacaciones,
licencias, entre otros, se deben usar mecanismos de redirección de mensajes
de acuerdo con lo establecido en el manual de inducción corporativa.

f) Los colaboradores deberán estar en la capacidad de identificar archivos

adjuntos maliciosos y contenidos sugestivos (pornografía, publicidad, cadenas,
entre otros). En caso tal de recibir este tipo de información, se debe informar al
Profesional Senior de Seguridad de la Información, para tomar las medidas de
control necesarias.

g) No está autorizada la falsificación del encabezado del correo

h) No se permite el uso del correo electrónico de la empresa para
propósitos personales,

i) Evite enviar información confidencial por correo electrónico. Si lo hace,

debe proteger la información mediante su inclusión en un archivo de
Microsoft Word o Excel protegido por contraseña, o comprimido en ZIP con
contraseña. Se debe suministrar al receptor la contraseña de apertura por
otro tipo de comunicación, por ejemplo, presencial o teléfono.

j) El correo electrónico es monitoreado sin previa notificación de forma

periódica.

k) Todo correo debe tener la advertencia de seguridad especificada en el

documento “I.GC.001 Creación de Firma Corporativa en Outlook”
 COPIAS DE SEGURIDAD
a) El dueño del activo de información debe definir la información que requiere
ser respaldada para lo cual deberá radicar una solicitud al área de Tecnologías
de la Información con el fin de generar la copia de seguridad, de acuerdo con
las políticas de la empresa.

b) Está prohibida la generación de copias de seguridad para uso personal.

c) Se deben definir y ejecutar procedimientos para la generación de copias de

seguridad y la restauración de estas, con una periodicidad definida de acuerdo
con los lineamientos de la empresa.

d) Una vez cumplido el tiempo establecido de custodia para una copia de

seguridad, se debe aplicar las políticas de borrado seguro establecidos por la
empresa para tal fin.

e) Se debe realizar copias de seguridad sobre las estaciones de trabajo

identificadas como criticas.
SEGURIDAD Y CONTENIDO DE INTERNET

a) Se deben deshabilitar o monitorear herramientas inseguras como la suit

de Google.

b) Se deben implementar mecanismos para monitorear que no se

modifiquen los enlaces de los sitios Web de Xorex o la resolución de su DNS
por personal no autorizado (interno o externo).

c) Los controles de acceso a páginas de Internet deben ser definidos de

acuerdo con la necesidad del área o proyecto, sin ir en contra del
cumplimiento de las demás políticas de Seguridad de la Información.
d) Está prohibido el acceso a Internet a través de dispositivos distintos a los
proporcionados por la empresa (módems, páginas túnel, proxy anónimo).
En caso de ser necesario el uso de estos, deben contar con la aprobación
previa del responsable de Seguridad de la Información.

e) Está prohibida la descarga de archivos ejecutables, archivos de música,

video o software, el uso de programas de mensajería instantánea
diferente a la establecida por la empresa, juegos en línea o cualquier otro
componente que pueda generar propagación de virus, software
malicioso o cualquier otra amenaza que comprometa los criterios de
seguridad de la Información en los Activos.
 SEGURIDAD DE LA INFORMACIÓN EN LA
RELACIÓN CON LOS PROVEEDORES
a) Los terceros en cumplimiento de sus funciones que requieran ingresar a
un activo de información deben cumplir con todos los requerimientos
estipulados en la “L.GC.002 Políticas de Seguridad de la Información”.

b) Los funcionarios, contratistas o externos responsables de la supervisión de

los terceros, deben asegurar la divulgación de las políticas, procedimientos,
manuales y
lineamientos de seguridad de la información y velar por que el acceso por
parte de los proveedores a la información se realice de forma segura.
c) Todos los contratos y acuerdos de colaboración suscritos entre Xorex de
Colombia con cualquier tercero debe contar con acuerdos de
confidencialidad, responsabilidad y ANS de cumplimiento del servicio.

d) Cualquier conexión por parte del tercero debe estar autorizada por el
funcionario de Xorex de Colombia responsable de la supervisión del
contrato, y cumplir con todos los lineamientos de seguridad de la
información.

e) El funcionario de Xorex responsable de la administración de contrato

con el tercero es el encargado de monitorear el cumplimiento de las
políticas, procedimientos, Instructivos y Manueles del SGSI mediante el
formato “F.GC.015 Requerimientos de Seguridad de la Información para
Proveedores”
f) Se deben identificar los riesgos asociados a los activos de información
para terceros desde las etapas tempranas de contratación

g) El funcionario de Xorex responsable de la administración de contrato con

el tercero es responsable al momento de finalizar el contrato, de solicitar la
des habilitación de los accesos lógicos y físicos, que fueron habilitados para
el desarrollo de las actividades contratadas.
 AMBIENTES DE PRUEBA
a) No se debe utilizar datos de ambientes de producción en ambientes de
prueba, en caso de ser necesario los datos deben estar ofuscados.

b) b) La información operacional con la que se realizaron pruebas, al finalizar

se le debe realizar un borrado seguro.

c) c) Los ambientes de pruebas están definidos en el archivo F.GT.001 V2

Activos Fijos TI

d) Los ambientes de pruebas deben tener los mismos controles de

autenticación que los servidores de producción.

e) Los ambientes de prueba deben cumplir con los requisitos de hardening

definidos.
 GESTION DE INCIDENTES DE
SEGURIDAD DE LA INFORMACIÓN
a) Se debe contar con procedimientos que permitan identificar de forma clara los
responsables para la gestión rápida, eficaz y ordenada de los incidentes de
seguridad de la información

b) Todos los funcionaros de Xorex deben reportar cualquier incidente de seguridad

de la información del cual tengan conocimiento.

c) Se seguirán los lineamientos definidos en el documento “P.GC.006 Gestión

Incidentes SI”

d) Xorex de Colombia debe contar con procedimientos para la identificación,

recolección adquisición y preservación de la información que pueda servir como
evidencia de los incidentes
 ASPECTOS DE SEGURIDAD DE LA
INFORMACIÓN EN LA CONTINUIDAD
DE NEGOCIO

a) La empresa debe contar con estrategias para mitigar los riesgos que se
puedan materializar, generar interrupciones en la operación y velar por
mantener la disponibilidad de la información protegiendo los procesos,
recursos y plataformas críticas.

b) Ante la materialización de un riesgo de seguridad de la información que

genere interrupción de las operaciones la empresa debe tener planes de
continuidad que permitan recuperar los procesos y servicios críticos, la
información y por ende las operaciones en un tiempo estable
DISPONIBLIDAD DE LA INFRESTRUCTURA

a) Toda la infraestructura de los ambientes de producción debe ser

monitoreados por el NOC
El NOC informara de forma periódica sobre los hallazgos identificados de
acuerdo al monitoreo realizado.

CUMPLIMIENTO

a) La empresa debe establecer mecanismos que garanticen el cumplimiento

de las leyes colombianas vigentes.

b) Se deben generar auditorias internas de forma periódica, sobre el SGSI.

ROLES Y RESPONSABILIDADES SGSI
La estructura para la asignación de roles y responsabilidades dentro del SGSI al
interior de la compañía se define en el “M.PE.001 Manual de Roles y
Responsabilidades SGSI”.
SEGUIMIENTO

La presente política es validada, monitoreada y/o auditada conforme a las

especificaciones reglamentarias, normativas, contractuales y legales y los
procedimientos relacionados con el seguimiento, revisión de cumplimiento de la
seguridad de la información y las auditorías internas.
La presente Política es revisada y ajustada anualmente por la Dirección o cada vez
que se identifiquen cambios en el contexto del negocio y de seguridad de la
información, o en cualquier otra condición que afecte la política; la cual se actualiza
para asegurar adecuación y adaptabilidad.
La Gerencia General y los Jefes Inmediatos monitorean el cumplimiento de la Política
de General de Seguridad de la Información y propondrán los cambios en sus
lineamientos si se requiere.
 NORMATIVIDAD ASOCIADA
El desarrollo e implementación del modelo de seguridad de Información de Xorex de
Colombia, adopta algunas prácticas de la Norma ISO/IEC 27001:2013. Así mismo,
servirán de referencia las normas planteadas en las siguientes legislaciones:

• Ley 1273 de 2009, Ley de Delitos Informáticos en Colombia

• Ley 1581 de 2012. Protección de Datos Personales.
• Decreto 1377 de 2013. Reglamenta parcialmente la Ley de protección de datos
personales.
• Ley 23 de 1982 y Ley 44 de 1993, Derechos de Autor-Propiedad Intelectual
• Decreto 1360 de junio de 1989, Derechos de Autor-Soporte Lógico (software)
• Ley estatutaria 1581 de 2012, Protección de datos personales
• Decreto 1377 de 2013, Protección de datos personales
• Circular Externa 029 de 2014 de la Superfinanciera Parte I Titulo II Capitulo --Seguridad-
-
• Circular Externa 029 de 2014 de la Superfinanciera – Parte I Título I Capitulo IV --
Control interno Incluye continuidad—
INFORMACIÓN DOCUMENTADA
RELACIONADA
• R.GC.002 Declaración de Aplicabilidad
• P.GC.009 Gestión de Riesgos y Oportunidades
• L.PD.001 Tratamiento de Datos Personales
• P.GT.004 Gestión de Incidentes
• P.GH.003 Gestión Procesos Disciplinarios
• P.GC.004 Control de Información Documentada
• P.GT.001 Procedimiento Gestión de Accesos
• I.ST.002 Hardening de Equipos
• L.PD.001 Tratamiento de Datos Personales
• F.GC.012 Ingreso a Áreas Seguras
• I.GC.001 Creación de Firma Corporativa en Outlook
• F.GC.015 Requerimientos de Seguridad de la Información para
Proveedores
• P.GC.006 Gestión Incidentes SI
• M.PE.001 Manual de Roles y Responsa
 POLÍTICA DE CALIDAD

Xorex de Colombia, a través de la planificación y ejecución de todas las

actividades realizadas en nuestra organización, busca ofrecer a los clientes
estándares altos en los servicios y/o productos tecnológicos y soluciones
digitales ofrecidos que satisfagan las necesidades de las partes interesadas,
estamos comprometidos con la integridad de nuestro personal el
cumplimiento de las normas internacionales ISO, bajo el enfoque de
Responsabilidad Social Empresarial y comprometidos a realizar esfuerzos
razonables para alcanzar los objetivos estipulados apuntando al desarrollo y
sostenibilidad del negocio.
 POLÍTICA DE CALIDAD
Los objetivos para dar cumplimiento a la anterior declaración son los siguientes:

➢ Brindar soluciones tecnologías y soluciones digitales de la información que

satisfagan las necesidades de los clientes

➢ Crear y formar con un equipo humano competente y comprometido con la

innovación y la mejora continua.

➢ Ofrecer un servicio y/o producto que cumpla con las expectativas de nuestros
clientes en oportunidad y calidad.

➢ Identificar las necesidades de nuestros clientes como una oportunidad de

mejora continua de nuestros productos y servicios.
GRACIAS