Politica de Seguridad de La Informacíon Xorex RPM
Politica de Seguridad de La Informacíon Xorex RPM
Politica de Seguridad de La Informacíon Xorex RPM
SEGURIDAD DE
LA
INFORMACIÓN
Objetivo
La presente Política de Seguridad de la Información tiene como objetivo
definir los lineamientos generales en materia de Seguridad de la Información
para garantizar la gestión, protección y el funcionamiento de los activos de
información al interior de Xorex de Colombia, así como promulgar y aplicar
el Sistema de Seguridad de la Información en los procesos internos y dentro
del alcance de los proyectos que desarrolla Xorex de Colombia para
minimizar los riesgos asociados a los activos de información y las personas.
Aplicación
La Política de Seguridad de la Información cubre los activos de
información más relevantes (Personas, Información y Tecnología), que
soportan los procesos del negocio de XOREX de Colombia y es aplicable
para todos los funcionarios, contratistas y externos.
• Datos personales sensibles: son aquellos que afectan la intimidad del titular
o cuyo uso indebido puede generar discriminación, tales como aquellos que
revelen el origen racial o étnico, la orientación política, las convicciones
religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de
derechos humanos o que promueva intereses de cualquier partido político o
que garanticen los derechos y garantías de partidos políticos de oposición,
así como los datos relativos a al salud, a la vida sexual y los datos biométricos.
(Ley 1581 de 2012-Art.5).
Definiciones
• Gestión del Riesgo: Actividades coordinadas para dirigir y controlar una empresa
en relación con el riesgo.
o Cuáles son los requisitos para que la información se salvaguarde ante pérdida
de la confidencialidad, integridad o disponibilidad.
v) No está permitido Daño o deterioro por parte de los usuarios de los activos
informáticos y de información asignados a su cargo.
Para esto, se deberá aplicar las matrices y los respectivos procedimientos definidos por
la empresa.
c) Las solicitudes de usuarios externos deben ser aprobadas por el responsable del
activo de información y el profesional senior de seguridad de la información antes de
ser atendido. En caso de aplicarse, esto se dará por el tiempo requerido para efectuar
el trabajo y será el responsable del proceso o proyecto el responsable de garantizar su
uso adecuado.
d) Se asignarán los accesos a la información de acuerdo a la clasificación del activo
de información.
RESPONSABILIDADES DE LOS
COLABORADORES EN EL CONTROL DE
ACCESO
a) Los colaboradores deben ser informados sobre sus responsabilidades y
compromisos frente a las políticas que la entidad dispone para el control de
acceso mediante los contratos que para su vinculación se suscriban, así como
en el Reglamento Interno del Trabajo y la correspondiente capacitación
entrenamiento y sensibilización en seguridad de la información y protección de
datos personales dispuesta en Moodle
f) Es necesario que exista una autorización previa por parte del líder de
Tecnologías de la Información o cargo superior para el ingreso de
personal externo a los cuartos técnicos. Este ingreso debe contar con un
acompañamiento permanente por parte del área de Tecnologías de la
Información.
b) Todo equipo que sea asignado a un usuario y que haya sido utilizado por
otro, deberá entregarse libre de información, programas y/o configuraciones
que utilizaba el usuario anterior y deberá eliminarse los perfiles que
correspondan a usuarios previos. La información podrá ser entregada al líder
del proceso o proyecto a través de los procedimientos que disponga la
entidad para tal fin.
c) Las actualizaciones de sistemas operativos deberán estar en las últimas
versiones disponibles. Para los casos en que las configuraciones actuales no
permitan garantizar esto, se debe definir un plan de migración para
actualizar la configuración no superior a 6 meses.
a) Para los equipos que se den de baja o sean donados, se debe garantizar
que no contengan información de la entidad, Siguiendo el procedimiento
de borrado seguro
b) Para todo equipo (desktop, laptop, equipos de red, entre otros) que sea
reasignado, el área de Tecnologías de la Información deberá garantizar
que no contenga información de usuarios anteriores o rastros de servicios,
configuraciones o aplicaciones antes alojados.
c) Solo el área de Tecnologías de la Información está autorizada para reubicar
equipos una vez se cuente con autorización del área administrativa por medio
de una solicitud de servicio.
Durante el día:
• No publicar documentos o datos sensitivos, por ejemplo:
d) Cualquier conexión por parte del tercero debe estar autorizada por el
funcionario de Xorex de Colombia responsable de la supervisión del
contrato, y cumplir con todos los lineamientos de seguridad de la
información.
a) La empresa debe contar con estrategias para mitigar los riesgos que se
puedan materializar, generar interrupciones en la operación y velar por
mantener la disponibilidad de la información protegiendo los procesos,
recursos y plataformas críticas.
CUMPLIMIENTO
➢ Ofrecer un servicio y/o producto que cumpla con las expectativas de nuestros
clientes en oportunidad y calidad.