Anda di halaman 1dari 8

NORMA PARA EL USO DE LA INFORMACIÓN EMPRESARIAL DE LA FCV

LA FCV en cumplimiento de la obligación de gestionar y proteger de manera segura la información


expide la siguiente norma, que integra las Políticas de Seguridad de la Información, previos los
siguientes
CONSIDERANDOS

1. Considerando que LA FCV viene implementado un Sistema de Gestión de Seguridad de la


Información bajo el marco de la norma ISO 27001, el cual requiere de la adecuación de la
organización al cumplimiento de la normatividad vigente.

2. Considerando que resultado del Sistema de Gestión basado en ISO 27001, LA FCV ha
desarrollado un conjunto de políticas de seguridad tendientes a proteger la información, las
cuales hacen parte de la regulación de las relaciones laborales de LA FCV, así como de las
relaciones contractuales, estatutarias y legales con terceros. En este orden de ideas, atendiendo
el esquema de Planear-Hacer-Verificar-Actuar de un sistema de gestión, se ha identificado la
necesidad de generar así mismo una Política de Seguridad expidiendo una norma que
establezca las condiciones para el uso honesto de la información empresarial.

3. Considerando que corresponde al empleado la obligación de observar, acatar y cumplir las


órdenes e instrucciones que de modo particular imparta el empleador respecto de la
información entregada para el desempeño de sus funciones, de aquella a la que acceda con
ocasión de su relación laboral, o de cualquier otra información empresarial cuya divulgación
pueda generar un perjuicio al empleador. Así mismo, es deber del empleado comunicar a LA
FCV cualquier indicio, sospecha o hecho que atente contra la información, sea de su propiedad
o esté en su poder, con el fin de prevenir daños y perjuicios.

4. Considerando que los contratos, entre ellos los laborales, deben ser ejecutados atendiendo el
principio de la buena fe, en el sentido de que las obligaciones que surgen para las partes
comprenden no solo lo expresado en ellas, sino también a aquellas obligaciones que surgen por
la naturaleza de la relación jurídica o por la ley. Así mismo, en las relaciones laborales está
inmerso el deber de acatamiento y lealtad de los empleados hacia el ente empresarial, deber que
en el marco del Sistema de Gestión de la Seguridad de la Información de LA FCV, se expresa
en el obrar prudente y diligente por parte de los empleados en el uso y protección de la
información empresarial de la organización.

5. Considerando que es deber de los empleados para con LA FCV prestar toda su colaboración
en caso de ataque, siniestro o riesgo inminente que afecte o amenace la seguridad de la
información empresarial, y que corresponde a estos permitir y facilitar las actividades de
investigación, análisis y captura de la evidencia de los incidentes que llegaren a existir en los
recursos informáticos que utilizan para la ejecución de sus obligaciones contractuales,
actividades a desplegarse atendiendo los procedimientos de gestión de incidentes y el protocolo
de cadena de custodia.
El presente documento es propiedad intelectual de VELASCO & CALLE D´ALEMAN – ABOGADOS. En
consecuencia está prohibido su uso, reproducción o destinación para fines distintos al entregado a
la FCV.
6. Considerando que la ley asigna a los administradores societarios el deber de proteger la
información de manera segura, y guardar la reserva y confidencialidad que sobre ella pueda
predicarse, obligación ésta que constituye el fundamento para que LA FCV fortalezca sus
políticas de seguridad de la información, atendiendo a la naturaleza y clasificación de la misma.

Con base en las anteriores consideraciones que fundamentan el uso honesto de la información
empresarial de LA FCV, se formulan las siguientes disposiciones de obligatoria aplicación.

I. OBJETO

Establecer las reglas de uso leal, seguro y honesto que deben cumplir los destinatarios de esta
norma respecto de la información empresarial de LA FCV.

II. AMBITO DE APLICACIÓN

Esta política de seguridad de la información empresarial tiene ámbito de aplicación interno y


externo, esto es, para todos los procesos organizacionales de LA FCV que involucren la misma. En
este contexto, la norma se aplicará y será acatada por:

3.1. Los empleados de LA FCV y quienes hayan tenido esa condición, en virtud de la obligación
post contractual de carácter indefinido de protección que existe respecto de la información
empresarial.
3.2. Los miembros de Junta Directiva, representante legal y cualquiera otra persona que por
disposición estatutaria tenga la condición de administrador o ejerza como tal.
3.3. Las personas físicas y jurídicas que presten servicios a LA FCV bajo cualquier modalidad
contractual, que suponga el acceso, tratamiento, almacenamiento y/o custodia de información de
carácter empresarial.
3.4. Los revisores fiscales, auditores y demás funcionarios que ejerzan actividades de control
interno.

En caso de que entidades públicas accedieren a la información empresarial bajo custodia de LA


FCV en desarrollo de disposición legal o mandamiento de autoridad competente, es obligación
advertir por escrito a éstas la existencia de las reglas contenidas en esta norma, con el fin de que las
medidas de seguridad aquí contenidas sean adoptadas también por ellas, para efectos de prevenir
riesgos y/o daños respecto de la información, sea propiedad de LA FCV o de terceros.

III. CLASIFICACION DE LA INFORMACIÓN EMPRESARIAL.

La información empresarial de LA FCV será usada teniendo en cuenta la siguiente clasificación:

Es información empresarial, toda aquella cuyo titular es LA FCV y está referida al ejercicio de su
actividad mercantil, bien se trate de conocimientos, secretos empresariales, información

El presente documento es propiedad intelectual de VELASCO & CALLE D´ALEMAN – ABOGADOS. En


consecuencia está prohibido su uso, reproducción o destinación para fines distintos al entregado a
la FCV.
confidencial, estratégica, económica, tributaria, protegida por la propiedad intelectual y cualquiera
otra de carácter comercial, respecto de la cual LA FCV es titular o tiene su custodia.

Será información empresarial de acceso y/o uso público, aquella respecto de la cual la
normatividad legal o la interna de LA FCV permiten el acceso y su uso sin restricciones.

Será información empresarial de acceso y/o uso restringido, aquella que sea objeto de
protección por parte de LA FCV, en virtud de su carácter de reservado, confidencial, estratégico,
económico, tributario, secreto, sujeta al régimen de la propiedad intelectual o cualquier otro
régimen de protección.

Será información de carácter personal, aquella que se refiera a los datos que permitan identificar
o hacer identificable a una persona física, la cual es objeto de protección a la luz de las normas y
fuentes del derecho que desarrollen el artículo 15 de la Constitución Política y será objeto de
protección a través de una norma concreta al respecto sobre “Protección de Datos de Carácter
Personal”. Dentro de este tipo de información y sin limitarse a ella, se encuentra la información de
los empleados, proveedores, accionistas y demás personas mencionadas en la respectiva norma.

En caso de duda sobre el tipo de información de que se trata, bien porque no aparezca rotulada o
porque no se tiene prevista en esta norma, estos criterios serán tenidos en cuenta por los
destinatarios de la misma para dar un uso honesto a dicha información y en todo caso se tratará
como información de uso restringido, con el fin de mitigar los riesgos que se ciernen respecto de
un acceso, uso y/o tratamiento indebido de la misma.

IV. DERECHOS DE LA FCV

LA FCV informa a los destinatarios de esta norma que la información empresarial es de su


propiedad y/o se encuentra bajo su custodia. En consecuencia, ejercerá los derechos que le
confieren en tal calidad las normas constitucionales, laborales, comerciales, civiles, contables,
tributarias, penales, sobre competencia desleal, de propiedad intelectual y cualquiera otra que
aplique a la protección de dicha información.

En virtud de estas normas, LA FCV tiene la obligación de adoptar las medidas y controles para
proteger y gestionar de manera segura la información, actuando así en consonancia con el deber de
responsabilidad, prudencia, diligencia y cuidado exigido por la ley al buen hombre de negocios.

V. USO HONESTO DE LA INFORMACIÓN

El acceso a la información, utilización y tratamiento de la misma estará determinado por un uso


honesto y leal, de conformidad con los fines de la política de seguridad de la información de LA
FCV y las siguientes disposiciones:

5.1. Respecto de la información empresarial cuyo acceso y uso es restringido:

El presente documento es propiedad intelectual de VELASCO & CALLE D´ALEMAN – ABOGADOS. En


consecuencia está prohibido su uso, reproducción o destinación para fines distintos al entregado a
la FCV.
5.1.1. Información Reservada.

Tiene el carácter de reservada la información contenida en los libros de comercio, correspondencia,


contabilidad, información financiera, tributaria y demás de ésta índole de LA FCV, la cual solo
podrá ser consultada por los accionistas y personal directivo autorizado que requiera ejercer sus
funciones, atendiendo a lo que se disponga en el Código de Comercio en cuanto al modo, tiempo y
lugar de tal ejercicio, así como en las normas de carácter financiero proferidas en el país.

Esta información se sujeta a los derechos, usos, efectos y restricciones establecidas en el Código de
Comercio respecto de los libros del comerciante.

Las autoridades podrán acceder a esta información por orden de autoridad competente o en
ejercicio de la competencia reglamentaria que en la materia tengan. LA FCV advertirá de las
medidas de seguridad que debieran aplicarse respecto de esta información.

5.1.2. Información que constituye Secreto Empresarial

La información catalogada por LA FCV como secreto empresarial constituye aquel conocimiento
profesional especializado y no patentable, que se ha desarrollado en razón de su valor estratégico
para la organización y que tiene que ver con sus actividades en la prestación profesional de
servicios de salud.

LA FCV, mediante acta de Junta Directiva, otorgará el carácter de secreto empresarial a aquellos
activos de información que tengan tal condición, indicando el uso que a la misma pueda dársele. La
información así catalogada será rotulada como “Información secreta”. LA FCV identificará su
ubicación precisa, establecerá las personas que tienen acceso a esta información y dispondrá de
mecanismos que permitan establecer quienes accedieron a ella, así como las modificaciones que
pudieran habérsele realizado.

Las medidas de seguridad aplicables a la información considerada como secreto empresarial serán
de alto nivel, conforme las políticas de seguridad de la información de LA FCV.

5.1.3. Información protegida por la propiedad intelectual.

LA FCV dispone de activos de información sometidos al régimen de la propiedad intelectual, en


sus modalidades de propiedad industrial y de derechos de autor. Sin perjuicio de lo dispuesto por la
FCV en su Manual de Propiedad Intelectual, se determinan los siguientes lineamientos en relación
con la información relacionada con la propiedad intelectual.

5.1.3.1. Propiedad Industrial.

Bajo el régimen de la propiedad industrial se encuentran los derechos sobre signos distintivos como
marcas, nombres, lemas, enseñas, diseños, entre otros, que identifican a LA FCV, así como los

El presente documento es propiedad intelectual de VELASCO & CALLE D´ALEMAN – ABOGADOS. En


consecuencia está prohibido su uso, reproducción o destinación para fines distintos al entregado a
la FCV.
servicios que ella presta. Dentro de esta categoría también podrán hacer parte los derechos de
explotación que sobre patentes pudiera adquirir la organización.

El uso de los signos distintivos es restrictivo y se ciñe al manual de propiedad intelectual de la FCV,
por tanto, cualquier uso para fines no empresariales deberá ser autorizado por LA FCV previa
indicación de la finalidad del uso solicitado. Corresponde a la Dirección Jurídica y Dirección de
Mercadeo aprobar cualquier uso no empresarial de los signos distintivos de la organización.

5.1.3.2. Derechos de Autor

Bajo este régimen se encuentran las creaciones de orden literario, artístico y científico, así como
bienes informáticos realizadas por los empleados de LA FCV o por aquellas personas a las cuales
se haya encargado una obra de tal naturaleza.

En virtud de estas relaciones contractuales, LA FCV es titular de los derechos patrimoniales sobre
estas creaciones, dentro de las cuales se encuentran los programas o software que se hayan
desarrollado para el tratamiento de información dentro y fuera de la organización; las bases de
datos de clientes, accionistas, normas, y de cualquiera otra índole, desarrolladas para la gestión de
información dentro y fuera de la organización; los diseños, planos, gráficos, procesos,
procedimientos, métodos y demás herramientas creadas para la gestión de la información dentro y
fuera de la organización, entre otras expresiones de creación humana que llegaren a realizarse para
la gestión de la información.

Legalmente obras como el software, sistemas de información, sistemas expertos, bases de datos,
obras multimedia y demás creaciones de carácter informático, son entendidas legalmente como
obras literarias.

Las bases de datos creadas por y para LA FCV, se entienden como compilaciones protegidas a la
luz de los derechos de autor y serán inventariadas por la organización. Por tanto su uso es
restrictivo y se limita a actividades empresariales. Cualquier uso para fines no empresariales está
prohibido.

Es obligación de los destinatarios de esta norma dar uso honesto a los bienes sometidos al régimen
de la propiedad intelectual, por tanto, cualquier copia, reproducción, comunicación, distribución,
traducción, cesión, en cualquier formato, para fines no empresariales está prohibida.

Los destinatarios de esta norma tienen la obligación de informar a LA FCV cualquier sospecha de
violación o infracción a la información de LA FCV sometida al régimen de propiedad intelectual.
5.1.4. Información confidencial. Se considera confidencial la información empresarial de uso
restringido que comprende todos los datos de clientes de carácter institucional que tiene la
FCV, de proveedores tecnológicos, ………….. Los datos personales de sus clientes pacientes
personas físicas son considerados datos sensibles y en consecuencia se regulan por la Norma
sobre Protección de Datos Personales que ha adoptado la institución.

El presente documento es propiedad intelectual de VELASCO & CALLE D´ALEMAN – ABOGADOS. En


consecuencia está prohibido su uso, reproducción o destinación para fines distintos al entregado a
la FCV.
5.1.5. Información de procesos de contratación. LA FCV entregará información empresarial a los
proveedores invitados a contratar, previa suscripción de un acuerdo de confidencialidad y de
tratos preliminares de contratación. La información que se entregue será inventariada por el área
dueña del proceso que pretende contratar, quien solicitará con la presentación de la propuesta
comercial, la devolución de la información entregada.

La información contenida en la propuesta comercial que presenten los proveedores invitados a


contratar tendrá carácter confidencial, debiendo actuarse de manera leal y honesta por LA FCV,
de manera que la misma no pueda ser conocida por personas diferentes a los empleados de LA
FCV encargados de evaluar la propuesta comercial para fines de seleccionar el contratista.

5.1.6. Información Organizacional. Es información confidencial de carácter organizacional aquella


referida a los procesos de la organización, como sistemas de calidad, sistemas de gestión de
seguridad de la información, manuales, instrumentos normativos de carácter interno, procesos
y metodologías de auditoría, así como cualquiera otra información que solo interese a LA FCV

5.2. Respecto de la información empresarial cuyo uso y acceso es público.

5.2.1. Pública interna

LA FCV dispone para uso de las diferentes áreas de carpetas denominadas “general” en las cuales
se debe incluir la información que se considera pública interna, entendiendo por ella, aquella
información o datos que se requiere conocer entre las distintas dependencias de la organización
para un eficiente desempeño de funciones e interrelación de saberes que propendan por un
adecuado desarrollo de procesos. En estas carpetas no podrá incluirse información de otro
carácter.

5.2.1. Pública externa

Es información pública de LA FCV la relativa a la visión, misión, y valores corporativos, así como
aquella información publicitaria creada para tal fin. También tiene este carácter la información
inscrita en el registro mercantil de la cámara de comercio del domicilio principal solo para los fines
de tal registro. LA FCV respecto de la información contenida en su portal web definirá el uso,
tratamiento y restricciones que daba darse a la información contenida allí.

VI. MONITOREO, MANTENIMIENTO Y SOPORTE

LA FCV informa a los destinatarios de esta norma que es su deber realizar labores de monitoreo,
mantenimiento y soporte a fin de acceder a la información contenida en los dispositivos
informáticos y de comunicación de la organización, y verificar su integridad, conservación y
custodia. Esta labor permite establecer las actividades que el empleado realiza con base en la
trazabilidad de los logs dejados en los recursos informáticos.

El presente documento es propiedad intelectual de VELASCO & CALLE D´ALEMAN – ABOGADOS. En


consecuencia está prohibido su uso, reproducción o destinación para fines distintos al entregado a
la FCV.
Para la debida guarda de la información empresarial y dependiendo de su categoría, LA FCV
eliminará del hardware en el cual repose dicha información, los programas de ordenador o software
instalados que no hayan sido autorizados por la Dirección de Seguridad Informática, en atención a
los riesgos de ataques a la información, así como a los riesgos que contra la propiedad intelectual
puedan existir.

En desarrollo de estas acciones LA FCV informa y capacita de manera periódica a los destinatarios
de esta norma sobre los usos, excepciones, prohibiciones y medidas de seguridad a cumplir; por
tanto, el desconocimiento de los destinatarios de esta norma respecto de las directrices de seguridad
para el uso honesto de la información y de los recursos informáticos que se utilizan para el
desempeño de sus funciones determina un incumplimiento de sus deberes laborales, a la vez que
atentan contra su propia intimidad, en tanto que este obrar voluntario, negligente e imprudente
determina una reducción de su expectativa razonable de intimidad.

VII. AUDITORIA Y ANÁLISIS FORENSE

LA FCV en cumplimiento de su deber de protección de los activos de información ha establecido


en su sistema de gestión de seguridad de la información la realización de auditorías y análisis
forense periódicos en el hardware, software y redes de su propiedad, con el fin de prevenir ataques
contra la información, adoptando las decisiones que considere pertinentes según la gravedad del
incidente de seguridad que llegare a identificarse.

LA FCV informa a los destinatarios de esta norma que las actividades que se desarrollan a través de
los recursos informáticos dejan unas marcas o huellas (logs) que permiten establecer con precisión
las acciones realizadas, en términos de tiempo, modo y lugar.

La razón de ser de estos procedimientos de auditoría y análisis forense radica en la necesidad de


establecer el cumplimiento de las políticas de seguridad de la información de LA FCV, y de cumplir
con la obligación encomendada a los administradores por la ley comercial de proteger la
información y guardar la reserva y confidencialidad de la misma.

De los resultados de la auditoria y/o análisis forense LA FCV establecerá la existencia o no de


incidentes de seguridad, y respecto de los mismos determinará su vocación judicial o no.

Los procedimientos forenses que se apliquen estarán sujetes al protocolo de cadena de custodia de
LA FCV, salvo cuando estos sean desplegados por las autoridades competentes.

LA FCV podrá formular denuncia penal ante las autoridades competentes contra los destinatarios
de esta norma, que incurran en conductas consideradas como delitos a la luz de la normatividad
colombiana.

VIII. ROLES Y RESPONSABILIDADES

El presente documento es propiedad intelectual de VELASCO & CALLE D´ALEMAN – ABOGADOS. En


consecuencia está prohibido su uso, reproducción o destinación para fines distintos al entregado a
la FCV.
Las valoraciones y decisiones respecto del incumplimiento de las obligaciones derivadas de esta
norma serán evaluadas por la Dirección de Seguridad de la Información y la Dirección Jurídica.

IX. EFECTOS DEL INCUMPLIMIENTO

Además de las previsiones determinadas en esta norma, el incumplimiento de esta política de


seguridad de la información respecto del uso de los recursos informáticos, es considerada grave por
los riesgos que conlleva, y en consecuencia podrá dar lugar a la terminación unilateral del contrato
con justa causa, y en todo caso a la terminación del contrato respectivo.

El presente documento es propiedad intelectual de VELASCO & CALLE D´ALEMAN – ABOGADOS. En


consecuencia está prohibido su uso, reproducción o destinación para fines distintos al entregado a
la FCV.