POLITICAS DE SEGURIDAD INFORMATICA

DISFRUTO LTDA
NIT: 900.196.972-1
 Introducción

El objetivo de esta política, elaborada por el área de Tecnología informática

(IT), es establecer, como medida de autorregulación, un procedimiento
estandarizado para la prevención de incidentes de delito informático.

Las políticas de seguridad informática tienen por objeto establecer las medidas
de índole técnica y de organización, necesarias para garantizar la seguridad de
las tecnologías de información (equipos de cómputo, sistemas de información,
redes (Voz y Datos)) y personas que interactúan haciendo uso de los servicios
asociados a ellos y se aplican a todos los usuarios de cómputo de las
empresas.

 Objetivo

Dotar de la información necesaria a los usuarios y empleados, de las normas y

mecanismos que deben cumplir y utilizar para proteger el hardware y software
de la Red, así como la información que es procesada y almacenada en estos.
Los objetivos que se desean alcanzar luego de implantar las Políticas de
Seguridad son:

 Resguardar los activos de Las Empresas.

 Establecer un esquema de seguridad claro y transparente.
 Comprometer a todo el personal de la empresa en el ámbito de la
seguridad informática.

 Alcance

Este manual de políticas de seguridad es elaborado de acuerdo al análisis de

riesgos y de vulnerabilidades en las dependencias de Las Empresas.

Esta política es aplicable a todos los empleados, contratistas, consultores,

eventuales y otros empleados de Las Empresas, incluyendo a todo el personal
externo que cuenten con un equipo conectado a la Red. Esta política es
aplicable también a todo el equipo y servicios propietarios o arrendados que de
alguna manera tengan que utilizar local o remotamente el uso de la Red o
recursos tecnológicos de Las Empresas así como de los servicios e
intercambio de archivos y programas.

 Control de acceso (aplicaciones, base de datos, área del Centro de

Cómputo, sedes de Las Empresas filiales).
 Resguardo de la Información.
 Clasificación y control de activos.
 Gestión de las redes.
 Gestión de la continuidad del negocio.
  Seguridad de la Información en los puestos de trabajo.
 Controles de Cambios.
 Protección contra intrusión en software en los sistemas de información.
 Monitoreo de la seguridad.
 Identificación y autenticación.
 Utilización de recursos de seguridad.
 Comunicaciones.
 Privacidad.

 Definiciones

 Aviso de privacidad: Comunicación verbal o escrita generada por el

responsable, dirigida al titular para el tratamiento de sus datos
personales, mediante la cual se le informa acerca de la existencia de la
políticas de tratamiento de información que el serán aplicables, la forma
de acceder a las mismas y las finalidades del tratamiento que se
pretende dar a los datos personales.
 Autorización: Consentimiento previo, expreso e informado del Titular
para llevar a cabo el Tratamiento de datos personales.
 Base de Datos: Conjunto organizado de datos personales que sea
objeto de Tratamiento.
 Dato personal: Cualquier información vinculada o que pueda asociarse
a una o varias personas naturales determinadas o determinables.
 Dato público: Es el dato que no sea semiprivado, privado o sensible.
Son considerados datos públicos, entre otros, los datos relativos al
estado civil de las personas, a su profesión u oficio y a su calidad de
comerciante o de servidor público. Por su naturaleza, los datos públicos
pueden estar contenidos, entre otros, en registros públicos, documentos
públicos, gacetas y boletines oficiales y sentencias judiciales
debidamente ejecutoriadas que no estén sometidas a reserva.
 Dato semiprivado: Es semiprivado el dato que no tiene naturaleza
íntima, reservada, ni pública y cuyo conocimiento o divulgación puede
interesar no sólo a su titular sino a cierto sector o grupo de personas o a
la sociedad en general..
 Dato privado: Es el dato que por su naturaleza íntima o reservada sólo
es relevante para el titular.
 Datos sensibles: Se entiende por datos sensibles aquellos que afectan
la intimidad del Titular o cuyo uso indebido puede generar su
discriminación, tales como aquellos que revelen el origen racial o étnico,
la orientación política, las convicciones religiosas o filosóficas, la
pertenencia a sindicatos, organizaciones sociales, de derechos humanos
o que promueva intereses de cualquier partido político o que garanticen
los derechos y garantías de partidos políticos de oposición, así como los
datos relativos a la salud, a la vida sexual, y los datos biométricos.
 Encargado del Tratamiento: Persona natural o jurídica, pública o
privada, que por sí misma o en asocio con otros, realice el Tratamiento
de datos personales por cuenta del responsable del tratamiento;
 Responsable del Tratamiento: Persona natural o jurídica, pública o
privada, que por sí misma o en asocio con otros, decida sobre la base
de datos y/o el Tratamiento de los datos;
  Titular: Persona natural cuyos datos personales sean objeto de
tratamiento, por ejemplo candidatos en procesos de selección,
empleados, empresas usuarias y/o clientes, potenciales clientes,
proveedores, y en general cualquier persona natural o jurídica que
suministre datos personales;
 Tratamiento: Cualquier operación o conjunto de operaciones sobre
datos personales, tales como la recolección, almacenamiento, uso,
circulación o supresión.
 Transferencia: La transferencia de datos tiene lugar cuando el
responsable y/o encargado del tratamiento de datos personales, ubicado
en Colombia, envía la información o datos personales a un receptor, que
a su vez es responsable del tratamiento y se encuentra dentro o fuera
del país.
 Trasmisión: Tratamiento de datos que implica la comunicación de los
mismos dentro o fuera del territorio nacional, cuanto tenga por objeto la
realización de un tratamiento por el encargado por cuenta del
responsable.

 Principios

 Principio de legalidad: En el tratamiento de datos personales, se dará

aplicación a las disposiciones vigentes y aplicables que regulen el
tratamiento de datos personales y demás derechos fundamentales
conexos.
 Principio de libertad: El tratamiento de datos personales sólo puede
llevarse a cabo con el consentimiento, previo, expreso e informado de su
titular. Los datos personales no podrán ser obtenidos o divulgados sin la
previa autorización del mismo, o en ausencia de orden legal o judicial que
releve el consentimiento.
 Principio de finalidad: El tratamiento de datos personales recopilados
por Disfruto Ltda, estarán subordinados y atenderán una finalidad
legítima, la cual debe serle informada al respectivo titular de los datos
personales.
 Principio de veracidad o calidad: La información sujeta tratamiento de
datos personales debe ser veraz, completa, exacta, actualizada,
comprobable y comprensible. Se prohíbe el tratamiento de datos
parciales, incompletos, fraccionados o que induzcan a error.
 Principio de transparencia: En el Tratamiento se garantiza el derecho
del Titular a obtener del Responsable del Tratamiento o del Encargado
del Tratamiento, en cualquier momento y sin restricciones, información
acerca de la existencia de datos que le conciernan.
 Principio de acceso y circulación restringida: Los datos personales,
salvo la información pública, no podrán estar disponibles en Internet u
otros medios de divulgación o comunicación masiva, salvo que el acceso
sea técnicamente controlable para brindar un conocimiento restringido
sólo a los titulares o terceros autorizados. Para estos propósitos la
obligación de DISFRUTO LTDA, será de medio únicamente.
 Principio de seguridad: Los datos personales e información sujeta a
tratamiento por la Empresa de Servicios Temporales DISFRUTO LTDA,
serán objeto de protección en la medida en que los recursos técnicos y
 estándares mínimos así lo permitan, a través de la adopción de medidas
tecnológicas de protección, protocolos, y todo tipo de medidas
administrativas que sean necesarias para otorgar seguridad a los
registros y repositorios electrónicos evitando su adulteración,
modificación, pérdida, consulta, y en general en contra de cualquier uso o
acceso no autorizado.
 Principio de confidencialidad: Todas las personas que actúen en el
tratamiento de datos personales o tengan acceso a informaciones de
cualquier tipo que se encuentre en Bases o Bancos de Datos, se
comprometen a conservar y mantener de manera estrictamente
confidencial y no revelarla a terceros, la información personal, comercial,
contable, técnica, financiera o de cualquier otro tipo suministradas en la
ejecución y ejercicio de sus funciones. Todas las personas que trabajen
actualmente o sean vinculadas a futuro para tal efecto, en la
administración y manejo de bases de datos, deberán suscribir un acuerdo
expreso en este sentido durante la firma de su contrato. Esta obligación
persiste y se mantiene inclusive después de finalizada su relación con
alguna de las labores que comprende el tratamiento.

 Criterios de seguridad de la información

 Confidencialidad: Hace referencia a la protección de información cuya

divulgación no está autorizada.

 Integridad: La información debe ser precisa, coherente y completa

desde su creación hasta su destrucción.

 Disponibilidad: La información debe estar en el momento y en el

formato que se requiera ahora y en el futuro, al igual que los recursos
necesarios para su uso.

 Criterios de calidad de la seguridad informática

 Efectividad: La información relevante debe ser pertinente y su entrega

oportuna, correcta y consistente.

 Eficiencia: El procesamiento y suministro de información debe hacerse

utilizando de la mejor manera posible los recursos.

 Confiabilidad: La información debe ser apropiada para la

administración de la entidad y el cumplimiento de sus obligaciones.

 MARCO LEGAL

La presente Política de Tratamiento de la Información se realizó de

conformidad con la Constitución Nacional de 1991, los artículos 15 y 20, en la
Ley 1581 de 2012 y el Decreto 1377 de 2013.

 Vigencia
Las Políticas de Seguridad entrarán en vigencia desde el momento en que
sean aprobadas por la Gerencia. Esta normativa deberá ser revisada y
actualizada conforme a las necesidades de realizar cambios sustanciales en la
infraestructura tecnológica.

 Lineamientos de adquisición de bienes informáticos

 Analizar su grado de obsolescencia y su nivel tecnológico de acuerdo a

la oferta existente en el mercado.
 Analizar la capacidad de la máquina para cumplir la carga laboral.
 Los equipos deberán mantener una garantía mínimo de un (1) año.
 La marca de los equipos adquiridos deberán tener una experiencia y
permanencia en el mercado nacional.
 Los dispositivos complementarios (Impresoras, Disco duro, entre otros)
deberán apegarse a los estándares del hardware y software de la
máquina.
 Todas las decisiones de compra de bienes informáticos debe estar
avalada por el área de tecnología informática (IT).

 Software

En la adquisición de Equipo de cómputo se deberá incluir el Software vigente

precargado con su licencia correspondiente.

 Sistema operativo
 Windows 7

 Bases de datos
 MySQL

 Herramientas de programación
 MS .NET
 PHP
 Dreamweaver
 Fireworks

 Utilitarios de oficina
 Microsoft Office
 SAP

 Programas Antivirus
 McAfee

 Navegadores de internet
 Internet Explorer
 Mozilla Firefox
 Google Chrome

 Base de datos recomendadas

Se recomienda el uso de la nube BOX para el almacenamiento de información
netamente empresarial.

 Creación de usuarios y contraseñas

La creación de usuarios y gestión de contraseñas estarán a cargo del área de

tecnologías de la información (IT); el principal requisito para iniciar el proceso
de creación de usuario es anexar una autorización de parte del Manager.

 NO se permite el uso de usuarios o contraseñas ajenos sin la

autorización por escrito del Manager.

 Copia de seguridad

Las copias de seguridad de deberán efectuar de manera manual mínimo una

vez a la semana; el programa utilizado por la compañía será DFIncBackup.
 Redes Privadas

 La autorización de acceso a Internet se concede exclusivamente para

actividades de trabajo. Todos los colaboradores de Las Empresas tienen
las mismas responsabilidades en cuanto al uso de Internet.
 Internet es una herramienta de trabajo. Todas las actividades en Internet
deben estar en relación con tareas y actividades del trabajo
desempeñado.
 Sólo puede haber transferencia de datos de o a Internet en conexión con
actividades propias del trabajo desempeñado.
 Los IT, son los encargados de la administración, habilitación y/o bajas de
usuarios en la red inalámbrica de Las Empresas.
 Para hacer uso de la red inalámbrica, el solicitante necesariamente
deberá ser miembro de la empresa

 Prohibiciones

 El uso de redes sociales

 El acceso paginas con contenido pornográfico
 Uso de juegos
 Compartir información de la entidad por medio de correos electrónicos
diferentes a los empresariales.

 Correo Electrónico

 Los IT se encargarán de asignar las cuentas a los usuarios para el uso

de correo electrónico en los servidores que administra.
 Para efecto de asignarle su cuenta de correo al usuario, el área de
Recursos Humanos deberá llenar una solicitud en formato establecido
para tal fin y entregarlo al área de Tecnología, con su firma y la del
Manager.
 La cuenta será activada en el momento en que el usuario ingrese por
primera vez a su correo y será obligatorio el cambio de la contraseña de
acceso inicialmente asignada.
  La longitud mínima de las contraseñas será igual o superior a ocho
caracteres.

 Bases de Datos

 El Administrador de la Base de Datos no deberá eliminar ninguna

información del sistema, a menos que la información esté dañada o
ponga en peligro el buen funcionamiento del sistema.
 El Administrador de la Base de Datos es el encargado de asignar las
cuentas a los usuarios para el uso.
 Las contraseñas serán asignadas por el Administrador de la Base de
Datos en el momento en que el usuario desee activar su cuenta, previa
solicitud al responsable de acuerdo con el procedimiento generado.
 En caso de olvido de contraseña de un usuario, será necesario que se
presente con el Administrador de la Base de Datos para reasignarle su
contraseña.
 La longitud mínima de las contraseñas será igual o superior a ocho
caracteres, y estarán constituidas por combinación de caracteres
alfabéticos, numéricos y especiales.

 Usuarios

 Todos los usuarios con acceso a un sistema de información o a la Red,

dispondrán de una única autorización de acceso compuesta de
identificador de usuario y contraseña.
 Ningún usuario recibirá un identificador de acceso a la Red, Recursos
Informáticos o Aplicaciones hasta que no acepte formalmente la Política.
 El usuario deberá definir su contraseña y será responsable de la
confidencialidad de la misma.
 Los usuarios tendrán acceso autorizado únicamente a aquellos datos y
recurso que precisen para el desarrollo de sus funciones.
 La longitud mínima de las contraseñas será igual o superior a ocho
caracteres, y estarán constituidas por combinación de caracteres
alfabéticos, numéricos y especiales.
 El usuario deberá renovar su contraseña bimestralmente.

 Responsabilidades de los usuarios

 Notificar anomalías en su usuario

 Los usuarios son responsables de toda actividad relacionada con el uso
de su acceso autorizado.
 Los usuarios no deben revelar bajo ningún concepto su identificador y/o
contraseña a otra persona ni mantenerla por escrito a la vista, ni al
alcance de terceros.
 Los usuarios no deben utilizar ningún acceso autorizado de otro usuario,
aunque dispongan de la autorización del propietario.
 La contraseña no debe hacer referencia a ningún concepto, objeto o
idea reconocible.
 Proteger, en la medida de sus posibilidades, los datos de carácter
personal a los que tienen acceso, contra revelaciones no autorizadas o
 accidentales, modificación, destrucción o mal uso, cualquiera que sea el
soporte en que se encuentren contenidos los datos.

 Prohibiciones

 El uso de los recursos de la empresa para actividades que no tengan

que ver con el negocio.
 Instalar voluntariamente programas que puedan afectar el
funcionamiento de los equipos de computo o sus complementarios.
 Intentar dañar o destruir los equipos

 Seguridad de la Información

En aplicación del principio de seguridad indicado en la presente Política,

Disfruto Ltda. adoptará las medidas de seguridad que imparta la
Superintendencia de Industria y Comercio y las medidas técnicas, de su
recurso humano y áreas administrativas que sean necesarias para otorgar
seguridad a los datos evitando su adulteración, pérdida, consulta, uso o acceso
no autorizado o fraudulento.

 Niveles de clasificación

Los niveles a considerar para clasificar la información serán los siguientes:

 Confidencial
 Restringida
 Pública

 Criterios para clasificar la información

Se deberá analizar los criterios que a continuación se muestran, tales como:

uso de la información, valor de la información, nivel de daño que podría causar
la información si ésta es revelada o robada, si es alterada o está corrupta, nivel
de protección de datos, ante autoridades, regulaciones o nivel de
responsabilidad del empleado dentro de la empresa a fin de determinar cuál de
las diferentes clasificaciones se asignará la información:

 Información Confidencial
 Que por disposición expresa de una ley sea considerada confidencial
 Protegida por el secreto bancario, tributario, comercial, industrial,
tecnológico y bursátil que están regulados, unos por el inciso 5 del
artículo 2 de la
 Constitución, y los demás por la legislación pertinente.
 Vinculada a investigaciones en trámite referidas al ejercicio de la
potestad Sancionadora de la Administración Pública.
 Preparada u obtenida por asesores jurídicos o abogados de las
entidades de la Administración Pública cuya publicidad pudiera
revelar la estrategia a adoptarse en la tramitación o defensa en un
proceso administrativo o judicial, o de cualquier tipo de información
 protegida por el secreto profesional que debe guardar el abogado
respecto de su asesorado.
 Referida a los clientes, proveedores o cualquier ente relacionado con
la compañía
 Que en caso de ser divulgada, podría violar la privacidad del personal
de la empresa, reducir la ventaja competitiva de la organización o
causar un daño significativo al negocio o a la imagen de la
organización.
 Constituida por documentos, incluidos contratos y convenios, en los
que se establezca de manera expresa su confidencialidad por el
Titular o la máxima Autoridad Administrativa

 Información Restringida

 Sea destinada al uso exclusivo por parte de los empleados de la

organización en el desarrollo rutinario de los procesos del negocio.
 El movimiento del personal que pudiera poner en riesgo la vida e
integridad de las personas involucradas o afectar la seguridad
empresarial
 Por razones de operatividad y seguridad (Planes de Seguridad y
Defensa) busque salvaguardar los intereses de la empresa, siempre
y cuando estos se encuentren debidamente alineados al estricto
cumplimiento de las normativas de transparencia y acceso a la
información pública vigentes y no se contrapongan a estas.
 Pueda utilizarse para afectar la seguridad de la empresa.
 Pueda utilizarse para disminuir la efectividad o eficiencia de las
operaciones (incluyendo los sistemas de información y
comunicaciones) o que pueda dar ventaja indebida a terceros.
 Pueda menoscabar la conducción de negociaciones o
investigaciones en proceso, o alterar los acuerdos adoptados,
incluida la información que otras entidades u organismos

 Información Publica

 Toda aquella Información oficial, debidamente emitida, recibida o

tramitada, que expresamente deba ser hecha de conocimiento público
por la Empresa, de acuerdo a las normas establecidas por los
diferentes organismos de supervisión y control