Política de Seguridad de la Información

Home  ›  Política de Seguridad de la Información
Política de Seguridad de la Información
  1. Objetivo

Establecer los lineamientos de seguridad de la información para proteger la confidencialidad, integridad y disponibilidad de la información administrada por SISEL INGENIERÍA SAS y sus clientes, garantizando la continuidad operativa, la mitigación de riesgos y el uso adecuado de los activos tecnológicos, en cumplimiento de buenas prácticas de seguridad informática

2. Alcance

La presente política aplica a colaboradores, contratistas, proveedores y terceros que tengan acceso a información, activos tecnológicos, infraestructura o servicios administrados por SISEL INGENIERÍA SAS. También establece lineamientos para el manejo y acceso a seguridad de nuestros clientes. Incluye el uso de equipos de cómputo, redes, servicios tecnológicos, correos corporativos, plataformas digitales y demás recursos relacionados con el tratamiento de la información.

3. Principio de Seguridad

  • Confidencialidad
  • Integridad
  • Disponibilidad
  • Cumplimiento legal y contractual
  • Gestión basada en riesgos
  • Responsabilidad en el manejo de la información
  • Protección de activos tecnológicos
  • Mejora continua de la seguridad de la información

4. Roles y Responsabilidades

Dirección General

  • Aprobar la política de seguridad de la información.
  • Garantizar recursos mínimos para la implementación de controles de seguridad.
  • Promover buenas prácticas de seguridad dentro de la organización.

Personal Técnico y Administrativo

  • Cumplir los lineamientos y controles establecidos.
  • Proteger credenciales y accesos asignados.
  • Reportar incidentes, vulnerabilidades o eventos sospechosos de seguridad.
  • Hacer uso adecuado de los recursos tecnológicos de la empresa.

Proveedores y Terceros

  • Cumplir las medidas de seguridad definidas por SISEL INGENIERÍA SAS cuando tengan acceso a información o servicios tecnológicos.
  • Mantener la confidencialidad de la información suministrada.

Clientes.

  • Indicar los lineamientos adicionales en el manejo de su información acorde a los contratos y acuerdos de funciones y niveles de servicio.

5. Gestión de Activos

Todos los activos tecnológicos e información crítica de SISEL INGENIERÍA SAS deberán estar identificados, inventariados y protegidos de acuerdo con su criticidad y nivel de riesgo.

Los activos incluyen equipos de cómputo, dispositivos móviles, software, redes, servicios tecnológicos, credenciales de acceso e información física o digital utilizada por la organización.

La información deberá ser utilizada únicamente para fines autorizados y protegida frente a pérdida, alteración, divulgación o acceso no autorizado.

6. Control de Acceso

SISEL INGENIERÍA SAS implementará controles de acceso lógico a la información y a los servicios tecnológicos mediante mecanismos de autenticación, contraseñas seguras y asignación de privilegios de acuerdo con las funciones de cada usuario.

El acceso a sistemas, plataformas y recursos tecnológicos deberá otorgarse bajo el principio de mínimo privilegio y únicamente al personal autorizado.

La organización promoverá el uso de autenticación multifactor cuando sea posible, especialmente en servicios críticos o accesos remotos.

Los accesos deberán ser modificados, suspendidos o eliminados oportunamente cuando existan cambios de cargo, retiro de personal o riesgos de seguridad identificados.

Política de Contraseñas

  • Las contraseñas deberán mantenerse confidenciales.
  • No podrán compartirse entre usuarios.
  • Deberán contener combinaciones seguras de caracteres.
  • No deberán reutilizarse en cuentas personales o servicios no autorizados
  • El manejo de contraseñas de clientes debe contar con la distribución de roles con base a los colaboradores asignados a cada proyecto o cliente.

7. Seguridad de Endpoints

Todos los equipos corporativos deberán contar con mecanismos básicos de protección como antivirus o EDR, firewall activo y actualizaciones de seguridad vigentes.

Los dispositivos deberán mantenerse protegidos mediante contraseñas o mecanismos de bloqueo automático para evitar accesos no autorizados.

La instalación de software deberá realizarse únicamente con autorización del personal responsable y evitando aplicaciones no confiables o no licenciadas.

Los usuarios deberán reportar oportunamente cualquier comportamiento sospechoso, pérdida de equipos o posibles incidentes de seguridad relacionados con los dispositivos corporativos.

8. Seguridad de Redes e Infraestructura

SISEL INGENIERÍA SAS implementará controles razonables para proteger las redes, servicios tecnológicos e infraestructura utilizada en la operación de la organización.

Se aplicarán medidas de seguridad perimetral, administración segura de redes y protección de servicios en nube o plataformas tecnológicas utilizadas por la empresa.

Los dispositivos de red y servicios tecnológicos deberán mantenerse actualizados y configurados de manera segura para reducir riesgos de acceso no autorizado o afectación de los servicios.

Cuando sea posible, la organización realizará monitoreo básico de conexiones, accesos y eventos que puedan representar riesgos para la seguridad de la información.

9. Gestión de Backups

La información crítica de SISEL INGENIERÍA SAS deberá contar con respaldos periódicos que permitan su recuperación ante incidentes, fallas tecnológicas o pérdida de información.

Los respaldos deberán almacenarse de manera segura y protegerse frente a accesos no autorizados, alteración o pérdida.

La organización realizará pruebas básicas de restauración cuando sea posible, con el fin de verificar la disponibilidad e integridad de la información respaldada.

Se debe Organizar con cada clientes las metodología apropiada para la salvaguarda de información, manteniendo los logs respectivos de validación de la operación.

10. Gestión de Incidentes

Todo incidente o evento sospechoso de seguridad deberá ser reportado, registrado y tratado oportunamente con el fin de reducir impactos sobre la información y los servicios tecnológicos.

La organización implementará medidas básicas para la identificación, contención, análisis y recuperación ante incidentes de seguridad informática.

Los colaboradores deberán reportar situaciones como:

  • accesos no autorizados,
  • pérdida de información,
  • malware,
  • phishing,
  • fallas de seguridad,
  • pérdida o robo de equipos tecnológicos.

Cuando sea posible, se documentarán las acciones realizadas y las lecciones aprendidas para prevenir incidentes futuros.

11. Seguridad en Servicios a Clientes

SISEL INGENIERÍA SAS protegerá la información, accesos y credenciales de clientes mediante prácticas seguras de administración, soporte técnico y acceso remoto.

Todo acceso a plataformas, redes o servicios de clientes deberá realizarse únicamente por personal autorizado y mediante mecanismos seguros de conexión.

La información suministrada por los clientes deberá ser tratada bajo criterios de confidencialidad y utilizada exclusivamente para fines relacionados con la prestación de los servicios contratados.

Cuando sea posible, la organización implementará controles básicos de registro y protección de accesos utilizados durante actividades de soporte o administración remota.

12. Protección de Datos

SISEL INGENIERÍA SAS cumplirá con la Ley 1581 de 2012 y demás normativa aplicable relacionada con la protección de datos personales.

La organización implementará medidas razonables para garantizar la confidencialidad, integridad y protección de la información personal administrada durante el desarrollo de sus actividades.

Los datos personales recolectados serán utilizados únicamente para fines autorizados y relacionados con la prestación de servicios, obligaciones contractuales o cumplimiento legal.

El acceso a información personal estará restringido únicamente al personal autorizado y deberá protegerse frente a pérdida, divulgación, alteración o acceso no autorizado.

13. Teletrabajo y Acceso Remoto

Las conexiones remotas a servicios, plataformas o información de SISEL INGENIERÍA SAS deberán realizarse mediante mecanismos seguros y dispositivos protegidos.

Los usuarios que accedan de forma remota deberán mantener medidas básicas de seguridad como contraseñas seguras, bloqueo de equipos y actualización de software.

Se deberá evitar el acceso a información corporativa desde redes públicas o inseguras cuando exista riesgo para la seguridad de la información.

La información utilizada durante actividades de teletrabajo deberá protegerse frente a pérdida, divulgación o acceso no autorizado.

Cuando sea posible, la organización promoverá el uso de autenticación multifactor y conexiones seguras para accesos remotos.

14. Continuidad del Negocio

SISEL INGENIERÍA SAS mantendrá medidas básicas orientadas a garantizar la recuperación de la información y la continuidad operativa ante incidentes tecnológicos, fallas de infraestructura o eventos que afecten la prestación de los servicios.

La organización podrá implementar procedimientos básicos de contingencia y recuperación para reducir impactos sobre la operación y los servicios prestados a clientes.

Cuando sea posible, se promoverá la disponibilidad de respaldos, recursos tecnológicos y mecanismos de recuperación que permitan restablecer las actividades críticas de la empresa.

15. Capacitación y Concientización

SISEL INGENIERÍA SAS promoverá actividades periódicas de formación y sensibilización en ciberseguridad, protección de la información y buenas prácticas en el uso de recursos tecnológicos.

Las actividades podrán incluir temas relacionados con:

  • manejo seguro de contraseñas,
  • prevención de phishing,
  • protección de información,
  • uso adecuado de herramientas tecnológicas,
  • reporte de incidentes de seguridad.

La organización fomentará una cultura de seguridad orientada a la prevención de riesgos y al uso responsable de la información y los activos tecnológicos.

16. Relación con Terceros

Los proveedores, contratistas y terceros que tengan acceso a información, servicios o infraestructura tecnológica de SISEL INGENIERÍA SAS deberán cumplir controles mínimos de seguridad y confidencialidad.

El acceso otorgado a terceros deberá limitarse únicamente a los recursos necesarios para el desarrollo de las actividades autorizadas.

La información suministrada por la organización deberá protegerse frente a divulgación, pérdida, alteración o acceso no autorizado.

Cuando aplique, SISEL INGENIERÍA SAS podrá solicitar acuerdos de confidencialidad o compromisos básicos de cumplimiento en seguridad de la información.

17. Incumplimiento

El incumplimiento de terceros  la presente política, así como de los controles y lineamientos de seguridad establecidos por SISEL INGENIERÍA SAS, podrá derivar en acciones administrativas, contractuales o legales según la gravedad del incidente y la normativa aplicable.

Todo evento de incumplimiento que pueda afectar la confidencialidad, integridad o disponibilidad de la información deberá ser reportado y evaluado por la organización.

La empresa podrá implementar medidas correctivas orientadas a reducir riesgos y prevenir incidentes futuros relacionados con seguridad de la información.

18. Mejora Continua

SISEL INGENIERÍA SAS promoverá el mejoramiento continuo de los controles y prácticas de seguridad de la información con el fin de fortalecer la protección de los activos tecnológicos y reducir riesgos operativos.

La presente política será revisada periódicamente, cuando existan cambios relevantes en tecnología, riesgos, procesos, servicios o normativa aplicable.

Cuando sea posible, la organización evaluará incidentes, vulnerabilidades y oportunidades de mejora para fortalecer las medidas de seguridad implementadas.

19. Validación de Cumplimiento

La presente política se encuentra alineada proporcionalmente con estándares, lineamientos y buenas prácticas aplicables a organizaciones dedicadas a servicios de ciberseguridad, soporte técnico e infraestructura tecnológica, incluyendo:

  1. ISO/IEC 27001:2022
  2. ISO/IEC 27002
  3. NIST Cybersecurity Framework
  4. Principios de gestión de riesgos y continuidad operativa
  5. Protección de datos personales conforme a la legislación colombiana aplicable

La presente política mantiene un enfoque proporcional al tamaño, capacidad operativa y necesidades de SISEL INGENIERÍA SAS, permitiendo fortalecer la seguridad de la información sin generar sobrecarga administrativa innecesaria.

Los controles definidos podrán ajustarse progresivamente de acuerdo con el crecimiento de la organización, la evolución tecnológica y los riesgos identificados.

Wordpress Social Share Plugin powered by Ultimatelysocial