1. Objetivo
Definir, documentar, socializar y actualizar las políticas complementarias, lineamientos,roles, responsabilidades y controles para la seguridad y privacidad de la información delos procesos de la empresa, a través de la presente Política de Seguridad y Privacidad de la información de la empresa Star Solutions TI, con el fin de garantizar la integridad,confidencialidad, disponibilidad y privacidad de la información institucional, en pro de la mejora continua del Sistema de Gestión de Seguridad de la Información – SGSI.
2. Alcance
La Política General de Seguridad y Privacidad de la Información de Star Solutions TI, es de obligatorio cumplimiento y aplica a todos los trabajadores, contratistas, proveedores y demás grupos de interés que accedan a la información o que tengan vínculos laborales,contractuales y formativos con la empresa.La revisión de la Política de Seguridad y Privacidad de la Información será revisada como máximo de manera anual para garantizar su actualización o cuando la entidad lo considere necesario; en los escenarios de posibles cambios de entorno interno, externo y/o cuando sea solicitado por normativa legal colombiana, estas actualizaciones e implementaciones de la política de seguridad y privacidad de la información, están enmarcadas en el manual del sistema de gestión de seguridad y privacidad.
3. Responsable
La Gerencia General y el encargado de seguridad de la información, son los responsables,de divulgar y hacer cumplir la política general de seguridad y privacidad de la información.Es de su responsabilidad que a quienes delegue la ejecución de este proceso, cumpla con las indicaciones y formatos que se establecen en el presente documento. El cumplimientode las políticas, lineamientos, procedimientos y guías de seguridad propenderá a que:
• Impulsar la implementación de prácticas óptimas en seguridad informática, para constituir el fundamento en la aplicación del principio de Seguridad Digital.
• Promover una cultura de Seguridad al interior de la empresa con el objetivo de generar confianza en los procesos y sus niveles de seguridad• Establecer e implementar el Modelo de seguridad y privacidad de la información a través de la socialización y prevalencia de la Política General de Seguridad y Privacidad de la Información.
• Cumplir con los principios fundamentales de seguridad confidencialidad, integridad y disponibilidad de la información y los lineamientos y/o controles de Seguridad y Privacidad de la Información definidos por la empresa.
• Mejorar los procesos, procedimientos e instructivos en materia de seguridad de lainformación para toda la compañía.
• Propender al cuidado los activos de información de la empresa, a través de la identificación y/o actualización de los activos de información y sus riesgos asociados.
• Implementar la política de seguridad y privacidad de la información a nivel transversal de la compañía y para todos los procesos estratégicos, misionales y de apoyo.
• Fortalecer los planes de cultura y concienciación de seguridad y privacidad de lainformación la empresa y realizar mediciones de eficacia sobre los planes desarrollados.
4. Definiciones
• Activo de información: Es todo aquel recurso tangible o intangible que tenga valor o importancia para la organización, de acuerdo con la tipificación definida.
• Confidencialidad: Consiste en garantizar que el activo de información no esté disponible osea divulgado por personas, entidades o procesos NO autorizados.
• Integridad: Consiste en asegurar o salvaguardar que el activo de información cuente con las propiedades de: exactitud, precisión, consistencia, confiablidad y totalidad.
• Disponibilidad: Consiste en garantizar que el activo de información esté accesible y utilizable en el momento oportuno que se requiera bajo la demanda de personas,entidades o procesos.
• SGSI: Sistema de Gestión de Seguridad de la Información.
5. Generalidades
5.1 Política Del Sistema de Gestión de Seguridad de la Información
Star Solutions TI, en el marco de su misión y entendiendo la importancia de una adecuada gestión de la información, se compromete a realizar las acciones pertinentes y de carácter obligatorio para conservar la integridad, confidencialidad, disponibilidad y privacidad de sus activos de información, los cuales soportan los procesos de la empresa, estableciendo así, el Sistema de Gestión de Seguridad de la Información - SGSI, el cual realiza la gestión integral de riesgos e incidentes, fortalece la cultura de seguridad en los colaboradores y propende por la continuidad del negocio. Lo anterior, enmarcado en el cumplimiento delos requisitos legales, regulatorios y en concordancia con la misión y visión de la empresa.
Star Solutions TI, establece la compatibilidad de la política de seguridad de lainformación, con los objetivos misionales y estratégicos de la empresa, estos últimos correspondientes a:
• Minimizar el riesgo de los procesos misionales y estratégicos de la empresa, para cumplir con los principios de seguridad de la información.
• Mantener la confianza de los empleados, contratistas y terceros.
• Apoyar la innovación tecnológica. Implementar el sistema de gestión de seguridad de la información. Proteger los activos de información.
5.2 Alcance Del Sistema de Gestión de Seguridad de la Información
La Política General de Seguridad de la Información de Star Solutions TI presentada acá,aplica a todos los activos de información de la empresa, durante su ciclo de vida,incluyendo la creación, distribución, transmisión, almacenamiento y eliminación; Están orientadas a proteger los activos de información en todos los ambientes en los cuales reside y a asegurar que estén sometidos a controles equivalentes para su protección.Las Políticas, manuales, Procedimientos, guías, formatos y demás inherentes a la Seguridad de la información son aplicables a la administración de:
• La información: Datos almacenados en cualquier medio magnético y físico.
• El software: Sistemas operacionales, programas, productos y aplicaciones.
• El hardware: Equipos de cómputo, telecomunicaciones y redes.
• Las Personas: Usuarios y Administradores de la información, ya sean los empleados, contratistas y terceros que prestan servicios a la empresa.
• Procesos: Las Políticas y procedimientos de Seguridad de la Información cubren todas las operaciones y funciones que se apoyen en los sistemas de información. Para dar cumplimiento Star Solutions TI debe asegurar la divulgación e implementación de la política, manual, procedimientos, guías e instructivos, garantizando el seguimiento y mejora de estos en todos los procesos de la empresa.
5.3 Objetivos Del Sistema de Gestión de Seguridad de la Información
1. Identificar, clasificar, valorar y mantener actualizados los activos de información de laEmpresa
2. Administrar los peligros asociados a la Seguridad y Privacidad de la información que comprometan la confidencialidad, integridad, accesibilidad y reserva de la información corporativa.
3. Gestionar los incidentes y eventos de seguridad y privacidad que pongan en riesgo la confidencialidad, disponibilidad, integridad y privacidad de los activos de información de la empresa de manera oportuna con el fin de minimizar su impacto y propagación.
4. Promover e implementar estrategias para establecer una cultura y apropiación en temas de Seguridad y Privacidad de la información en todos los colaboradores de la empresa.
5. Establecer, implementar y mejorar el plan de continuidad del negocio de la empresa Star Solutions TI, para los procesos y/o actividades críticas de la misma
5.4 Compromiso De La Alta Dirección
El Sistema de Gestión de Seguridad de la Información se adopta en la empresa Star Solutions TI, en la cual se define el conjunto de políticas, procedimientos, guías y formatos con los lineamientos y buenas prácticas para mantener la confidencialidad,integridad y disponibilidad y privacidad de la información de la empresa.La Gerencia General y el área de tecnología, se comprometen y responsabilizan con la asignación y comunicación de las funciones, obligaciones y responsabilidades de todos los colaboradores en materia de seguridad y privacidad de la información,apalancando así el establecimiento, implementación, operación, seguimiento,mantenimiento y mejora continua del SGSI.
5.5 Responsabilidades Del Sistema de Gestión de Seguridad de la Información
La Gerencia General, es la instancia donde se deben tratar los temas de privacidad,seguridad digital y de la información de la empresa Star Solutions TI, así mismo, se establece que el área de tecnología, en el ámbito de sus competencias, definirá y liderará la gestión, adopción, implementación, operación, seguimiento, cumplimiento,mantenimiento y mejora continua del Sistema de Gestión de Seguridad de la información- SGSI de la empresa Star Solutions TI, contemplando los recursos necesarios para quelas Políticas de Seguridad y Privacidad de la Información y de Protección de Datos Personales, se integre a todos los procesos de la Empresa, para el logro de este propósito es necesaria la participación de los diferentes actores.Adicionalmente, todos los empleados, contratistas, proveedores y terceros que tengan vínculos laborales o contractuales con la empresa, están obligados a cumplir con las políticas, procedimientos, guías, lineamientos y demás instrumentos relacionados con el SGSI, además de reportar cualquier tipo de anomalía, evento o incidente que ponga en riesgo la seguridad y privacidad de la información.
5.6 Revisión Del Sistema de Gestión de Seguridad de la Información
La Política de Seguridad y Privacidad de la Información, como elemento estructural del Sistema de Seguridad de la información y demás documentación relacionada serán revisados anualmente o cuando la empresa lo considere necesario; en los escenarios de posibles cambios de entorno interno, externo y/o cuando sea solicitado por normativa legal colombiana, y serán aprobados por la Gerencia de la empresa Star Solutions TI.
5.7 Marco Legal y/o Normativo
• Norma Técnica Colombiana ISO 27001-2022 Sistema de Gestión de seguridad de la información (SGSI)
• Ley 1273 de 5 de enero de 2009 del “Por medio de la cual se modifica el Código Penal, se crea un nuevo bien jurídico tutelado - denominado "de la protección dela información y de los datos"- y se preservan integralmente los sistemas que utilicen las tecnologías de la información y las comunicaciones, entre otras disposiciones”.
• Ley 1581 de octubre 12 de 2012” Por el cual se dictan disposiciones generales para la protección de datos personales. HABEAS DATA”.
• Decreto 1377 dé 27 de junio de 2013 “Por el cual se reglamenta parcialmente la Ley 1581 de 2012 sobre la protección de datos personales”.
Esta política es de obligatorio cumplimiento, deberá ser conocida, comprendida,desarrollada y mantenida al día por todos los niveles de la empresa y en todos los centros de trabajo.