POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN SEGURIDAD DE LA INFORMACIÓN - Asmet Salud EPS

Página creada Iñigo Biescas
 
SEGUIR LEYENDO
POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN SEGURIDAD DE LA INFORMACIÓN - Asmet Salud EPS
POLÍTICAS DE SEGURIDAD DE LA
        INFORMACIÓN

SEGURIDAD DE LA INFORMACIÓN
MACROPROCESO SISTEMA DE GESTIÓN INTEGRADA
                                PROCESO SEGURIDAD DE LA INFORMACIÓN
                            MANUAL POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN
                                            SGI-SI-M-01 Ver 5

                                                CONTENIDO

DECLARACIÓN DE LA POLÍTICA DE SEGURIDAD                                                                     8

1.     TÉRMINOS Y DEFINICIONES                                                                              9

2.     OBJETIVOS DE LA SEGURIDAD DE LA INFORMACIÓN                                                      10

2.1.     OBJETIVO GENERAL                                                                               10

2.2.     OBJETIVOS ESPECÍFICOS                                                                          10

3.     GENERALIDADES Y CONTEXTO                                                                         11

3.1.     MONITOREO, CONTROL Y AUDITORIA                                                                 11

3.2.     EXCEPCIONES                                                                                    11

3.3.     INCUMPLIMIENTO A LAS POLÍTICAS DESCRITAS EN ESTE DOCUMENTO 12

4. COMPROMISO EN EL CUMPLIMIENTO DE LOS REQUISITOS RELACIONADOS
AL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN           13

5.     POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN                                                          14

5.1. ORIENTACIÓN DE LA DIRECCIÓN PARA LA GESTIÓN DE LA SEGURIDAD DE
LA INFORMACIÓN                                                     14
  5.1.1. Políticas para la seguridad de la información             14
  5.1.2. Revisión de políticas para la seguridad de la información 14

6.     ORGANIZACIÓN DE LA SEGURIDAD                                                                     16

6.1. ORGANIZACIÓN INTERNA                                                                               16
  6.1.1. Roles y Responsabilidades para la Seguridad de la Información                                  16
  6.1.2. Separación de Funciones                                                                        17
  6.1.3. Contacto con Autoridades                                                                       17
  6.1.4. Contacto con grupos de Interés especial                                                        17
  6.1.5. Seguridad de la Información en la Gestión de Proyectos                                         18

6.2. DISPOSITIVOS MÓVILES Y TELETRABAJO                                                                 18
  6.2.1. Política para Dispositivos Móviles                                                             18
  6.2.2. Teletrabajo                                                                                    18

7.     SEGURIDAD DE LOS RECURSOS HUMANOS                                                                21

     Elaborado por: Coordinador de     Revisado por: Prof. Innovación y      Aprobado por: Gerente de
      Seguridad de la Información        Optimización de Procesos              Transformación Digital
                     SISTEMA DE GESTIÓN DE CALIDAD                        Aprobado en Agosto de 2021    2
MACROPROCESO SISTEMA DE GESTIÓN INTEGRADA
                                PROCESO SEGURIDAD DE LA INFORMACIÓN
                            MANUAL POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN
                                            SGI-SI-M-01 Ver 5

7.1. ANTES DE ASUMIR EL EMPLEO                                                                          21
  7.1.1. Selección                                                                                      21
  7.1.2. Términación y condiciones del empleo                                                           21

7.2. DURANTE LA EJECUCIÓN DEL EMPLEO                                             21
  7.2.1. Responsabilidades de la Dirección                                       21
  7.2.2. Toma de Conciencia, educación y Formación en seguridad de la información22
  7.2.3. Proceso disciplinario                                                   22

7.3. TERMINACIÓN Y CAMBIO DE EMPLEO                                                                     22
  7.3.1. Terminación o cambio de responsabilidades de empleo                                            22

8.    GESTIÓN DE ACTIVOS.                                                                               24

8.1. RESPONSABILIDAD POR LOS ACTIVOS                                                                    24
  8.1.1. Inventario de activos.                                                                         24
  8.1.2. Propiedad de los activos                                                                       25
  8.1.3. Uso aceptable de los activos                                                                   25
  8.1.4. Devolución de activos                                                                          30

8.2. CLASIFICACIÓN DE LA INFORMACIÓN.                                                                   31
  8.2.1. Clasificación de la información.                                                               31
  8.2.2. Etiquetado de la información                                                                   33
  8.2.3. Manejo de Activos                                                                              33

8.3. MANEJO DE MEDIOS                                                                                   34
  8.3.1. Gestión de medio removibles                                                                    34
  8.3.2. Disposición de los medios                                                                      34
  8.3.3. Transferencia de Medios                                                                        35

9.    CONTROL DE ACCESO                                                                                 36

9.1. REQUISITO DEL NEGOCIO PARA CONTROL DE ACCESO                                                       36
  9.1.1. Política de control de acceso                                                                  36
  9.1.2. Acceso a redes y servicios de red                                                              36
  9.1.3. Acceso a redes inalámbricas – WiFi Corporativa e Invitados                                     37

9.2. GESTIÓN DEL ACCESO A USUARIOS                                                                      38
  9.2.1. Registro y cancelación del registro de usuarios                                                38
  9.2.2. Suministro de acceso de usuarios                                                               38
  9.2.3. Gestión de derechos de acceso privilegiado                                                     39
  9.2.4. Gestión de Información de Autenticación Secreta de Usuarios                                    39
  9.2.5. Revisión de los derechos de acceso de los usuarios.                                            41
  9.2.6. Retiro o Ajuste de los derechos de acceso                                                      41

9.3. RESPONSABILIDADES DE LOS USUARIOS                                                                  42
  9.3.1. Uso de información de autenticación secreta                                                    42

     Elaborado por: Coordinador de     Revisado por: Prof. Innovación y      Aprobado por: Gerente de
      Seguridad de la Información        Optimización de Procesos              Transformación Digital
                     SISTEMA DE GESTIÓN DE CALIDAD                        Aprobado en Agosto de 2021    3
MACROPROCESO SISTEMA DE GESTIÓN INTEGRADA
                              PROCESO SEGURIDAD DE LA INFORMACIÓN
                          MANUAL POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN
                                          SGI-SI-M-01 Ver 5

9.4. CONTROL DE ACCESO A SISTEMAS Y APLICACIONES                                                      42
  9.4.1. Restricción de acceso a la información                                                       42
  9.4.2. Procedimiento de Ingreso seguro                                                              43
  9.4.3. Sistema de gestión de contraseñas.                                                           43
  9.4.4. Uso de programas utilitarios privilegiados                                                   43
  9.4.5. Control de acceso a código fuente de programas                                               44

10. CRIPTOGRAFÍA                                                                                      45

10.1. CONTROLES CRIPTOGRÁFICOS                                                                        45
  10.1.1. Política sobre el uso de controles criptográfico                                            45
  10.1.2. Gestión de llaves                                                                           45

11. SEGURIDAD FISICA Y DEL ENTORNO                                                                    46

11.1. ÁREAS SEGURAS                                                                                   46
  11.1.1. Perímetro de seguridad física                                                               46
  11.1.2. Controles de acceso físico                                                                  46
  11.1.3. Seguridad de oficinas, recintos e instalaciones                                             46
  11.1.4. Protección contra amenazas externas y ambientales                                           47
  11.1.5. Trabajo en áreas seguras                                                                    47
  11.1.6. Áreas Públicas                                                                              48

11.2. SEGURIDAD DE LOS EQUIPOS                                                                        48
  11.2.1. Ubicación y protección de los equipos                                                       48
  11.2.2. Servicios de suministro                                                                     48
  11.2.3. Seguridad del cableado                                                                      49
  11.2.4. Mantenimiento de los equipos                                                                49
  11.2.5. Retiro de activos                                                                           49
  11.2.6. Seguridad de equipos y activos fuera de las instalaciones                                   50
  11.2.7. Disposición segura o reutilización de equipos                                               50
  11.2.8. Equipos de usuario desatendido                                                              50
  11.2.9. Política de escritorio despejado y de pantalla despejada                                    51

12. SEGURIDAD DE LAS OPERACIONES                                                                      52

12.1. PROCEDIMIENTOS OPERACIONALES Y RESPONSABILIDADES                                                52
  12.1.1. Procedimientos de operaciones documentados                                                  52
  12.1.2. Gestión de cambios                                                                          52
  12.1.3. Gestión de capacidad                                                                        53
  12.1.4. Separación de los entornos de desarrollo, pruebas y producción                              53

12.2. PROTECCIÓN CONTRA CÓDIGOS MALICIOSOS                                                            53
  12.2.1. Controles contra códigos maliciosos                                                         53

12.3. COPIAS DE RESPALDO                                                                              54
  12.3.1. Respaldo de la información                                                                  54

   Elaborado por: Coordinador de     Revisado por: Prof. Innovación y      Aprobado por: Gerente de
    Seguridad de la Información        Optimización de Procesos              Transformación Digital
                   SISTEMA DE GESTIÓN DE CALIDAD                        Aprobado en Agosto de 2021    4
MACROPROCESO SISTEMA DE GESTIÓN INTEGRADA
                              PROCESO SEGURIDAD DE LA INFORMACIÓN
                          MANUAL POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN
                                          SGI-SI-M-01 Ver 5

12.4. REGISTRO Y SEGUIMIENTO                                                                          55
  12.4.1. Registro de eventos                                                                         55
  12.4.2. Protección de la información de registro                                                    55
  12.4.3. Registros del administrador y del operador                                                  55
  12.4.4. Sincronización de relojes                                                                   56

12.5. CONTROL DE SOFTWARE OPERACIONAL                                                                 56
  12.5.1. Instalación de Software en Sistemas Operativos                                              56

12.6. GESTIÓN DE LA VULNERABILIDAD TÉCNICA                                                            57
  12.6.1. Gestión de la vulnerabilidad técnica                                                        57
  12.6.2. Restricciones sobre la instalación de software                                              57

12.7. CONSIDERACIONES SOBRE AUDITORIAS DE SISTEMAS DE INFORMACIÓN
      57
  12.7.1. Controles sobre auditorias de sistemas de información  57

13. GESTIÓN DE LA SEGURIDAD DE LAS COMUNICACIONES.                                                    58

13.1. GESTIÓN DE LA SEGURIDAD DE LAS REDES.                                                           58
  13.1.1. Controles de las redes                                                                      58
  13.1.2. Seguridad de los servicios de la red.                                                       58
  13.1.3. Separación en las redes                                                                     58

13.2. TRANSFERENCIA DE INFORMACIÓN                                                                    58
  13.2.1. Políticas y procedimientos para el transferencia de información                             58
  13.2.2. Acuerdos para la transferencia de información                                               59
  13.2.3. Mensajería Electrónica                                                                      59
  13.2.4. Acuerdo de confidencialidad o no divulgación                                                59

14. ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS                                               61

14.1. REQUISITOS DE SEGURIDAD DE LOS SISTEMAS DE INFORMACIÓN                                          61
  14.1.1. Análisis y especificaciones de requisitos de seguridad de la información                    61
  14.1.2. Seguridad de servicios de las aplicaciones en redes públicas.                               61
  14.1.3. Protección de transacciones de los servicios de las aplicaciones                            61

14.2. SEGURIDAD EN LOS PROCESOS DE DESARROLLO Y SOPORTE                              62
  14.2.1. Política de desarrollo seguro                                              62
  14.2.2. Procedimientos de control de cambios en sistemas                           62
  14.2.3. Revisión técnica de las aplicaciones después de cambios en la plataforma de
  operación                                                                          63
  14.2.4. Restricciones en los cambios a los paquetes de software                    63
  14.2.5. Principios de construcción de sistemas seguros                             63
  14.2.6. Ambiente de desarrollo seguro                                              64
  14.2.7. Desarrollo contratado externamente                                         64
  14.2.8. Pruebas de seguridad de sistemas                                           64
  14.2.9. Prueba de aceptación de sistemas                                           65

   Elaborado por: Coordinador de     Revisado por: Prof. Innovación y      Aprobado por: Gerente de
    Seguridad de la Información        Optimización de Procesos              Transformación Digital
                   SISTEMA DE GESTIÓN DE CALIDAD                        Aprobado en Agosto de 2021    5
MACROPROCESO SISTEMA DE GESTIÓN INTEGRADA
                              PROCESO SEGURIDAD DE LA INFORMACIÓN
                          MANUAL POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN
                                          SGI-SI-M-01 Ver 5

14.3. DATOS DE PRUEBA                                                                                 65
  14.3.1. Protección de datos de prueba                                                               65

15. RELACIONES CON LOS PROVEEDORES                                                                    66

15.1. SEGURIDAD DE LA INFORMACIÓN EN LAS RELACIONES CON LOS
PROVEEDORES                                                                                           66
  15.1.1. Seguridad de la información para las relaciones con proveedores                             66
  15.1.2. Tratamiento de la seguridad dentro de acuerdos con proveedores                              66
  15.1.3. Ccadena de suministro de tecnología de información y comunicación                           66

15.2. GESTIÓN DE LA PRESTACIÓN DE SERVICIOS DE PROVEEDOR                                              67
  15.2.1. Seguimiento y revisión de los servicios de los proveedores                                  67
  15.2.2. Gestión de cambios en los servicios de los proveedores                                      67

16. GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN                                              68

16.1. GESTIÓN DE INCIDENTES Y MEJORAS EN LA SEGURIDAD DE LA
INFORMACIÓN                                                                          68
  16.1.1. Responsabilidades y procedimientos                                         68
  16.1.2. Reporte de eventos de seguridad de la información                          68
  16.1.3. Reporte de debilidades de seguridad de la información                      68
  16.1.4. Evaluación de eventos de seguridad de la información y decisiones sobre ellos
          69
  16.1.5. Respuesta a incidentes de seguridad de la información                      69
  16.1.6. Aprendizaje obtenido de los incidentes de seguridad de la información      69
  16.1.7. Recolección de evidencia                                                   69

17. ASPECTOS DE SEGURIDAD DE LA INFORMACIÓN DE LA GESTIÓN DE LA
CONTINUIDAD DEL NEGOCIO                                                                               70

17.1. CONTINUIDAD DE LA SEGURIDAD DE LA INFORMACIÓN                                                   70
  17.1.1. Planificación de la continuidad de la seguridad de la información                           70
  17.1.2. Implementación de la continuidad de la seguridad de la información                          70
  17.1.3. Verificación, revisión y evaluación de la continuidad de la seguridad de la
  información.                                                                                        70

17.2. REDUNDANCIAS                                                                                    71
  17.2.1. Disponibilidad de instalaciones de procesamiento de información                             71

18. CUMPLIMIENTO                                                                                      72

18.1. CUMPLIMIENTO DE REQUISITOS LEGALES Y CONTRACTUALES                                              72
  18.1.1. Identificación de la legislación aplicable y de los requisitos contractuales.               72
  18.1.2. Derechos de propiedad intelectual                                                           72
  18.1.3. Protección de registros                                                                     73

   Elaborado por: Coordinador de     Revisado por: Prof. Innovación y      Aprobado por: Gerente de
    Seguridad de la Información        Optimización de Procesos              Transformación Digital
                   SISTEMA DE GESTIÓN DE CALIDAD                        Aprobado en Agosto de 2021    6
MACROPROCESO SISTEMA DE GESTIÓN INTEGRADA
                              PROCESO SEGURIDAD DE LA INFORMACIÓN
                          MANUAL POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN
                                          SGI-SI-M-01 Ver 5

  18.1.4. Protección de los datos y privacidad de la información relacionada con los
  datos personales.                                                                                   73
  18.1.5. Reglamento de controles criptográficos                                                      73

18.2. REVISIONES DE SEGURIDAD DE LA INFORMACIÓN                                                       74
  18.2.1. Revisión independiente de la seguridad de la información                                    74
  18.2.2. Cumplimiento con las políticas y normas de seguridad                                        74
  18.2.3. Revisión de cumplimiento técnico                                                            74

19. DUDAS Y RECOMENDACIONES                                                                           75

   Elaborado por: Coordinador de     Revisado por: Prof. Innovación y      Aprobado por: Gerente de
    Seguridad de la Información        Optimización de Procesos              Transformación Digital
                   SISTEMA DE GESTIÓN DE CALIDAD                        Aprobado en Agosto de 2021    7
MACROPROCESO SISTEMA DE GESTIÓN INTEGRADA
                              PROCESO SEGURIDAD DE LA INFORMACIÓN
                          MANUAL POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN
                                          SGI-SI-M-01 Ver 5

                          DECLARACIÓN DE LA POLÍTICA DE SEGURIDAD

El gran crecimiento de la tecnología, el flujo de información, las interoperabilidades de los
sistemas, el afán por el conocimiento, los datos y la información actualmente son algunos
de los rasgos importantes en la carrera por la sostenibilidad de las empresas dentro de los
mercados globales y regionales. La información supone poder de decisión, poder hacer
las estimaciones del pasado, de lo actual y de lo futuro para encarrilar la organización por
un camino de sostenibilidad. La tecnología ha permitido nuevas formas de mercado, así
como nuevas formas de ofrecer los servicios, en el mundo actual y globalizado se han
creado y aún se siguen haciendo grandes innovaciones sobre el servicio basados en la
tecnología como herramienta principal, tales como servicios de transporte, salud,
educación, entretenimiento, industriales, entre otros.

¿De qué se trata todo esto? Se trata del acceso a los datos y la información que permitan
tomar las decisiones acertadas para garantizar el éxito o la supervivencia. Dentro de las
organizaciones la tecnología es la principal herramienta para el flujo de datos y gestión de
la información, es a través de los departamentos o procesos de tecnologías de la
información (TI) y del Sistema de gestión de la seguridad de la información (SGSI) que se
aplican las políticas y controles adecuados para la gestión de la información corporativa,
permitiendo salvaguardarla de accesos no autorizados, fugas de datos, malware, ataques
informáticos, entre otras amenazas. Por otra parte los procesos de TI y el SGSI permiten
que se aseguren los sistemas de información corporativos, así como la gestión de nuevas
tecnologías necesaria para la organización en la búsqueda de la eficiencia.

ASMET SALUD EPS SAS, conforma en el presente manual sus políticas de seguridad de
la información, las cuales se basan en el anexo A de la norma NTC-ISO 27001:2013,
norma referente para la construcción del SGSI que con base en buenas prácticas y la
normativa vigente permita gestionar eficientemente los riesgos de seguridad de la
información para los servicios prestados por ASMET SALUD EPS SAS.

No se trata de limitar a los usuarios o colaboradores de la organización, se trata de
optimizar su trabajo a través de garantizar el accesos a los sistemas y a la información
que requiere para que ejerza su labor en forma eficiente, por lo tanto en este documento
se detallan las directrices de seguridad bajo las cuales deben operar los sistemas
informáticos de ASMET SALUD EPS SAS, las normativas, estándares, procedimientos e
instrucciones, los límites que tienen los usuarios y/o colaboradores que usan los sistemas
de información y los lineamientos para aplicar y configurar los servicios de redes y
equipos en las diferentes oficinas, estableciendo los parámetros que permitan una gestión
segura de los servicios, el manejo de los activos y de la información.

La presente política de seguridad de la información es aplicable también a los aliados o
terceros con los cuales se tengan relaciones contractuales.

   Elaborado por: Coordinador de     Revisado por: Prof. Innovación y      Aprobado por: Gerente de
    Seguridad de la Información        Optimización de Procesos              Transformación Digital
                   SISTEMA DE GESTIÓN DE CALIDAD                        Aprobado en Agosto de 2021    8
MACROPROCESO SISTEMA DE GESTIÓN INTEGRADA
                              PROCESO SEGURIDAD DE LA INFORMACIÓN
                          MANUAL POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN
                                          SGI-SI-M-01 Ver 5

                                   1. TÉRMINOS Y DEFINICIONES

El presente documento utiliza los términos y definiciones de la ISO 27001 y 27002. Se
destacan los siguientes términos y definiciones.

   ●   Información: Conjunto de datos que informan sobre algo.

   ●   Seguridad de la Información: Entiéndase como la preservación de la
       confidencialidad, integridad y disponibilidad de la información.

   ●   Confidencialidad: Propiedad de la información de no ponerse a disposición o ser
       revelada a individuos, entidades o procesos no autorizados.

   ●   Integridad: Propiedad de la información relativa a su exactitud y completitud.

   ●   Disponibilidad: Propiedad de la información de estar accesible y utilizable cuando
       lo requiera una entidad autorizada.

   ●   Amenaza: Causa potencial de un incidente no deseado, que puede provocar
       daños a un sistema o a la organización.

   ●   Evento de Seguridad de la Información: Una ocurrencia identificada del estado
       de un sistema, servicio o red indicando una posible violación de la política de
       seguridad de la información o falla en salvaguardas, o una situación previamente
       desconocida que puede ser relevante para la seguridad.

   ●   Incidente de Seguridad de la Información: Un solo o una serie de eventos de
       seguridad de la información no deseada o inesperada que tienen una significativa
       probabilidad de comprometer las operaciones comerciales y amenazan la
       seguridad de la información.

   Elaborado por: Coordinador de     Revisado por: Prof. Innovación y      Aprobado por: Gerente de
    Seguridad de la Información        Optimización de Procesos              Transformación Digital
                   SISTEMA DE GESTIÓN DE CALIDAD                        Aprobado en Agosto de 2021    9
MACROPROCESO SISTEMA DE GESTIÓN INTEGRADA
                              PROCESO SEGURIDAD DE LA INFORMACIÓN
                          MANUAL POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN
                                          SGI-SI-M-01 Ver 5

                  2. OBJETIVOS DE LA SEGURIDAD DE LA INFORMACIÓN

   2.1. OBJETIVO GENERAL

Realizar una adecuada administración de seguridad de la información al área de
Transformación Digital asegurando la operatividad en los servicios tecnológicos de la
organización; garantizando la confidencialidad, la integridad y la disponibilidad de la
información.

   2.2. OBJETIVOS ESPECÍFICOS

   ●   Establecer una adecuada metodología de Gestión del Riesgo de Seguridad de la
       Información en TI, (Tecnologías de la información), que permita mantener la
       seguridad de la información en los niveles de riesgo aceptables, permitiendo tomar
       acciones para la mitigación, eliminación, transferencia o aceptación de riesgos.

   ●   Realizar un adecuado diseño, implementación y mejora de políticas y controles de
       seguridad de la información, que permitan la protección de los activos,
       garantizando la confidencialidad, integridad y disponibilidad de información y las
       operaciones con base tecnológica de ASMET SALUD EPS SAS, principalmente
       los contenidos en el Data Center. También, las políticas y controles de seguridad
       de la información deben lograr el cumplimiento de los acuerdos legales, la
       legislación y normatividad aplicable relacionada con la seguridad de la
       información, con el fin de evitar cargos o sanciones por incumplimientos legales y
       normativos.

   ●   Establecer un adecuado plan de concientización en seguridad de la información en
       la organización, que permita fortalecer la aplicación de buenas prácticas seguras
       en el uso de las tecnologías de la información y la comunicación, buscando mitigar
       la materialización de Incidentes de seguridad de la información.

   Elaborado por: Coordinador de     Revisado por: Prof. Innovación y       Aprobado por: Gerente de
    Seguridad de la Información        Optimización de Procesos              Transformación Digital
                   SISTEMA DE GESTIÓN DE CALIDAD                        Aprobado en Agosto de 2021   10
MACROPROCESO SISTEMA DE GESTIÓN INTEGRADA
                              PROCESO SEGURIDAD DE LA INFORMACIÓN
                          MANUAL POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN
                                          SGI-SI-M-01 Ver 5

                                 3. GENERALIDADES Y CONTEXTO

El presente manual proporciona las directrices necesarias para el aseguramiento y/o
protección de los activos de información, los datos e información corporativa
pertenecientes o tratados por ASMET SALUD EPS SAS. Las presentes políticas están
dirigidas a todos los funcionarios o colaboradores de ASMET SALUD EPS SAS, al
personal temporal, a terceros que prestan servicios (outsourcing) en modalidad in-house u
out-house, a afiliados, proveedores y toda persona natural o jurídica que de alguna
manera realice transacciones, contrataciones y prestación de servicios con ASMET
SALUD EPS SAS. Para los funcionarios o colaboradores de ASMET SALUD EPS SAS la
responsabilidad de garantizar su cumplimiento no está solo en ellos, sino también en cada
Coordinador, Gerente o Director el cual debe monitorear y gestionar el cumplimiento de
las mismas.

   3.1. MONITOREO, CONTROL Y AUDITORIA

El monitoreo al cumplimiento de las políticas por parte de cada funcionario, proveedor o
tercero, corresponde al conocimiento que cada coordinador o responsable por la
administración de un servicio, tenga sobre el desempeño y cumplimiento de las
obligaciones contraídas, realizando las gestiones pertinentes para hacer cumplir las
políticas e informar del incumplimiento de las mismas.

El Oficial de seguridad de la información o Profesional Administrador SGSI será quien
gestione (Monitoreo, Control y Auditoría) el cumplimiento de las políticas y/o controles
técnicos y organizativos, las auditorías internas o externas, el cumplimiento de las
presentes políticas por parte del personal de ASMET SALUD EPS SAS o involucrados,
con el fin de mejorar la seguridad de la información. Las auditorías se definen en el
Manual del SGSI, en el numeral 10.2 “Auditoría Interna”

   3.2. EXCEPCIONES

Si se requieren excepciones a alguna de las políticas aquí descritas estas deben ser
solicitadas a través del coordinador del funcionario con visto bueno del vicepresidente,
gerente o director de cada área. Las excepciones deberán quedar documentadas y
almacenadas como soporte a través del formato web de Solicitud de Servicios de
Tecnología (Procedimiento de Gestión de Requerimientos). El Vicepresidente, Gerente,
Director o coordinador de cada área será el encargado de evaluar los riesgos de la
solicitud, con apoyo del área de Transformación Digital si lo requiere. Si el encargado de
autorizar considera que una excepción solicitada conlleva riesgos altos para la seguridad
de la información puede no autorizarla, o escalarla a su superior según el organigrama de
ASMET SALUD EPS SAS.

Las excepciones a políticas y privilegios serán revisados anualmente. Su fecha de
vencimiento tiene corte a 31 de diciembre de cada año, por lo tanto si se encuentra
vencida debe ser solicitada nuevamente mediante el formato solicitud de servicios de
tecnología y las autorizaciones respectivas.

   Elaborado por: Coordinador de     Revisado por: Prof. Innovación y       Aprobado por: Gerente de
    Seguridad de la Información        Optimización de Procesos              Transformación Digital
                   SISTEMA DE GESTIÓN DE CALIDAD                        Aprobado en Agosto de 2021   11
MACROPROCESO SISTEMA DE GESTIÓN INTEGRADA
                              PROCESO SEGURIDAD DE LA INFORMACIÓN
                          MANUAL POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN
                                          SGI-SI-M-01 Ver 5

   3.3. INCUMPLIMIENTO A LAS POLÍTICAS DESCRITAS EN ESTE DOCUMENTO

El cumplimiento de las políticas de seguridad de la información es obligatorio para todo
funcionario o colaborador, contratista, consultor, pasante o tercera parte involucrada. En
caso de presentarse un desacato, un incumplimiento o una potencial violación a las
políticas aquí descritas por negligencia o intencionalmente, el colaborador que detectó la
falta está en la obligación de informar el incumplimiento de la política mediante correo
electrónico al coordinador del funcionario con copia al Coordinador de Seguridad y
Protección de Datos al correo gt.seguridad@asmetsalud.com; éste a su vez informará a
las áreas necesarias de acuerdo al incidente con el fin de tomar las medidas correctivas
pertinentes según el caso y que surta el respectivo proceso según el código disciplinario
vigente. Si el caso se presenta por parte de un tercero como un proveedor o un cliente, el
mismo será analizado conjuntamente con las partes involucradas dentro de ASMET
SALUD EPS SAS, quienes serán la instancia que tomarán las acciones necesarias para
solucionar el inconveniente.

   Elaborado por: Coordinador de     Revisado por: Prof. Innovación y       Aprobado por: Gerente de
    Seguridad de la Información        Optimización de Procesos              Transformación Digital
                   SISTEMA DE GESTIÓN DE CALIDAD                        Aprobado en Agosto de 2021   12
MACROPROCESO SISTEMA DE GESTIÓN INTEGRADA
                              PROCESO SEGURIDAD DE LA INFORMACIÓN
                          MANUAL POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN
                                          SGI-SI-M-01 Ver 5

              4. COMPROMISO EN EL CUMPLIMIENTO DE LOS REQUISITOS
              RELACIONADOS AL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA
                                  INFORMACIÓN

Es importante que todos los funcionarios y partes interesadas de ASMET SALUD EPS
SAS estén comprometidos con el cumplimiento de las presentes políticas y controles. La
Presidencia y Vicepresidencias se deben comprometer en el apoyo vital para la
implementación del Sistema de Gestión de Seguridad de la Información (SGSI) y
desplegar la cultura de seguridad hacia todas las unidades de la organización.

En relación a los compromisos para el cumplimiento de los requisitos del SGSI como
parte del liderazgo del mismo se detallan los roles, responsabilidades y autoridades de la
organización, los cuales pueden ser consultados en el presente documento.

   Elaborado por: Coordinador de     Revisado por: Prof. Innovación y       Aprobado por: Gerente de
    Seguridad de la Información        Optimización de Procesos              Transformación Digital
                   SISTEMA DE GESTIÓN DE CALIDAD                        Aprobado en Agosto de 2021   13
MACROPROCESO SISTEMA DE GESTIÓN INTEGRADA
                              PROCESO SEGURIDAD DE LA INFORMACIÓN
                          MANUAL POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN
                                          SGI-SI-M-01 Ver 5

                      5. POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

En el presente documento se establecen las políticas de seguridad de la información
alineadas con el anexo A de la norma ISO 27001:2013, el Manual del SGSI y las
necesidades de ASMET SALUD EPS SAS. Las mismas se segmentan en varios
apartados, numerales y literales para una mejor comprensión, estudio, implementación y
aplicabilidad.

Las presentes políticas de seguridad de la información han sido aprobadas por la
organización a través del Acuerdo N°62 - Declaración y aprobación del Sistema de
Gestión de la Seguridad de la Información para ASMET SALUD EPS SAS.

   5.1. ORIENTACIÓN DE LA DIRECCIÓN PARA LA GESTIÓN DE LA SEGURIDAD
         DE LA INFORMACIÓN

   5.1.1. Políticas para la seguridad de la información

Los funcionarios, personal externo, proveedores y todos aquellos que tengan
responsabilidades, sobre fuentes, repositorios y recursos de procesamiento de la
información de ASMET SALUD EPS SAS, deben adoptar los lineamientos contenidos en
el presente documento y en los documentos relacionados al mismo, los cuales han sido
aprobados por la Presidencia. Estos están compuestos por las políticas que mejor se
ajustan a los actuales sistemas tecnológicos de información y a la estructura de la
organización, con el fin de asegurar un adecuado nivel de confidencialidad, integridad y
disponibilidad de la información.

Las presentes políticas de seguridad de la información se alinean a las estrategias, el
entorno, contratos y las legislaciones aplicables a ASMET SALUD EPS SAS. Se
establecen para asegurar los temas de control de acceso, clasificación de información,
seguridad física y del entorno, temas orientados a los usuarios finales (uso aceptable de
activos, transferencia de información, dispositivos móviles y teletrabajo, restricciones,
otros), copias de respaldo y/o Backups, protección contra código malicioso, gestión de
vulnerabilidades, seguridad en las telecomunicaciones, privacidad y protección de
información de datos personales, relación con proveedores, entre otros temas de
seguridad de la información.

El presente documento y sus políticas para la seguridad de la información están aprobado
por la Junta Directiva, Presidencia y la Gerencia de Transformación Digital a través del
documento, Acuerdo N°62 - Declaración y aprobación del Sistema de Gestión de la
Seguridad de la Información para ASMET SALUD EPS SAS.

   5.1.2. Revisión de políticas para la seguridad de la información

Con el fin de garantizar una mejora continua a las políticas de la entidad, la Coordinación
de Seguridad de la Información, apoyado con otros procesos deberá realizar, por lo
menos una vez al año, una revisión a la política de seguridad de la información de ASMET
SALUD EPS SAS o cuando se presenten cambios importantes en los procesos o
sistemas con el fin de identificar mejoras o necesidad de cambios en la misma. Aprobados

   Elaborado por: Coordinador de     Revisado por: Prof. Innovación y       Aprobado por: Gerente de
    Seguridad de la Información        Optimización de Procesos              Transformación Digital
                   SISTEMA DE GESTIÓN DE CALIDAD                        Aprobado en Agosto de 2021   14
MACROPROCESO SISTEMA DE GESTIÓN INTEGRADA
                              PROCESO SEGURIDAD DE LA INFORMACIÓN
                          MANUAL POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN
                                          SGI-SI-M-01 Ver 5

los cambios o ajustes a la Política deberá realizarse la respectiva divulgación o
comunicación.

El Coordinador de Seguridad de la Información y Protección de Datos y el Profesional
Administrador de SGSI tendrán la potestad de actualizar las Políticas de Seguridad de la
Información de acuerdo con las necesidades de revisión y el aval de la Gerencia de
Transformación Digital y la Presidencia. Se realizará una revisión al menos una vez al
año, o antes, en caso de que ocurran cambios significativos dentro de la organización de
tal manera que se pueda garantizar que las políticas sean las adecuadas, eficaces y
eficientes para la empresa.

Las áreas podrán desarrollar, revisar y evaluar las políticas de seguridad de la información
que se relacionen con ellos de la mano del Administrador de Seguridad de la Información,
siguiendo los protocolos de aprobación de nuevas políticas o cambios en las existentes.
Para lo anterior se debe comunicar las retroalimentaciones, sugerencias o inquietudes al
correo gt.seguridad@asmetsalud.com.

   Elaborado por: Coordinador de     Revisado por: Prof. Innovación y       Aprobado por: Gerente de
    Seguridad de la Información        Optimización de Procesos              Transformación Digital
                   SISTEMA DE GESTIÓN DE CALIDAD                        Aprobado en Agosto de 2021   15
MACROPROCESO SISTEMA DE GESTIÓN INTEGRADA
                              PROCESO SEGURIDAD DE LA INFORMACIÓN
                          MANUAL POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN
                                          SGI-SI-M-01 Ver 5

                              6. ORGANIZACIÓN DE LA SEGURIDAD

   6.1. ORGANIZACIÓN INTERNA

   6.1.1. Roles y Responsabilidades para la Seguridad de la Información

Los roles, responsabilidades y las autoridades para la seguridad de la información se
describen en el Manual del SGSI (SGI-SI-M-05) en el numeral 6.3.

A continuación se describen roles y responsabilidades anexos o de interés en el presente
documento.

   ●   Presidencia: Promover activamente una cultura de seguridad de la información
       dentro y fuera de la organización. El aseguramiento de los recursos, infraestructura
       y talento humano adecuados para implementar y mantener el SGSI.

   ●   Coordinación de Seguridad de la Información: ASMET SALUD EPS SAS
       cuenta con un oficial de seguridad de la información o Profesional Administrador
       SGSI quien es el responsable de gestionar y mantener el Sistema de Gestión de
       Seguridad de la Información dentro del cual se reglamenta las presentes políticas
       de seguridad de la información.

   ●   Oficial de Protección de Datos Personales: Es el responsable de velar por la
       protección de los datos personales de colaboradores, afiliados, usuarios,
       proveedores, entre otros, relacionados con ASMET SALUD EPS SAS, la
       organización ha nombrado Oficial de Protección de datos Personales al Gerente
       de Transformación Digital y Comunicaciones. Quien trabajara de la mano con el
       Coordinador de Seguridad de la Información y demás procesos.

   ●   Colaboradores: Los funcionarios y personal provisto por terceras partes que
       realicen labores en o para ASMET SALUD EPS SAS, tienen la responsabilidad de
       cumplir de manera estricta con las presentes políticas, normas, procedimientos y
       estándares referentes a la seguridad de la información. Los colaboradores son
       responsables por los activos que les haya asignado, incluyendo activos de
       información. Así mismo tienen la responsabilidad de reportar los eventos o
       incidentes de seguridad de la información que puedan detectar en el desempeño
       de sus labores y que puedan afectar a ASMET SALUD EPS SAS. De igual forma
       son responsables de la información bajo su custodia y que les haya sido
       suministrada, por lo que deberán mantener su confidencialidad, integridad y
       disponibilidad, así como velar porque la misma no llegue a fugarse.

   ●   Terceros y/o Aliados: Las terceras partes interesadas o aliados de ASMET
       SALUD EPS SAS, deben ceñirse a las políticas de seguridad de la información
       descritas en este documento, deben dar un uso responsable bajo un marco de
       seguridad que proteja la Confidencialidad, la Integridad y la Disponibilidad de la
       información o datos que se intercambian, en el marco de contratos o alianzas
       estratégicas.

   Elaborado por: Coordinador de     Revisado por: Prof. Innovación y       Aprobado por: Gerente de
    Seguridad de la Información        Optimización de Procesos              Transformación Digital
                   SISTEMA DE GESTIÓN DE CALIDAD                        Aprobado en Agosto de 2021   16
MACROPROCESO SISTEMA DE GESTIÓN INTEGRADA
                              PROCESO SEGURIDAD DE LA INFORMACIÓN
                          MANUAL POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN
                                          SGI-SI-M-01 Ver 5

   6.1.2. Separación de Funciones

ASMET SALUD EPS SAS se encuentra estructurada por macroprocesos, procesos y
subprocesos de tal manera que se pueda orquestar una operatividad acorde con los
objetivos organizacionales. Para la seguridad de la información se implementa el SGSI
dentro del área de Transformación Digital, donde se definen roles para la administración
del Data Center, principal sitio repositorio de información corporativa. Las funciones del
equipo que administra los servidores, aplicativos, redes y telecomunicaciones, seguridad
perimetral y otros servicios corporativos, son divididas de tal forma que el equipo pueda
garantizar la seguridad de la información en los servicios que se prestan.

Los cargos de cada colaborador se relacionan o definen los accesos, roles y/o funciones
que estos tendrán en el sistema de información de ASMET SALUD EPS SAS el cual se
compone por diversos aplicativos. (Correo, H&L, Seven, etc.)

La seguridad física y del entorno es monitoreada por el CCTV (Circuito cerrado de
Televisión) el cual es liderado y responsable del área Administrativa.

   6.1.3. Contacto con Autoridades

Asmet Salud EPS SAS mantiene un contacto adecuado con autoridades pertinentes, en
seguridad de la información, las cuales pueden ayudar y guiar a la organización, en la
gestión de incidentes de seguridad de la información dentro de la empresa. Las
principales autoridades en materia de seguridad en el país, Colombia, son las siguientes:

      Grupo de respuestas a Emergencias Cibernéticas de Colombia, ColCERT,
       Gobierno. http://www.colcert.gov.co/index.php

      Centro Cibernético Policial, CCP - Policía. http://www.ccp.gov.co

El Coordinador de Seguridad de la Información y Protección de Datos deberá gestionar y
mantener las relaciones con la CCP, y con las demás instituciones si así lo considera y
previa autorización del coordinador y Gerente del área de transformación digital.

   6.1.4. Contacto con grupos de Interés especial

Por parte del área de Transformación Digital, se debe tener una relación activa y
apropiada con grupos especializados en el campo de la seguridad informática y
tecnologías de la información (TI), como foros, grupos, asociaciones, empresas, entre
otros, que mantienen actualizado el panorama y tendencias de la seguridad de la
información y TI.

El Coordinador de Seguridad de la Información y Protección de Datos deberá liderar,
gestionar y mantener las relaciones con grupos de interés que así lo considere en materia
de seguridad informática. Esto se hará con el objetivo de generar espacios donde se
compartan conocimientos, charlas o conferencias educativas en materia de seguridad
informática o tecnología para los usuarios finales.

   Elaborado por: Coordinador de     Revisado por: Prof. Innovación y       Aprobado por: Gerente de
    Seguridad de la Información        Optimización de Procesos              Transformación Digital
                   SISTEMA DE GESTIÓN DE CALIDAD                        Aprobado en Agosto de 2021   17
MACROPROCESO SISTEMA DE GESTIÓN INTEGRADA
                              PROCESO SEGURIDAD DE LA INFORMACIÓN
                          MANUAL POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN
                                          SGI-SI-M-01 Ver 5

   6.1.5. Seguridad de la Información en la Gestión de Proyectos

La seguridad de la información se debe                      tratar en la gestión de proyectos,
independientemente del tipo de proyecto, por               tanto los líderes de proyectos deberán
presentar o dar a conocer los nuevos proyectos             al SGSI, para que este pueda realizar un
respectivo análisis de riesgos, así como las               sugerencias pertinentes en materia de
seguridad de la información para los mismos.

   6.2. DISPOSITIVOS MÓVILES Y TELETRABAJO

Garantizar la seguridad del teletrabajo y el uso de dispositivos móviles.

   6.2.1. Política para Dispositivos Móviles

   a) No es permitido el uso de dispositivos móviles personales tales como portátiles,
      smartphones, tabletas y otros relacionados, para el desarrollo de actividades
      laborales a través de los sistemas de información dispuestos por el área
      transformación digital de la compañía.

   b) Los miembros de Junta Directiva, Presidencia, Vicepresidencia y Gerentes pueden
      hacer uso de dispositivos móviles personales y corporativos, tales como portátiles,
      smartphones, tabletas y otros relacionados, para las actividades personales y
      empresariales. Los mismos deben velar por la seguridad de la información de los
      dispositivos móviles y su información contenida.

   c) El uso de dispositivos móviles personales dentro de la organización es permitido
      únicamente para fines personales y en los casos de emergencias o fuerza mayor.

   d) Está prohibido el almacenamiento de información de ASMET SALUD EPS SAS
      privada en dispositivos móviles personales en cualquier formato ya sea texto,
      imagen, audio y/o video.

   e) Se prohíbe la captura de imagen, audio y/o video de la infraestructura interna del
      edificio, zonas y oficinas, afiliados, funcionarios, y personas que se encuentren
      dentro de las instalaciones a través de dispositivos móviles, Smartphone, tabletas,
      IPad y cámaras, sin previa autorización de los coordinadores y directores del área
      de Talento Humano.

   6.2.2. Teletrabajo

Cuando se requiera realizar labores de teletrabajo o actividades laborales que requieran
conexión remota, el líder del área o proceso debe aprobar el acceso de conexión VPN,
indicando el tiempo por el cual se requiere la conexión remota para el desarrollo de las
actividades laborales, o si se requiere el acceso conforme a las obligaciones
contractuales.

Las conexiones remotas a la red corporativa, acceso de conexión VPN, solo se dan a
usuarios que por su labor o rol en ASMET SALUD EPS SAS requieren de este tipo de

   Elaborado por: Coordinador de     Revisado por: Prof. Innovación y       Aprobado por: Gerente de
    Seguridad de la Información        Optimización de Procesos              Transformación Digital
                   SISTEMA DE GESTIÓN DE CALIDAD                        Aprobado en Agosto de 2021   18
MACROPROCESO SISTEMA DE GESTIÓN INTEGRADA
                              PROCESO SEGURIDAD DE LA INFORMACIÓN
                          MANUAL POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN
                                          SGI-SI-M-01 Ver 5

servicios. El acceso se brinda para la realización de actividades laborales desde sitios
alternos, siempre bajo el control de acceso y las autorizaciones pertinentes. La
responsabilidad de las acciones ejercidas en el desarrollo de las actividades de trabajo
remoto o teletrabajo recaen estrictamente en el usuario y la coordinación o área a la que
pertenece.

En los casos que el acceso y procesamiento de la información sea mediante la modalidad
de acceso remoto o teletrabajo, los responsables de estas actividades deberán dar
cumplimiento a las buenas prácticas, condiciones y restricciones definidas entorno a la
seguridad de la información, para lo cual se deben tener en cuenta las siguientes
disposiciones.

   a) Se deben utilizar los servicios de VPN y escritorio remoto corporativos como medio
      de conexión seguro a la red empresarial, es necesario el diligenciamiento del
      formulario web solicitud de servicios de TI, para obtener autorización y acceso a
      estos servicios.

   b) No está permitido el uso de herramientas no corporativas oficiales para la conexión
      a la red empresarial como son Anydesk, Team Viewer ya que estas herramientas
      pueden llegar a constituir un riesgo a nivel de seguridad.

   c) Seguridad física y de comunicaciones adecuadas.

   d) Control de accesos a información o recursos.

   e) Hacer uso de software licenciado; en los casos que sea aplicable.

   f)   Uso de equipo corporativos o personales (No utilizar equipo de terceros café
        internet, universidades, entre otros).

   g) Contar con un antivirus licenciado y actualizado.

   h) Los equipos de cómputo deben estar actualizados en lo posible con los últimos
      parches de seguridad.

   i)   Una vez se termine la jornada laboral o las actividades laborales se debe verificar
        la desconexión de la VPN.

   j)   No se debe utilizar redes inalámbricas gratuitas de cualquier zona pública. Estas
        conexiones no poseen medidas de seguridad y cualquier persona conectada a la
        misma puede interceptar el tráfico e incluso manipularlo.

   Elaborado por: Coordinador de     Revisado por: Prof. Innovación y       Aprobado por: Gerente de
    Seguridad de la Información        Optimización de Procesos              Transformación Digital
                   SISTEMA DE GESTIÓN DE CALIDAD                        Aprobado en Agosto de 2021   19
MACROPROCESO SISTEMA DE GESTIÓN INTEGRADA
                           PROCESO SEGURIDAD DE LA INFORMACIÓN
                       MANUAL POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN
                                       SGI-SI-M-01 Ver 5

k. Contar con una suite de office licenciado en caso de ser necesario, o se
   recomienda utilizar la plataforma de Google Workspace.

l.   Cumplir con la política de contraseñas seguras. Es necesario revisar y fortalecer
     las contraseñas, recuerde que lo ideal es que sean mínimo de 10 caracteres
     alfanuméricos y con caracteres especiales, no deben ser relacionadas con algo
     que lo pueda identificar, por ejemplo: fechas de nacimiento, nombres de sus hijos,
     mascotas, etc.; las cuales debe estar cambiando de forma periódica y evitar el
     almacenamiento en los navegadores.

m. Utilizar navegadores Google Chrome, Firefox actualizados.

n. Se debe cumplir con los controles estipulados en manual de la política de
   seguridad de la información (SGI-SI-M-01).

o. No utilizar USB para la transferencia de información, se debe utilizar el Drive de
   Google Workspace.

p. En lo posible tener una conexión de Internet de mínimo de 5MB, para un buen
   funcionamiento de las aplicaciones.

q. Cuando se encuentre conectado a la VPN usar el navegador web solo para las
   actividades laborales.

r.   En caso de presentarse anomalías, eventos o incidentes que puedan afectar los
     sistemas o la información de la compañía, se debe comunicar al área de seguridad
     de información por medio de los canales de comunicación establecidos (Otrs,
     Correo, etc.), notificando lo sucedido para tomar las medidas necesarias para
     proteger los sistemas y/o salvaguardar la información.

Elaborado por: Coordinador de     Revisado por: Prof. Innovación y       Aprobado por: Gerente de
 Seguridad de la Información        Optimización de Procesos              Transformación Digital
                SISTEMA DE GESTIÓN DE CALIDAD                        Aprobado en Agosto de 2021   20
MACROPROCESO SISTEMA DE GESTIÓN INTEGRADA
                              PROCESO SEGURIDAD DE LA INFORMACIÓN
                          MANUAL POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN
                                          SGI-SI-M-01 Ver 5

                        7. SEGURIDAD DE LOS RECURSOS HUMANOS

   7.1. ANTES DE ASUMIR EL EMPLEO

   7.1.1. Selección

El área de Talento Humano debe hacer verificación de antecedentes de los candidatos al
empleo, contratistas y terceros, en concordancia con las regulaciones, las leyes
relevantes y la ética organizacional, siendo afín a los requerimientos de ASMET SALUD
EPS SAS, además de la clasificación de la información a la cual se va a tener acceso y
los tipos de riesgos percibidos, así como la protección de la información de la privacidad,
del tratamiento de los datos personales, la disponibilidad de referencias, verificación de la
hoja de vida, confirmación de las calificaciones o certificados académicos y profesionales
declarados.

Es importante también que se asegure de que los candidatos tengan las competencias
para desempeñar los cargos a los que aspiran, y si son cargos de importancia los mismos
sean confiables para desempeñar el rol al que aspira.

   7.1.2. Términación y condiciones del empleo

Como parte de obligación contractual, empleados, contratistas y terceros deben aceptar.
Firmar los términos y condiciones del contrato de empleo, el cual establecerá sus
obligaciones y las obligaciones de ASMET SALUD EPS SAS para la seguridad de la
información.

Así mismo Talento Humano deberá hacer firmar a todos los empleados y contratistas a
los que se brinde acceso a información confidencial acuerdos de confidencialidad y no
divulgación, antes de asumir el cargo o roles establecidos.

   7.2. DURANTE LA EJECUCIÓN DEL EMPLEO

   7.2.1. Responsabilidades de la Dirección

Las Vicepresidencias a través del área Talento Humano y Transformacional Digital y otras
áreas exigirá que los empleados, contratistas y usuarios de terceras partes que apliquen
la seguridad según las políticas y los procedimientos establecidos por la organización,
esto se realizará mediante los contratos tanto laborales como con otros terceros.

La Presidencia y Vicepresidencias se comprometen en apoyar al SGSI a través de
ordenanza para el cumplimiento del presente manual de políticas de seguridad de la
información. Se compromete en apoyar los programas educativos en materia de
seguridad de la información para los colaboradores tales como seminarios, conferencias,
espacios de charlas y difusión a través de los diversos canales de comunicación.

   Elaborado por: Coordinador de     Revisado por: Prof. Innovación y       Aprobado por: Gerente de
    Seguridad de la Información        Optimización de Procesos              Transformación Digital
                   SISTEMA DE GESTIÓN DE CALIDAD                        Aprobado en Agosto de 2021   21
MACROPROCESO SISTEMA DE GESTIÓN INTEGRADA
                              PROCESO SEGURIDAD DE LA INFORMACIÓN
                          MANUAL POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN
                                          SGI-SI-M-01 Ver 5

   7.2.2. Toma de Conciencia, educación y Formación en seguridad de la
          información

   a) El Coordinador de Seguridad de la Información y Protección de Datos realizará
      constantemente campañas de concientización por medios como correos
      electrónicos, publicaciones, mensajes, etc. También velará porque los nuevos
      funcionarios y contratistas reciban inducción en seguridad de la información al
      ingresar a la entidad.

   b) En todos los niveles de la organización se debe contar con el grado de
      conocimiento apropiado, que garantice la concientización y habilidades que
      permitan minimizar la ocurrencia y la severidad de incidentes de Seguridad de la
      Información. Cualquiera de los Colaboradores está en el derecho de solicitar
      asesorías educativas en materia de seguridad de la información al profesional
      SGSI en el momento que así lo requiera.

   c) Se realizará capacitación a los funcionarios sobre Seguridad de la información,
      amenazas informáticas, tipos de ataques, ingenierías sociales y relacionadas por
      medio de charlas informativas, cursos virtuales, conferencias y noticias sobre
      seguridad de la información y seguridad informática.

   7.2.3. Proceso disciplinario

Dentro de la documentación del o los procesos disciplinarios se debe incluir un
mecanismo de disuasión para prevenir que los empleados o colaboradores violen las
políticas y controles de seguridad de la información.

Todo incidente de seguridad en los activos de información y/o en el manejo de la
información en los que estén involucrados usuarios y/o colaboradores, internos o
externos, debe ser investigado por Control Interno y Jurídica, conjuntamente con el equipo
de seguridad, para establecer responsabilidades y determinar las sanciones
correspondientes.

En los incidentes de seguridad de la información reportados al proceso de Seguridad de la
Información en los que estén involucradas terceras partes, serán informados por éste al
área Jurídica y al área directamente relacionado para el inicio de las acciones pertinentes.

   7.3. TERMINACIÓN Y CAMBIO DE EMPLEO

   7.3.1. Terminación o cambio de responsabilidades de empleo

El área de Talento Humano es la encargada de realizar las gestiones necesarias para los
traslados o finalización de las relaciones laborales. Así mismo estos deberán recordar las
cláusulas de confidencialidad de la información posterior a la terminación laboral.

Talento Humano es responsable de generar las comunicaciones respectivas para informar
a las otras áreas de los traslados o retiros de los funcionarios para que se proceda con las

   Elaborado por: Coordinador de     Revisado por: Prof. Innovación y       Aprobado por: Gerente de
    Seguridad de la Información        Optimización de Procesos              Transformación Digital
                   SISTEMA DE GESTIÓN DE CALIDAD                        Aprobado en Agosto de 2021   22
MACROPROCESO SISTEMA DE GESTIÓN INTEGRADA
                              PROCESO SEGURIDAD DE LA INFORMACIÓN
                          MANUAL POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN
                                          SGI-SI-M-01 Ver 5

gestiones pertinentes para la seguridad de la información, tales como retiro de permisos,
accesos y demás gestiones.

   Elaborado por: Coordinador de     Revisado por: Prof. Innovación y       Aprobado por: Gerente de
    Seguridad de la Información        Optimización de Procesos              Transformación Digital
                   SISTEMA DE GESTIÓN DE CALIDAD                        Aprobado en Agosto de 2021   23
MACROPROCESO SISTEMA DE GESTIÓN INTEGRADA
                              PROCESO SEGURIDAD DE LA INFORMACIÓN
                          MANUAL POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN
                                          SGI-SI-M-01 Ver 5

                                       8. GESTIÓN DE ACTIVOS.

   8.1. RESPONSABILIDAD POR LOS ACTIVOS

   8.1.1. Inventario de activos.

Todos los computadores, servidores y portátiles de la compañía comprados o alquilados
deberán ser registrados en el inventario de equipos de cómputo, en donde se registre
información relacionada con: hardware, sistema operativo y software base instalado,
fecha de compra o alquiler, especificaciones generales, etc. Esta información deberá ser
consignada una vez hayan sido recibidos los equipos en cuestión; la actualización del
inventario de equipos se llevará a cabo cada vez que se realice cualquier tipo de
modificación de software o hardware sobre los mismos.

El mantenimiento físico de todos los equipos de ASMET SALUD EPS SAS, las revisiones
de mantenimiento de software, revisión de la vigencia de licencias y software no
autorizado instalado se realizará anualmente y estará a cargo del área de Transformación
Digital.

El área de Transformación Digital realizará el mantenimiento de equipos de usuario,
servidores y redes de la sede Nacional y Cauca.

   ●   Adquisición y asignación de equipos de usuario

La adquisición y asignación de equipos la realizará el área Administrativa y los entregará
al área de Transformación Digital para su configuración y entrega al funcionario.

Los equipos de cómputo tendrán instalados única y exclusivamente los aplicativos y/o
programas debidamente licenciados y aprobados teniendo en cuenta las funciones del
usuario que lo utilizará. Adicionalmente se deben aplicar todas las restricciones y realizar
las instalaciones de software correspondientes incluyendo el Antimalware. Hasta tanto el
equipo no se encuentre en condiciones adecuadas para su uso, el usuario no podrá
utilizarlo.

   ●   Activos críticos

El Coordinador de Seguridad de la Información y Protección de Datos realizará el
levantamiento de información de los activos críticos de la entidad en conjunto con los
líderes de los procesos, así como de los requerimientos de integridad, confidencialidad y
disponibilidad de dichos activos, esto en el proceso de análisis de impacto al negocio y en
la gestión del riesgo.

Los colaboradores deberán identificar activos de información no tangibles tales como
documentos, archivos de bases de datos, hojas de cálculo, etc. que se encuentren en sus
equipos de cómputo asignados y deberán propender por proteger su integridad,
confidencialidad y disponibilidad.

   Elaborado por: Coordinador de     Revisado por: Prof. Innovación y       Aprobado por: Gerente de
    Seguridad de la Información        Optimización de Procesos              Transformación Digital
                   SISTEMA DE GESTIÓN DE CALIDAD                        Aprobado en Agosto de 2021   24
También puede leer