POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN SEGURIDAD DE LA INFORMACIÓN - Asmet Salud EPS
←
→
Transcripción del contenido de la página
Si su navegador no muestra la página correctamente, lea el contenido de la página a continuación
POLÍTICAS DE SEGURIDAD DE LA
INFORMACIÓN
SEGURIDAD DE LA INFORMACIÓNMACROPROCESO SISTEMA DE GESTIÓN INTEGRADA
PROCESO SEGURIDAD DE LA INFORMACIÓN
MANUAL POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN
SGI-SI-M-01 Ver 5
CONTENIDO
DECLARACIÓN DE LA POLÍTICA DE SEGURIDAD 8
1. TÉRMINOS Y DEFINICIONES 9
2. OBJETIVOS DE LA SEGURIDAD DE LA INFORMACIÓN 10
2.1. OBJETIVO GENERAL 10
2.2. OBJETIVOS ESPECÍFICOS 10
3. GENERALIDADES Y CONTEXTO 11
3.1. MONITOREO, CONTROL Y AUDITORIA 11
3.2. EXCEPCIONES 11
3.3. INCUMPLIMIENTO A LAS POLÍTICAS DESCRITAS EN ESTE DOCUMENTO 12
4. COMPROMISO EN EL CUMPLIMIENTO DE LOS REQUISITOS RELACIONADOS
AL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN 13
5. POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN 14
5.1. ORIENTACIÓN DE LA DIRECCIÓN PARA LA GESTIÓN DE LA SEGURIDAD DE
LA INFORMACIÓN 14
5.1.1. Políticas para la seguridad de la información 14
5.1.2. Revisión de políticas para la seguridad de la información 14
6. ORGANIZACIÓN DE LA SEGURIDAD 16
6.1. ORGANIZACIÓN INTERNA 16
6.1.1. Roles y Responsabilidades para la Seguridad de la Información 16
6.1.2. Separación de Funciones 17
6.1.3. Contacto con Autoridades 17
6.1.4. Contacto con grupos de Interés especial 17
6.1.5. Seguridad de la Información en la Gestión de Proyectos 18
6.2. DISPOSITIVOS MÓVILES Y TELETRABAJO 18
6.2.1. Política para Dispositivos Móviles 18
6.2.2. Teletrabajo 18
7. SEGURIDAD DE LOS RECURSOS HUMANOS 21
Elaborado por: Coordinador de Revisado por: Prof. Innovación y Aprobado por: Gerente de
Seguridad de la Información Optimización de Procesos Transformación Digital
SISTEMA DE GESTIÓN DE CALIDAD Aprobado en Agosto de 2021 2MACROPROCESO SISTEMA DE GESTIÓN INTEGRADA
PROCESO SEGURIDAD DE LA INFORMACIÓN
MANUAL POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN
SGI-SI-M-01 Ver 5
7.1. ANTES DE ASUMIR EL EMPLEO 21
7.1.1. Selección 21
7.1.2. Términación y condiciones del empleo 21
7.2. DURANTE LA EJECUCIÓN DEL EMPLEO 21
7.2.1. Responsabilidades de la Dirección 21
7.2.2. Toma de Conciencia, educación y Formación en seguridad de la información22
7.2.3. Proceso disciplinario 22
7.3. TERMINACIÓN Y CAMBIO DE EMPLEO 22
7.3.1. Terminación o cambio de responsabilidades de empleo 22
8. GESTIÓN DE ACTIVOS. 24
8.1. RESPONSABILIDAD POR LOS ACTIVOS 24
8.1.1. Inventario de activos. 24
8.1.2. Propiedad de los activos 25
8.1.3. Uso aceptable de los activos 25
8.1.4. Devolución de activos 30
8.2. CLASIFICACIÓN DE LA INFORMACIÓN. 31
8.2.1. Clasificación de la información. 31
8.2.2. Etiquetado de la información 33
8.2.3. Manejo de Activos 33
8.3. MANEJO DE MEDIOS 34
8.3.1. Gestión de medio removibles 34
8.3.2. Disposición de los medios 34
8.3.3. Transferencia de Medios 35
9. CONTROL DE ACCESO 36
9.1. REQUISITO DEL NEGOCIO PARA CONTROL DE ACCESO 36
9.1.1. Política de control de acceso 36
9.1.2. Acceso a redes y servicios de red 36
9.1.3. Acceso a redes inalámbricas – WiFi Corporativa e Invitados 37
9.2. GESTIÓN DEL ACCESO A USUARIOS 38
9.2.1. Registro y cancelación del registro de usuarios 38
9.2.2. Suministro de acceso de usuarios 38
9.2.3. Gestión de derechos de acceso privilegiado 39
9.2.4. Gestión de Información de Autenticación Secreta de Usuarios 39
9.2.5. Revisión de los derechos de acceso de los usuarios. 41
9.2.6. Retiro o Ajuste de los derechos de acceso 41
9.3. RESPONSABILIDADES DE LOS USUARIOS 42
9.3.1. Uso de información de autenticación secreta 42
Elaborado por: Coordinador de Revisado por: Prof. Innovación y Aprobado por: Gerente de
Seguridad de la Información Optimización de Procesos Transformación Digital
SISTEMA DE GESTIÓN DE CALIDAD Aprobado en Agosto de 2021 3MACROPROCESO SISTEMA DE GESTIÓN INTEGRADA
PROCESO SEGURIDAD DE LA INFORMACIÓN
MANUAL POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN
SGI-SI-M-01 Ver 5
9.4. CONTROL DE ACCESO A SISTEMAS Y APLICACIONES 42
9.4.1. Restricción de acceso a la información 42
9.4.2. Procedimiento de Ingreso seguro 43
9.4.3. Sistema de gestión de contraseñas. 43
9.4.4. Uso de programas utilitarios privilegiados 43
9.4.5. Control de acceso a código fuente de programas 44
10. CRIPTOGRAFÍA 45
10.1. CONTROLES CRIPTOGRÁFICOS 45
10.1.1. Política sobre el uso de controles criptográfico 45
10.1.2. Gestión de llaves 45
11. SEGURIDAD FISICA Y DEL ENTORNO 46
11.1. ÁREAS SEGURAS 46
11.1.1. Perímetro de seguridad física 46
11.1.2. Controles de acceso físico 46
11.1.3. Seguridad de oficinas, recintos e instalaciones 46
11.1.4. Protección contra amenazas externas y ambientales 47
11.1.5. Trabajo en áreas seguras 47
11.1.6. Áreas Públicas 48
11.2. SEGURIDAD DE LOS EQUIPOS 48
11.2.1. Ubicación y protección de los equipos 48
11.2.2. Servicios de suministro 48
11.2.3. Seguridad del cableado 49
11.2.4. Mantenimiento de los equipos 49
11.2.5. Retiro de activos 49
11.2.6. Seguridad de equipos y activos fuera de las instalaciones 50
11.2.7. Disposición segura o reutilización de equipos 50
11.2.8. Equipos de usuario desatendido 50
11.2.9. Política de escritorio despejado y de pantalla despejada 51
12. SEGURIDAD DE LAS OPERACIONES 52
12.1. PROCEDIMIENTOS OPERACIONALES Y RESPONSABILIDADES 52
12.1.1. Procedimientos de operaciones documentados 52
12.1.2. Gestión de cambios 52
12.1.3. Gestión de capacidad 53
12.1.4. Separación de los entornos de desarrollo, pruebas y producción 53
12.2. PROTECCIÓN CONTRA CÓDIGOS MALICIOSOS 53
12.2.1. Controles contra códigos maliciosos 53
12.3. COPIAS DE RESPALDO 54
12.3.1. Respaldo de la información 54
Elaborado por: Coordinador de Revisado por: Prof. Innovación y Aprobado por: Gerente de
Seguridad de la Información Optimización de Procesos Transformación Digital
SISTEMA DE GESTIÓN DE CALIDAD Aprobado en Agosto de 2021 4MACROPROCESO SISTEMA DE GESTIÓN INTEGRADA
PROCESO SEGURIDAD DE LA INFORMACIÓN
MANUAL POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN
SGI-SI-M-01 Ver 5
12.4. REGISTRO Y SEGUIMIENTO 55
12.4.1. Registro de eventos 55
12.4.2. Protección de la información de registro 55
12.4.3. Registros del administrador y del operador 55
12.4.4. Sincronización de relojes 56
12.5. CONTROL DE SOFTWARE OPERACIONAL 56
12.5.1. Instalación de Software en Sistemas Operativos 56
12.6. GESTIÓN DE LA VULNERABILIDAD TÉCNICA 57
12.6.1. Gestión de la vulnerabilidad técnica 57
12.6.2. Restricciones sobre la instalación de software 57
12.7. CONSIDERACIONES SOBRE AUDITORIAS DE SISTEMAS DE INFORMACIÓN
57
12.7.1. Controles sobre auditorias de sistemas de información 57
13. GESTIÓN DE LA SEGURIDAD DE LAS COMUNICACIONES. 58
13.1. GESTIÓN DE LA SEGURIDAD DE LAS REDES. 58
13.1.1. Controles de las redes 58
13.1.2. Seguridad de los servicios de la red. 58
13.1.3. Separación en las redes 58
13.2. TRANSFERENCIA DE INFORMACIÓN 58
13.2.1. Políticas y procedimientos para el transferencia de información 58
13.2.2. Acuerdos para la transferencia de información 59
13.2.3. Mensajería Electrónica 59
13.2.4. Acuerdo de confidencialidad o no divulgación 59
14. ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS 61
14.1. REQUISITOS DE SEGURIDAD DE LOS SISTEMAS DE INFORMACIÓN 61
14.1.1. Análisis y especificaciones de requisitos de seguridad de la información 61
14.1.2. Seguridad de servicios de las aplicaciones en redes públicas. 61
14.1.3. Protección de transacciones de los servicios de las aplicaciones 61
14.2. SEGURIDAD EN LOS PROCESOS DE DESARROLLO Y SOPORTE 62
14.2.1. Política de desarrollo seguro 62
14.2.2. Procedimientos de control de cambios en sistemas 62
14.2.3. Revisión técnica de las aplicaciones después de cambios en la plataforma de
operación 63
14.2.4. Restricciones en los cambios a los paquetes de software 63
14.2.5. Principios de construcción de sistemas seguros 63
14.2.6. Ambiente de desarrollo seguro 64
14.2.7. Desarrollo contratado externamente 64
14.2.8. Pruebas de seguridad de sistemas 64
14.2.9. Prueba de aceptación de sistemas 65
Elaborado por: Coordinador de Revisado por: Prof. Innovación y Aprobado por: Gerente de
Seguridad de la Información Optimización de Procesos Transformación Digital
SISTEMA DE GESTIÓN DE CALIDAD Aprobado en Agosto de 2021 5MACROPROCESO SISTEMA DE GESTIÓN INTEGRADA
PROCESO SEGURIDAD DE LA INFORMACIÓN
MANUAL POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN
SGI-SI-M-01 Ver 5
14.3. DATOS DE PRUEBA 65
14.3.1. Protección de datos de prueba 65
15. RELACIONES CON LOS PROVEEDORES 66
15.1. SEGURIDAD DE LA INFORMACIÓN EN LAS RELACIONES CON LOS
PROVEEDORES 66
15.1.1. Seguridad de la información para las relaciones con proveedores 66
15.1.2. Tratamiento de la seguridad dentro de acuerdos con proveedores 66
15.1.3. Ccadena de suministro de tecnología de información y comunicación 66
15.2. GESTIÓN DE LA PRESTACIÓN DE SERVICIOS DE PROVEEDOR 67
15.2.1. Seguimiento y revisión de los servicios de los proveedores 67
15.2.2. Gestión de cambios en los servicios de los proveedores 67
16. GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN 68
16.1. GESTIÓN DE INCIDENTES Y MEJORAS EN LA SEGURIDAD DE LA
INFORMACIÓN 68
16.1.1. Responsabilidades y procedimientos 68
16.1.2. Reporte de eventos de seguridad de la información 68
16.1.3. Reporte de debilidades de seguridad de la información 68
16.1.4. Evaluación de eventos de seguridad de la información y decisiones sobre ellos
69
16.1.5. Respuesta a incidentes de seguridad de la información 69
16.1.6. Aprendizaje obtenido de los incidentes de seguridad de la información 69
16.1.7. Recolección de evidencia 69
17. ASPECTOS DE SEGURIDAD DE LA INFORMACIÓN DE LA GESTIÓN DE LA
CONTINUIDAD DEL NEGOCIO 70
17.1. CONTINUIDAD DE LA SEGURIDAD DE LA INFORMACIÓN 70
17.1.1. Planificación de la continuidad de la seguridad de la información 70
17.1.2. Implementación de la continuidad de la seguridad de la información 70
17.1.3. Verificación, revisión y evaluación de la continuidad de la seguridad de la
información. 70
17.2. REDUNDANCIAS 71
17.2.1. Disponibilidad de instalaciones de procesamiento de información 71
18. CUMPLIMIENTO 72
18.1. CUMPLIMIENTO DE REQUISITOS LEGALES Y CONTRACTUALES 72
18.1.1. Identificación de la legislación aplicable y de los requisitos contractuales. 72
18.1.2. Derechos de propiedad intelectual 72
18.1.3. Protección de registros 73
Elaborado por: Coordinador de Revisado por: Prof. Innovación y Aprobado por: Gerente de
Seguridad de la Información Optimización de Procesos Transformación Digital
SISTEMA DE GESTIÓN DE CALIDAD Aprobado en Agosto de 2021 6MACROPROCESO SISTEMA DE GESTIÓN INTEGRADA
PROCESO SEGURIDAD DE LA INFORMACIÓN
MANUAL POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN
SGI-SI-M-01 Ver 5
18.1.4. Protección de los datos y privacidad de la información relacionada con los
datos personales. 73
18.1.5. Reglamento de controles criptográficos 73
18.2. REVISIONES DE SEGURIDAD DE LA INFORMACIÓN 74
18.2.1. Revisión independiente de la seguridad de la información 74
18.2.2. Cumplimiento con las políticas y normas de seguridad 74
18.2.3. Revisión de cumplimiento técnico 74
19. DUDAS Y RECOMENDACIONES 75
Elaborado por: Coordinador de Revisado por: Prof. Innovación y Aprobado por: Gerente de
Seguridad de la Información Optimización de Procesos Transformación Digital
SISTEMA DE GESTIÓN DE CALIDAD Aprobado en Agosto de 2021 7MACROPROCESO SISTEMA DE GESTIÓN INTEGRADA
PROCESO SEGURIDAD DE LA INFORMACIÓN
MANUAL POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN
SGI-SI-M-01 Ver 5
DECLARACIÓN DE LA POLÍTICA DE SEGURIDAD
El gran crecimiento de la tecnología, el flujo de información, las interoperabilidades de los
sistemas, el afán por el conocimiento, los datos y la información actualmente son algunos
de los rasgos importantes en la carrera por la sostenibilidad de las empresas dentro de los
mercados globales y regionales. La información supone poder de decisión, poder hacer
las estimaciones del pasado, de lo actual y de lo futuro para encarrilar la organización por
un camino de sostenibilidad. La tecnología ha permitido nuevas formas de mercado, así
como nuevas formas de ofrecer los servicios, en el mundo actual y globalizado se han
creado y aún se siguen haciendo grandes innovaciones sobre el servicio basados en la
tecnología como herramienta principal, tales como servicios de transporte, salud,
educación, entretenimiento, industriales, entre otros.
¿De qué se trata todo esto? Se trata del acceso a los datos y la información que permitan
tomar las decisiones acertadas para garantizar el éxito o la supervivencia. Dentro de las
organizaciones la tecnología es la principal herramienta para el flujo de datos y gestión de
la información, es a través de los departamentos o procesos de tecnologías de la
información (TI) y del Sistema de gestión de la seguridad de la información (SGSI) que se
aplican las políticas y controles adecuados para la gestión de la información corporativa,
permitiendo salvaguardarla de accesos no autorizados, fugas de datos, malware, ataques
informáticos, entre otras amenazas. Por otra parte los procesos de TI y el SGSI permiten
que se aseguren los sistemas de información corporativos, así como la gestión de nuevas
tecnologías necesaria para la organización en la búsqueda de la eficiencia.
ASMET SALUD EPS SAS, conforma en el presente manual sus políticas de seguridad de
la información, las cuales se basan en el anexo A de la norma NTC-ISO 27001:2013,
norma referente para la construcción del SGSI que con base en buenas prácticas y la
normativa vigente permita gestionar eficientemente los riesgos de seguridad de la
información para los servicios prestados por ASMET SALUD EPS SAS.
No se trata de limitar a los usuarios o colaboradores de la organización, se trata de
optimizar su trabajo a través de garantizar el accesos a los sistemas y a la información
que requiere para que ejerza su labor en forma eficiente, por lo tanto en este documento
se detallan las directrices de seguridad bajo las cuales deben operar los sistemas
informáticos de ASMET SALUD EPS SAS, las normativas, estándares, procedimientos e
instrucciones, los límites que tienen los usuarios y/o colaboradores que usan los sistemas
de información y los lineamientos para aplicar y configurar los servicios de redes y
equipos en las diferentes oficinas, estableciendo los parámetros que permitan una gestión
segura de los servicios, el manejo de los activos y de la información.
La presente política de seguridad de la información es aplicable también a los aliados o
terceros con los cuales se tengan relaciones contractuales.
Elaborado por: Coordinador de Revisado por: Prof. Innovación y Aprobado por: Gerente de
Seguridad de la Información Optimización de Procesos Transformación Digital
SISTEMA DE GESTIÓN DE CALIDAD Aprobado en Agosto de 2021 8MACROPROCESO SISTEMA DE GESTIÓN INTEGRADA
PROCESO SEGURIDAD DE LA INFORMACIÓN
MANUAL POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN
SGI-SI-M-01 Ver 5
1. TÉRMINOS Y DEFINICIONES
El presente documento utiliza los términos y definiciones de la ISO 27001 y 27002. Se
destacan los siguientes términos y definiciones.
● Información: Conjunto de datos que informan sobre algo.
● Seguridad de la Información: Entiéndase como la preservación de la
confidencialidad, integridad y disponibilidad de la información.
● Confidencialidad: Propiedad de la información de no ponerse a disposición o ser
revelada a individuos, entidades o procesos no autorizados.
● Integridad: Propiedad de la información relativa a su exactitud y completitud.
● Disponibilidad: Propiedad de la información de estar accesible y utilizable cuando
lo requiera una entidad autorizada.
● Amenaza: Causa potencial de un incidente no deseado, que puede provocar
daños a un sistema o a la organización.
● Evento de Seguridad de la Información: Una ocurrencia identificada del estado
de un sistema, servicio o red indicando una posible violación de la política de
seguridad de la información o falla en salvaguardas, o una situación previamente
desconocida que puede ser relevante para la seguridad.
● Incidente de Seguridad de la Información: Un solo o una serie de eventos de
seguridad de la información no deseada o inesperada que tienen una significativa
probabilidad de comprometer las operaciones comerciales y amenazan la
seguridad de la información.
Elaborado por: Coordinador de Revisado por: Prof. Innovación y Aprobado por: Gerente de
Seguridad de la Información Optimización de Procesos Transformación Digital
SISTEMA DE GESTIÓN DE CALIDAD Aprobado en Agosto de 2021 9MACROPROCESO SISTEMA DE GESTIÓN INTEGRADA
PROCESO SEGURIDAD DE LA INFORMACIÓN
MANUAL POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN
SGI-SI-M-01 Ver 5
2. OBJETIVOS DE LA SEGURIDAD DE LA INFORMACIÓN
2.1. OBJETIVO GENERAL
Realizar una adecuada administración de seguridad de la información al área de
Transformación Digital asegurando la operatividad en los servicios tecnológicos de la
organización; garantizando la confidencialidad, la integridad y la disponibilidad de la
información.
2.2. OBJETIVOS ESPECÍFICOS
● Establecer una adecuada metodología de Gestión del Riesgo de Seguridad de la
Información en TI, (Tecnologías de la información), que permita mantener la
seguridad de la información en los niveles de riesgo aceptables, permitiendo tomar
acciones para la mitigación, eliminación, transferencia o aceptación de riesgos.
● Realizar un adecuado diseño, implementación y mejora de políticas y controles de
seguridad de la información, que permitan la protección de los activos,
garantizando la confidencialidad, integridad y disponibilidad de información y las
operaciones con base tecnológica de ASMET SALUD EPS SAS, principalmente
los contenidos en el Data Center. También, las políticas y controles de seguridad
de la información deben lograr el cumplimiento de los acuerdos legales, la
legislación y normatividad aplicable relacionada con la seguridad de la
información, con el fin de evitar cargos o sanciones por incumplimientos legales y
normativos.
● Establecer un adecuado plan de concientización en seguridad de la información en
la organización, que permita fortalecer la aplicación de buenas prácticas seguras
en el uso de las tecnologías de la información y la comunicación, buscando mitigar
la materialización de Incidentes de seguridad de la información.
Elaborado por: Coordinador de Revisado por: Prof. Innovación y Aprobado por: Gerente de
Seguridad de la Información Optimización de Procesos Transformación Digital
SISTEMA DE GESTIÓN DE CALIDAD Aprobado en Agosto de 2021 10MACROPROCESO SISTEMA DE GESTIÓN INTEGRADA
PROCESO SEGURIDAD DE LA INFORMACIÓN
MANUAL POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN
SGI-SI-M-01 Ver 5
3. GENERALIDADES Y CONTEXTO
El presente manual proporciona las directrices necesarias para el aseguramiento y/o
protección de los activos de información, los datos e información corporativa
pertenecientes o tratados por ASMET SALUD EPS SAS. Las presentes políticas están
dirigidas a todos los funcionarios o colaboradores de ASMET SALUD EPS SAS, al
personal temporal, a terceros que prestan servicios (outsourcing) en modalidad in-house u
out-house, a afiliados, proveedores y toda persona natural o jurídica que de alguna
manera realice transacciones, contrataciones y prestación de servicios con ASMET
SALUD EPS SAS. Para los funcionarios o colaboradores de ASMET SALUD EPS SAS la
responsabilidad de garantizar su cumplimiento no está solo en ellos, sino también en cada
Coordinador, Gerente o Director el cual debe monitorear y gestionar el cumplimiento de
las mismas.
3.1. MONITOREO, CONTROL Y AUDITORIA
El monitoreo al cumplimiento de las políticas por parte de cada funcionario, proveedor o
tercero, corresponde al conocimiento que cada coordinador o responsable por la
administración de un servicio, tenga sobre el desempeño y cumplimiento de las
obligaciones contraídas, realizando las gestiones pertinentes para hacer cumplir las
políticas e informar del incumplimiento de las mismas.
El Oficial de seguridad de la información o Profesional Administrador SGSI será quien
gestione (Monitoreo, Control y Auditoría) el cumplimiento de las políticas y/o controles
técnicos y organizativos, las auditorías internas o externas, el cumplimiento de las
presentes políticas por parte del personal de ASMET SALUD EPS SAS o involucrados,
con el fin de mejorar la seguridad de la información. Las auditorías se definen en el
Manual del SGSI, en el numeral 10.2 “Auditoría Interna”
3.2. EXCEPCIONES
Si se requieren excepciones a alguna de las políticas aquí descritas estas deben ser
solicitadas a través del coordinador del funcionario con visto bueno del vicepresidente,
gerente o director de cada área. Las excepciones deberán quedar documentadas y
almacenadas como soporte a través del formato web de Solicitud de Servicios de
Tecnología (Procedimiento de Gestión de Requerimientos). El Vicepresidente, Gerente,
Director o coordinador de cada área será el encargado de evaluar los riesgos de la
solicitud, con apoyo del área de Transformación Digital si lo requiere. Si el encargado de
autorizar considera que una excepción solicitada conlleva riesgos altos para la seguridad
de la información puede no autorizarla, o escalarla a su superior según el organigrama de
ASMET SALUD EPS SAS.
Las excepciones a políticas y privilegios serán revisados anualmente. Su fecha de
vencimiento tiene corte a 31 de diciembre de cada año, por lo tanto si se encuentra
vencida debe ser solicitada nuevamente mediante el formato solicitud de servicios de
tecnología y las autorizaciones respectivas.
Elaborado por: Coordinador de Revisado por: Prof. Innovación y Aprobado por: Gerente de
Seguridad de la Información Optimización de Procesos Transformación Digital
SISTEMA DE GESTIÓN DE CALIDAD Aprobado en Agosto de 2021 11MACROPROCESO SISTEMA DE GESTIÓN INTEGRADA
PROCESO SEGURIDAD DE LA INFORMACIÓN
MANUAL POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN
SGI-SI-M-01 Ver 5
3.3. INCUMPLIMIENTO A LAS POLÍTICAS DESCRITAS EN ESTE DOCUMENTO
El cumplimiento de las políticas de seguridad de la información es obligatorio para todo
funcionario o colaborador, contratista, consultor, pasante o tercera parte involucrada. En
caso de presentarse un desacato, un incumplimiento o una potencial violación a las
políticas aquí descritas por negligencia o intencionalmente, el colaborador que detectó la
falta está en la obligación de informar el incumplimiento de la política mediante correo
electrónico al coordinador del funcionario con copia al Coordinador de Seguridad y
Protección de Datos al correo gt.seguridad@asmetsalud.com; éste a su vez informará a
las áreas necesarias de acuerdo al incidente con el fin de tomar las medidas correctivas
pertinentes según el caso y que surta el respectivo proceso según el código disciplinario
vigente. Si el caso se presenta por parte de un tercero como un proveedor o un cliente, el
mismo será analizado conjuntamente con las partes involucradas dentro de ASMET
SALUD EPS SAS, quienes serán la instancia que tomarán las acciones necesarias para
solucionar el inconveniente.
Elaborado por: Coordinador de Revisado por: Prof. Innovación y Aprobado por: Gerente de
Seguridad de la Información Optimización de Procesos Transformación Digital
SISTEMA DE GESTIÓN DE CALIDAD Aprobado en Agosto de 2021 12MACROPROCESO SISTEMA DE GESTIÓN INTEGRADA
PROCESO SEGURIDAD DE LA INFORMACIÓN
MANUAL POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN
SGI-SI-M-01 Ver 5
4. COMPROMISO EN EL CUMPLIMIENTO DE LOS REQUISITOS
RELACIONADOS AL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA
INFORMACIÓN
Es importante que todos los funcionarios y partes interesadas de ASMET SALUD EPS
SAS estén comprometidos con el cumplimiento de las presentes políticas y controles. La
Presidencia y Vicepresidencias se deben comprometer en el apoyo vital para la
implementación del Sistema de Gestión de Seguridad de la Información (SGSI) y
desplegar la cultura de seguridad hacia todas las unidades de la organización.
En relación a los compromisos para el cumplimiento de los requisitos del SGSI como
parte del liderazgo del mismo se detallan los roles, responsabilidades y autoridades de la
organización, los cuales pueden ser consultados en el presente documento.
Elaborado por: Coordinador de Revisado por: Prof. Innovación y Aprobado por: Gerente de
Seguridad de la Información Optimización de Procesos Transformación Digital
SISTEMA DE GESTIÓN DE CALIDAD Aprobado en Agosto de 2021 13MACROPROCESO SISTEMA DE GESTIÓN INTEGRADA
PROCESO SEGURIDAD DE LA INFORMACIÓN
MANUAL POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN
SGI-SI-M-01 Ver 5
5. POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN
En el presente documento se establecen las políticas de seguridad de la información
alineadas con el anexo A de la norma ISO 27001:2013, el Manual del SGSI y las
necesidades de ASMET SALUD EPS SAS. Las mismas se segmentan en varios
apartados, numerales y literales para una mejor comprensión, estudio, implementación y
aplicabilidad.
Las presentes políticas de seguridad de la información han sido aprobadas por la
organización a través del Acuerdo N°62 - Declaración y aprobación del Sistema de
Gestión de la Seguridad de la Información para ASMET SALUD EPS SAS.
5.1. ORIENTACIÓN DE LA DIRECCIÓN PARA LA GESTIÓN DE LA SEGURIDAD
DE LA INFORMACIÓN
5.1.1. Políticas para la seguridad de la información
Los funcionarios, personal externo, proveedores y todos aquellos que tengan
responsabilidades, sobre fuentes, repositorios y recursos de procesamiento de la
información de ASMET SALUD EPS SAS, deben adoptar los lineamientos contenidos en
el presente documento y en los documentos relacionados al mismo, los cuales han sido
aprobados por la Presidencia. Estos están compuestos por las políticas que mejor se
ajustan a los actuales sistemas tecnológicos de información y a la estructura de la
organización, con el fin de asegurar un adecuado nivel de confidencialidad, integridad y
disponibilidad de la información.
Las presentes políticas de seguridad de la información se alinean a las estrategias, el
entorno, contratos y las legislaciones aplicables a ASMET SALUD EPS SAS. Se
establecen para asegurar los temas de control de acceso, clasificación de información,
seguridad física y del entorno, temas orientados a los usuarios finales (uso aceptable de
activos, transferencia de información, dispositivos móviles y teletrabajo, restricciones,
otros), copias de respaldo y/o Backups, protección contra código malicioso, gestión de
vulnerabilidades, seguridad en las telecomunicaciones, privacidad y protección de
información de datos personales, relación con proveedores, entre otros temas de
seguridad de la información.
El presente documento y sus políticas para la seguridad de la información están aprobado
por la Junta Directiva, Presidencia y la Gerencia de Transformación Digital a través del
documento, Acuerdo N°62 - Declaración y aprobación del Sistema de Gestión de la
Seguridad de la Información para ASMET SALUD EPS SAS.
5.1.2. Revisión de políticas para la seguridad de la información
Con el fin de garantizar una mejora continua a las políticas de la entidad, la Coordinación
de Seguridad de la Información, apoyado con otros procesos deberá realizar, por lo
menos una vez al año, una revisión a la política de seguridad de la información de ASMET
SALUD EPS SAS o cuando se presenten cambios importantes en los procesos o
sistemas con el fin de identificar mejoras o necesidad de cambios en la misma. Aprobados
Elaborado por: Coordinador de Revisado por: Prof. Innovación y Aprobado por: Gerente de
Seguridad de la Información Optimización de Procesos Transformación Digital
SISTEMA DE GESTIÓN DE CALIDAD Aprobado en Agosto de 2021 14MACROPROCESO SISTEMA DE GESTIÓN INTEGRADA
PROCESO SEGURIDAD DE LA INFORMACIÓN
MANUAL POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN
SGI-SI-M-01 Ver 5
los cambios o ajustes a la Política deberá realizarse la respectiva divulgación o
comunicación.
El Coordinador de Seguridad de la Información y Protección de Datos y el Profesional
Administrador de SGSI tendrán la potestad de actualizar las Políticas de Seguridad de la
Información de acuerdo con las necesidades de revisión y el aval de la Gerencia de
Transformación Digital y la Presidencia. Se realizará una revisión al menos una vez al
año, o antes, en caso de que ocurran cambios significativos dentro de la organización de
tal manera que se pueda garantizar que las políticas sean las adecuadas, eficaces y
eficientes para la empresa.
Las áreas podrán desarrollar, revisar y evaluar las políticas de seguridad de la información
que se relacionen con ellos de la mano del Administrador de Seguridad de la Información,
siguiendo los protocolos de aprobación de nuevas políticas o cambios en las existentes.
Para lo anterior se debe comunicar las retroalimentaciones, sugerencias o inquietudes al
correo gt.seguridad@asmetsalud.com.
Elaborado por: Coordinador de Revisado por: Prof. Innovación y Aprobado por: Gerente de
Seguridad de la Información Optimización de Procesos Transformación Digital
SISTEMA DE GESTIÓN DE CALIDAD Aprobado en Agosto de 2021 15MACROPROCESO SISTEMA DE GESTIÓN INTEGRADA
PROCESO SEGURIDAD DE LA INFORMACIÓN
MANUAL POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN
SGI-SI-M-01 Ver 5
6. ORGANIZACIÓN DE LA SEGURIDAD
6.1. ORGANIZACIÓN INTERNA
6.1.1. Roles y Responsabilidades para la Seguridad de la Información
Los roles, responsabilidades y las autoridades para la seguridad de la información se
describen en el Manual del SGSI (SGI-SI-M-05) en el numeral 6.3.
A continuación se describen roles y responsabilidades anexos o de interés en el presente
documento.
● Presidencia: Promover activamente una cultura de seguridad de la información
dentro y fuera de la organización. El aseguramiento de los recursos, infraestructura
y talento humano adecuados para implementar y mantener el SGSI.
● Coordinación de Seguridad de la Información: ASMET SALUD EPS SAS
cuenta con un oficial de seguridad de la información o Profesional Administrador
SGSI quien es el responsable de gestionar y mantener el Sistema de Gestión de
Seguridad de la Información dentro del cual se reglamenta las presentes políticas
de seguridad de la información.
● Oficial de Protección de Datos Personales: Es el responsable de velar por la
protección de los datos personales de colaboradores, afiliados, usuarios,
proveedores, entre otros, relacionados con ASMET SALUD EPS SAS, la
organización ha nombrado Oficial de Protección de datos Personales al Gerente
de Transformación Digital y Comunicaciones. Quien trabajara de la mano con el
Coordinador de Seguridad de la Información y demás procesos.
● Colaboradores: Los funcionarios y personal provisto por terceras partes que
realicen labores en o para ASMET SALUD EPS SAS, tienen la responsabilidad de
cumplir de manera estricta con las presentes políticas, normas, procedimientos y
estándares referentes a la seguridad de la información. Los colaboradores son
responsables por los activos que les haya asignado, incluyendo activos de
información. Así mismo tienen la responsabilidad de reportar los eventos o
incidentes de seguridad de la información que puedan detectar en el desempeño
de sus labores y que puedan afectar a ASMET SALUD EPS SAS. De igual forma
son responsables de la información bajo su custodia y que les haya sido
suministrada, por lo que deberán mantener su confidencialidad, integridad y
disponibilidad, así como velar porque la misma no llegue a fugarse.
● Terceros y/o Aliados: Las terceras partes interesadas o aliados de ASMET
SALUD EPS SAS, deben ceñirse a las políticas de seguridad de la información
descritas en este documento, deben dar un uso responsable bajo un marco de
seguridad que proteja la Confidencialidad, la Integridad y la Disponibilidad de la
información o datos que se intercambian, en el marco de contratos o alianzas
estratégicas.
Elaborado por: Coordinador de Revisado por: Prof. Innovación y Aprobado por: Gerente de
Seguridad de la Información Optimización de Procesos Transformación Digital
SISTEMA DE GESTIÓN DE CALIDAD Aprobado en Agosto de 2021 16MACROPROCESO SISTEMA DE GESTIÓN INTEGRADA
PROCESO SEGURIDAD DE LA INFORMACIÓN
MANUAL POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN
SGI-SI-M-01 Ver 5
6.1.2. Separación de Funciones
ASMET SALUD EPS SAS se encuentra estructurada por macroprocesos, procesos y
subprocesos de tal manera que se pueda orquestar una operatividad acorde con los
objetivos organizacionales. Para la seguridad de la información se implementa el SGSI
dentro del área de Transformación Digital, donde se definen roles para la administración
del Data Center, principal sitio repositorio de información corporativa. Las funciones del
equipo que administra los servidores, aplicativos, redes y telecomunicaciones, seguridad
perimetral y otros servicios corporativos, son divididas de tal forma que el equipo pueda
garantizar la seguridad de la información en los servicios que se prestan.
Los cargos de cada colaborador se relacionan o definen los accesos, roles y/o funciones
que estos tendrán en el sistema de información de ASMET SALUD EPS SAS el cual se
compone por diversos aplicativos. (Correo, H&L, Seven, etc.)
La seguridad física y del entorno es monitoreada por el CCTV (Circuito cerrado de
Televisión) el cual es liderado y responsable del área Administrativa.
6.1.3. Contacto con Autoridades
Asmet Salud EPS SAS mantiene un contacto adecuado con autoridades pertinentes, en
seguridad de la información, las cuales pueden ayudar y guiar a la organización, en la
gestión de incidentes de seguridad de la información dentro de la empresa. Las
principales autoridades en materia de seguridad en el país, Colombia, son las siguientes:
Grupo de respuestas a Emergencias Cibernéticas de Colombia, ColCERT,
Gobierno. http://www.colcert.gov.co/index.php
Centro Cibernético Policial, CCP - Policía. http://www.ccp.gov.co
El Coordinador de Seguridad de la Información y Protección de Datos deberá gestionar y
mantener las relaciones con la CCP, y con las demás instituciones si así lo considera y
previa autorización del coordinador y Gerente del área de transformación digital.
6.1.4. Contacto con grupos de Interés especial
Por parte del área de Transformación Digital, se debe tener una relación activa y
apropiada con grupos especializados en el campo de la seguridad informática y
tecnologías de la información (TI), como foros, grupos, asociaciones, empresas, entre
otros, que mantienen actualizado el panorama y tendencias de la seguridad de la
información y TI.
El Coordinador de Seguridad de la Información y Protección de Datos deberá liderar,
gestionar y mantener las relaciones con grupos de interés que así lo considere en materia
de seguridad informática. Esto se hará con el objetivo de generar espacios donde se
compartan conocimientos, charlas o conferencias educativas en materia de seguridad
informática o tecnología para los usuarios finales.
Elaborado por: Coordinador de Revisado por: Prof. Innovación y Aprobado por: Gerente de
Seguridad de la Información Optimización de Procesos Transformación Digital
SISTEMA DE GESTIÓN DE CALIDAD Aprobado en Agosto de 2021 17MACROPROCESO SISTEMA DE GESTIÓN INTEGRADA
PROCESO SEGURIDAD DE LA INFORMACIÓN
MANUAL POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN
SGI-SI-M-01 Ver 5
6.1.5. Seguridad de la Información en la Gestión de Proyectos
La seguridad de la información se debe tratar en la gestión de proyectos,
independientemente del tipo de proyecto, por tanto los líderes de proyectos deberán
presentar o dar a conocer los nuevos proyectos al SGSI, para que este pueda realizar un
respectivo análisis de riesgos, así como las sugerencias pertinentes en materia de
seguridad de la información para los mismos.
6.2. DISPOSITIVOS MÓVILES Y TELETRABAJO
Garantizar la seguridad del teletrabajo y el uso de dispositivos móviles.
6.2.1. Política para Dispositivos Móviles
a) No es permitido el uso de dispositivos móviles personales tales como portátiles,
smartphones, tabletas y otros relacionados, para el desarrollo de actividades
laborales a través de los sistemas de información dispuestos por el área
transformación digital de la compañía.
b) Los miembros de Junta Directiva, Presidencia, Vicepresidencia y Gerentes pueden
hacer uso de dispositivos móviles personales y corporativos, tales como portátiles,
smartphones, tabletas y otros relacionados, para las actividades personales y
empresariales. Los mismos deben velar por la seguridad de la información de los
dispositivos móviles y su información contenida.
c) El uso de dispositivos móviles personales dentro de la organización es permitido
únicamente para fines personales y en los casos de emergencias o fuerza mayor.
d) Está prohibido el almacenamiento de información de ASMET SALUD EPS SAS
privada en dispositivos móviles personales en cualquier formato ya sea texto,
imagen, audio y/o video.
e) Se prohíbe la captura de imagen, audio y/o video de la infraestructura interna del
edificio, zonas y oficinas, afiliados, funcionarios, y personas que se encuentren
dentro de las instalaciones a través de dispositivos móviles, Smartphone, tabletas,
IPad y cámaras, sin previa autorización de los coordinadores y directores del área
de Talento Humano.
6.2.2. Teletrabajo
Cuando se requiera realizar labores de teletrabajo o actividades laborales que requieran
conexión remota, el líder del área o proceso debe aprobar el acceso de conexión VPN,
indicando el tiempo por el cual se requiere la conexión remota para el desarrollo de las
actividades laborales, o si se requiere el acceso conforme a las obligaciones
contractuales.
Las conexiones remotas a la red corporativa, acceso de conexión VPN, solo se dan a
usuarios que por su labor o rol en ASMET SALUD EPS SAS requieren de este tipo de
Elaborado por: Coordinador de Revisado por: Prof. Innovación y Aprobado por: Gerente de
Seguridad de la Información Optimización de Procesos Transformación Digital
SISTEMA DE GESTIÓN DE CALIDAD Aprobado en Agosto de 2021 18MACROPROCESO SISTEMA DE GESTIÓN INTEGRADA
PROCESO SEGURIDAD DE LA INFORMACIÓN
MANUAL POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN
SGI-SI-M-01 Ver 5
servicios. El acceso se brinda para la realización de actividades laborales desde sitios
alternos, siempre bajo el control de acceso y las autorizaciones pertinentes. La
responsabilidad de las acciones ejercidas en el desarrollo de las actividades de trabajo
remoto o teletrabajo recaen estrictamente en el usuario y la coordinación o área a la que
pertenece.
En los casos que el acceso y procesamiento de la información sea mediante la modalidad
de acceso remoto o teletrabajo, los responsables de estas actividades deberán dar
cumplimiento a las buenas prácticas, condiciones y restricciones definidas entorno a la
seguridad de la información, para lo cual se deben tener en cuenta las siguientes
disposiciones.
a) Se deben utilizar los servicios de VPN y escritorio remoto corporativos como medio
de conexión seguro a la red empresarial, es necesario el diligenciamiento del
formulario web solicitud de servicios de TI, para obtener autorización y acceso a
estos servicios.
b) No está permitido el uso de herramientas no corporativas oficiales para la conexión
a la red empresarial como son Anydesk, Team Viewer ya que estas herramientas
pueden llegar a constituir un riesgo a nivel de seguridad.
c) Seguridad física y de comunicaciones adecuadas.
d) Control de accesos a información o recursos.
e) Hacer uso de software licenciado; en los casos que sea aplicable.
f) Uso de equipo corporativos o personales (No utilizar equipo de terceros café
internet, universidades, entre otros).
g) Contar con un antivirus licenciado y actualizado.
h) Los equipos de cómputo deben estar actualizados en lo posible con los últimos
parches de seguridad.
i) Una vez se termine la jornada laboral o las actividades laborales se debe verificar
la desconexión de la VPN.
j) No se debe utilizar redes inalámbricas gratuitas de cualquier zona pública. Estas
conexiones no poseen medidas de seguridad y cualquier persona conectada a la
misma puede interceptar el tráfico e incluso manipularlo.
Elaborado por: Coordinador de Revisado por: Prof. Innovación y Aprobado por: Gerente de
Seguridad de la Información Optimización de Procesos Transformación Digital
SISTEMA DE GESTIÓN DE CALIDAD Aprobado en Agosto de 2021 19MACROPROCESO SISTEMA DE GESTIÓN INTEGRADA
PROCESO SEGURIDAD DE LA INFORMACIÓN
MANUAL POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN
SGI-SI-M-01 Ver 5
k. Contar con una suite de office licenciado en caso de ser necesario, o se
recomienda utilizar la plataforma de Google Workspace.
l. Cumplir con la política de contraseñas seguras. Es necesario revisar y fortalecer
las contraseñas, recuerde que lo ideal es que sean mínimo de 10 caracteres
alfanuméricos y con caracteres especiales, no deben ser relacionadas con algo
que lo pueda identificar, por ejemplo: fechas de nacimiento, nombres de sus hijos,
mascotas, etc.; las cuales debe estar cambiando de forma periódica y evitar el
almacenamiento en los navegadores.
m. Utilizar navegadores Google Chrome, Firefox actualizados.
n. Se debe cumplir con los controles estipulados en manual de la política de
seguridad de la información (SGI-SI-M-01).
o. No utilizar USB para la transferencia de información, se debe utilizar el Drive de
Google Workspace.
p. En lo posible tener una conexión de Internet de mínimo de 5MB, para un buen
funcionamiento de las aplicaciones.
q. Cuando se encuentre conectado a la VPN usar el navegador web solo para las
actividades laborales.
r. En caso de presentarse anomalías, eventos o incidentes que puedan afectar los
sistemas o la información de la compañía, se debe comunicar al área de seguridad
de información por medio de los canales de comunicación establecidos (Otrs,
Correo, etc.), notificando lo sucedido para tomar las medidas necesarias para
proteger los sistemas y/o salvaguardar la información.
Elaborado por: Coordinador de Revisado por: Prof. Innovación y Aprobado por: Gerente de
Seguridad de la Información Optimización de Procesos Transformación Digital
SISTEMA DE GESTIÓN DE CALIDAD Aprobado en Agosto de 2021 20MACROPROCESO SISTEMA DE GESTIÓN INTEGRADA
PROCESO SEGURIDAD DE LA INFORMACIÓN
MANUAL POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN
SGI-SI-M-01 Ver 5
7. SEGURIDAD DE LOS RECURSOS HUMANOS
7.1. ANTES DE ASUMIR EL EMPLEO
7.1.1. Selección
El área de Talento Humano debe hacer verificación de antecedentes de los candidatos al
empleo, contratistas y terceros, en concordancia con las regulaciones, las leyes
relevantes y la ética organizacional, siendo afín a los requerimientos de ASMET SALUD
EPS SAS, además de la clasificación de la información a la cual se va a tener acceso y
los tipos de riesgos percibidos, así como la protección de la información de la privacidad,
del tratamiento de los datos personales, la disponibilidad de referencias, verificación de la
hoja de vida, confirmación de las calificaciones o certificados académicos y profesionales
declarados.
Es importante también que se asegure de que los candidatos tengan las competencias
para desempeñar los cargos a los que aspiran, y si son cargos de importancia los mismos
sean confiables para desempeñar el rol al que aspira.
7.1.2. Términación y condiciones del empleo
Como parte de obligación contractual, empleados, contratistas y terceros deben aceptar.
Firmar los términos y condiciones del contrato de empleo, el cual establecerá sus
obligaciones y las obligaciones de ASMET SALUD EPS SAS para la seguridad de la
información.
Así mismo Talento Humano deberá hacer firmar a todos los empleados y contratistas a
los que se brinde acceso a información confidencial acuerdos de confidencialidad y no
divulgación, antes de asumir el cargo o roles establecidos.
7.2. DURANTE LA EJECUCIÓN DEL EMPLEO
7.2.1. Responsabilidades de la Dirección
Las Vicepresidencias a través del área Talento Humano y Transformacional Digital y otras
áreas exigirá que los empleados, contratistas y usuarios de terceras partes que apliquen
la seguridad según las políticas y los procedimientos establecidos por la organización,
esto se realizará mediante los contratos tanto laborales como con otros terceros.
La Presidencia y Vicepresidencias se comprometen en apoyar al SGSI a través de
ordenanza para el cumplimiento del presente manual de políticas de seguridad de la
información. Se compromete en apoyar los programas educativos en materia de
seguridad de la información para los colaboradores tales como seminarios, conferencias,
espacios de charlas y difusión a través de los diversos canales de comunicación.
Elaborado por: Coordinador de Revisado por: Prof. Innovación y Aprobado por: Gerente de
Seguridad de la Información Optimización de Procesos Transformación Digital
SISTEMA DE GESTIÓN DE CALIDAD Aprobado en Agosto de 2021 21MACROPROCESO SISTEMA DE GESTIÓN INTEGRADA
PROCESO SEGURIDAD DE LA INFORMACIÓN
MANUAL POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN
SGI-SI-M-01 Ver 5
7.2.2. Toma de Conciencia, educación y Formación en seguridad de la
información
a) El Coordinador de Seguridad de la Información y Protección de Datos realizará
constantemente campañas de concientización por medios como correos
electrónicos, publicaciones, mensajes, etc. También velará porque los nuevos
funcionarios y contratistas reciban inducción en seguridad de la información al
ingresar a la entidad.
b) En todos los niveles de la organización se debe contar con el grado de
conocimiento apropiado, que garantice la concientización y habilidades que
permitan minimizar la ocurrencia y la severidad de incidentes de Seguridad de la
Información. Cualquiera de los Colaboradores está en el derecho de solicitar
asesorías educativas en materia de seguridad de la información al profesional
SGSI en el momento que así lo requiera.
c) Se realizará capacitación a los funcionarios sobre Seguridad de la información,
amenazas informáticas, tipos de ataques, ingenierías sociales y relacionadas por
medio de charlas informativas, cursos virtuales, conferencias y noticias sobre
seguridad de la información y seguridad informática.
7.2.3. Proceso disciplinario
Dentro de la documentación del o los procesos disciplinarios se debe incluir un
mecanismo de disuasión para prevenir que los empleados o colaboradores violen las
políticas y controles de seguridad de la información.
Todo incidente de seguridad en los activos de información y/o en el manejo de la
información en los que estén involucrados usuarios y/o colaboradores, internos o
externos, debe ser investigado por Control Interno y Jurídica, conjuntamente con el equipo
de seguridad, para establecer responsabilidades y determinar las sanciones
correspondientes.
En los incidentes de seguridad de la información reportados al proceso de Seguridad de la
Información en los que estén involucradas terceras partes, serán informados por éste al
área Jurídica y al área directamente relacionado para el inicio de las acciones pertinentes.
7.3. TERMINACIÓN Y CAMBIO DE EMPLEO
7.3.1. Terminación o cambio de responsabilidades de empleo
El área de Talento Humano es la encargada de realizar las gestiones necesarias para los
traslados o finalización de las relaciones laborales. Así mismo estos deberán recordar las
cláusulas de confidencialidad de la información posterior a la terminación laboral.
Talento Humano es responsable de generar las comunicaciones respectivas para informar
a las otras áreas de los traslados o retiros de los funcionarios para que se proceda con las
Elaborado por: Coordinador de Revisado por: Prof. Innovación y Aprobado por: Gerente de
Seguridad de la Información Optimización de Procesos Transformación Digital
SISTEMA DE GESTIÓN DE CALIDAD Aprobado en Agosto de 2021 22MACROPROCESO SISTEMA DE GESTIÓN INTEGRADA
PROCESO SEGURIDAD DE LA INFORMACIÓN
MANUAL POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN
SGI-SI-M-01 Ver 5
gestiones pertinentes para la seguridad de la información, tales como retiro de permisos,
accesos y demás gestiones.
Elaborado por: Coordinador de Revisado por: Prof. Innovación y Aprobado por: Gerente de
Seguridad de la Información Optimización de Procesos Transformación Digital
SISTEMA DE GESTIÓN DE CALIDAD Aprobado en Agosto de 2021 23MACROPROCESO SISTEMA DE GESTIÓN INTEGRADA
PROCESO SEGURIDAD DE LA INFORMACIÓN
MANUAL POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN
SGI-SI-M-01 Ver 5
8. GESTIÓN DE ACTIVOS.
8.1. RESPONSABILIDAD POR LOS ACTIVOS
8.1.1. Inventario de activos.
Todos los computadores, servidores y portátiles de la compañía comprados o alquilados
deberán ser registrados en el inventario de equipos de cómputo, en donde se registre
información relacionada con: hardware, sistema operativo y software base instalado,
fecha de compra o alquiler, especificaciones generales, etc. Esta información deberá ser
consignada una vez hayan sido recibidos los equipos en cuestión; la actualización del
inventario de equipos se llevará a cabo cada vez que se realice cualquier tipo de
modificación de software o hardware sobre los mismos.
El mantenimiento físico de todos los equipos de ASMET SALUD EPS SAS, las revisiones
de mantenimiento de software, revisión de la vigencia de licencias y software no
autorizado instalado se realizará anualmente y estará a cargo del área de Transformación
Digital.
El área de Transformación Digital realizará el mantenimiento de equipos de usuario,
servidores y redes de la sede Nacional y Cauca.
● Adquisición y asignación de equipos de usuario
La adquisición y asignación de equipos la realizará el área Administrativa y los entregará
al área de Transformación Digital para su configuración y entrega al funcionario.
Los equipos de cómputo tendrán instalados única y exclusivamente los aplicativos y/o
programas debidamente licenciados y aprobados teniendo en cuenta las funciones del
usuario que lo utilizará. Adicionalmente se deben aplicar todas las restricciones y realizar
las instalaciones de software correspondientes incluyendo el Antimalware. Hasta tanto el
equipo no se encuentre en condiciones adecuadas para su uso, el usuario no podrá
utilizarlo.
● Activos críticos
El Coordinador de Seguridad de la Información y Protección de Datos realizará el
levantamiento de información de los activos críticos de la entidad en conjunto con los
líderes de los procesos, así como de los requerimientos de integridad, confidencialidad y
disponibilidad de dichos activos, esto en el proceso de análisis de impacto al negocio y en
la gestión del riesgo.
Los colaboradores deberán identificar activos de información no tangibles tales como
documentos, archivos de bases de datos, hojas de cálculo, etc. que se encuentren en sus
equipos de cómputo asignados y deberán propender por proteger su integridad,
confidencialidad y disponibilidad.
Elaborado por: Coordinador de Revisado por: Prof. Innovación y Aprobado por: Gerente de
Seguridad de la Información Optimización de Procesos Transformación Digital
SISTEMA DE GESTIÓN DE CALIDAD Aprobado en Agosto de 2021 24También puede leer
