{"id":4890,"date":"2022-07-18T22:04:54","date_gmt":"2022-07-19T03:04:54","guid":{"rendered":"https:\/\/www.vecol.com.co\/?page_id=4890"},"modified":"2026-06-22T12:28:34","modified_gmt":"2026-06-22T17:28:34","slug":"politica-de-seguridad-de-la-informacion","status":"publish","type":"page","link":"https:\/\/www.vecol.com.co\/en\/politica-de-seguridad-de-la-informacion\/","title":{"rendered":"Information Security Policy"},"content":{"rendered":"
\n\t\t\t\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t\t
\n\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t

POLITICA DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACION<\/strong><\/h1>


Cap\u00edtulo 1 INTRODUCCI\u00d3N<\/p>

La Empresa Colombiana de Productos Veterinarios S.A. \u2013 VECOL S.A. (en adelante VECOL S.A. o la Compa\u00f1\u00eda) tiene la responsabilidad de contar con un direccionamiento estrat\u00e9gico en materia de Seguridad de la Informaci\u00f3n. El desarrollo de este Manual de Seguridad y Privacidad de la Informaci\u00f3n le permitir\u00e1 tomar decisiones m\u00e1s \u00e1giles y acertadas frente a los riesgos y las regulaciones, permitiendo una gesti\u00f3n oportuna y efectiva aprovechando de la mejor forma los recursos con que cuenta.<\/p>

La referencia principal para el desarrollo de este Manual de Seguridad y Privacidad de la Informaci\u00f3n es la Norma T\u00e9cnica Colombiana NTC-ISO-IEC 27001:2022, Tecnolog\u00eda de la Informaci\u00f3n. T\u00e9cnicas de Seguridad. Sistemas de Gesti\u00f3n de la Seguridad de la Informaci\u00f3n, y la Gu\u00eda T\u00e9cnica Colombiana GTC-ISO-IEC 27002:2022, Tecnolog\u00eda de la informaci\u00f3n. T\u00e9cnicas de seguridad. C\u00f3digo de pr\u00e1ctica para controles de seguridad de la informaci\u00f3n.
1.1. CONTEXTO DE LA ORGANIZACI\u00d3N.<\/p>

1.1.1. CONOCIMIENTO DE LA ORGANIZACI\u00d3N Y DE SU CONTEXTO.<\/p>

VECOL S.A. es una sociedad an\u00f3nima de econom\u00eda mixta constituida mediante escritura p\u00fablica No. 4254 del 6 de agosto de 1974 de la Notar\u00eda Novena (9) del C\u00edrculo de Bogot\u00e1, D.C. Es una entidad de derecho p\u00fablico del orden nacional, descentralizada y vinculada al Ministerio de Agricultura y Desarrollo Rural, cuyo funcionamiento se sujeta a las reglas de derecho privado.
El objeto social es promover y estimular el incremento de la producci\u00f3n agropecuaria y de sus insumos, as\u00ed como el mejoramiento de la salud humana y animal, mediante la producci\u00f3n, venta, comercializaci\u00f3n, importaci\u00f3n, exportaci\u00f3n e investigaci\u00f3n cient\u00edfica de productos biotecnol\u00f3gicos, qu\u00edmicos, farmac\u00e9uticos, agr\u00edcolas e industriales.<\/p>

MISI\u00d3N<\/p>

Somos una compa\u00f1\u00eda con enfoque global, que brinda soluciones integrales para promover la sanidad animal y la productividad del sector agropecuario.<\/p>

VISI\u00d3N<\/p>

Ser una compa\u00f1\u00eda de clase mundial reconocida por ser el mejor aliado de nuestro campo.<\/p>

1.1.2. COMPRENSI\u00d3N DE LAS NECESIDADES Y EXPECTATIVAS DE LAS PARTES INTERESADAS.<\/p>

VECOL S.A. con el fin de dar cumplimiento a los lineamientos establecidos en la Pol\u00edtica de Gobierno Digital, anteriormente llamada Estrategia de Gobierno en L\u00ednea, y atender estos nuevos requisitos, orientados a la prestaci\u00f3n de servicios de calidad, que generen competitividad a la Compa\u00f1\u00eda y que administren los riesgos cambiantes en el \u00e1mbito de la gesti\u00f3n de la informaci\u00f3n y de las nuevas tecnolog\u00edas de informaci\u00f3n y comunicaci\u00f3n, ha decidido establecer, implementar y mantener un Sistema de Gesti\u00f3n de Seguridad de la Informaci\u00f3n (SGSI), que busque mediante una mejora continua, preservar la Confidencialidad, Integridad y Disponibilidad de los activos de informaci\u00f3n en los procesos Estrat\u00e9gicos,

Operacionales, de Apoyo y Control.<\/p>

1.2. GENERALIDADES<\/p>

1.2.1. PLANIFICACI\u00d3N Y CONTROL OPERACIONAL<\/p>

Para la planificaci\u00f3n y control operacional del Sistema de Gesti\u00f3n de Seguridad de la Informaci\u00f3n (SGSI) se consideran los requisitos aplicables establecidos en la Norma T\u00e9cnica Colombiana NTC-ISO-IEC 27001:2022. Tecnolog\u00eda de la Informaci\u00f3n. T\u00e9cnicas de Seguridad. Sistemas de Gesti\u00f3n de la Seguridad de la Informaci\u00f3n, y la Gu\u00eda T\u00e9cnica Colombiana GTC-ISO-IEC 27002:2022. Tecnolog\u00eda de la informaci\u00f3n. T\u00e9cnicas de seguridad. C\u00f3digo de pr\u00e1ctica para controles de seguridad de la informaci\u00f3n.<\/p>

Se desarrollan procedimientos, instructivos y controles de Seguridad de la Informaci\u00f3n basados en la NTC-ISO-IEC 27001:2022 y en la GTC-ISO-IEC 27002:2022.<\/p>

Para cumplir los requisitos relativos a Planificaci\u00f3n de cambios en el Sistema de Gesti\u00f3n de Seguridad de la Informaci\u00f3n (SGSI), la Compa\u00f1\u00eda considera y aplica en caso necesario las actividades apropiadas dentro de la siguiente lista:<\/p>

\u25cf Pol\u00edtica General y espec\u00edficas.
\u25cf Objetivo general y espec\u00edficos.
\u25cf Alcance.
\u25cf Estructura de la organizaci\u00f3n.
\u25cf Sistematizaci\u00f3n.
\u25cf Adecuaci\u00f3n de \u00e1rea f\u00edsicas.
\u25cf Cambios tecnol\u00f3gicos.
\u25cf Controles requeridos por los clientes.
\u25cf Cambios en la reglamentaci\u00f3n NTC-ISO-IEC 27001:2022 y GTC-ISO-IEC 27002:2022.
\u25cf Subcontrataci\u00f3n de actividades y cualquier cambio que se considere impacte al SGSI.<\/p>

1.2.2. RIESGOS DE LA SEGURIDAD DE LA INFORMACI\u00d3N.<\/p>

Dentro de las tareas para el establecimiento e implementaci\u00f3n del Sistema de Gesti\u00f3n de Seguridad de la Informaci\u00f3n (SGSI), VECOL S.A. hace una adecuada gesti\u00f3n de riesgos que le permita saber cu\u00e1les son las principales vulnerabilidades de sus activos de informaci\u00f3n y cu\u00e1les son las amenazas que podr\u00edan explotar las vulnerabilidades. En la medida que la Compa\u00f1\u00eda tenga clara esta identificaci\u00f3n de riesgos podr\u00e1 establecer las medidas preventivas y correctivas viables que garanticen mayores niveles de seguridad en su informaci\u00f3n.<\/p>

Para que VECOL S.A. pueda tomar decisiones sobre c\u00f3mo actuar ante los diferentes riesgos de Seguridad de la Informaci\u00f3n, la Compa\u00f1\u00eda hace una valoraci\u00f3n de riesgos para determinar cu\u00e1les son los m\u00e1s cr\u00edticos. Esta valoraci\u00f3n se hace en t\u00e9rminos de la probabilidad de ocurrencia del riesgo y del impacto que tenga la materializaci\u00f3n del riesgo; finalmente la Compa\u00f1\u00eda realiza el tratamiento del riesgo verificando si se debe evitar, reducir, compartir o transferir, o asumir, de acuerdo con su criticidad.
Con el fin de cumplir con el an\u00e1lisis de riesgo y una gesti\u00f3n continua, La Compa\u00f1\u00eda define una metodolog\u00eda para la gesti\u00f3n de riesgos de Seguridad de la Informaci\u00f3n, mediante la construcci\u00f3n del documento Anexo 1. \u201cIdentificaci\u00f3n, An\u00e1lisis y Tratamiento de Riesgos de Seguridad de la Informaci\u00f3n\u201d.<\/p>

1.2.3. OBJETIVO GENERAL

Establecer lineamientos de seguridad de alto nivel que permitan que los activos de informaci\u00f3n de propiedad de VECOL S.A. sean accedidos s\u00f3lo por las personas autorizadas que tienen necesidad leg\u00edtima para la realizaci\u00f3n de las funciones propias del negocio (confidencialidad), que no se realicen modificaciones no autorizadas y salvaguardar su exactitud y completitud (integridad), y que est\u00e9n disponibles cuando \u00e9stos sean requeridos para el desarrollo de las actividades propias del negocio (disponibilidad); alineados con la misi\u00f3n, visi\u00f3n, objetivos estrat\u00e9gicos y valores corporativos de la Compa\u00f1\u00eda.<\/p>

1.2.4. OBJETIVOS ESPEC\u00cdFICOS<\/p>

\u25cf Establecer los fundamentos para el Sistema de Gesti\u00f3n de Seguridad de la Informaci\u00f3n (SGSI).
\u25cf Proteger la imagen, los intereses y el buen nombre de VECOL S.A.
\u25cf Reducir el nivel de riesgo en seguridad de la informaci\u00f3n.
\u25cf Implementar y ejecutar controles efectivos que velen por la Seguridad de la Informaci\u00f3n.
\u25cf Establecer los canales de comunicaci\u00f3n que le permitan a la Presidencia de la Compa\u00f1\u00eda mantenerse informada de los riesgos y uso inadecuado de los activos de informaci\u00f3n y las acciones tomadas para su mitigaci\u00f3n y correcci\u00f3n.
\u25cf Promover una cultura organizacional orientada a la Seguridad de la Informaci\u00f3n.
\u25cf Establecer y comunicar la responsabilidad en el uso de los activos de informaci\u00f3n, que soportan los procesos y sistemas del negocio.
\u25cf Definir la conducta esperada en el acceso, uso y manejo de los activos de informaci\u00f3n.
\u25cf Propender por la disponibilidad de los activos de informaci\u00f3n, servicios e infraestructura tecnol\u00f3gica.
\u25cf Asegurar la continuidad de la Seguridad de la Informaci\u00f3n, permitiendo el cumplimiento de los objetivos estrat\u00e9gicos de la Compa\u00f1\u00eda.
\u25cf Propender por el uso de las tecnolog\u00edas de informaci\u00f3n y comunicaci\u00f3n de manera segura.
\u25cf Fortalecer los controles que aseguren la Confidencialidad, Integridad y Disponibilidad de la informaci\u00f3n de la Compa\u00f1\u00eda.
\u25cf Garantizar una adecuada y permanente gesti\u00f3n de riesgos del manejo en Seguridad de la Informaci\u00f3n.
\u25cf Fortalecer la cultura en Seguridad de la Informaci\u00f3n para los usuarios internos y externos, respecto al SGSI.<\/p>

1.3. ALCANCE<\/p>

\u201cVECOL S.A. establece e implementa el Sistema de Gesti\u00f3n de Seguridad de la Informaci\u00f3n, el cual busca proteger la Confidencialidad, Integridad y Disponibilidad de los activos de informaci\u00f3n para los procesos: \u201cEstrat\u00e9gicos, Operacionales, Apoyo y Control\u201d, en la sede principal de Bogot\u00e1 D.C. y las bodegas de despacho que VECOL S.A. administre, el cual exige el cumplimiento de la pol\u00edtica general y pol\u00edticas espec\u00edficas de Seguridad de la Informaci\u00f3n, controles y procedimientos que aplican a todas las partes interesadas del SGSI. Cuenta con el apoyo de la Alta Direcci\u00f3n para mantener y mejorar continuamente el SGSI, basado en la gesti\u00f3n de riesgos definida por la Compa\u00f1\u00eda incluido dentro del contexto.\u201d<\/p>

1.4. NORMATIVIDAD APLICABLE<\/p>

\u25cf Norma T\u00e9cnica Colombiana NTC-ISO-IEC 27001:2022, Tecnolog\u00eda de la Informaci\u00f3n, T\u00e9cnicas de Seguridad, Sistemas de Gesti\u00f3n de la Seguridad de la Informaci\u00f3n, Requisitos, 2013-12-11, ICONTEC Internacional.
\u25cf Gu\u00eda T\u00e9cnica Colombiana GTC-ISO-IEC 27002:2022, Tecnolog\u00eda de la informaci\u00f3n. T\u00e9cnicas de seguridad. C\u00f3digo de pr\u00e1ctica para controles de seguridad de la informaci\u00f3n, ICONTEC

Internacional.<\/p>

1.5. DEFINICIONES<\/p>

Acceso L\u00f3gico: es el conjunto de medidas t\u00e9cnicas (software, protocolos, contrase\u00f1as) que permiten o deniegan el acceso a datos, aplicaciones y redes. A diferencia del control f\u00edsico, este protege los activos digitales de forma virtual, verificando identidades (autenticaci\u00f3n) y otorgando permisos (autorizaci\u00f3n) para garantizar la seguridad.<\/p>

Activo: Se denomina activo a aquel conjunto de bienes tangibles o intangibles que posee la Compa\u00f1\u00eda. As\u00ed mismo, se consideran activos a aquellos bienes que en el futuro tienen una importante probabilidad de convertirse en un real beneficio econ\u00f3mico, la informaci\u00f3n es el activo m\u00e1s valioso de la Compa\u00f1\u00eda.<\/p>

Activo Cr\u00edtico: Son aquellos elementos o componentes que hacen parte de la infraestructura cr\u00edtica.<\/p>

Activo de informaci\u00f3n: Cualquier componente (humano, tecnol\u00f3gico, software, documental o de infraestructura) que soporta uno o m\u00e1s procesos de negocios de la Compa\u00f1\u00eda y, en consecuencia, debe ser protegido.<\/p>

Acuerdo de Confidencialidad: Documento en el que los trabajadores de VECOL S.A. o terceros se obligan a mantener la confidencialidad de la informaci\u00f3n, comprometi\u00e9ndose a no divulgar, usar o explotar la informaci\u00f3n confidencial a la que tenga acceso en virtud de la labor que desarrollan dentro de la misma.<\/p>

Alta Direcci\u00f3n: Persona o grupo de personas que dirigen y controlan al m\u00e1s alto nivel una entidad. Es la m\u00e1xima autoridad en el sistema.
Amenaza: causa potencial de un incidente no deseado que puede resultar en perjuicio de un sistema o la organizaci\u00f3n.<\/p>

An\u00e1lisis de riesgos de seguridad de la informaci\u00f3n: Proceso sistem\u00e1tico de identificaci\u00f3n de fuentes, estimaci\u00f3n de impactos y probabilidades y comparaci\u00f3n de dichas variables contra criterios de evaluaci\u00f3n para determinar las consecuencias potenciales de p\u00e9rdida de Confidencialidad, Integridad y Disponibilidad de la informaci\u00f3n.<\/p>

\u00c1reas seguras: Son sitios en los que se maneja informaci\u00f3n sensible o valiosos equipos inform\u00e1ticos refugio y el personal para conseguir los objetivos de negocio. En el contexto de la seguridad f\u00edsica, el t\u00e9rmino \u201csitio\u201d significa edificios, habitaciones u oficinas que albergan todos los servicios e instalaciones. La funci\u00f3n principal de la seguridad f\u00edsica es proteger los activos de informaci\u00f3n de amenazas f\u00edsicas: el acceso no autorizado, las indisponibilidades y los perjuicios causados por la acci\u00f3n humana, adem\u00e1s de eventos ambientales perjudiciales.<\/p>

Autenticaci\u00f3n: Es el procedimiento de comprobaci\u00f3n de la identidad de un usuario o recurso tecnol\u00f3gico al tratar de acceder a un recurso de procesamiento o sistema de informaci\u00f3n.<\/p>

Autenticaci\u00f3n Fuerte: Es una manera de asegurar que la persona que se identifica en un sistema es realmente quien dice ser comprobando su identidad.<\/p>

Autenticidad: Busca asegurar la validez de la informaci\u00f3n en tiempo, forma y distribuci\u00f3n. As\u00ed mismo, se garantiza el origen de la informaci\u00f3n, validando el emisor para evitar suplantaci\u00f3n de identidades.
Backup: tambi\u00e9n conocido como copia de seguridad o copia de respaldo, es una copia de los datos

importantes de un sistema inform\u00e1tico (como archivos, carpetas, bases de datos, configuraciones, sistemas operativos completos, etc., que se almacena en una ubicaci\u00f3n separada de los datos originales. El prop\u00f3sito principal de un backup es permitir la recuperaci\u00f3n de esta informaci\u00f3n en caso de p\u00e9rdida, corrupci\u00f3n, fallo del sistema, desastre natural, ataque malicioso (como ransomware) o cualquier otro evento que pueda comprometer la integridad o disponibilidad de los datos originales.
Centro de c\u00f3mputo: Es el espacio f\u00edsico donde est\u00e1n alojados los equipos de datos y comunicaciones, al igual desde donde se inicia la distribuci\u00f3n del cableado a las distintas oficinas. Deben cumplir requisitos adecuados de acceso f\u00edsico, pisos, techos, suministro de alimentaci\u00f3n el\u00e9ctrica y condiciones de temperatura y humedad.<\/p>

Ciberseguridad: Es el proceso de proteger los activos de informaci\u00f3n por medio del tratamiento de las amenazas a la informaci\u00f3n que es procesada, almacenada y\/o transportada a trav\u00e9s de sistemas de informaci\u00f3n interconectados.<\/p>

Cifrado: Es la transformaci\u00f3n de los datos mediante el uso de la criptograf\u00eda para producir datos ininteligibles (cifrados) y asegurar su confidencialidad. El cifrado es una t\u00e9cnica muy \u00fatil para prevenir la fuga de informaci\u00f3n, el monitoreo no autorizado e incluso el acceso no autorizado a los repositorios de informaci\u00f3n.
C\u00f3digo Malicioso: Es un c\u00f3digo inform\u00e1tico que provoca infracciones de seguridad para da\u00f1ar un sistema inform\u00e1tico. Se trata de un tipo de amenaza que no siempre puede bloquearse con un software antivirus por s\u00ed solo.<\/p>

Confidencialidad de la Informaci\u00f3n: Acceso a la informaci\u00f3n por parte \u00fanicamente de quienes est\u00e9n autorizados. Es una caracter\u00edstica o propiedad por la que la informaci\u00f3n no est\u00e1 disponible o revelada a individuos, empresas, o procesos no autorizados.<\/p>

Control: Es toda actividad o proceso encaminado a mitigar o evitar un riesgo. Incluye pol\u00edticas, procedimientos, gu\u00edas, estructuras organizacionales y buenas pr\u00e1cticas, que pueden ser de car\u00e1cter administrativo, tecnol\u00f3gico, f\u00edsico o legal.<\/p>

Criptograf\u00eda: Es la disciplina que agrupa a los principios, medios y m\u00e9todos para la transformaci\u00f3n de datos con el fin de ocultar el contenido de su informaci\u00f3n, establecer su autenticidad, prevenir su modificaci\u00f3n no detectada, prevenir su repudio, y\/o prevenir su uso no autorizado.<\/p>

Derechos de Autor: Es un conjunto de normas y principios que regulan los derechos morales y patrimoniales que la ley concede a los autores por el solo hecho de la creaci\u00f3n de un software, una obra literaria, art\u00edstica o cient\u00edfica, publicada o que todav\u00eda no se haya publicado.<\/p>

Disponibilidad de la Informaci\u00f3n: Caracter\u00edstica o propiedad de permanecer accesible y disponible para su uso cuando lo requiera una empresa autorizada.<\/p>

Dispositivos de almacenamiento externo: Cualquier formato de almacenamiento de datos que no est\u00e1 fijo de modo permanente dentro del equipo. Las ventajas residen en su facilidad de transporte derivadas de su r\u00e1pido acceso, larga vida \u00fatil, poco tama\u00f1o y peso. Algunos ejemplos son Disco Duro externo, memorias USB, entre otros.<\/p>

Drive: servicio de almacenamiento en la nube que permite a los usuarios almacenar, sincronizar y compartir archivos en l\u00ednea. Act\u00faa como un disco duro virtual accesible desde cualquier dispositivo con conexi\u00f3n a internet.

Due\u00f1o de la informaci\u00f3n: Es el responsable de la informaci\u00f3n que genera o utiliza en las actividades de su proceso.<\/p>

Equipo de c\u00f3mputo: Dispositivo electr\u00f3nico capaz de recibir un conjunto de instrucciones y ejecutarlas realizando c\u00e1lculos sobre los datos num\u00e9ricos, o bien compilando y correlacionando otros tipos de informaci\u00f3n.<\/p>

Estudio de Confiabilidad y Credibilidad: Es una herramienta para la mitigaci\u00f3n de riesgos que permite complementar los resultados de los procesos de selecci\u00f3n de personal que se realizan al interior de cada empresa. As\u00ed mismo, puede ser utilizado para complementar investigaciones en casos de robos, fraude, extorsi\u00f3n, contaminaci\u00f3n de mercanc\u00edas y otros hechos delictivos. El Estudio de Confiabilidad Personal consta de varios servicios de an\u00e1lisis. Se recomienda su uso completo, aunque cada servicio tambi\u00e9n puede ser utilizado individualmente. Ejemplos: Verificaci\u00f3n de Referencias Laborales, Visitas Domiciliarias, entre otros.<\/p>

Etiquetado: Identificaci\u00f3n del tipo de calificaci\u00f3n que se le da a la informaci\u00f3n, en dado caso que la informaci\u00f3n no est\u00e9 etiquetada se entiende que es informaci\u00f3n p\u00fablica.
Evento de Seguridad: Ocurrencia de una situaci\u00f3n que indica una posible violaci\u00f3n a las pol\u00edticas de seguridad de la informaci\u00f3n o fallas en los controles que no genere un impacto en el desarrollo de las operaciones de la Compa\u00f1\u00eda y que puede ser controlado r\u00e1pidamente.<\/p>

Factor de Autenticaci\u00f3n: Se trata de una medida de seguridad. Cuando se habla de autenticaci\u00f3n multifactor combina dos o m\u00e1s credenciales independientes: lo que sabe el usuario (contrase\u00f1a), lo que tiene el usuario (token de seguridad) y lo que es el usuario (verificaci\u00f3n biom\u00e9trica).
Firewall Personal: Es un programa que funciona en su computador de forma permanente. El programa monitoriza las conexiones que entran y salen de su computador y es capaz de distinguir las que son leg\u00edtimas de las realizadas por atacantes. En este segundo caso, las bloquea y notifica al usuario del computador.
Gabinete: Armario met\u00e1lico cerrado donde se encuentra ubicado todo lo referente a telecomunicaciones switch, Modem, hubs entre otros, de all\u00ed se env\u00eda el cableado al resto de la estructura para crear los puntos de trabajo.<\/p>

GEL: Gobierno en L\u00ednea.<\/p>

Hacking \u00e9tico: Conjunto de actividades para ingresar a las redes de datos y voz de la Compa\u00f1\u00eda con el objeto de lograr un alto grado de penetraci\u00f3n en los sistemas, de forma controlada, sin ninguna intenci\u00f3n maliciosa, ni delictiva y sin generar da\u00f1os en los sistemas o redes, con el prop\u00f3sito de mostrar el nivel efectivo de riesgo a lo cual est\u00e1 expuesta la informaci\u00f3n, y proponer eventuales acciones correctivas para mejorar el nivel de seguridad.<\/p>

Hash: Es un algoritmo matem\u00e1tico que transforma cualquier volumen de datos en una serie alfanum\u00e9rica de longitud fija, actuando como una “huella digital” \u00fanica. Es unidireccional (irreversible) y cambia dr\u00e1sticamente con cualquier m\u00ednima modificaci\u00f3n en la entrada, ideal para verificar integridad, almacenar contrase\u00f1as de forma segura y detectar malware.<\/p>

Herramientas colaborativas: aplicaci\u00f3n o plataforma digital dise\u00f1ada para facilitar el trabajo conjunto y

la comunicaci\u00f3n entre dos o m\u00e1s personas o equipos, independientemente de su ubicaci\u00f3n f\u00edsica. Estas herramientas permiten la creaci\u00f3n, el intercambio, la edici\u00f3n y la gesti\u00f3n compartida de informaci\u00f3n y recursos, con el objetivo de mejorar la productividad, la eficiencia y la toma de decisiones dentro de la organizaci\u00f3n.<\/p>

Incidente de Seguridad: Ocurrencia de un acto intencional o no intencional que tiene una alta probabilidad de afectar el buen funcionamiento de los sistemas de informaci\u00f3n, que a causa de este acto se vea afectada la operaci\u00f3n de la Compa\u00f1\u00eda y que por lo tanto amenaza la seguridad de la informaci\u00f3n.<\/p>

Indicadores de Compromiso (IoC): son evidencias forenses \u2014como direcciones IP sospechosas, hashes de archivos maliciosos o tr\u00e1fico de red inusual\u2014 que se\u00f1alan una posible intrusi\u00f3n, violaci\u00f3n de datos o actividad maliciosa en sistemas y redes. Act\u00faan como huellas digitales de un ciberataque, permitiendo a los equipos de seguridad detectar, investigar y mitigar amenazas conocidas.<\/p>

Ingenier\u00eda Social: Se refiere al arte de manipular personas para eludir los sistemas de seguridad. Esta t\u00e9cnica consiste en obtener informaci\u00f3n de los usuarios por tel\u00e9fono, correo electr\u00f3nico, correo tradicional o contacto directo. Los atacantes de la ingenier\u00eda social usan la fuerza persuasiva y se aprovechan de la inocencia del usuario haci\u00e9ndose pasar por un compa\u00f1ero de trabajo, un t\u00e9cnico o un administrador, entre otros.<\/p>

Inteligencia artificial (IA): es un campo de la inform\u00e1tica dedicado a la creaci\u00f3n de sistemas y programas capaces de simular capacidades cognitivas humanas. Estos sistemas est\u00e1n dise\u00f1ados para realizar tareas que normalmente requieren inteligencia humana, como el aprendizaje, el razonamiento, la resoluci\u00f3n de problemas, la percepci\u00f3n, la comprensi\u00f3n del lenguaje natural y la toma de decisiones.<\/p>

Inteligencia artificial generativa (IAG): es un tipo de inteligencia artificial que se enfoca en la creaci\u00f3n de contenido nuevo y original, similar al creado por humanos, a partir de los datos con los que ha sido entrenada. En lugar de simplemente analizar o clasificar datos existentes, la IAG aprende los patrones y la estructura subyacente de estos datos para luego generar nuevas instancias que siguen esas mismas caracter\u00edsticas.<\/p>

Integridad de la Informaci\u00f3n: Propiedad que busca mantener los datos libres de modificaciones no autorizadas y salvaguardar la exactitud y completitud de los activos.
Licencia de software: Contrato en donde se especifican todas las normas y cl\u00e1usulas que rigen el uso de un determinado producto de software, teniendo en cuenta aspectos como: alcances de uso, instalaci\u00f3n, reproducci\u00f3n y copia de estos productos.<\/p>

Lista de distribuci\u00f3n: tambi\u00e9n conocida como lista de correo o grupo de correo, es una agrupaci\u00f3n l\u00f3gica de direcciones de correo electr\u00f3nico bajo un \u00fanico nombre o direcci\u00f3n de correo electr\u00f3nico principal. Cuando se env\u00eda un mensaje a la direcci\u00f3n de la lista de distribuci\u00f3n, el servidor de correo electr\u00f3nico autom\u00e1ticamente r\u00e9plica y distribuye este mensaje a todas las direcciones de correo electr\u00f3nico individuales que forman parte de la lista.<\/p>

Medio removible: Cualquier componente extra\u00edble de hardware que sea usado para el almacenamiento de informaci\u00f3n; los medios removibles incluyen cintas, discos duros removibles, CDs, DVDs y unidades de almacenamiento USB, entre otras.<\/p>

No Repudio: Sirve a los emisores o a los receptores para no poder negar un mensaje transmitido. Por lo

que cuando un mensaje es enviado, el receptor puede probar que el mensaje fue enviado por el presunto emisor. De manera similar, cuando un mensaje es recibido, el remitente puede probar que el mensaje fue recibido por el presunto receptor.<\/p>

Perfiles de usuario: Grupos que concentran varios usuarios con similares necesidades de informaci\u00f3n y autorizaciones id\u00e9nticas sobre los recursos tecnol\u00f3gicos o los sistemas de informaci\u00f3n a los cuales se les concede acceso de acuerdo con las funciones realizadas. Las modificaciones sobre un perfil de usuario afectan a todos los usuarios cobijados dentro de \u00e9l.<\/p>

Privacidad: El derecho de individuos y organizaciones para controlar la recolecci\u00f3n, almacenamiento y diseminaci\u00f3n de informaci\u00f3n acerca de ellos mismos.<\/p>

Procedimientos: Documentos que contienen las instrucciones detalladas y las responsabilidades de las personas involucradas en la realizaci\u00f3n de operaciones o actividades y pueden generar registros que se utilizan como complemento de la documentaci\u00f3n.<\/p>

Propiedad intelectual: Es el reconocimiento de un derecho particular en favor de un autor u otros titulares de derechos, sobre las obras del intelecto humano. Este reconocimiento es aplicable a cualquier propiedad que se considere de naturaleza intelectual y merecedora de protecci\u00f3n, incluyendo las invenciones cient\u00edficas y tecnol\u00f3gicas, las producciones literarias o art\u00edsticas, las marcas y los identificadores, los dibujos y modelos industriales y las indicaciones geogr\u00e1ficas.<\/p>

Rack: Es un t\u00e9rmino ingl\u00e9s que se emplea para nombrar a la estructura que permite sostener o albergar un dispositivo tecnol\u00f3gico. Se trata de un armaz\u00f3n met\u00e1lico que, de acuerdo a sus caracter\u00edsticas, sirve para alojar una computadora, un enrutador u otra clase de equipo.<\/p>

Recursos tecnol\u00f3gicos: Son aquellos componentes de hardware y software tales como: servidores (de aplicaciones y de servicios de red) estaciones de trabajo, equipos port\u00e1tiles, dispositivos de comunicaciones y de seguridad, servicios de red de datos y bases de datos, entre otros, los cuales tienen como finalidad apoyar las tareas administrativas necesarias para el buen funcionamiento y la optimizaci\u00f3n del trabajo al interior de VECOL S.A.<\/p>

Registros de Auditor\u00eda: Archivos donde son registrados los eventos que se han identificado en los sistemas de informaci\u00f3n, recursos tecnol\u00f3gicos y redes de datos de la Compa\u00f1\u00eda. Dichos eventos pueden ser, entre otros, identificaci\u00f3n de usuarios, eventos y acciones ejecutadas, terminales o ubicaciones, intentos de acceso exitosos y fallidos, cambios a la configuraci\u00f3n, uso de utilidades y fallas de los sistemas.<\/p>

Requisitos de Seguridad: Lineamientos que debe cumplir a nivel de seguridad de la informaci\u00f3n o seguridad inform\u00e1tica, alg\u00fan producto, sistema de informaci\u00f3n o servicio.<\/p>

Responsable por el activo de informaci\u00f3n: Es la persona o grupo de personas encargadas de velar por la Confidencialidad, la Integridad y Disponibilidad de los activos de informaci\u00f3n y decidir la forma de usar, identificar, clasificar y proteger dichos activos a su cargo.<\/p>

Riesgo: Posibilidad de que una amenaza concreta pueda explotar una vulnerabilidad para causar una p\u00e9rdida o da\u00f1o en un activo de informaci\u00f3n.<\/p>

Sanitizaci\u00f3n: En el manejo de informaci\u00f3n confidencial o sensible, es el proceso l\u00f3gico y\/o f\u00edsico mediante el cual se remueve informaci\u00f3n considerada sensible o confidencial de un medio ya sea f\u00edsico

o magn\u00e9tico, ya sea con el objeto de desclasificarlo, reutilizar el medio o destruir el medio en el cual se encuentra.
Seguridad de la Informaci\u00f3n: Tiene como fin la protecci\u00f3n de la informaci\u00f3n y de los sistemas de la informaci\u00f3n del acceso, uso, divulgaci\u00f3n, interrupci\u00f3n o destrucci\u00f3n no autorizada, sin importar en el medio o formato en el que se encuentren.<\/p>

SGSI: Sistema de Gesti\u00f3n de Seguridad de la Informaci\u00f3n: Es el conjunto de manuales, procedimientos, controles y t\u00e9cnicas utilizadas para controlar y salvaguardar todos los activos que se manejan dentro de una entidad.<\/p>

Sistema de informaci\u00f3n: Es un conjunto organizado de datos, operaciones y transacciones que interact\u00faan para el almacenamiento y procesamiento de la informaci\u00f3n que, a su vez, requiere la interacci\u00f3n de uno o m\u00e1s activos de informaci\u00f3n para efectuar sus tareas. Un sistema de informaci\u00f3n es todo componente de software ya sea de origen interno, es decir desarrollado por VECOL S.A. o de origen externo, ya sea adquirido por la Compa\u00f1\u00eda como un producto est\u00e1ndar de mercado o desarrollado para las necesidades de \u00e9sta.<\/p>

Software malicioso: Es una variedad de software o programas de c\u00f3digos hostiles e intrusivos que tienen como objeto infiltrarse o da\u00f1ar los recursos tecnol\u00f3gicos, sistemas operativos, redes de datos o sistemas de informaci\u00f3n.<\/p>

Super usuario \u00f3 Superusuario: es una cuenta con privilegios m\u00e1ximos, capaz de leer, escribir, ejecutar y eliminar cualquier archivo o configuraci\u00f3n en un sistema. Aunque es vital para la administraci\u00f3n, representa un alto riesgo si se compromete, por lo que se deben aplicar principios de m\u00ednimo privilegio, auditor\u00eda continua y uso de sudo para restringir accesos.<\/p>

Teletrabajo: Actividad laboral que se desarrolla fuera de las instalaciones de la Empresa, apelando a las tecnolog\u00edas de la informaci\u00f3n y de la comunicaci\u00f3n para el desarrollo de las actividades propias de la Empresa. Por lo tanto, el teletrabajo es el trabajo que se realiza a distancia equipado con un computador con conexi\u00f3n a Internet. Para el caso del presente manual el concepto Teletrabajo no tiene el alcance completo definido en la Ley 1221 de 2008 que incluye trabajo desde el hogar del trabajador ni de la ley 2088 de 2021 que regula el trabajo en casa.<\/p>

T.I.: Tecnolog\u00edas de la Informaci\u00f3n.<\/p>

Usuarios: Incluye tanto internos como externos y otros grupos, donde los usuarios externos se refieren a clientes mayoristas, clientes minoristas, gremios y asociaciones, usuario final, Entidades del Estado Nacionales e Internacionales, accionistas, y proveedores. Mientras que los usuarios internos se refieren a trabajadores activos, temporales, practicantes del SENA y universitarios, trabajadores pensionados y retirados, as\u00ed como de cualquier otro que por su actividad tenga acceso a informaci\u00f3n de la compa\u00f1\u00eda. Tambi\u00e9n otros grupos como accionistas y proveedores.<\/p>

Vulnerabilidades: Son las debilidades, huecos de seguridad o flaquezas inherentes a los activos de informaci\u00f3n que pueden ser explotadas por factores externos y no controlables por la empresa (amenazas), las cuales se constituyen en fuentes de riesgo.<\/p>

1.6. PRINCIPIOS<\/p>

A continuaci\u00f3n, se establecen los principios de Seguridad de la Informaci\u00f3n que soportan el SGSI de

VECOL S.A.:<\/p>

\u25cf Las responsabilidades frente a la Seguridad de la Informaci\u00f3n son definidas, compartidas, publicadas por la Alta Direcci\u00f3n, y aceptadas por cada uno de los usuarios internos y externos.
\u25cf VECOL S.A. protege:
\u2714 Que la informaci\u00f3n generada, procesada o resguardada por los procesos de negocio, su infraestructura tecnol\u00f3gica y activos, del riesgo que se genera de los accesos otorgados a cada uno de los usuarios internos y externos.
\u2714 Que la informaci\u00f3n creada, procesada, transmitida o resguardada por sus procesos de negocio, con el fin de minimizar impactos financieros, operativos o legales debido a un uso indebido de esta. Para ello es fundamental la aplicaci\u00f3n de controles de acuerdo con la clasificaci\u00f3n de la informaci\u00f3n de su propiedad o en custodia.
\u2714 Que las instalaciones de procesamiento de informaci\u00f3n y la infraestructura tecnol\u00f3gica que soporta sus procesos cr\u00edticos est\u00e9n actualizados.
\u25cf VECOL S.A. procurar\u00e1 mantener la plataforma tecnol\u00f3gica actualizada seg\u00fan la planeaci\u00f3n estrat\u00e9gica de la Compa\u00f1\u00eda.
\u25cf VECOL S.A. deber\u00e1 implementar controles de acceso a los activos de informaci\u00f3n.
\u25cf VECOL S.A. incorpora la seguridad como parte integral del ciclo de vida de los sistemas de informaci\u00f3n, a trav\u00e9s de una adecuada gesti\u00f3n de riesgos.
\u25cf VECOL S.A. propende:
\u2714 Por la disponibilidad de sus procesos de negocio y la continuidad de sus servicios, con base en el impacto que pueden generar los incidentes de seguridad de la informaci\u00f3n.
\u2714 Por el cumplimiento de las obligaciones legales, regulatorias y contractuales establecidas.<\/p>

\u25cf Propiedad de la Informaci\u00f3n:
\u2714 La informaci\u00f3n creada, procesada, almacenada o transmitida utilizando los recursos de VECOL S.A., incluyendo hardware, software, redes y herramientas colaborativas (correo electr\u00f3nico, ofim\u00e1tica, servicios en nube, etc. – ver DEFINICIONES), es propiedad de VECOL S.A.
\u2714 La informaci\u00f3n se clasifica seg\u00fan su nivel de sensibilidad (Anexo 3. Inventario Clasificaci\u00f3n y Valoraci\u00f3n de activos de informaci\u00f3n). Cada clasificaci\u00f3n implica responsabilidades espec\u00edficas de manejo y protecci\u00f3n.
\u2714 La informaci\u00f3n que no est\u00e9 clasificada se tomar\u00e1 como reservada y clasificada.
\u25cf Uso de herramientas:
\u2714 Las herramientas colaborativas as\u00ed como las de IA y IAG , entre otras, proporcionadas por VECOL S.A., son para uso exclusivo en actividades laborales. El uso personal est\u00e1 totalmente prohibido, ya que no debe comprometer la seguridad de la informaci\u00f3n de la Compa\u00f1\u00eda.
\u2714 Los empleados son responsables de usar estas herramientas de manera adecuada, siguiendo las pol\u00edticas de seguridad y privacidad.
\u2714 El departamento de TI se reserva el derecho de monitorear el uso de las herramientas para garantizar su buen uso y proteger la informaci\u00f3n de la Compa\u00f1\u00eda.<\/p>

1.7. COMPROMISO DE LA ALTA DIRECCI\u00d3N<\/p>

La Alta Direcci\u00f3n de VECOL S.A. se compromete a apoyar y liderar el establecimiento, implementaci\u00f3n, mantenimiento y mejora del Sistema de Gesti\u00f3n de Seguridad de la Informaci\u00f3n (SGSI); as\u00ed mismo, se compromete a revisar el avance de la implementaci\u00f3n del SGSI de manera peri\u00f3dica y tambi\u00e9n garantizar\u00e1

los recursos suficientes (tecnol\u00f3gicos y talento humano calificado) para implementar y mantener el sistema, as\u00ed mismo, incluir\u00e1 dentro de las decisiones estrat\u00e9gicas, la seguridad de la informaci\u00f3n.
La Alta Direcci\u00f3n de VECOL S.A. est\u00e1 comprometida con el desarrollo y la implementaci\u00f3n de pol\u00edticas de Seguridad de la Informaci\u00f3n, as\u00ed como de su mejora continua, mediante:<\/p>

\u25cf La autorizaci\u00f3n para la implementaci\u00f3n de Pol\u00edticas de Seguridad de la Informaci\u00f3n en VECOL S.A.
\u25cf La aprobaci\u00f3n de Pol\u00edticas de Seguridad de la Informaci\u00f3n.
\u25cf El suministro de los recursos necesarios para una adecuada implementaci\u00f3n de Pol\u00edticas de Seguridad de la Informaci\u00f3n y el SGSI.
\u25cf La comunicaci\u00f3n a los usuarios internos y externos de la importancia de las Pol\u00edticas de Seguridad de la Informaci\u00f3n para el logro de los objetivos de Seguridad de la Informaci\u00f3n.<\/p>

Este Manual de Seguridad y Privacidad de la Informaci\u00f3n est\u00e1 fundamentado en la Norma T\u00e9cnica Colombiana NTC-ISO-IEC 27001:2022, Tecnolog\u00eda de la Informaci\u00f3n. T\u00e9cnicas de Seguridad. Sistemas de Gesti\u00f3n de la Seguridad de la Informaci\u00f3n, y la Gu\u00eda T\u00e9cnica Colombiana GTC-ISO-IEC 27002:2022, Tecnolog\u00eda de la informaci\u00f3n. T\u00e9cnicas de seguridad. C\u00f3digo de pr\u00e1ctica para controles de seguridad de la informaci\u00f3n, que recopila las mejores pr\u00e1cticas, para suministrar lineamientos para el diagn\u00f3stico, planificaci\u00f3n, implementaci\u00f3n, gesti\u00f3n y mejoramiento continuo del Sistema de Gesti\u00f3n de Seguridad de la Informaci\u00f3n (SGSI), y este es influenciado por las necesidades y objetivos, los requisitos de seguridad, los procesos y el tama\u00f1o y estructura de la Compa\u00f1\u00eda, adem\u00e1s persigue preservar la Confidencialidad, Integridad, Disponibilidad y privacidad de la informaci\u00f3n, brindando confianza a las partes interesadas acerca de la adecuada gesti\u00f3n de la Informaci\u00f3n de la Compa\u00f1\u00eda. Como consta en el \u201cART\u00cdCULO 5. La estrategia de seguridad digital. De la RESOLUCI\u00d3N N\u00daMERO 00500 DE MARZO 10 DE 2021\u201d. \u201cY el ART\u00cdCULO 2. \u00c1mbito de aplicaci\u00f3n. Ser\u00e1n sujetos obligados de la presente resoluci\u00f3n los se\u00f1alados en el art\u00edculo 2.2.9.1.1.2. del Decreto 1078 de 2015 (DUR-TIC), “Por medio del cual se expide el Decreto \u00danico Reglamentario del sector de Tecnolog\u00edas de la Informaci\u00f3n y las Comunicaciones” \u201cArt\u00edculo 2.2.9.1.2.3. Responsable de coordinar la implementaci\u00f3n de la Estrategia de Gobierno en l\u00ednea en los sujetos obligados. El representante legal de cada sujeto obligado ser\u00e1 el responsable de coordinar, hacer seguimiento y verificaci\u00f3n de la implementaci\u00f3n y desarrollo de la Estrategia de Gobierno en l\u00ednea.<\/p>

Todas las actividades realizadas por usuarios internos y externos de VECOL S.A. est\u00e1n bajo el control del Sistema de Gesti\u00f3n de Seguridad de la Informaci\u00f3n (SGSI), que se somete de forma regular y sistem\u00e1tica a auditor\u00edas internas al Sistema de Gesti\u00f3n, con el fin de asegurar su eficacia.<\/p>

El presente Manual de Seguridad y Privacidad de la Informaci\u00f3n est\u00e1 a disposici\u00f3n de todos los usuarios internos y externos de la Compa\u00f1\u00eda para servir de gu\u00eda en las actividades referentes a la Seguridad de la Informaci\u00f3n.<\/p>

La Presidencia aprueba el contenido de este Manual y lo declara de obligatorio cumplimiento en todos los procesos de la Compa\u00f1\u00eda.<\/p>

1.8. SANCIONES PARA LAS VIOLACIONES A LAS POL\u00cdTICAS DE SEGURIDAD DE LA INFORMACI\u00d3N.<\/p>

Las Pol\u00edticas de Seguridad de la Informaci\u00f3n pretenden instituir y afianzar la cultura de Seguridad de la Informaci\u00f3n entre los usuarios internos y externos de VECOL S.A. Por tal raz\u00f3n, es necesario que las violaciones al Sistema de Gesti\u00f3n de Seguridad de la Informaci\u00f3n (SGSI), se analicen teniendo en cuenta las diferentes disposiciones legales que apliquen en la materia, con el objetivo de aplicar las medidas correctivas que legalmente procedan y as\u00ed mitigar posibles afectaciones contra la Seguridad de la

Informaci\u00f3n. Las medidas correctivas pueden considerar desde acciones administrativas, hasta acciones de orden disciplinario o penal, de acuerdo con las circunstancias, si as\u00ed lo ameritan. Las violaciones a las pol\u00edticas de seguridad de la informaci\u00f3n ser\u00e1n consideradas como un incumplimiento a la presente pol\u00edtica y el mismo ser\u00e1 calificado con base en la legislaci\u00f3n laboral, el reglamento Interno de Trabajo y los acuerdos colectivos vigentes en VECOL S.A.<\/p>

1.9. REVISI\u00d3N POR LA DIRECCI\u00d3N.<\/p>

El Comit\u00e9 Institucional de Gesti\u00f3n y Desempe\u00f1o revisa anualmente el desempe\u00f1o, eficacia y eficiencia del Sistema de Gesti\u00f3n de Seguridad de la Informaci\u00f3n (SGSI), as\u00ed como el cumplimiento de las pol\u00edticas y objetivos de Seguridad de la Informaci\u00f3n. Para efectuar dichas revisiones, el Comit\u00e9 Institucional de Gesti\u00f3n y Desempe\u00f1o cuenta con la asistencia del Director del Departamento de T.I., quien es el responsable de la preparaci\u00f3n de los elementos de entrada necesarios para efectuar la revisi\u00f3n y se defini\u00f3 la siguiente informaci\u00f3n:<\/p>

a. Estado de las acciones con relaci\u00f3n a las revisiones previas por la Direcci\u00f3n.
b. Los cambios que podr\u00edan afectar al Sistemas de Gesti\u00f3n de Seguridad de la Informaci\u00f3n (SGSI).
c. Desempe\u00f1o de la Seguridad de la Informaci\u00f3n referente a:
\u25cf No conformidades y acciones correctivas.
\u25cf Seguimiento y resultados de las mediciones.
\u25cf Resultados de auditor\u00edas internas y externas del SGSI.
\u25cf Cumplimiento de la Pol\u00edtica General y los objetivos espec\u00edficos de Seguridad de la Informaci\u00f3n.
d. Resultados de la valoraci\u00f3n de riesgos y el estado del plan de tratamiento de riesgos.
e. Oportunidades de mejora continua.<\/p>

El Comit\u00e9 Institucional de Gesti\u00f3n y Desempe\u00f1o delega en el Director de Aseguramiento de Calidad y Jefe de secci\u00f3n de Aseguramiento de Calidad, el seguimiento de las acciones correctivas y preventivas, oportunidades de mejora continua y cualquier necesidad de cambio en el SGSI, requeridas como resultado de la revisi\u00f3n por la direcci\u00f3n para garantizar que el Sistema de Gesti\u00f3n de Seguridad de la Informaci\u00f3n est\u00e9 funcionando acorde con las Pol\u00edticas y Objetivos de Seguridad de la Informaci\u00f3n de la Compa\u00f1\u00eda.<\/p>

1.10. MEJORA.<\/p>

1.10.1. NO CONFORMIDADES Y ACCIONES CORRECTIVAS.<\/p>

VECOL S.A., cuando ocurra una no conformidad:<\/p>

a. Toma acciones para controlarla y corregirla
b. Eval\u00faa la necesidad de acciones para eliminar las causas de la no conformidad, de tal manera que no vuelva a ocurrir.
\u25cf Identifica la no conformidad
\u25cf Hace una revisi\u00f3n de la no conformidad
\u25cf Realiza la determinaci\u00f3n de las causas de la no conformidad
\u25cf Realiza la determinaci\u00f3n de si existen no conformidades
c. Implementa acciones necesarias
d. Revisa la eficacia de las acciones tomadas

e. Hace cambios al SGSI si es necesario
f. Documenta la informaci\u00f3n relacionada con las causas y las acciones realizadas de la no conformidad.
g. An\u00e1lisis de procedencia de acciones legales de tipo penal y\/o administrativo.<\/p>

Con el fin de garantizar la soluci\u00f3n y evitar la recurrencia o prevenir las no conformidades, se procede de acuerdo con lo descrito en el PRO-GC1-014 \u201cGesti\u00f3n de no conformidades\u201d.<\/p>

1.10.2. MEJORA CONTINUA.<\/p>

VECOL S.A. debe mejorar continuamente la conveniencia, adecuaci\u00f3n y eficacia del SGSI. Se realizan capacitaciones a todo el personal para garantizar la actualizaci\u00f3n en el desarrollo del talento humano en temas de Seguridad de la Informaci\u00f3n, y mantiene un seguimiento permanente a las acciones correctivas y preventivas.

Cap\u00edtulo 2 GESTI\u00d3N DEL MANUAL DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACI\u00d3N<\/p>

2.1. PRESENTACI\u00d3N DEL MANUAL<\/p>

El Manual de Seguridad y Privacidad de la Informaci\u00f3n de VECOL S.A. establece las buenas pr\u00e1cticas en materia de Seguridad de la Informaci\u00f3n, con el fin de dar cumplimiento a la Norma T\u00e9cnica Colombiana NTC-ISO-IEC 27001:2022, Tecnolog\u00eda de la Informaci\u00f3n. T\u00e9cnicas de Seguridad, Sistemas de Gesti\u00f3n de la Seguridad de la Informaci\u00f3n, y la Gu\u00eda T\u00e9cnica Colombiana GTC-ISO-IEC 27002:2022, Tecnolog\u00eda de la informaci\u00f3n. T\u00e9cnicas de seguridad. C\u00f3digo de pr\u00e1ctica para controles de seguridad de la informaci\u00f3n, y est\u00e1 constituido por cuatro cap\u00edtulos de los cuales el primero hace referencia a las generalidades, el segundo hace referencia a la gesti\u00f3n del manual, el tercero hace referencia a la organizaci\u00f3n interna y el cuarto hace referencia a la pol\u00edtica general y pol\u00edticas espec\u00edficas de Seguridad de la Informaci\u00f3n.<\/p>

El Manual de Seguridad y Privacidad de la Informaci\u00f3n, aplica a todos los procesos Estrat\u00e9gicos, Operacionales y los de Apoyo y Control de la Compa\u00f1\u00eda y por lo tanto es de obligatorio cumplimiento por todos los colaboradores.<\/p>

2.2. ELABORACI\u00d3N, REVISI\u00d3N Y APROBACI\u00d3N<\/p>

El Manual de Seguridad y Privacidad de la Informaci\u00f3n se elabora bajo los lineamientos del PRO-GC1-001 \u201cClasificaci\u00f3n y Presentaci\u00f3n de Documentos\u201d. El Grupo de Trabajo de Arquitectura Empresarial es responsable de su elaboraci\u00f3n, y el Jefe de Desarrollo y Nuevas Tecnolog\u00edas realiza la firma correspondiente.<\/p>

La revisi\u00f3n compete al Comit\u00e9 Institucional de Gesti\u00f3n y Desempe\u00f1o, con la firma del Director de T.I.<\/p>

La aprobaci\u00f3n final de este documento y de sus futuras modificaciones es facultad exclusiva del Presidente de VECOL S.A.<\/p>


2.3. DISTRIBUCI\u00d3N<\/p>

El jefe de secci\u00f3n de Aseguramiento de Calidad es el responsable de la generaci\u00f3n y distribuci\u00f3n de las copias electr\u00f3nicas y\/o digitales del Manual de Seguridad y Privacidad de la Informaci\u00f3n. Estas copias se encuentran en las \u00e1reas de la direcci\u00f3n de Aseguramiento de Calidad, Presidencia y Departamento de T.I, el original es conservado en la Jefatura de Aseguramiento de Calidad.<\/p>

Tambi\u00e9n se puede consultar en el sitio dispuesto del Sistema de Gesti\u00f3n de Calidad.<\/p>

2.4. CONTROL DE CAMBIOS<\/p>

Para asegurar la continua adecuaci\u00f3n del Manual de Seguridad y Privacidad de la Informaci\u00f3n este se revisa y\/o modifica, seg\u00fan se requiera o si no se han suscitado cambios, se revisa completamente cada 3 a\u00f1os.<\/p>

Los cambios en el Manual de Seguridad y Privacidad de la Informaci\u00f3n pueden ser generados por modificaciones significativas en la organizaci\u00f3n, cambio del reglamento interno o de sus estatutos generales que pueden ser aplicables para el desarrollo de sus actividades o por el cambio del modelo referencial, implantaci\u00f3n de nuevas normas o requisitos, cambios en el Sistema de Gesti\u00f3n de Seguridad de la Informaci\u00f3n (SGSI) tales como el alcance.

Todo usuario que desee introducir cambios en el Manual de Seguridad y Privacidad de la Informaci\u00f3n debe comunicar al Comit\u00e9 Institucional de Gesti\u00f3n y Desempe\u00f1o o el que haga sus funciones, para analizar conjuntamente la magnitud o trascendencia del cambio. Para registrar los cambios generados al Manual de Seguridad y Privacidad de la Informaci\u00f3n, deber\u00e1 presentar la solicitud al Grupo de Trabajo de Arquitectura Empresarial mediante la Mesa de Ayuda T\u00e9cnica del Departamento de T.I.

Cap\u00edtulo 3 ORGANIZACI\u00d3N DE LA SEGURIDAD DE LA INFORMACI\u00d3N.<\/p>

3.1. ORGANIZACI\u00d3N INTERNA<\/p>

A nivel interno, se tiene estructurada la organizaci\u00f3n que permite iniciar y controlar la implementaci\u00f3n del Sistema de Gesti\u00f3n de Seguridad de la Informaci\u00f3n (SGSI) en VECOL S.A., esto es posible estableciendo una adecuada comunicaci\u00f3n para que el Presidente pueda aprobar los lineamientos de Seguridad de la Informaci\u00f3n, asignando responsabilidades y coordinando la implementaci\u00f3n de la seguridad en todos los niveles de la Compa\u00f1\u00eda.<\/p>

Es por esto que se definen los roles y responsabilidades que deben participar en la oportuna y efectiva gesti\u00f3n del SGSI, los cuales se describen a continuaci\u00f3n, as\u00ed:<\/p>

ALTA DIRECCI\u00d3N: Es responsabilidad:<\/p>

\u25cf Designar al L\u00edder de Seguridad de la Informaci\u00f3n de la Compa\u00f1\u00eda.
\u25cf Revisar el Sistema de Gesti\u00f3n de Seguridad de la Informaci\u00f3n (SGSI) de la Compa\u00f1\u00eda.<\/p>

COMIT\u00c9 INSTITUCIONAL DE GESTI\u00d2N Y DESEMPE\u00d1O: Este comit\u00e9 es responsable del liderazgo, planeaci\u00f3n e impulso de la pol\u00edtica de Gobierno Digital en la Compa\u00f1\u00eda y conforme al Manual de Gobierno Corporativo de la Compa\u00f1\u00eda ha sido creado mediante Resoluci\u00f3n de Presidencia.<\/p>

El Comit\u00e9 Institucional de Gesti\u00f3n y Desempe\u00f1o dentro de sus responsabilidades incluye los siguientes referentes al Sistema de Gesti\u00f3n de Seguridad de la Informaci\u00f3n (SGSI), as\u00ed:<\/p>

\u25cf Definir los lineamientos y las estrategias de Seguridad de la Informaci\u00f3n en funci\u00f3n de la misi\u00f3n y visi\u00f3n de la Compa\u00f1\u00eda.
\u25cf Revisar las Pol\u00edticas de Seguridad de la Informaci\u00f3n de la Compa\u00f1\u00eda.
\u25cf Revisar el Plan de Acci\u00f3n del proceso de Gesti\u00f3n de Seguridad de la Informaci\u00f3n de la Compa\u00f1\u00eda.
\u25cf Revisar las estrategias del Programa de Concientizaci\u00f3n en Seguridad de la Informaci\u00f3n.
\u25cf Fomentar el desarrollo de la Seguridad de la Informaci\u00f3n en la Compa\u00f1\u00eda.
\u25cf Velar por un seguimiento y que se cumplan los lineamientos de Seguridad de la Informaci\u00f3n.
\u25cf Ejercer un control gerencial del plan de Seguridad de la Informaci\u00f3n y tomar las acciones correctivas respecto a aquellos que no est\u00e9n acordes con el Plan de Seguridad de la Informaci\u00f3n.
\u25cf Verificar la efectividad de los Programas de Seguridad de la Informaci\u00f3n en la Compa\u00f1\u00eda.
\u25cf Velar que el L\u00edder de Seguridad de la Informaci\u00f3n o quien haga sus veces dise\u00f1e, desarrolle, ejecute y controle un Programa de Seguridad de la Informaci\u00f3n ajustado a la Compa\u00f1\u00eda.<\/p>

L\u00cdDER DE SEGURIDAD DE LA INFORMACI\u00d3N (o quien haga sus veces): Corresponde al l\u00edder del Grupo de Trabajo de Arquitectura Empresarial. Es responsable del dise\u00f1o, desarrollo, implantaci\u00f3n, mantenimiento y verificaci\u00f3n del correcto funcionamiento del Sistema de Gesti\u00f3n de Seguridad de la Informaci\u00f3n (SGSI), en l\u00ednea con los requerimientos del negocio y bajo las directrices del Comit\u00e9 Institucional de Gesti\u00f3n y Desempe\u00f1o, entre sus responsabilidades de seguridad de la informaci\u00f3n, est\u00e1n:<\/p>

\u25cf Verificar que todos los riesgos a los que pudiera estar sometida la informaci\u00f3n en la Compa\u00f1\u00eda est\u00e9n identificados, evaluados, actualizados y mitigados.

\u25cf Verificar el crecimiento del nivel de Seguridad de la Informaci\u00f3n por medio del an\u00e1lisis de los indicadores de gesti\u00f3n del proceso de seguridad de la Informaci\u00f3n, as\u00ed como tomar acciones correctivas en caso de ser requerido.
\u25cf Analizar integralmente los riesgos de la informaci\u00f3n de la Compa\u00f1\u00eda
\u25cf Mantener informado al due\u00f1o de la Informaci\u00f3n de los riesgos de Seguridad de la Informaci\u00f3n identificados en su \u00e1rea, as\u00ed como dise\u00f1ar los planes de acci\u00f3n para mitigarlos.
\u25cf Dise\u00f1ar, desarrollar, implantar y controlar el proceso de Seguridad de la Informaci\u00f3n con indicadores de gesti\u00f3n claros, objetivos y verificables.
\u25cf Implantar los lineamientos de Seguridad de la Informaci\u00f3n definidos por medio del dise\u00f1o, desarrollo, implantaci\u00f3n, mantenimiento y control de un Sistema de Gesti\u00f3n de Seguridad de la Informaci\u00f3n.
\u25cf Someter a revisi\u00f3n y socializaci\u00f3n ante el Comit\u00e9 Institucional de Gesti\u00f3n y Desempe\u00f1o, el Plan de proyectos y el Programa que implementa el Sistema de Gesti\u00f3n de Seguridad de la Informaci\u00f3n (SGSI) en la Compa\u00f1\u00eda.
\u25cf Definir la Arquitectura de Seguridad de Informaci\u00f3n en l\u00ednea con la arquitectura de tecnolog\u00eda de la Compa\u00f1\u00eda.
\u25cf Desarrollar, implantar y controlar el procedimiento de gesti\u00f3n de Incidentes de Seguridad de Informaci\u00f3n.
\u25cf Definir los lineamientos y las directrices de Seguridad de la Informaci\u00f3n a ser incluidas en el Plan de Contingencias.
\u25cf Proveer asesor\u00eda en materia de Seguridad de la Informaci\u00f3n al Comit\u00e9 Institucional de Gesti\u00f3n y Desempe\u00f1o y a las distintas unidades funcionales de la Compa\u00f1\u00eda.
\u25cf Verificar que el Sistema de Gesti\u00f3n de Seguridad de la Informaci\u00f3n (SGSI) est\u00e9 incluido en el ciclo de vida de una aplicaci\u00f3n o sistema.
\u25cf Ponderar la relaci\u00f3n costo-beneficio entre la implantaci\u00f3n de Proyectos de Seguridad de la Informaci\u00f3n y el riesgo asumido.
\u25cf Impulsar el mejoramiento continuo del Proceso de Seguridad de la Informaci\u00f3n en la Compa\u00f1\u00eda.
\u25cf Desarrollar, implantar y controlar el programa de clasificaci\u00f3n de la informaci\u00f3n para la Compa\u00f1\u00eda.<\/p>

ADMINISTRADOR DE SEGURIDAD INFORM\u00c1TICA: Corresponde al Departamento de Tecnolog\u00edas de la Informaci\u00f3n (T.I.). Se encargar\u00e1 de toda la gesti\u00f3n de infraestructura de seguridad inform\u00e1tica y dem\u00e1s temas que tengan relaci\u00f3n con el Departamento de T.I., as\u00ed:<\/p>

\u25cf Administrar las herramientas de Seguridad de la Informaci\u00f3n de su plataforma de responsabilidad.
\u25cf Administrar el nivel de seguridad de las aplicaciones basado en el nivel de acceso que identifique el Responsable de la Informaci\u00f3n.
\u25cf Aplicar los controles de seguridad a los recursos inform\u00e1ticos.
\u25cf Monitorear, registrar, resolver e informar los eventos de intrusi\u00f3n o uso malicioso de los recursos inform\u00e1ticos de su responsabilidad y reportarlos al Responsable de la Informaci\u00f3n y al L\u00edder de Seguridad de la Informaci\u00f3n.
\u25cf Revisar y reportar al L\u00edder de Seguridad de la Informaci\u00f3n respecto al nivel y consistencia de la seguridad de los recursos inform\u00e1ticos de su responsabilidad.
\u25cf Evaluar sus activos de informaci\u00f3n en t\u00e9rminos de riesgo y mantener los est\u00e1ndares de Seguridad de la Informaci\u00f3n para minimizar dichos riesgos.
\u25cf Proveer al L\u00edder de Seguridad de la Informaci\u00f3n, los datos obtenidos durante el monitoreo de la infraestructura de seguridad.
\u25cf Facilitar informaci\u00f3n que permita resolver incidentes que involucren los recursos inform\u00e1ticos de su responsabilidad.
\u25cf Aplicar y mantener los est\u00e1ndares de seguridad de la plataforma tecnol\u00f3gica de la informaci\u00f3n de la Compa\u00f1\u00eda.

\u25cf Apoyar las actividades planteadas en el Plan de Concientizaci\u00f3n que ayuden a incrementar el nivel de conciencia sobre la importancia de la Seguridad de la Informaci\u00f3n.
\u25cf Suministrar informaci\u00f3n que permita verificar el cumplimiento de los est\u00e1ndares de configuraci\u00f3n.<\/p>

GERENTE DE TALENTO HUMANO: Es responsable de facilitar los mecanismos necesarios para la creaci\u00f3n de una cultura organizacional en Seguridad de la Informaci\u00f3n, entre sus responsabilidades de seguridad de la informaci\u00f3n, est\u00e1n:<\/p>

\u25cf Implementar el Programa de Concientizaci\u00f3n.
\u25cf Apoyar al L\u00edder de Seguridad de la Informaci\u00f3n en cuanto a la concientizaci\u00f3n en el reporte de eventos o incidentes de Seguridad de la Informaci\u00f3n y evaluaci\u00f3n de riesgos.
\u25cf Participar en la investigaci\u00f3n de las personas que tengan acceso a informaci\u00f3n cr\u00edtica sin estar autorizados.
\u25cf Fomentar el cumplimiento de las Pol\u00edticas y procedimientos de Seguridad de la Informaci\u00f3n en la Compa\u00f1\u00eda.
\u25cf Incluir responsabilidades tanto directas como indirectas en cuanto a Seguridad de la Informaci\u00f3n en los manuales de funciones de los cargos.
\u25cf Desarrollar el plan de capacitaci\u00f3n del \u00e1rea de Seguridad de la Informaci\u00f3n.
\u25cf Apoyo en la conformaci\u00f3n de la organizaci\u00f3n de Seguridad de la Informaci\u00f3n de la Compa\u00f1\u00eda.
\u25cf Asegurar que en los contratos de trabajo y en el reglamento interno de trabajo, se incluyan responsabilidades de Seguridad de la Informaci\u00f3n.<\/p>

GERENTE JUR\u00cdDICO: Es responsable de brindar apoyo y asesoramiento para que el Sistema de Gesti\u00f3n de Seguridad de la Informaci\u00f3n de la Compa\u00f1\u00eda est\u00e9 dentro del marco legal correspondiente y cuente con el sustento legal que formalice y haga viable su aplicaci\u00f3n. El due\u00f1o de la Informaci\u00f3n y\/o el l\u00edder de Seguridad deben informar a la Gerencia Jur\u00eddica cuando se presenten incidentes de Seguridad de la Informaci\u00f3n que puedan resultar en litigios.<\/p>

Entre sus responsabilidades de seguridad de la informaci\u00f3n, est\u00e1n:<\/p>

\u25cf Verificar que el Sistema de Gesti\u00f3n de Seguridad de la Informaci\u00f3n (SGSI) emitido por la Compa\u00f1\u00eda cuente con el sustento legal que permita su formalizaci\u00f3n, aplicaci\u00f3n y obligatorio cumplimiento previa publicaci\u00f3n y distribuci\u00f3n.
\u25cf Asesorar a la Compa\u00f1\u00eda en el cumplimiento de las normas legales locales y\/o internacionales de Seguridad de la Informaci\u00f3n que afecten a la Compa\u00f1\u00eda.
\u25cf Atender y resolver las consultas legales que el L\u00edder de Seguridad de la Informaci\u00f3n, el Comit\u00e9 Institucional de Gesti\u00f3n y Desempe\u00f1o o el Gerente de Talento Humano pudieran hacer en cuanto al proceso de emisi\u00f3n, ajuste y formalizaci\u00f3n del Sistema de Gesti\u00f3n de Seguridad de Informaci\u00f3n (SGSI) de la Compa\u00f1\u00eda.
\u25cf Alertar al L\u00edder de Seguridad de la Informaci\u00f3n de la Compa\u00f1\u00eda cuando cambios en la legislaci\u00f3n afecten la vigencia o haga necesarios ajustes al Sistema de Gesti\u00f3n de Seguridad de la Informaci\u00f3n (SGSI) de la Compa\u00f1\u00eda.
\u25cf Asesorar al l\u00edder de Seguridad de la Informaci\u00f3n y Auditor\u00eda Interna, cuando en una investigaci\u00f3n aparezcan situaciones que puedan resultar en un litigio que la comprometa.<\/p>

USUARIOS INTERNOS Y EXTERNOS DE LA COMPA\u00d1\u00cdA: Son responsables de poner en pr\u00e1ctica las pol\u00edticas, procedimientos y programas oficializados por el proceso de Seguridad de la Informaci\u00f3n que garanticen la protecci\u00f3n de la informaci\u00f3n del negocio. Entre sus responsabilidades de seguridad de la informaci\u00f3n, est\u00e1n:

\u25cf Identificar los activos de informaci\u00f3n que sean cr\u00edticos para el negocio.
\u25cf Identificar los problemas y posibles riesgos de la informaci\u00f3n e informar a los due\u00f1os de la informaci\u00f3n y\/o al l\u00edder de Seguridad de la informaci\u00f3n.
\u25cf Cumplir las pol\u00edticas de Seguridad de la Informaci\u00f3n.
\u25cf Clasificar y manejar la informaci\u00f3n generada de acuerdo con la criticidad definida en el Sistema de Gesti\u00f3n de Seguridad de la Informaci\u00f3n (SGSI).
\u25cf Brindar informaci\u00f3n y participar en las labores de investigaci\u00f3n de incidentes de seguridad de la informaci\u00f3n.
\u25cf Ser agentes de cambio en el proceso de Concientizaci\u00f3n sobre la importancia de la Seguridad de la Informaci\u00f3n.
\u25cf Generar sugerencias para mejorar el Sistema de Gesti\u00f3n de Seguridad de la Informaci\u00f3n (SGSI).
\u25cf Reportar eventos o incidentes que afecten la seguridad de la informaci\u00f3n.<\/p>

DUE\u00d1O DE LA INFORMACI\u00d3N: Debe identificar claramente el valor de su informaci\u00f3n, conocer los riesgos a que podr\u00eda estar expuesta y velar porque se provean los mecanismos necesarios para que los riesgos se mitiguen a niveles aceptables considerando la relaci\u00f3n costo-beneficio para su \u00e1rea de negocio. Entre sus responsabilidades de Seguridad de la Informaci\u00f3n, est\u00e1n:<\/p>

\u25cf Identificar los activos de informaci\u00f3n con sus requerimientos de seguridad.
\u25cf Identificar, definir y evaluar los riesgos a que pudiera estar expuesta su informaci\u00f3n, solicitando asesor\u00eda al L\u00edder de Seguridad de la Informaci\u00f3n.
\u25cf Aprobar los riesgos de su informaci\u00f3n.
\u25cf Definir los controles de negocio a implantar para cada riesgo identificado.
\u25cf Recomendar posibles ajustes al Sistema de Gesti\u00f3n de Seguridad de la Informaci\u00f3n (SGSI).
\u25cf Apoyar al Equipo Operativo de Trabajo en Seguridad de la Informaci\u00f3n en la definici\u00f3n de los requerimientos de Seguridad de la Informaci\u00f3n.
\u25cf Mantener un nivel adecuado de conocimiento y conciencia en cuanto a la Seguridad de la Informaci\u00f3n en su \u00e1rea de negocio.
\u25cf Definir los perfiles de los usuarios de los Sistemas de Informaci\u00f3n, los respectivos privilegios y justificaci\u00f3n de negocio para su acceso y uso, e informar al Departamento de T.I. para su implantaci\u00f3n.
\u25cf Informar sobre los incidentes de Seguridad de la Informaci\u00f3n que ocurran en su \u00e1rea al l\u00edder de Seguridad de la Informaci\u00f3n.
\u25cf Mantener un registro que incluya todo lo referente a riesgos, clasificaci\u00f3n de los activos, lista de usuarios e incidentes y acciones correctivas ejecutadas.
\u25cf Ejecutar y participar activamente en las actividades planteadas en el plan de Concientizaci\u00f3n.
\u25cf Cumplir con las pol\u00edticas y procedimientos de Seguridad de la Informaci\u00f3n.
\u25cf Participar en las Auditor\u00edas del Sistema de Gesti\u00f3n de Seguridad de la Informaci\u00f3n (SGSI).<\/p>

Con el fin de operacionalizar las responsabilidades del SGSI, se define la siguiente matriz RACI, la cual establece el nivel de participaci\u00f3n de los cargos clave en los procesos cr\u00edticos de seguridad. Los niveles se definen como: ( R ) Responsable de ejecutar, ( A ) Aprobador \/ Responsable \u00faltimo, ( C ) Consultado y (I) Informado.<\/p>

\u00a0<\/p>

Definici\u00f3n de Niveles de Participaci\u00f3n:<\/p>

\u25cf R (Responsable): Persona encargada de ejecutar la actividad.
\u25cf A (Aprobador): Persona que rinde cuentas sobre la tarea y tiene la autoridad para firmar o autorizar. Solo existe un aprobador por actividad.
\u25cf C (Consultado): Personas que aportan informaci\u00f3n o cuya opini\u00f3n t\u00e9cnica\/legal es requerida.
\u25cf I (Informado): Personas a las que se les notifican los resultados o avances de la gesti\u00f3n.

Cap\u00edtulo 4 POL\u00cdTICAS DE SEGURIDAD DE LA INFORMACI\u00d3N.<\/p>

4.1. POL\u00cdTICA GENERAL DE SEGURIDAD DE LA INFORMACI\u00d3N
La siguiente es la Pol\u00edtica de Seguridad de la Informaci\u00f3n establecida para VECOL S.A., as\u00ed:
\u201cLa Empresa Colombiana de Productos Veterinarios S.A. \u2013 VECOL S.A. reconoce la importancia de identificar y proteger sus activos de informaci\u00f3n, asegurando su Confidencialidad, Integridad y Disponibilidad, dependiendo su nivel de clasificaci\u00f3n, comprometi\u00e9ndose a establecer, implementar, mantener y mejorar continuamente el Sistema de Gesti\u00f3n de Seguridad de la Informaci\u00f3n (SGSI).\u201d<\/p>

As\u00ed mismo, VECOL S.A. como sociedad an\u00f3nima de econom\u00eda mixta cuyo objeto es promover y estimular el incremento de la producci\u00f3n agropecuaria y sus insumos, as\u00ed como el mejoramiento de la salud humana y animal, mediante la producci\u00f3n, venta, comercializaci\u00f3n, importaci\u00f3n, exportaci\u00f3n e investigaci\u00f3n cient\u00edfica de productos biotecnol\u00f3gicos, qu\u00edmicos, farmac\u00e9uticos, agr\u00edcolas e industriales, en aras de propender por la seguridad de la informaci\u00f3n, tiene como finalidad permitir que los activos de informaci\u00f3n de propiedad de VECOL S.A. reciban los niveles de protecci\u00f3n adecuados de acuerdo a su Confidencialidad, Integridad y Disponibilidad.<\/p>

La Presidencia de VECOL S.A., entendiendo la importancia de una adecuada gesti\u00f3n de la informaci\u00f3n, se ha comprometido con la implementaci\u00f3n de un SGSI, buscando establecer un marco de confianza en el ejercicio de sus deberes con el Estado y los ciudadanos; alineado con el ordenamiento jur\u00eddico y normativo en concordancia con la misi\u00f3n, visi\u00f3n, objetivos estrat\u00e9gicos y valores corporativos de la Compa\u00f1\u00eda.<\/p>

Para VECOL S.A., la protecci\u00f3n de la informaci\u00f3n busca la disminuci\u00f3n del impacto generado sobre los activos de informaci\u00f3n por los riesgos identificados de manera sistem\u00e1tica; con el prop\u00f3sito de mantener un nivel aceptable de exposici\u00f3n que permita responder por la Confidencialidad, Integridad y Disponibilidad de la informaci\u00f3n, acorde con las necesidades de los diferentes grupos de inter\u00e9s identificados. A continuaci\u00f3n, se relacionan las pol\u00edticas espec\u00edficas que soportan la pol\u00edtica general de Seguridad de la Informaci\u00f3n.<\/p>

4.2. POL\u00cdTICAS ESPEC\u00cdFICAS DE SEGURIDAD DE LA INFORMACI\u00d3N<\/p>

4.2.1. POL\u00cdTICA PARA DISPOSITIVOS M\u00d3VILES<\/p>

El uso de dispositivos m\u00f3viles, tales como computadores port\u00e1tiles (notebooks y laptops), tabletas electr\u00f3nicas, tel\u00e9fonos inteligentes – smartphones, unidades de almacenamiento externo y tel\u00e9fonos m\u00f3viles, que contengan informaci\u00f3n de VECOL S.A. y que a su vez se utilicen para el manejo de esta informaci\u00f3n, deben ser integrados y controlados por una plataforma de administraci\u00f3n del Departamento de T.I. de VECOL S.A. para mitigar el impacto a que se expone la informaci\u00f3n como su p\u00e9rdida, alteraci\u00f3n y divulgaci\u00f3n no autorizada. Con el fin de garantizar el cumplimiento de esta pol\u00edtica, se establecen los siguientes lineamientos:<\/p>

4.2.1.1. El Departamento de T.I. debe contar con un inventario actualizado de dispositivos m\u00f3viles utilizados para almacenar o transmitir informaci\u00f3n de VECOL S.A.

4.2.1.2. El Departamento de T.I. se reserva el derecho a bloquear de manera temporal o indefinida los servicios instalados en los dispositivos m\u00f3viles (tel\u00e9fonos, laptops, tabletas) de los contratistas o trabajadores que utilicen la red de datos y\/o servicios corporativos siempre y cuando considere que son un riesgo para los activos de informaci\u00f3n.
4.2.1.3. Los contratistas y trabajadores que utilicen la red de datos de la Compa\u00f1\u00eda aceptan los par\u00e1metros de seguridad corporativos.
4.2.1.4. En los dispositivos m\u00f3viles que exista informaci\u00f3n de VECOL S.A., se restringe su conexi\u00f3n a otras redes o servicios que no sean expl\u00edcitamente autorizados por VECOL S.A.
4.2.1.5. En caso de tener un dispositivo m\u00f3vil asignado por la Compa\u00f1\u00eda y que tenga fines de traslado, deber\u00e1 usar la plataforma de almacenamiento en nube que disponga VECOL S.A. en la cuenta asignada para tal fin.
4.2.1.6. Si desde el dispositivo m\u00f3vil se procesa informaci\u00f3n, se debe contar con un software instalado y actualizado contra c\u00f3digos maliciosos, firewall personal y para prevenir intrusos.
4.2.1.7. Estos dispositivos deben contar con un mecanismo de autenticaci\u00f3n.
4.2.1.8. La direcci\u00f3n de Comunicaciones debe generar recomendaciones del uso y cuidado de tipo f\u00edsico, cuando el dispositivo se encuentre fuera de las instalaciones de la Compa\u00f1\u00eda.
4.2.1.9. Cuando desde los dispositivos m\u00f3viles no se est\u00e9n usando servicios de conexi\u00f3n inal\u00e1mbrica se desactivan los protocolos de comunicaci\u00f3n mientras no los est\u00e9 usando.
4.2.1.10. Si desde el equipo m\u00f3vil se requiere conexi\u00f3n remota a los servicios de informaci\u00f3n de la red de VECOL S.A., se valida previamente que el dispositivo est\u00e9 libre de infecci\u00f3n y cumple con los dem\u00e1s controles de seguridad activos y actualizados.
4.2.1.11. Los dispositivos m\u00f3viles que se conecten a la red de la infraestructura tecnol\u00f3gica de VECOL S.A. deben ser previamente autorizados por el Departamento de T.I.
4.2.1.12. Se proh\u00edbe el uso de dispositivos m\u00f3viles personales que no est\u00e9n autorizados por el Departamento de T.I. para el manejo, transporte y transmisi\u00f3n de informaci\u00f3n de la Compa\u00f1\u00eda.
4.2.1.13. Se configuran los dispositivos m\u00f3viles de tal manera que cualquier aplicaci\u00f3n incluyendo los mecanismos de software de seguridad, permanezcan actualizados sin que dependan de conexi\u00f3n directa a la infraestructura tecnol\u00f3gica de VECOL S.A.
4.2.1.14. Los dispositivos m\u00f3viles cuentan con mecanismos de autenticaci\u00f3n para desbloquear el equipo y poder tener acceso a su informaci\u00f3n y servicios.
4.2.1.15. Peri\u00f3dicamente se deber\u00e1n realizar copias de respaldo a la informaci\u00f3n de VECOL S.A. y almacenarla en la nube que la Compa\u00f1\u00eda disponga; es responsabilidad de cada usuario la realizaci\u00f3n de las copias de respaldo, m\u00ednimo una vez por semana.
4.2.1.16. Ante la p\u00e9rdida o robo de cualquier equipo de c\u00f3mputo o dispositivo m\u00f3vil, la prioridad del Departamento de TI ser\u00e1 la neutralizaci\u00f3n de los accesos. Se inhabilitar\u00e1 de inmediato la cuenta del usuario y se bloquear\u00e1 la comunicaci\u00f3n del dispositivo con la nube de la Compa\u00f1\u00eda, mitigando el riesgo de exposici\u00f3n de los datos locales y asegurando la integridad de la infraestructura tecnol\u00f3gica.
4.2.1.17. Al realizar la disposici\u00f3n final o reasignaci\u00f3n del dispositivo m\u00f3vil a otra \u00e1rea con un prop\u00f3sito diferente para el cual estaba designado, se realiza un borrado seguro de toda la informaci\u00f3n all\u00ed almacenada.
4.2.1.18. El acceso al computador port\u00e1til estar\u00e1 protegido por una contrase\u00f1a del dominio de Vecol S.A.
4.2.1.19. Si el usuario no est\u00e1 presente en el dispositivo, \u00e9ste deber\u00e1 estar bloqueado o apagado.

4.2.1.20. El computador port\u00e1til tiene un mecanismo de anclaje con clave y\/o llave que permita asegurarlo a otro elemento fijo de tal manera que no pueda ser hurtado del lugar conectado.
4.2.1.21. Los dispositivos deber\u00e1n tener solo software legal y autorizado por el Departamento de T.I.
4.2.1.22. Est\u00e1 prohibido tener dispositivos m\u00f3viles que utilicen la red de datos y\/o servicios de Vecol con software de an\u00e1lisis y penetraci\u00f3n de redes. Los equipos que usen este tipo de software sin autorizaci\u00f3n de la Compa\u00f1\u00eda, ser\u00e1n bloqueados por el Departamento de T.I. y los usuarios podr\u00edan llegar a tener sanciones contractuales.
4.2.1.23. En cualquier momento el Departamento de T.I. podr\u00e1 hacer revisi\u00f3n del cumplimiento de la pol\u00edtica directamente en los dispositivos m\u00f3viles, sin previo aviso.
4.2.1.24. Todo equipo m\u00f3vil que se compre y\/o se renueve, deber\u00e1 contar con el aval t\u00e9cnico obligatorio del Departamento de T.I.
4.2.1.25. Evitar el uso de dispositivos m\u00f3viles cuyo software (Sistema Operativo) ha sido modificado (jailbreak, rooted, WGA y WAT).
El Departamento de T.I., previa solicitud presentada por un colaborador en la que justifique la necesidad, podr\u00e1 autorizar el uso de dispositivos m\u00f3viles por un per\u00edodo m\u00e1ximo de tres (3) meses. En esos casos, deber\u00e1 hacer entrega del presente Manual y contar con la confirmaci\u00f3n de lectura y aceptaci\u00f3n por parte del colaborador.<\/p>

4.2.2. POL\u00cdTICA DE SEGURIDAD DEL TRABAJO EN CASA.<\/p>

La Compa\u00f1\u00eda protege la informaci\u00f3n clasificada seg\u00fan lo establecido en sus pol\u00edticas de \u201cInventario, Clasificaci\u00f3n y Valoraci\u00f3n de activos de Informaci\u00f3n\u201d (Anexo 3), a la que tienen acceso los trabajadores desde lugares remotos, por raz\u00f3n y motivo de su cargo, por lo tanto, el acceso a la informaci\u00f3n fuera de la oficina puede ser permitida si se demuestra que la informaci\u00f3n requerida es necesaria para el cumplimiento de sus funciones, y que existe un control de acceso dado con autorizaci\u00f3n previa y controlado por VECOL S.A. Con el fin de garantizar el cumplimiento de esta pol\u00edtica, se establecen los siguientes lineamientos.<\/p>

4.2.2.1. El acceso remoto se puede realizar desde equipos de propiedad de VECOL S.A. y de equipos de propiedad de los trabajadores debidamente autorizados y configurados por el Departamento de T.I., que cumplan con niveles de seguridad aceptables (como m\u00ednimo: Sistema Operativo actualizado, con firewall y antivirus actualizado), antes de permitir la conexi\u00f3n remota a los servicios o recursos de la infraestructura tecnol\u00f3gica de VECOL S.A.
4.2.2.2. El Departamento de Tecnolog\u00edas de la Informaci\u00f3n (T.I.) debe contar con la administraci\u00f3n y control del dispositivo del cual se procesa la informaci\u00f3n, para evitar accesos no autorizados por personas ajenas a VECOL S.A.
4.2.2.3. Los equipos en los que se realiza trabajo en casa, deben tener protecci\u00f3n contra software malicioso, antivirus, cliente de VPN y dem\u00e1s que el Departamento de T.I. establezca como necesario.
4.2.2.4. EL usuario deber\u00e1 usar su cuenta de las herramientas colaborativas para asegurar toda informaci\u00f3n en la nube, garantizando el acceso en cualquier momento de la informaci\u00f3n. Si es indispensable tener una \u00fanica copia en el dispositivo, deber\u00e1 garantizar la copia regular a la nube por parte del usuario y as\u00ed dar la continuidad de las funciones realizadas.
4.2.2.5. Cualquier usuario que requiera conexi\u00f3n remota a los servicios o informaci\u00f3n de VECOL S.A., deber\u00e1 ser previamente autorizado por el Departamento de T.I. y avalado por la Gerente de Talento Humano.
4.2.2.6. La conexi\u00f3n remota a servicios o informaci\u00f3n de VECOL S.A. se realiza a trav\u00e9s de canales de comunicaci\u00f3n seguros como redes privadas virtuales (VPN).

4.2.2.7. La administraci\u00f3n remota de la infraestructura tecnol\u00f3gica de VECOL S.A. desde equipos conectados a Internet no est\u00e1 permitida, salvo que se cuente con la autorizaci\u00f3n debidamente sustentada mediante documento escrito y con un mecanismo de control de acceso seguro autorizado por el Director de T.I. o el Jefe de Desarrollo y Nuevas Tecnolog\u00edas de VECOL S.A.
4.2.2.8. En el esquema de trabajo en casa no se permite almacenar informaci\u00f3n clasificada ni de uso del cargo en servicios en la nube p\u00fablicos o h\u00edbridos de cuentas personales, deben usarse los mecanismos y servicios que VECOL S.A ponga a disposici\u00f3n del usuario previamente administrados por el Departamento de T.I.
4.2.2.9. El propietario del activo, con el apoyo del Departamento de Tecnolog\u00edas de la Informaci\u00f3n (TI), identificar\u00e1 los riesgos potenciales que puede generar el retiro del equipo o medios de las instalaciones; as\u00ed mismo, adoptar\u00e1 los controles necesarios para la mitigaci\u00f3n de dichos riesgos.
4.2.2.10. En caso de p\u00e9rdida, suplantaci\u00f3n o robo de un equipo port\u00e1til se debe reportar inmediatamente al Departamento de T.I. para realizar la gesti\u00f3n necesaria y se deber\u00e1 poner la denuncia ante la autoridad competente, si aplica.<\/p>

4.2.3. POL\u00cdTICA DE CONTROL DE ACCESO L\u00d3GICO Y F\u00cdSICO<\/p>

El acceso l\u00f3gico y f\u00edsico a los activos de informaci\u00f3n de VECOL S.A. est\u00e1 restringido de acuerdo a los niveles de clasificaci\u00f3n definidos para proteger la informaci\u00f3n de accesos no autorizados; para esto, la Compa\u00f1\u00eda tiene en cuenta los requisitos de seguridad de los sistemas de informaci\u00f3n, y la autorizaci\u00f3n del acceso a la misma, con base en los perfiles y roles definidos. Adem\u00e1s, el Departamento de T.I. debe tener implementados controles para las diferentes actividades cuando se requiere: dar acceso a los activos de informaci\u00f3n, implementar derechos de acceso, cambiar roles o funciones o deshabilitar accesos; as\u00ed mismo, se debe contar con mecanismos que permiten mantener actualizados los permisos garantizando los m\u00ednimos privilegios para el desarrollo de las funciones para todos los usuarios. Con el fin de garantizar el cumplimiento de \u00e9sta pol\u00edtica se establecen los siguientes lineamientos:<\/p>

4.2.3.1. Dependiendo del nivel de clasificaci\u00f3n y criticidad de los activos de informaci\u00f3n a los cuales se va a brindar acceso, se establecen mecanismos de autenticaci\u00f3n de uno, dos o tres factores.
4.2.3.2. Cuando se solicite tener acceso a alg\u00fan recurso o servicio inform\u00e1tico de VECOL S.A., el Departamento de T.I. realizar\u00e1 el correspondiente an\u00e1lisis con el fin de determinar los privilegios a otorgar y definir los mecanismos necesarios para su protecci\u00f3n seg\u00fan matrices de acceso y privilegios.
4.2.3.3. En ning\u00fan caso se otorgar\u00e1 acceso a terceros a la informaci\u00f3n, a las instalaciones, o a centros de procesamiento de informaci\u00f3n cr\u00edtica, si previamente no han sido autorizados por el Director de T.I. o el Jefe de Desarrollo y Nuevas Tecnolog\u00edas junto con los due\u00f1os del activo.
4.2.3.4. La creaci\u00f3n, modificaci\u00f3n y baja de usuarios en la infraestructura de procesamiento de informaci\u00f3n, comunicaciones y seguridad deber\u00e1 ser solicitada por la mesa de ayuda del Departamento de Tecnolog\u00edas de la Informaci\u00f3n (TI) y autorizada por la Gerente de Talento Humano para poder ser ejecutada seg\u00fan los par\u00e1metros de la solicitud.
4.2.3.5. Las asignaciones de privilegios en las aplicaciones para los diferentes usuarios estar\u00e1n determinadas por la matriz de “Roles y responsabilidades del cargo” que administra la Gerente de Talento Humano.
4.2.3.6. Los cambios a las cuentas privilegiadas estar\u00e1n determinados por la matriz de “Roles y responsabilidades del cargo” que administra la Gerencia de Talento Humano.
Gesti\u00f3n de Roles y Perfiles por Funciones: El acceso a los sistemas de informaci\u00f3n se basar\u00e1 estrictamente en la correspondencia entre el cargo, las funciones asignadas y el perfil de usuario definido en la matriz de roles y responsabilidades.

Uso de Privilegios especiales: El uso de perfiles con privilegios amplios o irrestrictos, tales como el rol de Super Usuario o equivalente, queda terminantemente prohibido para operaciones rutinarias o de usuario final. Su uso se limitar\u00e1 exclusivamente a actividades t\u00e9cnicas de emergencia o mantenimiento debidamente justificadas por la Mesa de Ayuda T\u00e9cnica y autorizadas por la Direcci\u00f3n de T.I. (Director T.I. y Jefe de Desarrollo y Nuevas Tecnolog\u00edas) y bajo un esquema de monitoreo y\/o registro (log) de actividad detallado.<\/p>

Revisi\u00f3n de Privilegios: El \u00e1rea de auditor\u00eda debe realizar auditor\u00edas anuales para verificar que no existan conflictos de segregaci\u00f3n de funciones y que los usuarios mantengan \u00fanicamente los privilegios m\u00ednimos necesarios para el cumplimiento de sus labores actuales. Cada vez que un usuario solicite un nuevo privilegio, el certificado se genera nuevamente el cual debe ser aprobado por su jefe inmediato, con el fin de mantener actualizadas las funciones asignadas a su cargo. Los jefes inmediatos deben revisar que los privilegios correspondientes en cada cargo son los que se usan y debe as\u00ed mismo solicitar remover, por medio de creaci\u00f3n de tiquete ante la mesa de ayuda, secci\u00f3n soporte t\u00e9cnico, los que no se usan.<\/p>

4.2.3.7. Se cuenta con la separaci\u00f3n de las funciones de solicitud, autorizaci\u00f3n y administraci\u00f3n del acceso que deben ser desarrolladas por personas diferentes.
4.2.3.8. Cada Direcci\u00f3n que interviene en el proceso debe contar con los requisitos para la autorizaci\u00f3n formal de las solicitudes, as\u00ed como para la revisi\u00f3n peri\u00f3dica de los controles y el retiro de los derechos de acceso a los usuarios.
4.2.3.9. Se establece la regla basada en la premisa “En general, todo est\u00e1 prohibido, a menos que est\u00e9 expresamente permitido”.
4.2.3.10. Para el uso de las redes sociales (Facebook, Instagram, WhatsApp web, TikTok, entre otros),debe quedar una evidencia por la Mesa de Ayuda T\u00e9cnica, con justificaci\u00f3n clara, lectura y comprensi\u00f3n suscrita del presente manual; este documento debe quedar suscrito por el usuario y por el jefe de \u00e1rea, con explicaci\u00f3n clara de la necesidad; la habilitaci\u00f3n de uso y\/o excepci\u00f3n sin caducidad.
4.2.3.11. Para la autorizaci\u00f3n de uso del ERP en computadores personales, debe quedar una evidencia por la Mesa de Ayuda T\u00e9cnica, con justificaci\u00f3n clara, lectura y comprensi\u00f3n suscrita del presente manual; este documento debe quedar suscrito por el usuario y por el jefe de \u00e1rea, con explicaci\u00f3n clara de la necesidad; la habilitaci\u00f3n de uso y\/o excepci\u00f3n sin caducidad.
4.2.3.12. Se usa una \u00fanica identificaci\u00f3n de usuario (ID) para permitir que los usuarios queden vinculados y sean responsables de sus acciones.
4.2.3.13. Se verifica que el usuario tenga autorizaci\u00f3n del propietario del sistema para el uso del sistema o servicio de informaci\u00f3n.
4.2.3.14. Se verifica que el nivel de acceso otorgado sea adecuado para los prop\u00f3sitos y limitado exclusivamente a la informaci\u00f3n que est\u00e1 autorizado a acceder, y no poner en riesgo la segregaci\u00f3n de funciones.
4.2.3.15. Dar a los usuarios una declaraci\u00f3n escrita de sus derechos de acceso la cual debe firmar, que indique que ellos conocen, entienden y aceptan cumplir las condiciones del acceso.
4.2.3.16. Se retira o bloquea inmediatamente los derechos de acceso a los usuarios que han dejado de ser parte de VECOL S.A. o modificarlos para aquellos que han cambiado de funci\u00f3n.
4.2.3.17. Se incluyen cl\u00e1usulas en los contratos del personal y de los servicios, que especifiquen las sanciones del personal o los proveedores del servicio, que intenten ingresar a accesos no autorizados.
4.2.3.18. Los privilegios de administraci\u00f3n de cualquier equipo de c\u00f3mputo (servidor, estaci\u00f3n de trabajo, desktop, port\u00e1til, o equipo activo de red), son asignados exclusivamente a los administradores del sistema designados por el Departamento de Tecnolog\u00edas de la Informaci\u00f3n (TI) de VECOL S.A.

4.2.3.19. Los privilegios de administraci\u00f3n se asignan a un identificador de usuario (ID) diferente a los utilizados para el uso normal del sistema.
4.2.3.20. Cuando se exige a los usuarios mantener sus propias contrase\u00f1as, inicialmente se les suministra de manera segura una contrase\u00f1a temporal, la cual se forzar\u00e1 a cambiar inmediatamente realice el siguiente ingreso al sistema.
4.2.3.21. Las contrase\u00f1as nunca se deben almacenar en sistemas de computador o en otro medio en un formato no protegido.
4.2.3.22. Las contrase\u00f1as predeterminadas por el vendedor se cambiar\u00e1n inmediatamente despu\u00e9s de la instalaci\u00f3n de los sistemas o del software.
4.2.3.23. Se revisan las autorizaciones para derechos de acceso privilegiado, a intervalos frecuentes, para garantizar que no se tengan privilegios no autorizados o que no correspondan a las funciones del usuario.
4.2.3.24. Talento Humano informa a las direcciones y jefaturas que administren accesos f\u00edsicos y l\u00f3gicos, de la ausencia de los trabajadores debido a vacaciones, licencias o incapacidad, para que se les modifique su usuario de manera temporal, mientras no est\u00e9n ejerciendo sus funciones, a partir de la cantidad de d\u00edas que determine VECOL S.A.
4.2.3.25. Toda contrase\u00f1a es personal e intransferible, y cada usuario es responsable de las acciones que se ejecuten con el usuario que se le ha asignado.
4.2.3.26. En caso de que exista sospecha o certeza de que alguna contrase\u00f1a se ha comprometido, \u00e9sta debe ser cambiada de manera inmediata.
4.2.3.27. De acuerdo con los par\u00e1metros que est\u00e1n fijados en la documentaci\u00f3n de cada sistema de informaci\u00f3n, todos los usuarios deben cumplir los lineamientos para la construcci\u00f3n de sus contrase\u00f1as. Deben estar compuestas de acuerdo a los lineamientos establecidos en el Anexo 2. \u201cGesti\u00f3n de Acceso\u201d.
4.2.3.28. La protecci\u00f3n f\u00edsica se lleva a cabo mediante la creaci\u00f3n de diversas barreras o medidas de control f\u00edsicas, alrededor de las instalaciones de VECOL S.A. y de las instalaciones de procesamiento de informaci\u00f3n.
4.2.3.29. Para la selecci\u00f3n de controles de las \u00e1reas protegidas se tendr\u00e1 en cuenta la posibilidad de da\u00f1o producido por incendio, inundaci\u00f3n, explosi\u00f3n, agitaci\u00f3n civil y otras formas de desastres naturales o provocados por el hombre.
4.2.3.30. El cableado de energ\u00eda el\u00e9ctrica y comunicaciones que transportan voz y datos que brinda apoyo a los servicios de informaci\u00f3n, deben protegerse contra intercepci\u00f3n o da\u00f1os.
4.2.3.31. Se garantiza la seguridad f\u00edsica del Centro de C\u00f3mputo incluyendo, entre otros, el sistema el\u00e9ctrico, el control de acceso, el sistema de protecci\u00f3n contra incendios y el control de temperatura.
4.2.3.32. Todas las puertas que utilicen sistema de control de acceso, deben permanecer cerradas, y es responsabilidad de todos los empleados y terceros autorizados evitar que las puertas se dejen abiertas.
4.2.3.33. Se exige a todo el personal, sin excepci\u00f3n, el porte en un lugar visible del mecanismo de identificaci\u00f3n adoptado en cada una de las \u00e1reas de VECOL S.A., mientras permanezcan dentro de sus instalaciones.
4.2.3.34. Los visitantes permanecen acompa\u00f1ados de un empleado cuando se encuentren dentro de alguna de las \u00e1reas seguras de VECOL S.A.
4.2.3.35. Es responsabilidad de todos los usuarios internos y externos acatar las normas de seguridad y mecanismos de control de acceso a las instalaciones de las \u00e1reas de VECOL S.A.
4.2.3.36. Todas las \u00e1reas que se hayan definido como protegidas y activos de informaci\u00f3n que la componen, est\u00e1n protegidas de acceso no autorizado mediante controles y tecnolog\u00edas de autenticaci\u00f3n fuerte.
4.2.3.37. Se mantiene un sistema de informaci\u00f3n de los derechos de acceso suministrados a una identificaci\u00f3n de usuario para acceder a sistemas de informaci\u00f3n y\/o servicios.

4.2.3.38. Todo acceso f\u00edsico a las \u00e1reas protegidas, debe estar manejado seg\u00fan los lineamientos definidos por la jefatura de la Secci\u00f3n de Seguridad Industrial y Salud Ocupacional.
4.2.3.39. En las \u00e1reas seguras donde se encuentren activos inform\u00e1ticos, se debe cumplir como m\u00ednimo con los siguientes lineamientos:
1. No se deben consumir alimentos ni bebidas.
2. No se deben ingresar elementos inflamables.
3. No se deben almacenar elementos ajenos a la funcionalidad de la respectiva zona segura.
4. No se permiten tomar fotos o grabaciones de las \u00e1reas seguras sin la previa autorizaci\u00f3n del \u00e1rea responsable de cada una de ellas.
5. No se permite el ingreso de equipos electr\u00f3nicos (computadores port\u00e1tiles, c\u00e1maras, celulares, USB, etc.), as\u00ed como maletas o contenedores, a menos que haya una justificaci\u00f3n para esto.
6. Controles de Videovigilancia (CCTV) y Acceso a Centros de Monitoreo
a. Lineamiento de Videovigilancia y Protecci\u00f3n de Datos (ley 1581 de 2012): La Compa\u00f1\u00eda cuenta y mantendr\u00e1 sistemas de videovigilancia (CCTV) en zonas estrat\u00e9gicas con el \u00fanico fin de propender por la seguridad f\u00edsica de los activos, instalaciones y personal. En cumplimiento estricto de la Ley Estatutaria 1581 de 2012 de Protecci\u00f3n de Datos Personales, todo espacio o acceso que se encuentre bajo cobertura de c\u00e1maras de seguridad deber\u00e1 contar de manera obligatoria y visible con avisos de privacidad informativos que alerten a los usuarios internos y externos que \u201cUsted est\u00e1 siendo filmado y monitoreado\u201d, especificando la finalidad del tratamiento, los canales externos e internos (como el correo institucional de protecci\u00f3n de datos o sitio web) para el ejercicio de sus derechos.
b. Restricci\u00f3n de Acceso a \u00c1reas de Monitoreo y Zonas Cr\u00edticas (Bioseguridad y Control): Las \u00e1reas destinadas al monitoreo de seguridad, centrales de CCTV, as\u00ed como los cuartos de control de procesos cr\u00edticos o \u00e1reas de bioseguridad, se consideran estrictamente como \u00c1reas Seguras y Protegidas. El personal adscrito a estas dependencias deber\u00e1 abstenerse de recibir o permitir el ingreso de visitantes (usuarios externos o personal interno no autorizado).
\u25cf Excepciones y Autorizaci\u00f3n de Visitas: El ingreso de terceros o personal ajeno a las \u00e1reas cr\u00edticas de monitoreo y bioseguridad se permitir\u00e1 \u00fanica y exclusivamente bajo las siguientes condiciones concurrentes:
I. Contar con una autorizaci\u00f3n expresa, escrita y previamente justificada emitida por el Director de T.I., el jefe del \u00e1rea o la Alta Direcci\u00f3n.
II. El visitante deber\u00e1 estar permanentemente acompa\u00f1ado por un funcionario responsable asignado por la compa\u00f1\u00eda.
III. Se adoptar\u00e1n las medidas t\u00e9cnicas y administrativas necesarias para asegurar que el visitante no tenga viabilidad ni acceso a pantallas, tableros de control, bit\u00e1coras o informaci\u00f3n estrat\u00e9gica y confidencial de propiedad exclusiva de VECOL S.A., salvaguardando en todo momento la reserva y el buen nombre de la Compa\u00f1\u00eda.
7. Protocolo de Acceso y Entrega de Grabaciones de Videovigilancia (CCTV)
Las im\u00e1genes y videos capturados por el sistema de CCTV son de car\u00e1cter confidencial y constituyen datos personales biom\u00e9tricos. Por regla general, queda prohibido visualizar, reproducir, descargar o entregar copias de las grabaciones a personal interno o externo, salvo en las siguientes situaciones excepcionales debidamente reguladas:
\u25cf Requerimientos de Entidades Judiciales y de Control: Se proceder\u00e1 a la revisi\u00f3n y\/o entrega de material audiovisual cuando medie una orden o solicitud formal, expresa y escrita por parte de autoridades judiciales, de polic\u00eda (Fiscal\u00eda General de la Naci\u00f3n, jueces de la Rep\u00fablica, Polic\u00eda Judicial) o entes de control del Estado. En estos casos, la entrega de la informaci\u00f3n se coordinar\u00e1 con la Gerencia

Jur\u00eddica para garantizar el cumplimiento de la cadena de custodia y los principios de legalidad.
\u25cf Procesos Disciplinarios y de Gesti\u00f3n Humana: La Gerencia de Talento Humano podr\u00e1 solicitar formalmente la visualizaci\u00f3n de grabaciones espec\u00edficas cuando estas sean estrictamente necesarias como material probatorio dentro de una investigaci\u00f3n de car\u00e1cter laboral, disciplinario, o para la verificaci\u00f3n de incidentes que afecten la seguridad y salud en el trabajo (SST). Esta solicitud debe estar justificada por escrito y aprobada previamente por el Director de T.I. o el L\u00edder de Seguridad de la Informaci\u00f3n.
\u25cf Incidentes de Seguridad e Investigaci\u00f3n Interna: El L\u00edder de Seguridad de la Informaci\u00f3n y el Director de T.I. (o quienes estos deleguen formalmente) estar\u00e1n autorizados para acceder a los videos con el fin exclusivo de investigar incidentes de seguridad f\u00edsica, hurtos, fraudes, da\u00f1os a los bienes de la Compa\u00f1\u00eda o violaciones directas a este manual.
\u25cf Ejercicio de los Derechos de los Titulares (Derecho de Acceso): En concordancia con la Ley 1581 de 2012, cualquier ciudadano (empleado o tercero) que aparezca en las grabaciones podr\u00e1 solicitar ver sus propios datos biom\u00e9tricos. Para que la solicitud proceda, el titular deber\u00e1 indicar con precisi\u00f3n la fecha, hora aproximada y lugar del registro. VECOL S.A. garantizar\u00e1 este derecho aplicando t\u00e9cnicas de pixelaci\u00f3n o enmascaramiento si en las im\u00e1genes aparecen rostros de terceros que no han autorizado su visualizaci\u00f3n, protegiendo as\u00ed el derecho a la privacidad de los dem\u00e1s.
\u25cf Canal Oficial para Solicitudes de Visualizaci\u00f3n o Copia: Toda solicitud de acceso, revisi\u00f3n, extracci\u00f3n o copia de grabaciones de CCTV amparada bajo las excepciones anteriores, deber\u00e1 ser radicada obligatoriamente a trav\u00e9s de la Mesa de Ayuda T\u00e9cnica (MAT), en la secci\u00f3n de Soporte T\u00e9cnico. No se procesar\u00e1 ninguna solicitud que se realice de forma verbal, por canales de mensajer\u00eda instant\u00e1nea o correos electr\u00f3nicos directos. El tiquete generado en la MAT servir\u00e1 como soporte legal de la petici\u00f3n y deber\u00e1 contener la justificaci\u00f3n detallada, el aval de la gerencia respectiva (Talento Humano, Jur\u00eddica o TI) y los datos precisos de fecha, hora y lugar del evento a revisar.
4.2.3.40.Se otorga al Departamento de TI la responsabilidad y la autoridad para administrar el entorno de las Herramientas Colaborativas, con el fin de proteger la informaci\u00f3n de la Compa\u00f1\u00eda y garantizar el cumplimiento de las pol\u00edticas de seguridad. Las funciones de administraci\u00f3n incluyen:
1. Reclasificaci\u00f3n de correos: La capacidad de reclasificar correos electr\u00f3nicos seg\u00fan su nivel de sensibilidad o necesidad. Esta acci\u00f3n ser\u00e1 ejecutada por el Departamento de TI, pero requerir\u00e1 la autorizaci\u00f3n previa de la Gerente de Talento Humano o la Presidencia de la compa\u00f1\u00eda, solamente en caso de reclasificaci\u00f3n por solicitud, y no en reclasificaciones por seguridad, las cuales pueden ser temporales.
2. Ocultar y Filtrar Correos: La capacidad de ocultar o filtrar correos electr\u00f3nicos que contengan informaci\u00f3n confidencial o que representen un riesgo para la seguridad de la Compa\u00f1\u00eda (por ejemplo, correos con phishing o malware).
3. Administraci\u00f3n de Herramienta Colaborativa: La gesti\u00f3n de la configuraci\u00f3n, los permisos y las funciones de las herramientas colaborativas para garantizar la seguridad, la privacidad y el cumplimiento de las pol\u00edticas de la Compa\u00f1\u00eda. Esto puede incluir la administraci\u00f3n de cuentas de usuario, la configuraci\u00f3n de pol\u00edticas de uso compartido, la implementaci\u00f3n de controles de acceso y la supervisi\u00f3n de la actividad.
4. Toda lista de distribuci\u00f3n que no sea de seguridad (uso de T.I. interno), configurada en la plataforma, deber\u00e1 ser avalada y autorizada por la Gerencia de Talento Humano, quien

asignar\u00e1 un responsable para su mantenimiento y control, su trazabilidad debe hacerse mediante las herramientas que el Departamento de TI considere o en su defecto por la MAT.
a. Estas acciones deben realizarse de acuerdo con los procedimientos establecidos por las plataformas y fabricantes en cumplimiento de la legislaci\u00f3n aplicable.
b. Al colaborador y\/o \u00e1rea que delegue Talento Humano la responsabilidad del manejo de las listas de distribuci\u00f3n, ser\u00e1(n) responsable(s) de velar por la pertinencia y actualizaci\u00f3n de los miembros incluidos en las listas.
c. La solicitud de una nueva lista de distribuci\u00f3n deber\u00e1 realizarse obligatoriamente a trav\u00e9s de la Mesa de Ayuda del departamento de TI. Esto permitir\u00e1 llevar un registro adecuado de todas las solicitudes y facilitar su seguimiento, esta debe contener m\u00ednimo la sustentaci\u00f3n de la necesidad as\u00ed como del uso que se le va a dar.
d. Una vez ingresada la solicitud, el m\u00e1ximo responsable del \u00e1rea solicitante, gerente o director senior deber\u00e1 dar la aprobaci\u00f3n para validar la necesidad y pertinencia de la creaci\u00f3n de la lista, as\u00ed mismo deber\u00e1 determinar el responsable propietario de la lista para su administraci\u00f3n.
e. Una vez obtenida la aprobaci\u00f3n anterior, la solicitud deber\u00e1 ser compartida al \u00e1rea de Talento Humano para su verificaci\u00f3n y conocimiento.
f. Finalmente, una vez completadas las etapas de aprobaci\u00f3n, el departamento de TI proceder\u00e1 a la ejecuci\u00f3n t\u00e9cnica de la configuraci\u00f3n y creaci\u00f3n de la nueva lista de distribuci\u00f3n en el sistema correspondiente.
g. Anualmente, el Departamento de TI. deber\u00e1 realizar una verificaci\u00f3n anual de todas las listas de distribuci\u00f3n existentes. Este proceso de revisi\u00f3n anual tendr\u00e1 como objetivo principal identificar listas que hayan quedado obsoletas o que requieran una depuraci\u00f3n de sus miembros, garantizando as\u00ed la eficiencia y la correcta administraci\u00f3n del sistema de correo electr\u00f3nico. Esta verificaci\u00f3n peri\u00f3dica permitir\u00e1 mantener el sistema actualizado y evitar la acumulaci\u00f3n de listas innecesarias.<\/p>

4.2.4. POL\u00cdTICA SOBRE EL USO DE CONTROLES CRIPTOGR\u00c1FICOS.<\/p>

La pol\u00edtica de Seguridad de Controles Criptogr\u00e1ficos utiliza controles encaminados a la protecci\u00f3n de la informaci\u00f3n de VECOL S.A. soportado en la realizaci\u00f3n del an\u00e1lisis de riesgos donde se identifica la informaci\u00f3n sensible para aplicar estos controles y as\u00ed garantizar una adecuada protecci\u00f3n de la Confidencialidad, Integridad y Disponibilidad de la informaci\u00f3n. Con el fin de garantizar el cumplimiento de \u00e9sta pol\u00edtica se establecen los siguientes lineamientos:<\/p>

4.2.4.1. La informaci\u00f3n digital catalogada como p\u00fablica reservada y p\u00fablica clasificada, se debe almacenar y\/o transmitir bajo t\u00e9cnicas de cifrado con el prop\u00f3sito de proteger su confidencialidad e integridad, no obstante, en caso de no poderse aplicar un mecanismo criptogr\u00e1fico, se deber\u00e1 asignar clave de apertura a los archivos digitales que contengan este tipo de informaci\u00f3n.
4.2.4.2. Se verifica que todo sistema de informaci\u00f3n o aplicativo que requiera realizar transmisi\u00f3n de informaci\u00f3n p\u00fablica reservada o p\u00fablica clasificada, cuente con mecanismos de cifrado de datos.
4.2.4.3. Se verifican, desarrollan y establecen mecanismos para el manejo y la administraci\u00f3n de llaves de cifrado y est\u00e1ndares para la aplicaci\u00f3n de controles criptogr\u00e1ficos.
4.2.4.4. Se implementan controles respecto de la administraci\u00f3n de claves, recuperaci\u00f3n de informaci\u00f3n cifrada en caso de p\u00e9rdida, compromiso o da\u00f1o de las claves y reemplazo de las claves de cifrado.
4.2.4.5. Se debe llevar a cabo un an\u00e1lisis y evaluaci\u00f3n de riesgos entre el propietario de la Informaci\u00f3n y el responsable de la Seguridad de la Informaci\u00f3n.
4.2.4.6. Se utilizan algoritmos de cifrado y tama\u00f1os de clave que se consideren seguros. Se verifica esta condici\u00f3n peri\u00f3dicamente con el objeto de efectuar las actualizaciones correspondientes.

4.2.4.7. Se tiene en cuenta los controles aplicables al cumplimiento de todos los acuerdos, legislaci\u00f3n y reglamentaci\u00f3n pertinentes a criptograf\u00eda.
4.2.4.8. Las firmas digitales proporcionan un medio de protecci\u00f3n de la autenticidad e integridad de los documentos electr\u00f3nicos, estas pueden aplicarse a cualquier tipo de documento que se procesa electr\u00f3nicamente.
4.2.4.9. Al utilizar firmas y certificados digitales, se debe considerar la legislaci\u00f3n vigente que describa las condiciones bajo las cuales una firma digital es legalmente v\u00e1lida.
4.2.4.10. Todas las claves son protegidas contra modificaci\u00f3n y destrucci\u00f3n; y las claves secretas o privadas ser\u00e1n protegidas contra copia o divulgaci\u00f3n no autorizada.
4.2.4.11. Se proporcionar\u00e1 una protecci\u00f3n adecuada a la infraestructura utilizada para generar, almacenar y archivar claves, consider\u00e1ndola cr\u00edtica o de alto riesgo.
4.2.4.12. Cuando las claves son comprometidas o cuando un empleado se desvincula de VECOL S.A. se revocan los certificados o firmas digitales.
4.2.4.13. Se registra y audita las actividades relativas a la administraci\u00f3n de claves.
4.2.4.14. A fin de reducir la probabilidad de compromiso, las claves tienen fechas de inicio y caducidad de vigencia, definidas de manera que s\u00f3lo puedan ser utilizadas por un lapso de tiempo definido, no mayor a 12 meses.<\/p>


4.2.5. POL\u00cdTICA DE CAPACITACI\u00d3N Y SENSIBILIZACI\u00d3N EN SEGURIDAD DE LA INFORMACI\u00d3N, ESCRITORIO LIMPIO, Y PANTALLA LIMPIA.<\/p>

La pol\u00edtica de Capacitaci\u00f3n y Sensibilizaci\u00f3n en Seguridad de la Informaci\u00f3n, Escritorio Limpio, y Pantalla Limpia, se centra en formar y dar a conocer a los trabajadores temas relacionados con la Seguridad de la Informaci\u00f3n, cuya finalidad es que puedan identificar y reportar de manera oportuna los incidentes de seguridad de la informaci\u00f3n y disminuir las vulnerabilidades y amenazas relacionadas con el recurso humano. Esta gesti\u00f3n est\u00e1 a cargo de la Gerencia de Talento Humano. Con el fin de garantizar el cumplimiento de \u00e9sta pol\u00edtica se establecen los siguientes lineamientos:<\/p>

4.2.5.1. Se provee al personal activo las habilidades requeridas a trav\u00e9s de entrenamientos para proteger los sistemas y cumplir con las responsabilidades de administrar de manera oportuna y correcta los dispositivos de seguridad de la informaci\u00f3n.
4.2.5.2. Se tiene una cultura que promueve la Seguridad de la Informaci\u00f3n donde todos los trabajadores apliquen los controles de Seguridad de la Informaci\u00f3n y prevengan que la informaci\u00f3n sensible de VECOL S.A. se vea comprometida.
4.2.5.3. A partir de los resultados de pruebas de ingenier\u00eda social y de an\u00e1lisis de riesgo se debe determinar los temas y las estrategias de sensibilizaci\u00f3n para reforzar el nivel de conocimiento en temas de Seguridad de la Informaci\u00f3n para todos los trabajadores.
4.2.5.4. Se tiene definido un mecanismo de inducci\u00f3n en Seguridad de la Informaci\u00f3n para todos los trabajadores que sean destinados a recibir un nuevo cargo, bien sea por nombramiento, traslado o por disposiciones internas de la Compa\u00f1\u00eda.
4.2.5.5. Se tiene definido un programa de capacitaci\u00f3n y sensibilizaci\u00f3n que de manera peri\u00f3dica refuerzan los conceptos y amenazas de seguridad de la informaci\u00f3n para que los trabajadores cuenten con informaci\u00f3n actualizada y sepan c\u00f3mo actuar ante incidentes y c\u00f3mo reportarlos.
4.2.5.6. VECOL S.A. destina los recursos suficientes para desarrollar los programas de capacitaci\u00f3n y sensibilizaci\u00f3n.
4.2.5.7. La asistencia a las sesiones de capacitaci\u00f3n y sensibilizaci\u00f3n en seguridad de la informaci\u00f3n son de car\u00e1cter obligatorio.
4.2.5.8. Los mensajes de sensibilizaci\u00f3n de las pol\u00edticas de Seguridad de la Informaci\u00f3n, se dan a conocer y entender de manera f\u00e1cil.

4.2.5.9. Se eval\u00faa a todos los empleados de manera peri\u00f3dica, los niveles de sensibilizaci\u00f3n en temas de Seguridad de la Informaci\u00f3n.
4.2.5.10. En horas no h\u00e1biles, o cuando los sitios de trabajo se encuentren desatendidos, los usuarios deben dejar los medios que contengan informaci\u00f3n cr\u00edtica protegida bajo llave.
4.2.5.11. Los usuarios deben guardar bajo llave informaci\u00f3n cr\u00edtica cada vez que se retiren de su puesto de trabajo, de tal manera que no quede expuesta y se pueda comprometer su disponibilidad o confidencialidad.
4.2.5.12. Todas las estaciones de trabajo usan \u00fanicamente el papel tapiz y el protector de pantalla establecido por VECOL S.A.
4.2.5.13. Al retirarse del puesto de trabajo, los usuarios deben bloquear el equipo de c\u00f3mputo, para evitar que otras personas puedan acceder a la informaci\u00f3n:
\u25cf Debe pulsar simult\u00e1neamente (tecla Windows + la tecla L) para bloquear el equipo o bloqueo de pantalla.
\u25cf Pulsar (Ctrl + alt + supr) y seleccionar la opci\u00f3n bloquear equipo.
4.2.5.14. Los empleados son responsables por la custodia y las acciones que se realicen sobre los activos inform\u00e1ticos que le han asignado. Por lo tanto, deben estar presentes en el sitio de trabajo cuando se realice cualquier mantenimiento o actualizaci\u00f3n de software de dichos activos. Cuando se requiera trasladar el equipo inform\u00e1tico a otro sitio, se deber\u00e1 hacer previa autorizaci\u00f3n del responsable del activo inform\u00e1tico.
4.2.5.15. Se definen compromisos y obligaciones por parte del personal que es capacitado en temas de Seguridad de la Informaci\u00f3n.
4.2.5.16. No se deben dejar en las impresoras documentos expuestos que contengan informaci\u00f3n sensible, ya que se puede comprometer su confidencialidad.
4.2.5.17. Los usuarios y claves son personales e intransferibles en ese sentido no se pueden \u201cprestar\u201d o facilitar entre compa\u00f1eros de trabajo, el hacerlo se considera como una falta grave a las obligaciones contractuales.
4.2.6. POL\u00cdTICA DE COPIAS DE RESPALDO.<\/p>

VECOL S.A. realizar\u00e1 copias de respaldo de la informaci\u00f3n dando prioridad a la clasificada con mayores niveles de importancia y criticidad basados en lo definido en el Anexo 3. \u201cInventario, Clasificaci\u00f3n y Valoraci\u00f3n de activos de Informaci\u00f3n\u201d. Con el fin de garantizar el cumplimiento de \u00e9sta pol\u00edtica se establecen los siguientes lineamientos:<\/p>

4.2.6.1. Todo usuario y\/o empleado de VECOL S.A. ser\u00e1 responsable de tener copia de respaldo de su informaci\u00f3n, en la herramienta de almacenamiento que se disponga para el alojamiento de la informaci\u00f3n; dicha copia de respaldo deber\u00e1 realizarse por lo menos 1 vez cada 15 d\u00edas.
4.2.6.2. Los usuarios que no tengan conexi\u00f3n y\/o entrada a la herramienta nombrada en el \u00edtem anterior, deber\u00e1n entregar en la misma periodicidad y en medio digital (USB, CD, DD, DVD, etc.) al Departamento de T.I., el backup correspondiente y el Departamento de T.I. realizar\u00e1 el respectivo almacenamiento de la informaci\u00f3n en la herramienta dispuesta para ello.
4.2.6.3. Cuando se trate de informaci\u00f3n de respaldo identificada como p\u00fablica reservada y p\u00fablica clasificada, debe estar cifrada.
4.2.6.4. Los medios de copias se almacenar\u00e1n en custodia externa, nube, o cualquier otro que el Departamento de T.I. considere, asegurando disponibilidad y que tenga implementado mecanismos de protecci\u00f3n ambiental como detecci\u00f3n de humo, fuego, humedad, as\u00ed como mecanismos de control de acceso f\u00edsico.
4.2.6.5. Se realizan pruebas de restauraci\u00f3n de la informaci\u00f3n contenida en las copias de respaldo, de acuerdo a un plan de restauraci\u00f3n para asegurar que se puede depender de ellas en caso de emergencia si es necesario.

4.2.6.6. Se definen los tiempos de retenci\u00f3n de las copias de respaldo, permitiendo minimizar el impacto de la operaci\u00f3n de VECOL S.A., en caso de presentarse una falla o desastre y poder contar con la informaci\u00f3n necesaria en el momento oportuno para responder con los tiempos de restauraci\u00f3n de los servicios.
4.2.6.7. Se define la frecuencia y tipo de copias de respaldo a realizar.
4.2.6.8. El Departamento de T.I. garantizar\u00e1 las copias de respaldo de los Servidores asignados al Departamento de T.I.
4.2.6.9. La informaci\u00f3n perteneciente a los colaboradores que por una u otra raz\u00f3n terminan su contrato, es de la Compa\u00f1\u00eda, por lo tanto no se suministrar\u00e1 backup, sin excepci\u00f3n.
4.2.6.10. Cada administrador de servicios que se encuentre en el inventario de software, garantizar\u00e1 el respaldo de la informaci\u00f3n para la continuidad del negocio; teniendo copias de seguridad en los alojamientos administrados por el Departamento de T.I.
4.2.6.11. El Departamento de T.I. garantizar\u00e1 la actualizaci\u00f3n del Anexo 3. \u201cInventario, Clasificaci\u00f3n y Valoraci\u00f3n de activos de Informaci\u00f3n\u201d., y en conjunto con el administrador de servicios, se realizar\u00e1 un plan de copia de respaldo de estos servicios anualmente, gestionando con el Departamento de T.I. las copias de respaldo de la informaci\u00f3n en las herramientas proporcionadas por la Compa\u00f1\u00eda.
4.2.6.12. Los administradores de servicios, deber\u00e1n entregar al Departamento de T.I. un super usuario de administraci\u00f3n de los servicios o plataforma de Herramienta Colaborativa.<\/p>

4.2.7. POL\u00cdTICA DE TRANSFERENCIA DE LA INFORMACI\u00d3N.<\/p>

VECOL S.A. Implementa mecanismos y los debidos controles que permitan establecer una comunicaci\u00f3n segura en la transferencia de la informaci\u00f3n evitando la interceptaci\u00f3n que pueda copiar, modificar, o eliminar la informaci\u00f3n por parte de terceros. Con el fin de garantizar el cumplimiento de \u00e9sta pol\u00edtica se establecen los siguientes lineamientos:<\/p>

4.2.7.1. Todo trabajador de la Compa\u00f1\u00eda con autoridad, que desee conceder permisos de transferencia de informaci\u00f3n, debe solicitar la autorizaci\u00f3n al Departamento de Tecnolog\u00edas de la Informaci\u00f3n a trav\u00e9s de un correo electr\u00f3nico dirigido al Director de T.I. con copia al Jefe de Desarrollo y Nuevas Tecnolog\u00edas. La persona que realiza la solicitud es responsable de la Confidencialidad e Integridad de la misma.
4.2.7.2. Toda informaci\u00f3n requerida por un \u00e1rea o un tercero, debe ser solicitada directamente al responsable de la misma, siguiendo los conductos regulares, previa autorizaci\u00f3n de la Gerencia Jur\u00eddica.
4.2.7.3. Se usan t\u00e9cnicas de cifrado de la informaci\u00f3n sensible para garantizar la Confidencialidad, Integridad y Disponibilidad de la informaci\u00f3n durante la transferencia de la informaci\u00f3n.
4.2.7.4. \u00danicamente se entrega informaci\u00f3n a receptores autorizados por la Gerencia Jur\u00eddica, quienes garanticen por escrito la reserva legal y protecci\u00f3n de la informaci\u00f3n que se les vaya a suministrar.
4.2.7.5. Se deber\u00e1n suscribir Acuerdos de Confidencialidad con los terceros que van a acceder a la informaci\u00f3n. Para el efecto, el interesado deber\u00e1 realizar la correspondiente solicitud formal a la Gerencia Jur\u00eddica para la elaboraci\u00f3n o revisi\u00f3n, seg\u00fan sea el caso, del respectivo Acuerdo de Confidencialidad.
4.2.7.6. Cuando proceda, la oficina responsable de dar respuesta legal a un requerimiento de informaci\u00f3n clasificada, deber\u00e1 verificar previamente entre otros temas y sin limitarse a:
1. La solicitud se ajuste a la normatividad aplicable vigente.
2. La respuesta identifique el nivel de clasificaci\u00f3n correspondiente a la naturaleza del documento o la informaci\u00f3n que se ponga en conocimiento de la autoridad competente.
3. La respuesta refleja adecuadamente la valoraci\u00f3n de la informaci\u00f3n, el uso de t\u00e9rminos condicionales y dubitativos, que garantice entre otros la reserva, el debido proceso, el buen nombre y el derecho a la intimidad.

4. La respuesta cumple con los protocolos de seguridad, acceso y reserva.
5. La respuesta con la informaci\u00f3n suministrada no pone en peligro o riesgo la Seguridad de VECOL S.A.
6. La respuesta no da a conocer capacidades, procedimientos, m\u00e9todos, medios, elementos t\u00e9cnicos, operaciones o actividades que comprometan la seguridad de VECOL S.A.
7. La respuesta queda debidamente registrada para tener la trazabilidad de la misma. En el documento de respuesta se debe trasladar a las autoridades competentes o receptores autorizados la reserva legal de la informaci\u00f3n y especificar las prohibiciones o restricciones de su distribuci\u00f3n, alertando sobre las acciones penales y disciplinarias que acarrea la no observancia de lo consagrado en la ley.
8. Se da cumplimiento a lo establecido en el Anexo 3. \u201cInventario, Clasificaci\u00f3n y Valoraci\u00f3n de activos de informaci\u00f3n\u201d,<\/p>

4.2.8. POL\u00cdTICA DE DESARROLLO SEGURO.<\/p>

VECOL S.A. crea y mantiene mecanismos que incluyan los requerimientos de seguridad en todo el ciclo de vida de desarrollo y mantenimiento seguro de las aplicaciones, los responsables revisan y determinan la acci\u00f3n a seguir para el tratamiento de las vulnerabilidades, para evitar que tengan brechas de seguridad, esto aplica para los desarrollos realizados al interior de VECOL S.A. Con el fin de garantizar el cumplimiento de \u00e9sta pol\u00edtica se establecen los siguientes lineamientos:<\/p>

4.2.8.1. Se identifican y establecen los requisitos de seguridad en todas las fases del ciclo de vida de desarrollo de software, y se justifica, acuerda y documenta.
4.2.8.2. Se incluyen puntos de chequeo de seguridad dentro de las fases del ciclo de vida de desarrollo de software.
4.2.8.3. El cambio de versi\u00f3n de las aplicaciones implementadas en el ambiente de producci\u00f3n deben contar con controles de seguridad, para esto se hace una copia de respaldo en caso que se deba realizar marcha atr\u00e1s, para mantener la integridad de los datos y de los sistemas de informaci\u00f3n.
4.2.8.4. Se realizan pruebas de seguridad en un ambiente controlado con el fin de identificar vulnerabilidades, las cuales son resueltas antes del paso a producci\u00f3n.
4.2.8.5. El Departamento de Tecnolog\u00edas de la Informaci\u00f3n (TI) deber\u00e1 contar con los ambientes de Desarrollo, Pruebas y Producci\u00f3n, los cuales deber\u00e1n estar separados.
4.2.8.6. El ambiente de prueba es simular el ambiente de producci\u00f3n.
4.2.8.7. Cuando se contraten desarrollos por terceros, VECOL S.A. valida el cumplimiento de requerimientos de seguridad.<\/p>

4.2.9. POL\u00cdTICA DE SEGURIDAD DE LA INFORMACI\u00d3N PARA LAS RELACIONES CON LOS PROVEEDORES.<\/p>

VECOL S.A. identifica requisitos de seguridad para proteger la informaci\u00f3n, e incluirlos dentro de los acuerdos con proveedores, por medio de un an\u00e1lisis que permita identificar riesgos asociados para implementar planes de acci\u00f3n dependiendo de las actividades a realizar. Con el fin de garantizar el cumplimiento de \u00e9sta pol\u00edtica se establecen los siguientes lineamientos:<\/p>

4.2.9.1. Se tiene en cuenta la documentaci\u00f3n relacionada con los servicios, infraestructura de TI, sistemas de informaci\u00f3n y activos a los cuales tendr\u00e1n acceso los proveedores, esto es controlado teniendo en cuenta los permisos de acuerdo al trabajo a realizar y los acuerdos firmados, los cuales tienen requisitos m\u00ednimos de seguridad, que se cumplen haciendo seguimiento por medio de mecanismos establecidos.

4.2.9.2. VECOL S.A. incluye dentro de los acuerdos a firmar con el proveedor, todos los controles de seguridad aplicables.
4.2.9.3. Cuando exista la necesidad de otorgar acceso de terceras partes a los diferentes sistemas de informaci\u00f3n, se realiza siempre con la participaci\u00f3n del propietario de la informaci\u00f3n una evaluaci\u00f3n de riesgos para identificar los requerimientos de controles espec\u00edficos, teniendo en cuenta entre otros los siguientes aspectos:
1. El tipo de acceso requerido (f\u00edsico, l\u00f3gico y a qu\u00e9 recurso).
2. Los motivos por los cuales solicita el acceso.
3. El valor de la informaci\u00f3n del \u00e1rea que lo solicita.
4. Los controles empleados por la tercera parte.
4.2.9.4. En ning\u00fan caso se otorgar\u00e1 acceso a terceros a la informaci\u00f3n, a las instalaciones de procesamiento u otras \u00e1reas de servicios cr\u00edticos, hasta tanto se hayan implementado los controles apropiados y firmado un contrato o acuerdo que definan las condiciones para la conexi\u00f3n o el acceso.
4.2.9.5. El acceso de los terceros a la informaci\u00f3n o a cualquier elemento de la infraestructura tecnol\u00f3gica es solicitado por el supervisor, o persona a cargo del tercero, al propietario de dicho activo, \u00e9ste junto con los encargados de la infraestructura tecnol\u00f3gica, aprueban y autorizan el acceso y uso de la informaci\u00f3n.
4.2.9.6. Los contratos o acuerdos de tercerizaci\u00f3n total o parcial para la administraci\u00f3n y control de sistemas de informaci\u00f3n, redes y\/o ambientes de computadores, contemplar\u00e1n como m\u00ednimo los siguientes aspectos:
1. Forma en los que se cumplir\u00e1n los requisitos legales aplicables
2. Medios para garantizar que todas las partes involucradas en la tercerizaci\u00f3n incluyendo los subcontratistas, conocen sus responsabilidades en materia de seguridad.
3. Forma en que se mantendr\u00e1 y comprobar\u00e1 la integridad y confidencialidad de los activos.
4. Controles f\u00edsicos y l\u00f3gicos que se utilizar\u00e1n para restringir y delimitar el acceso a la informaci\u00f3n sensible.
5. Forma en que se mantendr\u00e1 la disponibilidad de los servicios ante la ocurrencia de desastres.
6. Niveles de seguridad f\u00edsica que se asignar\u00e1 al equipamiento tercerizado.
7. Derecho a la auditor\u00eda por parte de VECOL S.A.
4.2.9.7. Todos los proveedores firman la cl\u00e1usula y\/o acuerdo de confidencialidad que es parte integral de los contratos, utilizando t\u00e9rminos legalmente ejecutables y contemplando factores como responsabilidades y acciones de los firmantes para evitar la divulgaci\u00f3n de informaci\u00f3n no autorizada. Este requerimiento tambi\u00e9n se aplica para los casos de contrataci\u00f3n de personal temporal o cuando se permita el acceso a la informaci\u00f3n y\/o a los recursos a personas o entidades externas.
4.2.9.8. Se formalizan los Acuerdos de Niveles de Servicio y los acuerdos de intercambio de informaci\u00f3n con cada proveedor dentro del contrato realizado, de acuerdo a los lineamientos establecidos por VECOL S.A.
4.2.9.9. Se definen las cl\u00e1usulas por incumplimiento en los contratos de los proveedores, para establecer las situaciones que puedan generar multas o penalizaciones, dentro de los cuales se contempla los acuerdos de confidencialidad y no divulgaci\u00f3n de la informaci\u00f3n.
4.2.9.10. Los procesos de selecci\u00f3n, evaluaci\u00f3n y adjudicaci\u00f3n del contratista o proveedor est\u00e1n enmarcados en la normatividad vigente aplicable y las pol\u00edticas internas de VECOL S.A.
4.2.9.11. El seguimiento y control de ejecuci\u00f3n de los contratos es ejercido por los supervisores que designe VECOL S.A.
4.2.9.12. Los encargados de la infraestructura tecnol\u00f3gica verifican las condiciones de comunicaci\u00f3n segura, cifrado y transmisi\u00f3n de informaci\u00f3n desde y hacia los terceros.
4.2.9.13. Los supervisores de contratos con terceros administran los cambios en el suministro de servicios por parte de terceros, manteniendo los niveles de cumplimiento de servicio y seguridad establecidos con ellos y monitoreando la aparici\u00f3n de nuevos riesgos.

4.2.10. POL\u00cdTICA DE GESTI\u00d3N DE ACTIVOS.<\/p>

VECOL S.A. Identifica todos los activos de informaci\u00f3n y mantiene un inventario actualizado, exacto, consistente y documentado con todos los aspectos relevantes de cada uno, clasific\u00e1ndolos de acuerdo a la Confidencialidad, Integridad y Disponibilidad de la informaci\u00f3n, para identificar su valor y criticidad. Adem\u00e1s, cada activo debe tener un propietario que garantice los niveles de seguridad que correspondan seg\u00fan sea el caso. Con el fin de garantizar el cumplimiento de \u00e9sta pol\u00edtica se establecen los siguientes lineamientos:<\/p>

4.2.10.1. Los equipos de terceros que requieran acceder a las redes de datos de VECOL S.A. deben cumplir con mecanismos de sanitizaci\u00f3n inform\u00e1tica antes de concederles dicho acceso.
4.2.10.2. VECOL S.A., garantizar\u00e1 que el Departamento de Tecnolog\u00edas de la Informaci\u00f3n (TI) tenga los recursos para una correcta gesti\u00f3n de Activos de la Informaci\u00f3n.
4.2.10.3. Todos los activos de informaci\u00f3n adquiridos y dados de baja, deben ser reportados por el responsable del mismo mediante la Mesa de Ayuda T\u00e9cnica con el fin de ser actualizado el inventario.
4.2.10.4. Cuando un activo de informaci\u00f3n es reasignado a otra persona, se debe informar por la Mesa de Ayuda T\u00e9cnica, con el fin de ser actualizado el inventario.
4.2.10.5. Los equipos de terceros que hayan sido autorizados para acceder de forma permanente a las redes de datos de VECOL S.A. s\u00f3lo podr\u00e1n hacerlo una vez se haya efectuado un an\u00e1lisis de software malicioso por parte del Departamento de Tecnolog\u00edas de la Informaci\u00f3n (TI).
4.2.10.6. Los trabajadores de VECOL S.A. se comprometen a identificar, clasificar, etiquetar, disponer, devolver y gestionar los activos de informaci\u00f3n establecidos como tal, de acuerdo a la presente pol\u00edtica y al Anexo 3. \u201cInventario, Clasificaci\u00f3n y Valoraci\u00f3n de activos de Informaci\u00f3n\u201d.
4.2.10.7. La identificaci\u00f3n, clasificaci\u00f3n y valoraci\u00f3n de los activos de informaci\u00f3n se realiza de acuerdo al
Anexo 3. \u201cInventario, Clasificaci\u00f3n y Valoraci\u00f3n de activos de Informaci\u00f3n\u201d.
4.2.10.8. Se mantiene un registro actualizado y exacto de todos los activos de informaci\u00f3n necesarios para la prestaci\u00f3n de servicios, de acuerdo al Sistema o Herramienta que el Departamento de Tecnolog\u00edas de la Informaci\u00f3n (TI) disponga para el Anexo 3. Inventario, Clasificaci\u00f3n y Valoraci\u00f3n de activos de Informaci\u00f3n.
4.2.10.9. Todos los activos de informaci\u00f3n tienen asignado un custodio que tiene la responsabilidad de mantener los controles adecuados para su protecci\u00f3n.
4.2.10.10. Los propietarios de la informaci\u00f3n son los encargados de clasificarla de acuerdo con su grado de sensibilidad y criticidad, de documentar y mantener actualizada la clasificaci\u00f3n efectuada, y de definir las funciones que deber\u00e1n tener permisos de acceso a la informaci\u00f3n.
4.2.10.11. Los documentos, informaci\u00f3n o material de VECOL S.A. se enmarcan dentro de los niveles de clasificaci\u00f3n de seguridad de la informaci\u00f3n, de acuerdo a lo establecido en el Anexo 3. \u201cInventario, Clasificaci\u00f3n y Valoraci\u00f3n de activos de Informaci\u00f3n\u201d.
4.2.10.12. Los documentos de VECOL S.A. que contengan informaci\u00f3n relacionada con diferentes niveles de clasificaci\u00f3n de seguridad, asumir\u00e1n la del nivel m\u00e1s alto que tenga la informaci\u00f3n contenida en ellos.
4.2.10.13. La informaci\u00f3n con mayor nivel de clasificaci\u00f3n de seguridad, tiene mayores restricciones y controles para el acceso a la misma por parte de los receptores, las autoridades, los empleados y asesores que deban conocer de ella.
4.2.10.14. Los trabajadores de VECOL S. A. deben seguir los siguientes lineamientos:
1. Se encuentra restringida la conexi\u00f3n no autorizada de cualquier elemento de almacenamiento de acuerdo con la Pol\u00edtica de Dispositivos M\u00f3viles que hace parte del presente manual.
2. El uso de medios removibles de almacenamiento solamente es autorizado a los trabajadores, contratistas y dem\u00e1s terceros con el aval del Jefe de cada una de las oficinas quienes deber\u00e1n informar por medio de de la mesa de ayuda t\u00e9cnica. En caso de solicitar la autorizaci\u00f3n para

el uso de medios removibles, ser\u00e1 condici\u00f3n para otorgar el aval, la ratificaci\u00f3n y aceptaci\u00f3n de las pol\u00edticas contenidas en el presente Manual por parte del colaborador, contratistas y dem\u00e1s terceros, de tal forma que el uso contrario a las disposiciones aqu\u00ed previstas lo har\u00e1 sujeto de las sanciones a las que haya lugar.
3. Los medios de almacenamiento removibles como cintas, discos duros removibles, y dispositivos USB, que contengan informaci\u00f3n corporativa de Vecol, deben ser controlados y f\u00edsicamente protegidos por el funcionario responsable de la informaci\u00f3n.
4. La informaci\u00f3n que es almacenada en medios removibles y que debe estar disponible por largo tiempo, debe ser protegida y controlada adecuadamente por cada Jefe o Director responsable para evitar que \u00e9sta se vea afectada por el tiempo de vida \u00fatil del medio.
5. La responsabilidad de la informaci\u00f3n contenida en los medios removibles es del trabajador que est\u00e1 a cargo del mismo, con la autorizaci\u00f3n del Jefe o Director.
6. De acuerdo con buenas pr\u00e1cticas en seguridad de la informaci\u00f3n, se debe evitar el almacenamiento o transporte de este tipo de informaci\u00f3n en medios removibles no controlados o autorizados. S\u00f3lo se deben habilitar unidades de medios removibles cifrados si hay una raz\u00f3n de la operaci\u00f3n para hacerlo. Se deben aplicar los siguientes controles:
\u25cf Se utilizan mecanismos de cifrado fuertes sobre la informaci\u00f3n y\/o medio removible.
\u25cf Los medios removibles sobre los cuales se pueda tener control, se almacenan en un ambiente protegido y seguro.
\u25cf Para mitigar el riesgo de degradaci\u00f3n de los medios que contienen los datos almacenados, \u00e9stos se transfieren a medios nuevos antes de que se vuelvan ilegibles luego de cumplir un tiempo el cual es definido por la Compa\u00f1\u00eda.
\u25cf En caso de necesitar retirar de Vecol un medio removible, deber\u00e1 ser autorizado por medio de una solicitud en la Mesa de Ayuda T\u00e9cnica, la cual debe ser autorizada por el jefe directo, Director de T.I. y\/o el Jefe de Desarrollo y Nuevas Tecnolog\u00edas.
7. En caso de ser necesario, el Director o Jefe responsable de los medios debe realizar una copia de respaldo de la informaci\u00f3n que se encuentra en el medio removible antes de ejecutar cualquier acci\u00f3n de disposici\u00f3n segura o reasignaci\u00f3n del mismo.
8. El responsable de un medio que se reasigne o que se requiera para otra tarea y deba realizar un borrado total del mismo, debe solicitar al Director de T.I. realizar el borrado seguro del contenido del medio removible, para esto se utiliza el m\u00e9todo Peter Gutmann (35 pasadas).
9. Cuando un medio removible se deba destruir, el responsable del mismo debe realizar la disposici\u00f3n segura del medio utilizando alguna de las siguientes t\u00e9cnicas: Desintegrar, Pulverizar, Fundir o Incinerar. Adicionalmente, para los discos \u00f3pticos (CD, DVD, Blu-ray) se utiliza la t\u00e9cnica de triturar, haciendo uso de m\u00e1quinas trituradoras de papel o espec\u00edficas para esta labor.
4.2.10.15. Los activos de informaci\u00f3n deben tener un uso aceptable siguiendo las indicaciones definidas
en el Anexo 3. \u201cInventario, Clasificaci\u00f3n y Valoraci\u00f3n de activos de Informaci\u00f3n\u201d.
4.2.10.16. EI desarrollo de contratos de mantenimiento de equipos inform\u00e1ticos cuentan con la asignaci\u00f3n de un supervisor permanente, encargado de controlar que se cumplan los est\u00e1ndares de seguridad tanto en la parte f\u00edsica como l\u00f3gica de los sistemas.
4.2.10.17. VECOL S.A. deber\u00e1 garantizar al Departamento de Tecnolog\u00edas de la Informaci\u00f3n (TI), contar con un \u00e1rea f\u00edsica de mantenimiento de equipos, la cual garantizar\u00e1 que los equipos que son llevados a mantenimiento y que contenga informaci\u00f3n p\u00fablica reservada y p\u00fablica clasificada, estar\u00e1n contenidos y supervisados.
4.2.10.18. Los discos duros o sistemas de almacenamiento que requieran mantenimiento y en los cuales se haya grabado en alg\u00fan momento informaci\u00f3n p\u00fablica reservada y p\u00fablica clasificada, no podr\u00e1n ser retirados de las instalaciones donde est\u00e9n asignados por aspectos de seguridad. Si el dispositivo requiere reemplazo, en ning\u00fan caso podr\u00e1 ser entregado para su cambio al proveedor o fabricante. Esta disposici\u00f3n deber\u00e1 quedar registrada y acordada en todos los contratos y garant\u00edas. En caso de una garant\u00eda, se debe proceder a borrar en forma segura,

para lo cual VECOL S.A. garantizar\u00e1 al Departamento de T.I. que tenga la herramienta necesaria para dicha labor.
4.2.10.19. Se considera activo de informaci\u00f3n las cuentas de correo que disponga la Compa\u00f1\u00eda, los datos almacenados en Drive, los documentos creados en el uso de las herramientas colaborativas, las interacciones realizadas a trav\u00e9s de IA o IAG y cualquier otra herramienta que la compa\u00f1\u00eda disponga para el uso de los colaboradores.
1. Las pol\u00edticas de control de acceso, respaldo, retenci\u00f3n y eliminaci\u00f3n de informaci\u00f3n se extienden a estos activos digitales.
2. En cualquier momento, el departamento de TI bajo su experiencia, manejo y gesti\u00f3n podr\u00e1 tomar decisiones de remoci\u00f3n, acceso o dem\u00e1s de cualquier activo de la compa\u00f1\u00eda.
4.2.10.20. Revisi\u00f3n del \u00cdndice de Informaci\u00f3n Clasificada: VECOL S.A. mantendr\u00e1 un \u00cdndice de Informaci\u00f3n Clasificada y Reservada actualizado, el cual constituye el inventario oficial de los activos de informaci\u00f3n con restricciones de acceso. Este \u00edndice ser\u00e1 objeto de una revisi\u00f3n y actualizaci\u00f3n integral con periodicidad anual por parte de todas las \u00e1reas de la Compa\u00f1\u00eda, o antes si existen cambios significativos en la estructura organizacional o en la normativa legal vigente, con el fin de garantizar que la clasificaci\u00f3n de la informaci\u00f3n sea coherente con su valor, sensibilidad y requisitos legales de protecci\u00f3n. Cualquier creaci\u00f3n, modificaci\u00f3n y\/o eliminaci\u00f3n de registros al \u00edndice, se deber\u00e1 contar con la solicitud en la Mesa de Ayuda T\u00e9cnica por parte del \u00e1rea responsable, las cuales tienen a su cargo dichos activos.<\/p>

4.2.11. POL\u00cdTICA DE GESTI\u00d3N DE INCIDENTES DE SEGURIDAD DE LA INFORMACI\u00d3N.<\/p>

VECOL S.A. Promueve para usuarios internos y externos el reporte de incidentes relacionados con la seguridad de la informaci\u00f3n y sus medios de procesamiento, incluyendo cualquier tipo de medio de almacenamiento de informaci\u00f3n, como la plataforma tecnol\u00f3gica, los sistemas de informaci\u00f3n, los medios f\u00edsicos de almacenamiento y las personas. Con el fin de garantizar el cumplimiento de \u00e9sta pol\u00edtica se establecen los siguientes lineamientos:<\/p>

4.2.11.1. Todo incidente de seguridad identificado deber\u00e1 ser reportado a trav\u00e9s de la Mesa de Ayuda T\u00e9cnica, secci\u00f3n Soporte T\u00e9cnico, en un plazo no mayor a dos (2) horas tras su detecci\u00f3n. El Analista de Desarrollo junto con el Jefe de Desarrollo y Nuevas Tecnolog\u00edas y el Director de TI son los responsables de investigar, categorizar y solucionar los incidentes reportados, bajo la supervisi\u00f3n del L\u00edder de Seguridad de la Informaci\u00f3n. En caso de incidentes cr\u00edticos, la toma de decisiones finales y la aprobaci\u00f3n de los planes de contingencia mayor se escalar\u00e1n a la Alta Direcci\u00f3n para garantizar la debida gobernanza institucional.
4.2.11.2. Los propietarios de los activos de informaci\u00f3n, trabajadores y terceros deben informar los incidentes de seguridad que identifiquen o que reconozcan su posibilidad de materializaci\u00f3n, mediante la Mesa de Ayuda T\u00e9cnica MAT de Vecol S.A.
4.2.11.3. Se documentan y clasifican los incidentes de seguridad de la informaci\u00f3n de acuerdo con las indicaciones especificadas en la Mesa de Ayuda T\u00e9cnica MAT de Vecol S.A.
4.2.11.4. Se analizan los incidentes de seguridad de la Informaci\u00f3n para identificar cu\u00e1les ser\u00e1n escalados y proceder a realizar el contacto con las autoridades, cuando se estime necesario.
4.2.11.5. Todo aquel evento que se identifique por medio del monitoreo y revisi\u00f3n de los registros y que ponga en riesgo la Confidencialidad, Integridad y Disponibilidad de la infraestructura tecnol\u00f3gica, ser\u00e1 reportado en la Mesa de Ayuda T\u00e9cnica MAT de Vecol S.A.
4.2.11.6. En los casos que sea necesario realizar recolecci\u00f3n y preservaci\u00f3n de la evidencia de las investigaciones que se realicen durante el an\u00e1lisis de un incidente de seguridad de la informaci\u00f3n, ser\u00e1 reportado a la Mesa de Ayuda T\u00e9cnica de Vecol S.A. y la Direcci\u00f3n de TI deber\u00e1 generar el plan de recolecci\u00f3n de evidencia a ser ejecutado.
4.2.11.7. En caso de presentarse incidentes de seguridad, se deber\u00e1 informar a la Gerencia Jur\u00eddica con el fin de que se garantice la adecuada cadena de custodia y, si es procedente, se inicien las

correspondientes acciones legales a que haya lugar en contra de las personas responsables. Se escalar\u00e1 a la Alta Direcci\u00f3n aquellos incidentes calificados como cr\u00edticos.<\/p>

4.2.12. POL\u00cdTICA DE ORGANIZACI\u00d3N DE LA SEGURIDAD DE LA INFORMACI\u00d3N<\/p>

VECOL S.A. estructura una organizaci\u00f3n donde se instituyen unos roles y responsabilidades de Seguridad de la Informaci\u00f3n, los cuales ejecutan actividades de administraci\u00f3n, operaci\u00f3n y gesti\u00f3n de la Seguridad de la Informaci\u00f3n. Esto es posible estableciendo una adecuada comunicaci\u00f3n para que la Compa\u00f1\u00eda pueda aprobar los lineamientos de Seguridad de la Informaci\u00f3n y coordinar la implementaci\u00f3n del Sistema de Gesti\u00f3n de Seguridad de la Informaci\u00f3n (SGSI) en todos los procesos de la Compa\u00f1\u00eda. Con el fin de garantizar el cumplimiento de \u00e9sta pol\u00edtica se establecen los siguientes lineamientos:<\/p>

4.2.12.1. Los diferentes roles y sus responsabilidades del Sistema de Gesti\u00f3n de Seguridad de la Informaci\u00f3n (SGSI) est\u00e1n definidos en el Cap\u00edtulo 3 del presente Manual.
4.2.12.2. La estructura de organizaci\u00f3n de Seguridad de la Informaci\u00f3n debe ser p\u00fablica y clara en sus responsabilidades para cada uno de los roles definidos.
4.2.12.3. Se debe nombrar a quien lidera y asume la responsabilidad total por el desarrollo e implementaci\u00f3n de la Seguridad de la Informaci\u00f3n y que apoye la identificaci\u00f3n de los controles.
4.2.12.4. Cada activo o proceso de Seguridad de la Informaci\u00f3n tiene asignado un responsable y est\u00e1n documentados los detalles de esta responsabilidad.
4.2.12.5. Para tener la capacidad de cumplir las responsabilidades en el \u00e1rea de Seguridad de la Informaci\u00f3n, los trabajadores nombrados deben ser competentes en el \u00e1rea y se les debe brindar oportunidades de mantenerse actualizados con los avances en este tema.
4.2.12.6. Se definen las responsabilidades para las actividades de gesti\u00f3n del riesgo de la Seguridad de la Informaci\u00f3n, de acuerdo al Anexo 1. \u201cIdentificaci\u00f3n, An\u00e1lisis y Tratamiento de Riesgos de Seguridad de la Informaci\u00f3n\u201d.
4.2.12.7. El Departamento de TI tiene la autoridad para administrar y gestionar los sistemas de informaci\u00f3n de la Compa\u00f1\u00eda, lo que incluye:
1. La potestad de crear, modificar y eliminar cuentas de usuario en los sistemas de informaci\u00f3n, de acuerdo con las pol\u00edticas de control de acceso y las necesidades operativas.
2. La capacidad de determinar, aprobar o prohibir la instalaci\u00f3n y el uso de software, aplicaciones y sistemas dentro de la infraestructura de la Compa\u00f1\u00eda, con el fin de proteger la seguridad, integridad y disponibilidad de la informaci\u00f3n.
3. La facultad de implementar controles y realizar las acciones necesarias para garantizar el cumplimiento de las pol\u00edticas de seguridad de la informaci\u00f3n, as\u00ed como para responder a incidentes de seguridad.<\/p>

4.2.13. POL\u00cdTICA DE NO REPUDIO.<\/p>

La pol\u00edtica de No Repudio comprende la capacidad de definir diferentes mecanismos o estrategias que est\u00e1n encaminadas a que un empleado o tercero evite negar que hayan realizado alguna acci\u00f3n. Con el fin de garantizar el cumplimiento de \u00e9sta pol\u00edtica se establecen los siguientes lineamientos:<\/p>

4.2.13.1. Para los procesos que se consideren, se deben implementar mecanismos en los que no exista la posibilidad de desafiar su validez de una acci\u00f3n por parte de quien la gener\u00f3.
4.2.13.2. Algunos mecanismos a implementar deber\u00e1n contar con un tercero, quien permita avalar la integridad y origen de los datos.
4.2.13.3. Se cuentan con registros que permitan hacer trazabilidad de las acciones de creaci\u00f3n, origen, recepci\u00f3n, entrega de informaci\u00f3n y otros, que servir\u00e1n de evidencia para poder garantizar el no repudio.

4.2.13.4. Estos registros se protegen contra la p\u00e9rdida o modificaci\u00f3n de tal manera que se garantice su disponibilidad e integridad.
4.2.13.5. Se pueden realizar auditor\u00edas continuas a los mecanismos de control y a los procesos, para asegurarse que las partes implicadas nieguen haber realizado una acci\u00f3n.
4.2.13.6. Los servicios de intercambio electr\u00f3nico de informaci\u00f3n incorporan mecanismos que sean garant\u00eda de no repudio.<\/p>

4.2.14. POL\u00cdTICA DE PRIVACIDAD Y CONFIDENCIALIDAD.<\/p>

La Pol\u00edtica de Privacidad y Confidencialidad determina los lineamientos de tratamiento y protecci\u00f3n sobre los datos personales y sobre la informaci\u00f3n considerada como sensible seg\u00fan la Ley 1581 de 2012 y las que apliquen. Se implementan controles de acuerdo a su nivel de clasificaci\u00f3n. Con el fin de garantizar el cumplimiento de \u00e9sta pol\u00edtica se establecen los siguientes lineamientos:<\/p>

4.2.14.1. En los contratos laborales y de prestaci\u00f3n de servicios de VECOL S.A. Se deber\u00e1n contemplar cl\u00e1usulas con obligaciones de confidencialidad, que establezcan el compromiso de no divulgar la informaci\u00f3n interna y externa que conozca como parte del desarrollo de las funciones que desempe\u00f1a o de su vinculaci\u00f3n con la Compa\u00f1\u00eda.
4.2.14.2. El tratamiento de datos personales debe estar sujeto a lo establecido en la normatividad vigente.
4.2.14.3. El tratamiento de datos personales, est\u00e1 sujeto a lo establecido en la \u201cPol\u00edtica de tratamiento de datos personales\u201d de VECOL S.A.<\/p>

4.2.15. POL\u00cdTICA DE INTEGRIDAD.
La pol\u00edtica de Integridad se refiere a la protecci\u00f3n de la exactitud y completitud de la informaci\u00f3n tanto interna como externa, conocida o administrada por usuarios internos y externos relacionados con VECOL
S.A. Con el fin de garantizar el cumplimiento de \u00e9sta pol\u00edtica se establecen los siguientes lineamientos:<\/p>

4.2.15.1. Toda la informaci\u00f3n verbal, f\u00edsica o electr\u00f3nica, es adoptada, procesada y entregada o transmitida integral, coherente y en forma exclusiva a las personas autorizadas a trav\u00e9s de los medios correspondientes, sin modificaciones ni alteraciones.
4.2.15.2. En el caso de vinculaci\u00f3n contractual, el compromiso de administraci\u00f3n y manejo \u00edntegro de la informaci\u00f3n interna y externa es parte de las cl\u00e1usulas del respectivo contrato, bajo la denominaci\u00f3n de cl\u00e1usula de integridad de la informaci\u00f3n.
4.2.15.3. Para la informaci\u00f3n que se clasifique como p\u00fablica reservada, p\u00fablica clasificada y p\u00fablica, y requiera ser transmitida a trav\u00e9s de canales de comunicaci\u00f3n, se utilizan mecanismos que permitan garantizar que la informaci\u00f3n mantiene su integridad mientras es transmitida por la red, es decir, que la informaci\u00f3n es completa y exacta de punto a punto en la transmisi\u00f3n.<\/p>

4.2.16. POL\u00cdTICA DE DISPONIBILIDAD DEL SERVICIO E INFORMACI\u00d3N.<\/p>

VECOL S.A., proporciona los recursos suficientes y desarrolla esfuerzos tendientes a garantizar la continuidad de las operaciones para sus procesos con el fin brindar la disponibilidad de los servicios; as\u00ed mismo, responde de manera efectiva ante eventos adversos seg\u00fan la dimensi\u00f3n y el grado de afectaci\u00f3n de los mismos; se restablecer\u00e1n las operaciones con el menor costo y p\u00e9rdidas posibles, manteniendo la Seguridad de la Informaci\u00f3n durante dichos eventos, de igual manera se mantienen canales de comunicaci\u00f3n adecuados hacia los trabajadores y dem\u00e1s partes interesadas.<\/p>

Para esto VECOL S.A. eval\u00faa el impacto de eventos que afectan los procesos de la Compa\u00f1\u00eda y que tienen soporte en la infraestructura tecnol\u00f3gica y en la prestaci\u00f3n de terceros. Igualmente, desarrolla planes de continuidad para aquellos servicios que son cr\u00edticos y misionales de VECOL S.A., dichos planes

cuentan con medidas tanto t\u00e9cnicas como administrativas y se prueban y revisan de manera peri\u00f3dica. Con el fin de garantizar el cumplimiento de \u00e9sta pol\u00edtica se establecen los siguientes lineamientos:
4.2.16.1. La Compa\u00f1\u00eda debe contar con un Plan de Continuidad de Seguridad de la Informaci\u00f3n que asegure la operaci\u00f3n de los procesos cr\u00edticos ante la ocurrencia de eventos no previstos o desastres naturales.
4.2.16.2. El responsable de la Continuidad de Seguridad de la Informaci\u00f3n es el encargado de mantener documentado y actualizado el Plan de Continuidad de Seguridad de la Informaci\u00f3n e informar cualquier cambio a todos los interesados.
4.2.16.3. Todos los sistemas de informaci\u00f3n que soportan las funciones cr\u00edticas de VECOL S.A., cuentan con un plan de recuperaci\u00f3n de T.I. que le permita garantizar una respuesta efectiva y eficiente ante eventos de desastre o interrupciones mayores, el cual est\u00e1 a cargo del Departamento de T.I.
4.2.16.4. Los procesos cr\u00edticos est\u00e1n soportados en aplicaciones e infraestructura t\u00e9cnica robusta, software y hardware confiable.
4.2.16.5. Se provee al personal activo la documentaci\u00f3n de las acciones a llevar a cabo en el evento de un desastre o una emergencia que puede afectar las aplicaciones de la operaci\u00f3n y la infraestructura t\u00e9cnica, habilitando los procesos cr\u00edticos de VECOL S.A., para ser restaurados en escalas de tiempo aceptables.
4.2.16.6. Los planes de continuidad de Seguridad de la Informaci\u00f3n son probados peri\u00f3dicamente y como resultado de estas pruebas se realizan los ajustes correspondientes.
4.2.16.7. Se identifica, acuerda y documenta todas las responsabilidades y los procedimientos para la continuidad de los servicios inform\u00e1ticos.
4.2.16.8. Se realiza la definici\u00f3n y actualizaci\u00f3n de las normas, pol\u00edticas, procedimientos y est\u00e1ndares relacionados con la continuidad de Seguridad de la Informaci\u00f3n.
4.2.16.9. Se realizan los an\u00e1lisis de impacto a la operaci\u00f3n y los an\u00e1lisis de riesgos de continuidad para posteriormente proponer posibles estrategias de recuperaci\u00f3n en caso de activarse el plan de contingencia o continuidad, con las consideraciones de Seguridad de la Informaci\u00f3n a que haya lugar.<\/p>

4.2.17. POL\u00cdTICA DE REGISTRO Y AUDITOR\u00cdA.<\/p>

Esta pol\u00edtica de Registro y Auditor\u00eda define lo pertinente a las auditor\u00edas que se realizan a los procesos que incluyen activos del Sistema de Gesti\u00f3n de Seguridad de la Informaci\u00f3n (SGSI) e indica temas del registro y conservaci\u00f3n de las evidencias de las actividades y acciones que afectan los activos de informaci\u00f3n. Con el fin de garantizar el cumplimiento de \u00e9sta pol\u00edtica se establecen los siguientes lineamientos<\/p>

4.2.17.1. El Departamento de Aseguramiento de Calidad es el responsable de planificar, establecer, implementar y mantener cada 2 a\u00f1os la programaci\u00f3n de las auditor\u00edas internas del Sistema de Gesti\u00f3n de Seguridad de la Informaci\u00f3n (SGSI) y de designar al equipo auditor.
4.2.17.2. Las auditor\u00edas internas del Sistema de Gesti\u00f3n de Seguridad de la Informaci\u00f3n (SGSI) se programan con base en el estado e importancia de las actividades a auditar y se llevan a cabo por personal auditor calificado, e independiente del \u00e1rea que se audite.
4.2.17.3. Cada director o jefe de secci\u00f3n es responsable de suministrar los medios necesarios para el adecuado desarrollo de la auditor\u00eda interna dentro de su departamento o secci\u00f3n, y es responsable de establecer y aplicar las acciones correctivas que se deriven de ella.
4.2.17.4. Para llevar a cabo las auditor\u00edas internas de la calidad en VECOL S.A, se aplica lo descrito en el PRO-GC1-005 \u201cAuditor\u00edas internas y externas\u201d. Las actividades de preparaci\u00f3n de auditor\u00edas internas incluyen la revisi\u00f3n de los documentos del Sistema de Gesti\u00f3n de Seguridad de la Informaci\u00f3n (SGSI) relacionado con el proceso, la elaboraci\u00f3n de un plan de auditor\u00edas en el FVC-

GC1-683 \u201cPlan de Auditor\u00edas\u201d y la elaboraci\u00f3n de listas de verificaci\u00f3n empleando el FVC-GC1-450 \u201cLista de Verificaci\u00f3n\u201d.
4.2.17.5. La ejecuci\u00f3n de la auditor\u00eda inicia con la realizaci\u00f3n de una reuni\u00f3n de apertura con el responsable del proceso a auditar y\/o el auditado y los auditores, la recolecci\u00f3n de informaci\u00f3n durante el desarrollo de las actividades de acuerdo con el plan de auditor\u00eda, la revisi\u00f3n y evaluaci\u00f3n de hallazgos de auditor\u00eda y una reuni\u00f3n de cierre.
4.2.17.6. Como m\u00ednimo, se realiza un ciclo completo de auditor\u00eda una vez cada cuatro a\u00f1os (todos los procesos y todos los elementos del Sistema de Gesti\u00f3n de Seguridad de la Informaci\u00f3n (SGSI)).
4.2.17.7. Cada auditor\u00eda interna de la calidad conlleva a la emisi\u00f3n de un informe en el que se describen los hallazgos detectados. Este informe se transmite a los responsables de las \u00e1reas auditadas, quienes realizan las correcciones o acciones correctivas correspondientes en los plazos previstos.
4.2.17.8. Las actividades de seguimiento realizadas por el auditor tienen la finalidad de garantizar que se realizaron las mejoras y las del \u00e1rea de Aseguramiento de Calidad tienen la finalidad de verificar y documentar que las acciones correctivas se han implantado con \u00e9xito.
4.2.17.9. Los resultados de las auditor\u00edas internas forman parte de la revisi\u00f3n por la direcci\u00f3n del Sistema de Gesti\u00f3n de Seguridad de la Informaci\u00f3n (SGSI).
4.2.18. POL\u00cdTICA DE INTELIGENCIA ARTIFICIAL<\/p>

Esta pol\u00edtica establece los lineamientos para el uso adecuado, seguro y responsable de la Inteligencia Artificial dentro de VECOL S.A., minimizando los riesgos y maximizando los beneficios. Aplicar\u00e1 a todos los empleados, contratistas y terceros que utilicen las herramientas de IA proporcionadas por la Compa\u00f1\u00eda.
4.2.18.1. Uso aceptable:
1. La IA debe utilizarse para mejorar la eficiencia, apoyar la toma de decisiones y realizar tareas relacionadas con el trabajo.
2. Est\u00e1 prohibido utilizar la IA para actividades ilegales, discriminatorias, acosadoras o que violen los derechos de otros.
3. Todo uso de herramientas proporcionadas por la compa\u00f1\u00eda deber\u00e1 ser usado exclusivamente para los asuntos laborales, y se tiene totalmente prohibido su uso personal.
4.2.18.2. Protecci\u00f3n de Datos y Privacidad:
1. No se debe ingresar informaci\u00f3n confidencial o datos personales en la IA a menos que sea absolutamente necesario y est\u00e9 permitido por las pol\u00edticas de privacidad de la Compa\u00f1\u00eda.
2. Los empleados deben ser conscientes de que las interacciones con la IA pueden ser registradas y monitoreadas por la Compa\u00f1\u00eda, en cabeza del Departamento de TI.
4.2.18.3. Seguridad:
1. Los empleados deben reportar cualquier incidente de seguridad relacionado con la IA (por ejemplo, respuestas inapropiadas, sesgos, vulnerabilidades) al Departamento de TI por medio de la MAT.
2. Se deben utilizar las versiones y configuraciones de la IA proporcionadas por la Compa\u00f1\u00eda, evitando el uso de herramientas de IA no autorizadas.
4.2.18.4. Responsabilidad y Transparencia:
1. Los empleados son responsables de verificar la precisi\u00f3n y la veracidad de la informaci\u00f3n generada por la IA. La IA es una herramienta de apoyo, no una fuente de verdad absoluta.
2. Cuando se utilice la IA para generar contenido o tomar decisiones importantes, se debe indicar claramente su uso.
4.2.18.5. Capacitaci\u00f3n y Concientizaci\u00f3n:
1. VECOL S.A. proporcionar\u00e1 capacitaci\u00f3n sobre el uso seguro y \u00e9tico de la IA, incluyendo los riesgos y las mejores pr\u00e1cticas, en coordinaci\u00f3n con la Gerencia de Talento Humano.

2. Se promover\u00e1 la concientizaci\u00f3n sobre los posibles sesgos de la IA y la importancia del juicio humano.
4.2.18.6. Aclaraci\u00f3n sobre la IA:
1. Sesgos y Discriminaci\u00f3n: La IA puede perpetuar o amplificar los sesgos presentes en los datos de entrenamiento, lo que puede llevar a decisiones discriminatorias.
2. Privacidad: El ingreso de datos personales o confidenciales en la IA puede comprometer la privacidad si no se manejan adecuadamente.
3. Seguridad: La IA puede ser vulnerable a ataques o manipulaciones que pueden comprometer su funcionamiento o generar informaci\u00f3n err\u00f3nea.
4. Desinformaci\u00f3n: La IA puede utilizarse para generar contenido falso o enga\u00f1oso, lo que puede da\u00f1ar la reputaci\u00f3n de la Compa\u00f1\u00eda o influir en la opini\u00f3n p\u00fablica.
5. Dependencia: El uso excesivo de la IA puede llevar a una dependencia excesiva de la tecnolog\u00eda y a una disminuci\u00f3n del juicio humano.<\/p>

4.2.19. POL\u00cdTICA DE DATOS ABIERTOS
En cumplimiento de la normativa nacional sobre transparencia y acceso a la informaci\u00f3n p\u00fablica, VECOL
S.A. promover\u00e1 la publicaci\u00f3n de datos abiertos en formatos reutilizables.<\/p>

4.2.19.1. Identificaci\u00f3n y Calidad: El due\u00f1o de la informaci\u00f3n identificar\u00e1 el conjunto de datos que, por su naturaleza p\u00fablica y no clasificada, sea susceptible de ser publicado y que se encuentre en el \u00edndice de informaci\u00f3n del Anexo 3. \u201cInventario, Clasificaci\u00f3n y Valoraci\u00f3n de activos de Informaci\u00f3n\u201d. Se debe garantizar la integridad, calidad y actualizaci\u00f3n permanente de dichos datos.
4.2.19.2. Protecci\u00f3n de Datos Sensibles: Antes de cualquier publicaci\u00f3n en el portal de datos abiertos, el responsable del activo de informaci\u00f3n, con el apoyo del Administrador de Seguridad Inform\u00e1tica, deber\u00e1 validar que la informaci\u00f3n no contenga datos personales sensibles, secretos comerciales o informaci\u00f3n que comprometa la seguridad nacional o institucional, aplicando procesos de anonimizaci\u00f3n si es requerido.
4.2.19.3. Publicaci\u00f3n, Federaci\u00f3n y Cumplimiento Normativo: VECOL S.A. ser\u00e1 responsable de publicar, mantener y actualizar en el portal de datos abiertos los conjuntos de datos m\u00ednimos exigidos por la ley 1712 de 2014 y dem\u00e1s normas que la reglamenten, garantizando su disponibilidad, accesibilidad, oportunidad y reutilizaci\u00f3n.<\/p>

En cumplimiento a la normativa nacional vigente, VECOL S.A. establece la obligaci\u00f3n expl\u00edcita de reportar y federar de forma permanente dichos conjuntos de datos en el Portal \u00danico de Datos Abiertos del Estado Colombiando (www.datos.gov.co)
4.2.19.4. Periodicidad del Reporte: La informaci\u00f3n publicada y federada deber\u00e1 corresponder a datos veraces, completos y actualizados obligatoriamente con una periodicidad m\u00ednima semestral, conforme a los lineamientos definidos por la Estrategia de Gobierno Digital y las directrices emitidas por las autoridades competentes<\/p>


4.2.20. POL\u00cdTICA DE INTELIGENCIA DE AMENAZAS<\/p>

VECOL S.A. reconoce la importancia estrat\u00e9gica de la Inteligencia de Amenazas (Threat Intelligence) para mejorar su postura de seguridad proactiva. La Compa\u00f1\u00eda implementar\u00e1 un proceso sistem\u00e1tico para recolectar, analizar y actuar sobre informaci\u00f3n relevante de amenazas, con el fin de prevenir, detectar y responder eficazmente a los ciberataques. Con el fin de garantizar el cumplimiento de esta pol\u00edtica se establecen los siguientes lineamientos:

4.2.20.1. El Departamento de T.I. ser\u00e1 el responsable principal de la gesti\u00f3n, recolecci\u00f3n y an\u00e1lisis de la Inteligencia de Amenazas, trabajando en colaboraci\u00f3n con el L\u00edder de Seguridad de la Informaci\u00f3n.
4.2.20.2. Se establecer\u00e1n fuentes de Inteligencia de Amenazas confiables, tanto gratuitas (open source) como comerciales, para obtener datos actualizados sobre Indicadores de Compromiso (IoC), T\u00e1cticas, T\u00e9cnicas y Procedimientos (TTPs) de adversarios relevantes para el sector y la operaci\u00f3n de VECOL S.A.
4.2.20.3. La Inteligencia de Amenazas debe ser clasificada y utilizada en diferentes niveles:
\u25cb Estrat\u00e9gica: Para informar a la Alta Direcci\u00f3n sobre el panorama general de riesgos y tendencias de ciberseguridad.
\u25cb T\u00e1ctica: Para actualizar los controles de seguridad y las defensas t\u00e9cnicas (ej. firewalls, sistemas de detecci\u00f3n de intrusos) con IoCs relevantes.
\u25cb Operacional: Para apoyar al equipo de respuesta a incidentes en la investigaci\u00f3n y mitigaci\u00f3n de ataques activos, entendiendo la motivaci\u00f3n y m\u00e9todos del atacante.
4.2.20.4. Los Indicadores de Compromiso (IoC) y la informaci\u00f3n de amenazas relevantes generada internamente por la Compa\u00f1\u00eda (por ejemplo, a partir de incidentes resueltos) ser\u00e1n documentados y utilizados para enriquecer la base de conocimiento interna y fortalecer las defensas futuras.
4.2.20.5. Se garantizar\u00e1 que el personal responsable de la gesti\u00f3n de la Inteligencia de Amenazas reciba la capacitaci\u00f3n y entrenamiento adecuados para su correcta interpretaci\u00f3n y aplicaci\u00f3n.
4.2.21. POL\u00cdTICA DE SEGURIDAD EN SERVICIOS DE NUBE
En el marco del uso de herramientas colaborativas y tecnolog\u00edas de vanguardia, VECOL S.A. establece niveles de seguridad espec\u00edficos para la adquisici\u00f3n y gesti\u00f3n de servicios bajo los modelos SaaS, PaaS e IaaS. Esta estrateg\u00eda garantiza que los proveedores cumplan con est\u00e1ndares rigurosos de protecci\u00f3n de datos personales, conforme la Ley 1581 y dem\u00e1s normatividad vigente. VECOL S.A. adopta una gesti\u00f3n proactiva de riesgos para servicios de computaci\u00f3n en la nube (p\u00fablica, privada o hibrida), asegurando que los pilares Confidencialidad, Integridad y Disponibilidad de la informaci\u00f3n se preservencon el mismo rigor que en la infraestructura interna, de acuerdo con la clasificaci\u00f3n de los activos de informaci\u00f3n. Para dar cumplimiento a esta pol\u00edtica se establecen los siguientes lineamientos:<\/p>

4.2.21.1. Evaluaci\u00f3n de Riesgos y Due Diligence del Proveedor: Previo a la contrataci\u00f3n o renovaci\u00f3n de cualquier servicio en la nube, el Due\u00f1o de la Informaci\u00f3n, en coordinaci\u00f3n con el L\u00edder de Seguridad de la Informaci\u00f3n, deber\u00e1n realizar un an\u00e1lisis de riesgos exhaustivo para determinar la criticidad de los datos y el nivel de exposici\u00f3n aceptable. Se debe realizar una debida diligencia del proveedor de servicios en la nube para asegurar que sus controles t\u00e9cnicos de seguridad, certificaciones internacionales y su cumplimiento normativo, asegurando que su marco operativo est\u00e9 alineado con los requisitos de seguridad de VECOL S.A.
4.2.21.2. Clasificaci\u00f3n y Cifrado de la Informaci\u00f3n: Es responsabilidad del Due\u00f1o de la informaci\u00f3n asegurar que todo activo almacenado o procesado en servicios de nube est\u00e9 debidamente clasificado y etiquetado, conforme a los criterios establecidos en el Anexo 3. “Inventario, Clasificaci\u00f3n y Valoraci\u00f3n de activos de Informaci\u00f3n”. Toda informaci\u00f3n clasificada como p\u00fablica reservada o p\u00fablica clasificada debe ser cifrada previo a su transferencia o carga en la nube. VECOL S.A. mantendr\u00e1 la soberan\u00eda sobre los datos mediante la gesti\u00f3n institucional de las llaves de cifrado, priorizando el uso de esquemas de cifrado del lado del cliente siempre que la arquitectura del servicio lo permita.
4.2.21.3. Responsabilidad Compartida (Cloud Shared Responsibility Model): Se documentar\u00e1n y formalizar\u00e1n claramente las responsabilidades espec\u00edficas entre VECOL S.A. y el proveedor de servicios, bajo el esquema de seguridad de la nube (responsabilidad del proveedor ) y seguridad en la nube (responsabilidad de VECOL S.A.). Estas obligaciones, junto con los niveles de

disponibilidad y soporte, deber\u00e1n quedar explicitamente establecidos en los Acuerdos de Niveles de Servicio (SLA) y contratos vinculantes.
4.2.21.4. Control de Acceso y Autenticaci\u00f3n Robusta: SEl acceso a plataformas y servicios en la nube requiere mecanismos de autenticaci\u00f3n fuertes, siendo obligatorio el uso de M\u00faltiple Factor de Autenticaci\u00f3n (MFA). La asignaci\u00f3n de privilegios se regir\u00e1 por el principio de “M\u00ednimo Privilegio” y la necesidad de conocer, con revisiones peri\u00f3dicas conforme a la Pol\u00edtica de Control de Acceso L\u00f3gico.
4.2.21.5. Monitoreo y Auditor\u00eda: Es obligatorio habilitar y centralizar los registros de auditor\u00eda (logs) y el monitoreo de actividades en todos los entornos de nube para garantizar la detecci\u00f3n temprana de incidentes. El Departamento de T.I. y el L\u00edder de Seguridad de la Informaci\u00f3n realizar\u00e1n revisiones peri\u00f3dicas de estos registros para asegurar la trazabilidad y el cumplimiento.
4.2.21.6. Gesti\u00f3n de Cambios y Configuraci\u00f3n Segura: Toda configuraci\u00f3n de servicios en la nube debe seguir los est\u00e1ndares de seguridad definidos por VECOL S.A. y debe ser gestionada a trav\u00e9s de un proceso de gesti\u00f3n de cambios documentado. Se deben desactivar las funcionalidades y servicios por defecto que no sean estrictamente necesarios.
4.2.21.7. Copia de Respaldo y Continuidad del Negocio: Se garantizar\u00e1 la ejecuci\u00f3n copias de seguridad de la informaci\u00f3n cr\u00edtica alojada en la nube, verificando peri\u00f3dicamente su integridad y capacidad de restauraci\u00f3n. . Los planes de continuidad del negocio (BCP) y de recuperaci\u00f3n ante desastres DRP) deben contemplar la infraestructura y los servicios dependientes de la nube.
4.2.21.8. Gesti\u00f3n de Redes y Comunicaciones Seguras: Toda la comunicaci\u00f3n entre la infraestructura de VECOL S.A. y los servicios en la nube, o entre diferentes componentes en la nube, debe utilizar protocolos de comunicaci\u00f3n seguros y cifrados (ej. VPNs, TLS), garantizando la protecci\u00f3n de los datos en tr\u00e1nsito.
4.2.21.9. Salida del Servicio (Exit Strategy): Los acuerdos contractuales incluir\u00e1n cl\u00e1usulas que definan el procedimiento de migraci\u00f3n devoluci\u00f3n de datos y la sanitizaci\u00f3n segura (borrado definitivo) de la informaci\u00f3n de VECOL S.A. de los sistemas del proveedor tras la finalizaci\u00f3n, terminaci\u00f3n o rescisi\u00f3n del servicio, garantizando que no queden residuos de datos en la infraestructura del tercero.<\/p>


4.2.22. POL\u00cdTICA DE PREVENCI\u00d3N DE FUGA DE DATOS (DLP)
VECOL S.A. establece, implementa y mantiene controles t\u00e9cnicos y organizacionales destinados a monitorear, detectar y bloquear la divulgaci\u00f3n o transferencia no autorizada de activos de informaci\u00f3n fuera de los l\u00edmites de la red corporativa y los sistemas autorizados. Estos controles se ejecutan mediante soluciones tecnol\u00f3gicas de Prevenci\u00f3n de Fuga de Datos (DLP) integradas a los canales de salida de informaci\u00f3n (correo electr\u00f3nico, tr\u00e1fico web, impresi\u00f3n y medios removibles), bas\u00e1ndose estrictamente en la clasificaci\u00f3n de P\u00fablica Reservada y P\u00fablica Clasificada definida en el Anexo 3: Inventario, Clasificaci\u00f3n y Valoraci\u00f3n de Activos de Informaci\u00f3n.
Para asegurar el cumplimiento de esta pol\u00edtica, se definen los siguientes lineamientos:<\/p>

4.2.22.1. Implementaci\u00f3n T\u00e9cnica y Monitoreo: El Departamento de T.I. es responsable de administrar soluciones DLP que permitan supervisar y monitorear todos los canales de salida, incluyendo correo electr\u00f3nico corporativo, tr\u00e1fico web, impresi\u00f3n y puertos de dispositivos removibles, con el fin de identificar y alertar sobre intentos de transferencia de datos sensibles y asegurar la trazabilidad de cualquier acci\u00f3n sospechosa.
4.2.22.2. Obligaciones de los Usuarios y Terceros: Se proh\u00edbe estrictamente el almacenamiento o transferencia de informaci\u00f3n clasificada de la Compa\u00f1\u00eda hacia servicios de nube personales, cuentas de correo particulares o cualquier dispositivo no autorizado, debiendo realizarse el env\u00edo de informaci\u00f3n a terceros exclusivamente por canales cifrados autorizados, en cumplimiento de la Pol\u00edtica de Transferencia de la Informaci\u00f3n (4.2.7) y los acuerdos de confidencialidad suscritos.

4.2.22.3. Gesti\u00f3n de Configuraci\u00f3n y Auditor\u00eda: El Departamento de T.I. mantendr\u00e1 actualizadas las reglas de la soluci\u00f3n DLP integrando los requisitos legales de protecci\u00f3n de datos personales (Ley 1581) y realizar\u00e1 auditor\u00edas peri\u00f3dicas sobre los registros (logs) y eventos generados para identificar tendencias de riesgo, evaluar la efectividad de los controles y proponer mejoras continuas al SGSI.
4.2.22.4. Control de Medios Removibles: El uso de dispositivos de almacenamiento externo requiere autorizaci\u00f3n previa a trav\u00e9s de la Mesa de Ayuda T\u00e9cnica (MAT) y estar\u00e1 sujeto a la configuraci\u00f3n de la soluci\u00f3n DLP para restringir o cifrar autom\u00e1ticamente la informaci\u00f3n clasificada que se intente transferir, conforme a los controles definidos en la Pol\u00edtica de Gesti\u00f3n de Activos (4.2.10).
4.2.22.5. Respuesta ante Incidentes y Excepciones: Todo evento de bloqueo detectado por la herramienta ser\u00e1 tratado como un potencial incidente de seguridad notificando al L\u00edder de Seguridad y al Due\u00f1o de la Informaci\u00f3n, mientras que cualquier solicitud de excepci\u00f3n deber\u00e1 estar t\u00e9cnicamente justificada, debidamente documentada y contar con la autorizaci\u00f3n formal de ambos responsables para garantizar la trazabilidad de la anulaci\u00f3n de la regla.<\/p>

4.2.23. POL\u00cdTICA DE GESTI\u00d3N DE LA CONFIGURACI\u00d3N Y FILTRADO WEB
VECOL S.A. establece y mantiene de manera segura las configuraciones de hardware, software y servicios de red para proteger los sistemas contra vulnerabilidades y accesos no autorizados, implementando mecanismos de filtrado web para restringir el acceso a contenido malicioso o inapropiado que pueda comprometer la seguridad de la informaci\u00f3n, el rendimiento de la red y el cumplimiento normativo.
Para asegurar el cumplimiento de esta pol\u00edtica, se definen los siguientes lineamientos:<\/p>

4.2.23.1. Est\u00e1ndares de Configuraci\u00f3n y Software: Se implementan y mantienen configuraciones base de seguridad para todos los recursos tecnol\u00f3gicos, incluyendo servidores, estaciones de trabajo, equipos de red y sistemas de informaci\u00f3n, quedando estrictamente prohibida la instalaci\u00f3n o modificaci\u00f3n de software sin la autorizaci\u00f3n expresa del Departamento de T.I.
4.2.23.2. Control de Navegaci\u00f3n y Filtrado Web: El Departamento de T.I. administrar\u00e1 herramientas de filtrado web a nivel perimetral para bloquear el acceso a sitios maliciosos, de phishing, descargas ilegales o contenido inapropiado, revisando y actualizando peri\u00f3dicamente estas configuraciones para adaptarse a nuevas amenazas y a las necesidades operacionales de la Compa\u00f1\u00eda.
4.2.23.3. Acceso a Plataformas de Entretenimiento y Redes Sociales: El acceso a redes sociales, mensajer\u00eda instant\u00e1nea y plataformas de entretenimiento estar\u00e1 restringido o monitoreado, permiti\u00e9ndose excepciones \u00fanicamente por justificaci\u00f3n de negocio con autorizaci\u00f3n formal del jefe de \u00e1rea y del Director de T.I., siguiendo el procedimiento establecido en la Mesa de Ayuda T\u00e9cnica (MAT).
4.2.23.4. Gesti\u00f3n de Excepciones de Navegaci\u00f3n: Los usuarios que requieran una excepci\u00f3n temporal o permanente a las pol\u00edticas de filtrado deben presentar una solicitud formal por la MAT justificando la necesidad de negocio, la cual deber\u00e1 ser aprobada por el jefe inmediato y el Director de T.I., con revisiones peri\u00f3dicas de su vigencia.
4.2.23.5. Registros de Actividad y Auditor\u00eda: El Departamento de T.I., mantendr\u00e1 registros de navegaci\u00f3n (logs) y eventos de bloqueo, los cuales ser\u00e1n utilizados exclusivamente para auditor\u00edas de seguridad, investigaciones de incidentes y seguimiento al cumplimiento de esta pol\u00edtica.
4.2.23.6. Privilegios y Cuentas Especiales: El Departamento de T.I. garantizar\u00e1 que las configuraciones incluyan el m\u00ednimo privilegio requerido para cada usuario, aplicando medidas de seguridad reforzadas y un monitoreo continuo sobre las cuentas con privilegios elevados o de Superusuario.<\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t

\n\t\t\t\t\t\t
\n\t\t\t\t\t
\n\t\t\t
\n\t\t\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t<\/div>","protected":false},"excerpt":{"rendered":"

POLITICA DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACION Cap\u00edtulo 1 INTRODUCCI\u00d3N La Empresa Colombiana de Productos Veterinarios S.A. \u2013 VECOL S.A. (en adelante VECOL S.A. o la Compa\u00f1\u00eda) tiene la responsabilidad de contar con un direccionamiento estrat\u00e9gico en materia de Seguridad de la Informaci\u00f3n. El desarrollo de este Manual de Seguridad y Privacidad de la […]<\/p>\n","protected":false},"author":1,"featured_media":0,"parent":0,"menu_order":0,"comment_status":"closed","ping_status":"closed","template":"elementor_header_footer","meta":{"_acf_changed":false,"site-sidebar-layout":"default","site-content-layout":"","ast-site-content-layout":"default","site-content-style":"default","site-sidebar-style":"default","ast-global-header-display":"","ast-banner-title-visibility":"","ast-main-header-display":"","ast-hfb-above-header-display":"","ast-hfb-below-header-display":"","ast-hfb-mobile-header-display":"","site-post-title":"","ast-breadcrumbs-content":"","ast-featured-img":"","footer-sml-layout":"","ast-disable-related-posts":"","theme-transparent-header-meta":"","adv-header-id-meta":"","stick-header-meta":"","header-above-stick-meta":"","header-main-stick-meta":"","header-below-stick-meta":"","astra-migrate-meta-layouts":"default","ast-page-background-enabled":"default","ast-page-background-meta":{"desktop":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"ast-content-background-meta":{"desktop":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"footnotes":""},"class_list":["post-4890","page","type-page","status-publish","hentry"],"acf":[],"yoast_head":"\nPol\u00edtica de Seguridad de la Informaci\u00f3n - VECOL<\/title>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/www.vecol.com.co\/en\/politica-de-seguridad-de-la-informacion\/\" \/>\n<meta property=\"og:locale\" content=\"en_US\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"Pol\u00edtica de Seguridad de la Informaci\u00f3n - VECOL\" \/>\n<meta property=\"og:description\" content=\"POLITICA DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACION Cap\u00edtulo 1 INTRODUCCI\u00d3N La Empresa Colombiana de Productos Veterinarios S.A. \u2013 VECOL S.A. (en adelante VECOL S.A. o la Compa\u00f1\u00eda) tiene la responsabilidad de contar con un direccionamiento estrat\u00e9gico en materia de Seguridad de la Informaci\u00f3n. El desarrollo de este Manual de Seguridad y Privacidad de la […]\" \/>\n<meta property=\"og:url\" content=\"https:\/\/www.vecol.com.co\/en\/politica-de-seguridad-de-la-informacion\/\" \/>\n<meta property=\"og:site_name\" content=\"VECOL\" \/>\n<meta property=\"article:publisher\" content=\"https:\/\/www.facebook.com\/vecolveterinaria\" \/>\n<meta property=\"article:modified_time\" content=\"2026-06-22T17:28:34+00:00\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<meta name=\"twitter:site\" content=\"@VecolColombia\" \/>\n<meta name=\"twitter:label1\" content=\"Est. reading time\" \/>\n\t<meta name=\"twitter:data1\" content=\"124 minutes\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\\\/\\\/schema.org\",\"@graph\":[{\"@type\":\"WebPage\",\"@id\":\"https:\\\/\\\/www.vecol.com.co\\\/politica-de-seguridad-de-la-informacion\\\/\",\"url\":\"https:\\\/\\\/www.vecol.com.co\\\/politica-de-seguridad-de-la-informacion\\\/\",\"name\":\"Pol\u00edtica de Seguridad de la Informaci\u00f3n - VECOL\",\"isPartOf\":{\"@id\":\"https:\\\/\\\/www.vecol.com.co\\\/#website\"},\"datePublished\":\"2022-07-19T03:04:54+00:00\",\"dateModified\":\"2026-06-22T17:28:34+00:00\",\"breadcrumb\":{\"@id\":\"https:\\\/\\\/www.vecol.com.co\\\/politica-de-seguridad-de-la-informacion\\\/#breadcrumb\"},\"inLanguage\":\"en-US\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"https:\\\/\\\/www.vecol.com.co\\\/politica-de-seguridad-de-la-informacion\\\/\"]}]},{\"@type\":\"BreadcrumbList\",\"@id\":\"https:\\\/\\\/www.vecol.com.co\\\/politica-de-seguridad-de-la-informacion\\\/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"Inicio\",\"item\":\"https:\\\/\\\/www.vecol.com.co\\\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"Pol\u00edtica de Seguridad de la Informaci\u00f3n\"}]},{\"@type\":\"WebSite\",\"@id\":\"https:\\\/\\\/www.vecol.com.co\\\/#website\",\"url\":\"https:\\\/\\\/www.vecol.com.co\\\/\",\"name\":\"VECOL\",\"description\":\"Empresa Colombiana de Productos Veterinarios\",\"publisher\":{\"@id\":\"https:\\\/\\\/www.vecol.com.co\\\/#organization\"},\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"https:\\\/\\\/www.vecol.com.co\\\/?s={search_term_string}\"},\"query-input\":{\"@type\":\"PropertyValueSpecification\",\"valueRequired\":true,\"valueName\":\"search_term_string\"}}],\"inLanguage\":\"en-US\"},{\"@type\":\"Organization\",\"@id\":\"https:\\\/\\\/www.vecol.com.co\\\/#organization\",\"name\":\"Empresa Colombiana de Productos Veterinarios\",\"url\":\"https:\\\/\\\/www.vecol.com.co\\\/\",\"logo\":{\"@type\":\"ImageObject\",\"inLanguage\":\"en-US\",\"@id\":\"https:\\\/\\\/www.vecol.com.co\\\/#\\\/schema\\\/logo\\\/image\\\/\",\"url\":\"https:\\\/\\\/www.vecol.com.co\\\/wp-content\\\/uploads\\\/2023\\\/07\\\/logoVecol.png\",\"contentUrl\":\"https:\\\/\\\/www.vecol.com.co\\\/wp-content\\\/uploads\\\/2023\\\/07\\\/logoVecol.png\",\"width\":106,\"height\":106,\"caption\":\"Empresa Colombiana de Productos Veterinarios\"},\"image\":{\"@id\":\"https:\\\/\\\/www.vecol.com.co\\\/#\\\/schema\\\/logo\\\/image\\\/\"},\"sameAs\":[\"https:\\\/\\\/www.facebook.com\\\/vecolveterinaria\",\"https:\\\/\\\/x.com\\\/VecolColombia\"]}]}<\/script>\n<!-- \/ Yoast SEO plugin. -->","yoast_head_json":{"title":"Pol\u00edtica de Seguridad de la Informaci\u00f3n - VECOL","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/www.vecol.com.co\/en\/politica-de-seguridad-de-la-informacion\/","og_locale":"en_US","og_type":"article","og_title":"Pol\u00edtica de Seguridad de la Informaci\u00f3n - VECOL","og_description":"POLITICA DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACION Cap\u00edtulo 1 INTRODUCCI\u00d3N La Empresa Colombiana de Productos Veterinarios S.A. \u2013 VECOL S.A. (en adelante VECOL S.A. o la Compa\u00f1\u00eda) tiene la responsabilidad de contar con un direccionamiento estrat\u00e9gico en materia de Seguridad de la Informaci\u00f3n. El desarrollo de este Manual de Seguridad y Privacidad de la […]","og_url":"https:\/\/www.vecol.com.co\/en\/politica-de-seguridad-de-la-informacion\/","og_site_name":"VECOL","article_publisher":"https:\/\/www.facebook.com\/vecolveterinaria","article_modified_time":"2026-06-22T17:28:34+00:00","twitter_card":"summary_large_image","twitter_site":"@VecolColombia","twitter_misc":{"Est. reading time":"124 minutes"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"WebPage","@id":"https:\/\/www.vecol.com.co\/politica-de-seguridad-de-la-informacion\/","url":"https:\/\/www.vecol.com.co\/politica-de-seguridad-de-la-informacion\/","name":"Pol\u00edtica de Seguridad de la Informaci\u00f3n - VECOL","isPartOf":{"@id":"https:\/\/www.vecol.com.co\/#website"},"datePublished":"2022-07-19T03:04:54+00:00","dateModified":"2026-06-22T17:28:34+00:00","breadcrumb":{"@id":"https:\/\/www.vecol.com.co\/politica-de-seguridad-de-la-informacion\/#breadcrumb"},"inLanguage":"en-US","potentialAction":[{"@type":"ReadAction","target":["https:\/\/www.vecol.com.co\/politica-de-seguridad-de-la-informacion\/"]}]},{"@type":"BreadcrumbList","@id":"https:\/\/www.vecol.com.co\/politica-de-seguridad-de-la-informacion\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Inicio","item":"https:\/\/www.vecol.com.co\/"},{"@type":"ListItem","position":2,"name":"Pol\u00edtica de Seguridad de la Informaci\u00f3n"}]},{"@type":"WebSite","@id":"https:\/\/www.vecol.com.co\/#website","url":"https:\/\/www.vecol.com.co\/","name":"VECOL","description":"Colombian Veterinary Products Company","publisher":{"@id":"https:\/\/www.vecol.com.co\/#organization"},"potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/www.vecol.com.co\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"en-US"},{"@type":"Organization","@id":"https:\/\/www.vecol.com.co\/#organization","name":"Colombian Veterinary Products Company","url":"https:\/\/www.vecol.com.co\/","logo":{"@type":"ImageObject","inLanguage":"en-US","@id":"https:\/\/www.vecol.com.co\/#\/schema\/logo\/image\/","url":"https:\/\/www.vecol.com.co\/wp-content\/uploads\/2023\/07\/logoVecol.png","contentUrl":"https:\/\/www.vecol.com.co\/wp-content\/uploads\/2023\/07\/logoVecol.png","width":106,"height":106,"caption":"Empresa Colombiana de Productos Veterinarios"},"image":{"@id":"https:\/\/www.vecol.com.co\/#\/schema\/logo\/image\/"},"sameAs":["https:\/\/www.facebook.com\/vecolveterinaria","https:\/\/x.com\/VecolColombia"]}]}},"_links":{"self":[{"href":"https:\/\/www.vecol.com.co\/en\/wp-json\/wp\/v2\/pages\/4890","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.vecol.com.co\/en\/wp-json\/wp\/v2\/pages"}],"about":[{"href":"https:\/\/www.vecol.com.co\/en\/wp-json\/wp\/v2\/types\/page"}],"author":[{"embeddable":true,"href":"https:\/\/www.vecol.com.co\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.vecol.com.co\/en\/wp-json\/wp\/v2\/comments?post=4890"}],"version-history":[{"count":39,"href":"https:\/\/www.vecol.com.co\/en\/wp-json\/wp\/v2\/pages\/4890\/revisions"}],"predecessor-version":[{"id":14787,"href":"https:\/\/www.vecol.com.co\/en\/wp-json\/wp\/v2\/pages\/4890\/revisions\/14787"}],"wp:attachment":[{"href":"https:\/\/www.vecol.com.co\/en\/wp-json\/wp\/v2\/media?parent=4890"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}