{"id":4890,"date":"2022-07-18T22:04:54","date_gmt":"2022-07-19T03:04:54","guid":{"rendered":"https:\/\/www.vecol.com.co\/?page_id=4890"},"modified":"2025-11-11T08:00:46","modified_gmt":"2025-11-11T13:00:46","slug":"politica-de-seguridad-de-la-informacion","status":"publish","type":"page","link":"https:\/\/www.vecol.com.co\/en\/politica-de-seguridad-de-la-informacion\/","title":{"rendered":"Information Security Policy"},"content":{"rendered":"\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t\t
\n\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t

POLITICA DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACION<\/strong><\/h1>

Cap\u00edtulo 1 INTRODUCCI\u00d3N<\/b><\/p>

\u00a0<\/b><\/p>

La Empresa Colombiana de Productos Veterinarios S.A. \u2013 VECOL S.A. (en adelante VECOL S.A. <\/span>o la Compa\u00f1\u00eda) tiene la responsabilidad de contar con un direccionamiento estrat\u00e9gico en materia de Seguridad de la Informaci\u00f3n. El desarrollo de este Manual de Seguridad y Privacidad de la Informaci\u00f3n le permitir\u00e1 tomar decisiones m\u00e1s \u00e1giles y acertadas frente a los riesgos y las regulaciones, permitiendo una gesti\u00f3n oportuna y efectiva aprovechando de la mejor forma los recursos con que cuenta.<\/span><\/p>

\u00a0<\/span><\/p>

La referencia principal para el desarrollo de este Manual de Seguridad y Privacidad de la Informaci\u00f3n es la Norma T\u00e9cnica Colombiana NTC-ISO-IEC 27001:2013, Tecnolog\u00eda de la Informaci\u00f3n. T\u00e9cnicas de Seguridad. Sistemas de Gesti\u00f3n de la Seguridad de la Informaci\u00f3n, y la Gu\u00eda T\u00e9cnica Colombiana GTC- ISO-IEC 27002:2013, Tecnolog\u00eda de la informaci\u00f3n. T\u00e9cnicas de seguridad. C\u00f3digo de pr\u00e1ctica para controles de seguridad de la informaci\u00f3n.<\/span><\/p>

\u00a0<\/span><\/p>

1.1.\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>CONTEXTO DE LA ORGANIZACI\u00d3N.<\/span><\/h1>

\u00a0<\/span><\/p>

1.1.1.\u00a0\u00a0\u00a0\u00a0 <\/span><\/span><\/b>CONOCIMIENTO DE LA ORGANIZACI\u00d3N Y DE SU CONTEXTO.<\/b><\/p>

\u00a0<\/b><\/p>

VECOL S.A. es una sociedad an\u00f3nima de econom\u00eda mixta constituida mediante escritura p\u00fablica No. 4254 del 6 de agosto de 1974 de la Notar\u00eda Novena (9) del C\u00edrculo de Bogot\u00e1, D.C. Es una entidad de derecho p\u00fablico del orden nacional, descentralizada y vinculada al Ministerio de Agricultura y Desarrollo Rural, cuyo funcionamiento se sujeta a las reglas de derecho privado.<\/span><\/p>

\u00a0<\/span><\/p>

El objeto social \u00a0es promover y estimular el incremento de la producci\u00f3n agropecuaria y de sus insumos, as\u00ed como el mejoramiento de la salud humana y animal, mediante la producci\u00f3n, venta, comercializaci\u00f3n, importaci\u00f3n, exportaci\u00f3n e investigaci\u00f3n cient\u00edfica de productos biotecnol\u00f3gicos, qu\u00edmicos, farmac\u00e9uticos, agr\u00edcolas e industriales.<\/span><\/p>

\u00a0<\/span><\/p>

MISI\u00d3N<\/span><\/h1>

\u00a0<\/span><\/p>

Somos una <\/span>compa\u00f1\u00eda con enfoque global, que brinda soluciones integrales para promover la sanidad animal y la productividad del sector agropecuario.<\/span><\/p>

\u00a0<\/span><\/p>

VISI\u00d3N<\/span><\/h1>

\u00a0<\/span><\/p>

Ser una compa\u00f1\u00eda de clase mundial reconocida por ser el mejor aliado de nuestro campo.<\/span><\/p>

\u00a0<\/span><\/p>

1.1.2.\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>COMPRENSI\u00d3N\u00a0\u00a0\u00a0 DE\u00a0\u00a0\u00a0 LAS\u00a0\u00a0\u00a0 NECESIDADES\u00a0\u00a0\u00a0 Y\u00a0\u00a0\u00a0 EXPECTATIVAS\u00a0\u00a0\u00a0 DE\u00a0\u00a0\u00a0 LAS\u00a0\u00a0\u00a0 PARTES INTERESADAS.<\/span><\/h1>

\u00a0<\/span><\/p>

VECOL S.A. con el fin de dar cumplimiento a los lineamientos establecidos en la Pol\u00edtica de Gobierno Digital, anteriormente llamada Estrategia de Gobierno en L\u00ednea, y atender estos nuevos requisitos, orientados a la prestaci\u00f3n de servicios de calidad, que generen competitividad a la <\/span>Compa\u00f1\u00eda y que administren los riesgos cambiantes en el \u00e1mbito de la gesti\u00f3n de la informaci\u00f3n y de las nuevas tecnolog\u00edas de informaci\u00f3n y comunicaci\u00f3n, ha decidido establecer, implementar y mantener un Sistema de Gesti\u00f3n de Seguridad de la Informaci\u00f3n (SGSI), que busque mediante una mejora continua, preservar la Confidencialidad, Integridad y Disponibilidad de los activos de informaci\u00f3n en los procesos Estrat\u00e9gicos, Operacionales, de Apoyo y Control.<\/span><\/p>

\u00a0<\/span><\/p>

1.2.\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>GENERALIDADES<\/span><\/h1>

\u00a0<\/span><\/p>

1.2.1.\u00a0\u00a0\u00a0\u00a0 <\/span><\/span><\/b>PLANIFICACI\u00d3N Y CONTROL OPERACIONAL<\/b><\/p>

\u00a0<\/b><\/p>

Para la planificaci\u00f3n y control operacional del Sistema de Gesti\u00f3n de Seguridad de la Informaci\u00f3n (SGSI) se consideran los requisitos aplicables establecidos en la Norma T\u00e9cnica Colombiana NTC-ISO-IEC 27001:2013<\/span>. Tecnolog\u00eda de la Informaci\u00f3n. T\u00e9cnicas de Seguridad. Sistemas de Gesti\u00f3n de la Seguridad de la Informaci\u00f3n, y la Gu\u00eda T\u00e9cnica Colombiana GTC-ISO-IEC 27002:2013. Tecnolog\u00eda de la informaci\u00f3n. T\u00e9cnicas de seguridad. C\u00f3digo de pr\u00e1ctica para controles de seguridad de la informaci\u00f3n.<\/span><\/p>

\u00a0<\/span><\/p>

Se desarrollan procedimientos, instructivos y controles de Seguridad de la Informaci\u00f3n basados en la NTC-ISO-IEC 27001:2013 y en la GTC-ISO-IEC 27002:2013.<\/span><\/p>

\u00a0<\/span><\/p>

Para cumplir los requisitos relativos a Planificaci\u00f3n de cambios en el Sistema de Gesti\u00f3n de Seguridad de la Informaci\u00f3n (SGSI), la <\/span>Compa\u00f1\u00eda considera y aplica en caso necesario las actividades apropiadas dentro de la siguiente lista:<\/span><\/p>

\u00a0<\/span><\/p>

\u25cf\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>Pol\u00edtica General y espec\u00edficas.<\/span><\/p>

\u25cf\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>Objetivo general y espec\u00edficos.<\/span><\/p>

\u25cf\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>Alcance.<\/span><\/p>

\u25cf\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>Estructura de la organizaci\u00f3n.<\/span><\/p>

\u25cf\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>Sistematizaci\u00f3n.<\/span><\/p>

\u25cf\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>Adecuaci\u00f3n de \u00e1rea f\u00edsicas.<\/span><\/p>

\u25cf\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>Cambios tecnol\u00f3gicos.<\/span><\/p>

\u25cf\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>Controles requeridos por los clientes.<\/span><\/p>

\u25cf\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>Cambios en la reglamentaci\u00f3n NTC-ISO-IEC 27001:2013 y GTC-ISO-IEC 27002:2013.<\/span><\/p>

\u25cf\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>Subcontrataci\u00f3n de actividades y cualquier cambio que se considere impacte al <\/span>SGSI.<\/span><\/p>

\u00a0<\/span><\/p>

Cualquier cambio que pueda tener impacto en el SGSI y sus anexos deben documentarse y controlarse seg\u00fan lo establece la Resoluci\u00f3n 009<\/span>-2022 a trav\u00e9s del Grupo de Trabajo de Arquitectura Empresarial.<\/span><\/p>

\u00a0<\/span><\/p>

1.2.2.\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>RIESGOS DE LA SEGURIDAD DE LA INFORMACI\u00d3N.<\/span><\/h1>

\u00a0<\/span><\/p>

Dentro de las tareas <\/span>para el establecimiento e implementaci\u00f3n del Sistema de Gesti\u00f3n de Seguridad de la<\/span><\/a> Informaci\u00f3n <\/span><\/a>(SGSI), VECOL S.A. hace una adecuada gesti\u00f3n de riesgos que le permita saber cu\u00e1les son las principales vulnerabilidades de sus activos de informaci\u00f3n y cu\u00e1les son las amenazas que podr\u00edan explotar las vulnerabilidades. En la medida que la Compa\u00f1\u00eda tenga clara esta identificaci\u00f3n de riesgos podr\u00e1 establecer las medidas preventivas y correctivas viables que garanticen mayores niveles de seguridad en su informaci\u00f3n.<\/span><\/p>

\u00a0<\/span><\/p>

Para que VECOL S.A. pueda tomar decisiones sobre c\u00f3mo actuar ante los diferentes riesgos de Seguridad de la Informaci\u00f3n, la <\/span>Compa\u00f1\u00eda hace una valoraci\u00f3n de riesgos para determinar cu\u00e1les son los m\u00e1s cr\u00edticos. Esta valoraci\u00f3n se hace en t\u00e9rminos de la probabilidad de ocurrencia del riesgo y del impacto que tenga la materializaci\u00f3n del riesgo; finalmente la Compa\u00f1\u00eda realiza el tratamiento del riesgo verificando si se debe evitar, reducir, compartir o transferir, o asumir, de acuerdo con su criticidad.<\/span><\/p>

\u00a0<\/span><\/p>

Con el fin de cumplir con el an\u00e1lisis de riesgo y una gesti\u00f3n continua, La <\/span>Compa\u00f1\u00eda define una metodolog\u00eda para la gesti\u00f3n de riesgos de Seguridad de la Informaci\u00f3n, mediante la construcci\u00f3n del documento Anexo 1<\/span><\/b>. \u201cIdentificaci\u00f3n, An\u00e1lisis y Tratamiento de Riesgos de Seguridad de la Informaci\u00f3n\u201d<\/span>.<\/span><\/span><\/p>

\u00a0<\/span><\/p>

1.2.3.\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>OBJETIVO GENERAL<\/span><\/h1>

\u00a0<\/span><\/p>

Establecer lineamientos de seguridad de alto nivel que permitan que los activos de informaci\u00f3n de propiedad de VECOL S.A. sean accedidos s\u00f3lo por las personas autorizadas que tienen necesidad leg\u00edtima para la realizaci\u00f3n de las funciones propias del negocio (confidencialidad), que no se realicen modificaciones no autorizadas y salvaguardar su exactitud y completitud (integridad), y que est\u00e9n disponibles cuando \u00e9stos sean requeridos para el desarrollo de las actividades propias del negocio (disponibilidad); alineados con la misi\u00f3n, visi\u00f3n, objetivos estrat\u00e9gicos y valores corporativos de la <\/span>Compa\u00f1\u00eda.<\/span><\/p>

\u00a0<\/span><\/p>

1.2.4.\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>OBJETIVOS ESPEC\u00cdFICOS<\/span><\/h1>

\u00a0<\/span><\/p>

\u25cf\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>Establecer los fundamentos para el Sistema de Gesti\u00f3n de Seguridad de la Informaci\u00f3n (SGSI).<\/span><\/p>

\u25cf\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>Proteger la imagen, los intereses y el buen nombre de VECOL S.A.<\/span><\/p>

\u25cf\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>Reducir el nivel de riesgo en seguridad de la informaci\u00f3n.<\/span><\/p>

\u25cf\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>Implementar y ejecutar controles efectivos que velen por la Seguridad de la Informaci\u00f3n.<\/span><\/p>

\u25cf\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>Establecer los canales de comunicaci\u00f3n que le permitan a la Presidencia de la <\/span>Compa\u00f1\u00eda mantenerse informada de los riesgos y uso inadecuado de los activos de informaci\u00f3n y las acciones tomadas para su mitigaci\u00f3n y correcci\u00f3n.<\/span><\/p>

\u25cf\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>Promover una cultura organizacional orientada a la Seguridad de la Informaci\u00f3n.<\/span><\/p>

\u25cf\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>Establecer y comunicar la responsabilidad en el uso de los activos de informaci\u00f3n, que soportan los procesos y sistemas del negocio.<\/span><\/p>

\u25cf\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>Definir la conducta esperada en el acceso, uso y manejo de los activos de informaci\u00f3n.<\/span><\/p>

\u25cf\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>Propender por la disponibilidad de los activos de informaci\u00f3n, servicios e infraestructura tecnol\u00f3gica.<\/span><\/p>

\u25cf\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>Asegurar la continuidad de la Seguridad de la Informaci\u00f3n, permitiendo el cumplimiento de los objetivos estrat\u00e9gicos de la <\/span>Compa\u00f1\u00eda.<\/span><\/p>

\u25cf\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>Propender por el uso de las tecnolog\u00edas de informaci\u00f3n y comunicaci\u00f3n de manera segura.<\/span><\/p>

\u25cf\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>Fortalecer los controles que aseguren la Confidencialidad, Integridad y Disponibilidad de la informaci\u00f3n de la <\/span>Compa\u00f1\u00eda.<\/span><\/p>

\u25cf\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>Garantizar una adecuada y permanente gesti\u00f3n de riesgos del manejo en Seguridad de la Informaci\u00f3n.<\/span><\/p>

\u25cf\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>Fortalecer la cultura en Seguridad de la Informaci\u00f3n para los usuarios internos y externos, respecto al SGSI.<\/span><\/p>

\u00a0<\/span><\/p>

1.3.\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>ALCANCE<\/span><\/h1>

\u00a0<\/span><\/p>

\u201cVECOL S.A. establece e implementa el Sistema de Gesti\u00f3n de Seguridad de la Informaci\u00f3n, el cual busca proteger la Confidencialidad, Integridad y Disponibilidad de los activos de informaci\u00f3n para los procesos: \u201cEstrat\u00e9gicos, Operacionales, Apoyo y Control\u201d, en la sede principal de Bogot\u00e1 D.C. y las bodegas de despacho <\/span>que VECOL S.A. administre, el cual exige el cumplimiento de la pol\u00edtica general y pol\u00edticas espec\u00edficas de Seguridad de la Informaci\u00f3n, controles y procedimientos que aplican a todas las partes interesadas del SGSI. Cuenta con el apoyo de la Alta Gerencia para mantener y mejorar continuamente el SGSI, basado en la gesti\u00f3n de riesgos definida por la Compa\u00f1\u00eda incluido dentro del contexto.\u201d<\/span><\/p>

\u00a0<\/span><\/p>

1.4.\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>NORMATIVIDAD APLICABLE<\/span><\/h1>

\u00a0<\/span><\/p>

\u25cf\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>Norma T\u00e9cnica Colombiana NTC-ISO-IEC 27001:2013, Tecnolog\u00eda de la Informaci\u00f3n, T\u00e9cnicas de Seguridad, Sistemas de Gesti\u00f3n de la Seguridad de la Informaci\u00f3n, Requisitos, 2013-12-11, ICONTEC Internacional.<\/span><\/p>

\u25cf\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>Gu\u00eda T\u00e9cnica Colombiana GTC-ISO-IEC 27002:2013, Tecnolog\u00eda de la informaci\u00f3n. T\u00e9cnicas de seguridad. C\u00f3digo de pr\u00e1ctica para controles de seguridad de la informaci\u00f3n, ICONTEC Internacional.<\/span><\/p>

\u00a0<\/span><\/p>

1.5.\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>DEFINICIONES<\/span><\/h1>

\u00a0<\/span><\/p>

Activo: <\/b>Se denomina activo a aquel conjunto de bienes tangibles o intangibles que posee la <\/span>Compa\u00f1\u00eda. As\u00ed mismo, se consideran activos a aquellos bienes que en el futuro tienen una importante probabilidad de convertirse en un real beneficio econ\u00f3mico, la informaci\u00f3n es el activo m\u00e1s valioso de la Compa\u00f1\u00eda.<\/span><\/p>

\u00a0<\/span><\/p>

Activo de informaci\u00f3n: <\/b>Cualquier componente (humano, tecnol\u00f3gico, software, documental o de infraestructura) que soporta uno o m\u00e1s procesos de negocios de la <\/span>Compa\u00f1\u00eda y, en consecuencia, debe ser protegido.<\/span><\/p>

\u00a0<\/span><\/p>

Acuerdo de Confidencialidad: <\/b>Documento en el que los trabajadores de VECOL S.A. o <\/span>terceros se obligan a mantener la confidencialidad de la informaci\u00f3n, comprometi\u00e9ndose a no divulgar, usar o explotar la informaci\u00f3n confidencial a la que tenga acceso en virtud de la labor que desarrollan dentro de la misma.<\/span><\/p>

\u00a0<\/span><\/p>

Alta Gerencia:<\/b> La Alta Gerencia est\u00e1 conformada por todos los reportes directos al Presidente de la sociedad. Son el soporte del Presidente y se encargan de liderar y direccionar la sociedad con el fin de asegurar su sostenibilidad, rentabilidad y viabilizar el cumplimiento de la estrategia.<\/span><\/p>

\u00a0<\/b><\/p>

An\u00e1lisis de riesgos de seguridad de la informaci\u00f3n: <\/b>Proceso sistem\u00e1tico de identificaci\u00f3n de fuentes, estimaci\u00f3n de impactos y probabilidades y comparaci\u00f3n de dichas variables contra criterios de evaluaci\u00f3n para determinar las consecuencias potenciales de p\u00e9rdida de Confidencialidad, Integridad y Disponibilidad de la informaci\u00f3n.<\/span><\/p>

\u00a0<\/span><\/p>

\u00c1reas seguras: <\/b>Son sitios en los que se maneja informaci\u00f3n sensible o valiosos equipos inform\u00e1ticos refugio y el personal para conseguir los objetivos de negocio. En el contexto de la seguridad f\u00edsica, el t\u00e9rmino \u201csitio\u201d significa edificios, habitaciones u oficinas que albergan todos los servicios e instalaciones. <\/span>La funci\u00f3n principal de la seguridad f\u00edsica es proteger los activos de informaci\u00f3n de amenazas f\u00edsicas: el acceso no autorizado, las indisponibilidades y los perjuicios causados por la acci\u00f3n humana, adem\u00e1s de eventos ambientales perjudiciales.<\/span><\/p>

\u00a0<\/span><\/p>

Autenticaci\u00f3n: <\/b>Es el procedimiento de comprobaci\u00f3n de la identidad de un usuario o recurso tecnol\u00f3gico al tratar de acceder a un recurso de procesamiento o sistema de informaci\u00f3n.<\/span><\/p>

\u00a0<\/span><\/p>

Autenticaci\u00f3n Fuerte<\/b>: Es una manera de asegurar que la persona que se identifica en un sistema es realmente quien dice ser comprobando su identidad.<\/span><\/p>

\u00a0<\/b><\/p>

Backup:<\/b> tambi\u00e9n conocido como copia de seguridad o copia de respaldo, es una copia de los datos importantes de un sistema inform\u00e1tico (como archivos, carpetas, bases de datos, configuraciones, sistemas operativos completos, etc., que se almacena en una ubicaci\u00f3n separada de los datos originales. El prop\u00f3sito principal de un backup es permitir la recuperaci\u00f3n de esta informaci\u00f3n en caso de p\u00e9rdida, corrupci\u00f3n, fallo del sistema, desastre natural, ataque malicioso (como ransomware) o cualquier otro evento que pueda comprometer la integridad o disponibilidad de los datos originales.<\/span><\/p>

\u00a0<\/span><\/p>

Centro de c\u00f3mputo: <\/b>Es el espacio f\u00edsico donde est\u00e1n alojados los equipos de datos y comunicaciones, al igual desde donde se inicia la distribuci\u00f3n del cableado a las distintas oficinas. Deben cumplir requisitos adecuados de acceso f\u00edsico, pisos, techos, suministro de alimentaci\u00f3n el\u00e9ctrica y condiciones de temperatura y humedad.<\/span><\/p>

\u00a0<\/span><\/p>

Cifrado: <\/b>Es la transformaci\u00f3n de los datos mediante el uso de la criptograf\u00eda para producir datos ininteligibles (cifrados) y asegurar su confidencialidad. El cifrado es una t\u00e9cnica muy \u00fatil para prevenir la fuga de informaci\u00f3n, el monitoreo no autorizado e incluso el acceso no autorizado a los repositorios de informaci\u00f3n.<\/span><\/p>

\u00a0<\/span><\/p>

C\u00f3digo Malicioso: <\/b>Es un c\u00f3digo inform\u00e1tico que provoca infracciones de seguridad para da\u00f1ar un sistema inform\u00e1tico. Se trata de un tipo de amenaza que no siempre puede bloquearse con un software antivirus por s\u00ed solo.<\/span><\/p>

\u00a0<\/span><\/p>

\u00a0Comit\u00e9 Institucional de Gesti\u00f3n y Desempe\u00f1o:<\/span><\/b> Comit\u00e9 dentro de la compa\u00f1\u00eda encargado de orientar\u00a0 la implementaci\u00f3n y operaci\u00f3n del modelo integrado de planeaci\u00f3n y gesti\u00f3n.<\/span><\/span><\/p>

\u00a0<\/span><\/p>

Confidencialidad de la Informaci\u00f3n: <\/b>Acceso a la informaci\u00f3n por parte \u00fanicamente de quienes est\u00e9n autorizados. Es una caracter\u00edstica o propiedad por la que la informaci\u00f3n no est\u00e1 disponible o revelada a individuos, empresas, o procesos no autorizados.<\/span><\/p>

\u00a0<\/span><\/p>

Control: <\/b>Es toda actividad o proceso encaminado a mitigar o evitar un riesgo. Incluye pol\u00edticas, procedimientos, gu\u00edas, estructuras organizacionales y buenas pr\u00e1cticas, que pueden ser de car\u00e1cter administrativo, tecnol\u00f3gico, f\u00edsico o legal.<\/span><\/p>

\u00a0<\/span><\/p>

Criptograf\u00eda: <\/b>Es la disciplina que agrupa a los principios, medios y m\u00e9todos para la transformaci\u00f3n de datos con el fin de ocultar el contenido de su informaci\u00f3n, establecer su autenticidad, prevenir su modificaci\u00f3n no detectada, prevenir su repudio, y\/o prevenir su uso no autorizado.<\/span><\/p>

\u00a0<\/span><\/p>

Derechos de Autor: <\/b>Es un conjunto de normas y principios que regulan los derechos morales y patrimoniales que la ley concede a los autores por el solo hecho de la creaci\u00f3n de un software, una obra literaria, art\u00edstica o cient\u00edfica, publicada o que todav\u00eda no se haya publicado.<\/span><\/p>

\u00a0<\/span><\/p>

Disponibilidad de la Informaci\u00f3n: <\/b>Caracter\u00edstica o propiedad de permanecer accesible y disponible para su uso cuando lo requiera una empresa autorizada.<\/span><\/p>

\u00a0<\/span><\/p>

Dispositivos de almacenamiento externo: <\/b>Cualquier formato de almacenamiento de datos que no est\u00e1 fijo de modo permanente dentro del equipo. Las ventajas residen en su facilidad de transporte derivadas<\/span> de su r\u00e1pido acceso, larga vida \u00fatil, poco tama\u00f1o y peso. Algunos ejemplos son Disco Duro externo, memorias USB, entre otros.<\/span><\/p>

\u00a0<\/span><\/p>

Drive: <\/b>servicio de almacenamiento en la nube que permite a los usuarios almacenar, sincronizar y compartir archivos en l\u00ednea. Act\u00faa como un disco duro virtual accesible desde cualquier dispositivo con conexi\u00f3n a internet.<\/span><\/p>

\u00a0<\/span><\/p>

Due\u00f1o de la informaci\u00f3n: <\/b>Es el responsable de la informaci\u00f3n que genera o utiliza en las actividades de su proceso.<\/span><\/p>

\u00a0<\/span><\/p>

Equipo de c\u00f3mputo: <\/b>Dispositivo electr\u00f3nico capaz de recibir un conjunto de instrucciones y ejecutarlas realizando c\u00e1lculos sobre los datos num\u00e9ricos, o bien compilando y correlacionando otros tipos de informaci\u00f3n.<\/span><\/p>

\u00a0<\/span><\/p>

Estudio de Confiabilidad <\/span>y Credibilidad: <\/span><\/b>Es una herramienta <\/span>para la mitigaci\u00f3n de riesgos que permite complementar los resultados de los procesos de selecci\u00f3n de personal que se realizan al interior de cada empresa. As\u00ed mismo, puede ser utilizado para complementar investigaciones en casos de robos, fraude, extorsi\u00f3n, contaminaci\u00f3n de mercanc\u00edas y otros hechos delictivos. El Estudio de Confiabilidad Personal consta de varios servicios de an\u00e1lisis. Se recomienda su uso completo, aunque cada servicio tambi\u00e9n puede ser utilizado individualmente. Ejemplos: Verificaci\u00f3n de Referencias Laborales, Visitas Domiciliarias, entre otros.<\/span><\/p>

\u00a0<\/span><\/p>

Etiquetado: <\/b>Identificaci\u00f3n del tipo de calificaci\u00f3n que se le da a la informaci\u00f3n, en dado caso que la informaci\u00f3n no <\/span>est\u00e9 etiquetada se entiende que es informaci\u00f3n p\u00fablica.<\/span><\/p>

\u00a0<\/span><\/p>

Evento de Seguridad: <\/b>Ocurrencia de una situaci\u00f3n que indica una posible violaci\u00f3n a las pol\u00edticas de seguridad de la informaci\u00f3n o fallas en los controles que no genere un impacto en el desarrollo de las operaciones de la <\/span>Compa\u00f1\u00eda y que puede ser controlado r\u00e1pidamente.<\/span><\/p>

\u00a0<\/span><\/p>

Factor de Autenticaci\u00f3n: <\/b>Se <\/span>trata de una medida de seguridad. Cuando se habla de autenticaci\u00f3n multifactor combina dos o m\u00e1s credenciales independientes:\u00a0 lo que sabe el usuario (<\/span>contrase\u00f1a<\/span><\/a>),\u00a0 lo\u00a0 que tiene el usuario (token de seguridad) y lo que es el usuario (verificaci\u00f3n biom\u00e9trica<\/span>).<\/span><\/p>

Firewall Personal: <\/b>Es un programa que funciona en su computador de forma permanente. El programa monitoriza las conexiones que entran y salen de su computador y es capaz de distinguir las que son leg\u00edtimas de las realizadas por atacantes. En este segundo caso, las bloquea <\/span>y notifica al usuario del computador.<\/span><\/p>

\u00a0<\/span><\/p>

Gabinete: <\/b>Armario met\u00e1lico cerrado donde se encuentra ubicado todo lo referente a telecomunicaciones switch, Modem, hubs entre otros, de all\u00ed se env\u00eda el cableado al resto de la estructura para crear los puntos de trabajo.<\/span><\/p>

\u00a0<\/span><\/p>

GEL: <\/b>Gobierno en L\u00ednea.<\/span><\/p>

\u00a0<\/span><\/p>

Grupo de Trabajo de Arquitectura Empresarial:<\/span><\/b> Es un comit\u00e9 dentro de Vecol para definir y tomar decisiones operativas y t\u00e9cnicas con relaci\u00f3n a la arquitectura empresarial de la entidad.<\/b><\/span><\/p>

\u00a0<\/span><\/p>

Hacking \u00e9tico: <\/b>Conjunto de actividades para ingresar a las redes de datos y voz de la <\/span>Compa\u00f1\u00eda con el objeto de lograr un alto grado de penetraci\u00f3n en los sistemas, de forma controlada, sin ninguna intenci\u00f3n maliciosa, ni delictiva y sin generar da\u00f1os en los sistemas o redes, con el prop\u00f3sito de mostrar el nivel efectivo de riesgo a lo cual est\u00e1 expuesta la informaci\u00f3n, y proponer eventuales acciones correctivas para mejorar el nivel de seguridad.<\/span><\/p>

\u00a0<\/span><\/p>

Herramientas colaborativas: <\/b>aplicaci\u00f3n o plataforma digital dise\u00f1ada para facilitar el trabajo conjunto y la comunicaci\u00f3n entre dos o m\u00e1s personas o equipos, independientemente de su ubicaci\u00f3n f\u00edsica. Estas herramientas permiten la creaci\u00f3n, el intercambio, la edici\u00f3n y la gesti\u00f3n compartida de informaci\u00f3n y recursos, con el objetivo de mejorar la productividad, la eficiencia y la toma de decisiones dentro de la organizaci\u00f3n.<\/b><\/span><\/p>

\u00a0<\/span><\/p>

Incidente de Seguridad: <\/b>Ocurrencia de un acto intencional o no intencional que tiene una alta probabilidad de afectar el buen funcionamiento de los sistemas de informaci\u00f3n, que a causa de este acto se vea afectada la operaci\u00f3n de la <\/span>Compa\u00f1\u00eda y que por lo tanto amenaza la seguridad de la informaci\u00f3n.<\/span><\/p>

\u00a0<\/span><\/p>

Ingenier\u00eda Social: <\/b>Se refiere al arte de manipular personas para eludir los sistemas de seguridad. Esta t\u00e9cnica consiste en obtener informaci\u00f3n de los usuarios por tel\u00e9fono, correo electr\u00f3nico, correo tradicional o contacto directo. Los atacantes de la ingenier\u00eda social usan la fuerza persuasiva y se aprovechan de la inocencia del usuario haci\u00e9ndose pasar por un compa\u00f1ero de trabajo, un t\u00e9cnico o un administrador, entre otros.<\/span><\/p>

\u00a0<\/span><\/p>

Inteligencia artificial (IA):<\/b> Es un campo de la inform\u00e1tica dedicado a la creaci\u00f3n de sistemas y programas capaces de simular capacidades cognitivas humanas. Estos sistemas est\u00e1n dise\u00f1ados para realizar tareas que normalmente requieren inteligencia humana, como el aprendizaje, el razonamiento, la resoluci\u00f3n de problemas, la percepci\u00f3n, la comprensi\u00f3n del lenguaje natural y la toma de decisiones.<\/span><\/p>

\u00a0<\/span><\/p>

Inteligencia artificial generativa (IAG)<\/b>: es un tipo de inteligencia artificial que se enfoca en la creaci\u00f3n de contenido nuevo y original, similar al creado por humanos, a partir de los datos con los que ha sido entrenada. En lugar de simplemente analizar o clasificar datos existentes, la IAG aprende los patrones y la estructura subyacente de estos datos para luego generar nuevas instancias que siguen esas mismas caracter\u00edsticas.<\/span><\/p>

\u00a0<\/span><\/p>

Integridad de la Informaci\u00f3n: <\/b>Propiedad que busca mantener los datos libres de modificaciones no autorizadas y salvaguardar la exactitud y completitud de los activos.<\/span><\/p>

\u00a0<\/span><\/p>

Licencia de software: <\/b>Contrato en donde se especifican todas las normas y cl\u00e1usulas que rigen el uso de un determinado producto de software, teniendo en cuenta aspectos como: alcances de uso, instalaci\u00f3n, reproducci\u00f3n y copia de estos productos.<\/span><\/p>

\u00a0<\/span><\/p>

Lista de distribuci\u00f3n: <\/b>tambi\u00e9n conocida como lista de correo o grupo de correo, es una agrupaci\u00f3n l\u00f3gica de direcciones de correo electr\u00f3nico bajo un \u00fanico nombre o direcci\u00f3n de correo electr\u00f3nico principal. Cuando se env\u00eda un mensaje a la direcci\u00f3n de la lista de distribuci\u00f3n, el servidor de correo electr\u00f3nico autom\u00e1ticamente r\u00e9plica y distribuye este mensaje a todas las direcciones de correo electr\u00f3nico individuales que forman parte de la lista.<\/span><\/p>

\u00a0<\/span><\/p>

Medio removible: <\/b>Cualquier componente extra\u00edble de hardware que sea usado para el almacenamiento de informaci\u00f3n; <\/span>los medios removibles incluye: cintas, discos duros removibles, CDs, DVDs y unidades de almacenamiento USB, entre otras.<\/span><\/p>

\u00a0<\/span><\/p>

No Repudio: <\/b>Sirve a los emisores o a los receptores para no poder negar un mensaje transmitido. Por lo que cuando un mensaje es enviado, el receptor puede probar que el mensaje fue enviado por el presunto emisor. De manera similar, cuando un mensaje es recibido, el remitente puede probar que el mensaje fue recibido por el presunto receptor.<\/span><\/p>

\u00a0<\/span><\/p>

Perfiles de usuario: <\/b>Grupos que concentran varios usuarios con similares necesidades de informaci\u00f3n y autorizaciones id\u00e9nticas sobre los recursos tecnol\u00f3gicos o los sistemas de informaci\u00f3n a los cuales se les concede acceso de acuerdo con las funciones realizadas. Las modificaciones sobre un perfil de usuario afectan a todos los usuarios cobijados dentro de \u00e9l.<\/span><\/p>

\u00a0<\/span><\/p>

Privacidad: <\/b>El derecho de individuos y organizaciones para controlar la recolecci\u00f3n, almacenamiento y diseminaci\u00f3n de informaci\u00f3n acerca de ellos mismos.<\/span><\/p>

\u00a0<\/span><\/p>

Procedimientos: <\/b>Documentos que contienen las instrucciones detalladas y las responsabilidades de las personas involucradas en la realizaci\u00f3n de operaciones o actividades y pueden generar registros que se utilizan como complemento de la documentaci\u00f3n.<\/span><\/p>

\u00a0<\/span><\/p>

Propiedad intelectual: <\/b>Es el reconocimiento de un derecho particular en favor de un autor u otros titulares de derechos, sobre las obras del intelecto humano. Este reconocimiento es aplicable a cualquier propiedad que se considere de naturaleza intelectual y merecedora de protecci\u00f3n, incluyendo las invenciones cient\u00edficas y tecnol\u00f3gicas, las producciones literarias o art\u00edsticas, las marcas y los identificadores, los dibujos y modelos industriales y las indicaciones geogr\u00e1ficas.<\/span><\/p>

\u00a0<\/span><\/p>

Rack: <\/span><\/b>Es un t\u00e9rmino ingl\u00e9s que se emplea para nombrar a la <\/span>estructura <\/span><\/a>que permite sostener o albergar un dispositivo tecnol\u00f3gico. Se trata de un armaz\u00f3n met\u00e1lico que, de acuerdo a sus caracter\u00edsticas, sirve para alojar una computadora, un enrutador u otra clase de equipo.<\/span><\/p>

\u00a0<\/span><\/p>

Recursos tecnol\u00f3gicos: <\/b>Son aquellos componentes de hardware y software tales como: servidores (de aplicaciones y de servicios de red) estaciones de trabajo, equipos port\u00e1tiles, dispositivos de comunicaciones y de seguridad, servicios de red de datos y bases de datos, entre otros, los cuales tienen como finalidad apoyar las tareas administrativas necesarias para el buen funcionamiento y la optimizaci\u00f3n del trabajo al interior de VECOL S.A.<\/span><\/p>

\u00a0<\/span><\/p>

Registros de Auditor\u00eda: <\/b>Archivos donde son registrados los eventos que se han identificado en los sistemas de informaci\u00f3n, recursos tecnol\u00f3gicos y redes de datos de la <\/span>Compa\u00f1\u00eda. Dichos eventos pueden ser, entre otros, identificaci\u00f3n de usuarios, eventos y acciones ejecutadas, terminales o ubicaciones, intentos de acceso exitosos y fallidos, cambios a la configuraci\u00f3n, uso de utilidades y fallas de los sistemas.<\/span><\/p>

\u00a0<\/span><\/p>

Requisitos de Seguridad: <\/b>Lineamientos que debe cumplir a nivel de seguridad de la informaci\u00f3n o seguridad inform\u00e1tica, alg\u00fan producto, sistema de informaci\u00f3n o servicio.<\/span><\/p>

\u00a0<\/span><\/p>

Responsable por el activo de informaci\u00f3n: <\/b>Es la persona o grupo de personas encargadas de velar por la Confidencialidad, la Integridad y Disponibilidad de los activos de informaci\u00f3n y decidir la forma de usar, identificar, clasificar y proteger dichos activos a su cargo.<\/span><\/p>

\u00a0<\/span><\/p>

Riesgo: <\/b>Posibilidad de que una amenaza concreta pueda explotar una vulnerabilidad para causar una p\u00e9rdida o da\u00f1o en un activo de informaci\u00f3n.<\/span><\/p>

\u00a0<\/span><\/p>

Sanitizaci\u00f3n: <\/b>En el manejo de informaci\u00f3n confidencial o sensible, es el proceso l\u00f3gico y\/o f\u00edsico mediante el cual se remueve informaci\u00f3n considerada sensible o confidencial de un medio ya sea f\u00edsico o magn\u00e9tico, ya sea con el objeto de desclasificarlo, reutilizar el medio o destruir el medio en el cual se encuentra.<\/span><\/p>

\u00a0<\/span><\/p>

Seguridad de la Informaci\u00f3n: <\/b>Tiene como fin la protecci\u00f3n de la informaci\u00f3n y de los sistemas de la informaci\u00f3n del acceso, uso, divulgaci\u00f3n, interrupci\u00f3n o destrucci\u00f3n no autorizada, sin importar en el medio o formato en el que se encuentren.<\/span><\/p>

\u00a0<\/span><\/p>

SGSI: <\/b>Sistema de Gesti\u00f3n de Seguridad de la Informaci\u00f3n.<\/span><\/p>

\u00a0<\/span><\/p>

Sistema de informaci\u00f3n: <\/b>Es un conjunto organizado de datos, operaciones y transacciones que interact\u00faan para el almacenamiento y procesamiento de la informaci\u00f3n que, a su vez, requiere la interacci\u00f3n de uno o m\u00e1s activos de informaci\u00f3n para efectuar sus tareas. Un sistema de informaci\u00f3n es todo componente de software ya sea de origen interno, es decir desarrollado por VECOL S.A. o de origen externo, ya sea adquirido por la <\/span>Compa\u00f1\u00eda como un producto est\u00e1ndar de mercado o desarrollado para las necesidades de \u00e9sta.<\/span><\/p>

\u00a0<\/span><\/p>

Software malicioso: <\/b>Es una variedad de software o programas de c\u00f3digos hostiles e intrusivos que tienen como objeto infiltrarse o da\u00f1ar los recursos tecnol\u00f3gicos, sistemas operativos, redes de datos o sistemas de informaci\u00f3n.<\/span><\/p>

\u00a0<\/span><\/p>

Teletrabajo<\/b>: Actividad laboral que se desarrolla fuera de las instalaciones de la Empresa, apelando a las tecnolog\u00edas de la informaci\u00f3n y de la comunicaci\u00f3n para el desarrollo de las actividades propias de la Empresa. Por lo tanto, el teletrabajo es el trabajo que se realiza a distancia equipado con un computador con conexi\u00f3n a Internet. Para el caso del presente manual el concepto Teletrabajo no tiene el alcance completo definido en la Ley 1221 de 2008 que incluye trabajo desde el hogar del trabajador<\/span> ni de la ley 2088 de 2021 que regula el trabajo en casa.<\/span><\/p>

\u00a0<\/span><\/p>

T.I.<\/b>: Tecnolog\u00edas de la Informaci\u00f3n.<\/span><\/p>

\u00a0<\/span><\/p>

Usuarios: <\/b>Incluye tanto internos como externos y otros grupos, donde los usuarios externos se refieren a clientes mayoristas, clientes minoristas, gremios y asociaciones, usuario final, Entidades del Estado Nacionales e Internacionales, accionistas, y proveedores. Mientras que los usuarios internos se refieren a trabajadores activos, tem<\/span>porales, practicantes del SENA y universitarios, trabajadores pensionados y retirados, as\u00ed como de cualquier otro que por su actividad tenga acceso a informaci\u00f3n de la compa\u00f1\u00eda. Tambi\u00e9n otros grupos como accionistas y proveedores.<\/span><\/p>

\u00a0<\/span><\/p>

Vulnerabilidades: <\/b>Son las debilidades, huecos de seguridad o flaquezas inherentes a los activos de informaci\u00f3n que pueden ser explotadas por factores externos y no controlables por la empresa (amenazas), las cuales se constituyen en fuentes de riesgo.<\/span><\/p>

\u00a0<\/span><\/p>

1.6.\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>PRINCIPIOS<\/span><\/h1>

\u00a0<\/span><\/p>

A continuaci\u00f3n, se establecen los principios de Seguridad de la Informaci\u00f3n que soportan el SGSI de VECOL S.A.:<\/span><\/p>

\u00a0<\/span><\/p>

\u25cf\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>Las responsabilidades frente a la Seguridad de la Informaci\u00f3n son definidas, compartidas, publicadas por la Alta <\/span>Gerencia, y aceptadas por cada uno de los usuarios internos y externos.<\/span><\/p>

\u25cf\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>VECOL S.A. protege:<\/span><\/p>

\u2714\u00a0\u00a0\u00a0 <\/span><\/span>Que la informaci\u00f3n generada, procesada o resguardada por los procesos de negocio, su infraestructura tecnol\u00f3gica y activos, del riesgo que se genera de los accesos otorgados a cada uno de los usuarios internos y externos.<\/span><\/p>

\u2714\u00a0\u00a0\u00a0 <\/span><\/span>Que la informaci\u00f3n creada, procesada, transmitida o resguardada por sus procesos de negocio, con el fin de minimizar impactos financieros, operativos o legales debido a un uso indebido de esta. Para ello es fundamental la aplicaci\u00f3n de controles de acuerdo con la clasificaci\u00f3n de la informaci\u00f3n de su propiedad o en custodia.<\/span><\/p>

\u2714\u00a0\u00a0\u00a0 <\/span><\/span>Que las instalaciones de procesamiento de informaci\u00f3n y la infraestructura tecnol\u00f3gica que soporta sus procesos cr\u00edticos est\u00e9n actualizados.<\/span><\/p>

\u25cf\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>VECOL S.A. <\/span>procurar\u00e1 mantener la plataforma tecnol\u00f3gica actualizada seg\u00fan la planeaci\u00f3n estrat\u00e9gica de la Compa\u00f1\u00eda.<\/span><\/p>

\u25cf\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>VECOL S.A. deber\u00e1 implementar controles de acceso a los activos de informaci\u00f3n.<\/span><\/p>

\u25cf\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>VECOL S.A. incorpora la seguridad como parte integral del ciclo de vida de los sistemas de informaci\u00f3n, a trav\u00e9s de una adecuada gesti\u00f3n de riesgos.<\/span><\/p>

\u25cf\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>VECOL S.A. propende:<\/span><\/p>

\u2714\u00a0\u00a0\u00a0 <\/span><\/span>Por la disponibilidad de sus procesos de negocio y la continuidad de sus servicios, con base en el impacto que pueden generar los incidentes de seguridad de la informaci\u00f3n.<\/span><\/p>

\u2714\u00a0\u00a0\u00a0 <\/span><\/span>Por el cumplimiento de las obligaciones legales, regulatorias y contractuales establecidas.<\/span><\/p>

\u00a0<\/span><\/p>

\u25cf\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>Propiedad<\/span> de la Informaci\u00f3n:<\/span><\/p>

\u2714\u00a0\u00a0\u00a0 <\/span><\/span>La informaci\u00f3n creada, procesada, almacenada o transmitida utilizando los recursos de VECOL S.A., incluyendo hardware, software, redes y herramientas colaborativas (correo electr\u00f3nico, ofim\u00e1tica, servicios en nube, etc. – ver DEFINICIONES), es propiedad de VECOL S.A.\u00a0<\/span><\/p>

\u2714\u00a0\u00a0\u00a0 <\/span><\/span>La informaci\u00f3n se clasifica seg\u00fan su nivel de sensibilidad (Anexo 3. Inventario Clasificaci\u00f3n y Valoraci\u00f3n de activos de informaci\u00f3n). Cada clasificaci\u00f3n implica responsabilidades espec\u00edficas de manejo y protecci\u00f3n.\u00a0<\/span><\/p>

\u2714\u00a0\u00a0\u00a0 <\/span><\/span>La informaci\u00f3n<\/span> que no est\u00e9 clasificada se tomar\u00e1 como reservada y clasificada.<\/span><\/p>

\u25cf\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>Uso de herramientas:<\/span><\/p>

\u2714\u00a0\u00a0\u00a0 <\/span><\/span>Las herramientas colaborativas, as\u00ed como las de IA y IAG , entre otras, proporcionadas por VECOL S.A., son para uso exclusivo en actividades laborales. El uso personal est\u00e1 totalmente prohibido, ya que no debe comprometer la seguridad de la informaci\u00f3n de la Compa\u00f1\u00eda.\u00a0<\/span><\/p>

\u2714\u00a0\u00a0\u00a0 <\/span><\/span>Los empleados son responsables de usar estas herramientas de manera adecuada, siguiendo las pol\u00edticas de seguridad y privacidad.\u00a0<\/span><\/p>

\u2714\u00a0\u00a0\u00a0 <\/span><\/span>El departamento de TI se reserva el derecho de monitorear el uso de las herramientas para garantizar<\/span> su buen uso y proteger la informaci\u00f3n de la Compa\u00f1\u00eda.<\/span><\/p>

\u00a0<\/span><\/p>

1.7.\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>COMPROMISO DE LA ALTA GERENCIA<\/span><\/h1>

\u00a0<\/span><\/p>

La Alta Gerencia de VECOL S.A., entendiendo la importancia de una adecuada gesti\u00f3n de la informaci\u00f3n, se ha comprometido con la implementaci\u00f3n de un Sistema de Gesti\u00f3n de Seguridad de la Informaci\u00f3n (SGSI) buscando establecer un marco de confianza en el ejercicio de sus deberes con el Estado y los ciudadanos, todo enmarcado en el estricto cumplimiento de las leyes y en concordancia con la misi\u00f3n y visi\u00f3n de la <\/span>Compa\u00f1\u00eda y el fortalecimiento de los procesos Estrat\u00e9gicos, Operacionales y de Apoyo y Control.<\/span><\/p>

\u00a0<\/span><\/p>

La Alta Gerencia de VECOL S.A. est\u00e1 comprometida con el desarrollo y la implementaci\u00f3n de pol\u00edticas de Seguridad de la Informaci\u00f3n, as\u00ed como de su mejora continua, mediante:<\/span><\/p>

\u00a0<\/span><\/p>

\u25cf\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>La autorizaci\u00f3n para la implementaci\u00f3n de Pol\u00edticas de Seguridad de la Informaci\u00f3n en VECOL S.A.<\/span><\/p>

\u25cf\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>La aprobaci\u00f3n de Pol\u00edticas de Seguridad de la Informaci\u00f3n.<\/span><\/p>

\u25cf\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>El suministro de los recursos necesarios para una adecuada implementaci\u00f3n de Pol\u00edticas de Seguridad de la Informaci\u00f3n y el SGSI.<\/span><\/p>

\u25cf\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>La comunicaci\u00f3n a los usuarios internos y externos de la importancia de las Pol\u00edticas de Seguridad de la Informaci\u00f3n para el logro de los objetivos de Seguridad de la Informaci\u00f3n.<\/span><\/p>

\u00a0<\/span><\/p>

Este Manual de Seguridad y Privacidad de la Informaci\u00f3n est\u00e1 fundamentado en la Norma T\u00e9cnica Colombiana NTC-ISO-IEC 27001:2013, Tecnolog\u00eda de la Informaci\u00f3n. T\u00e9cnicas de Seguridad. Sistemas de Gesti\u00f3n de la Seguridad de la Informaci\u00f3n, y la Gu\u00eda T\u00e9cnica Colombiana GTC-ISO-IEC 27002:2013, Tecnolog\u00eda de la informaci\u00f3n. T\u00e9cnicas de seguridad. C\u00f3digo de pr\u00e1ctica para controles de seguridad de la informaci\u00f3n, que recopila las mejores pr\u00e1cticas, para suministrar lineamientos para el diagn\u00f3stico, planificaci\u00f3n, implementaci\u00f3n, gesti\u00f3n y mejoramiento continuo del Sistema de Gesti\u00f3n de Seguridad de la Informaci\u00f3n (SGSI), y este es influenciado por las necesidades y objetivos, los requisitos de seguridad, los procesos y el tama\u00f1o y estructura de la <\/span>Compa\u00f1\u00eda, adem\u00e1s persigue preservar la Confidencialidad, Integridad, Disponibilidad y privacidad de la informaci\u00f3n, brindando confianza a las partes interesadas acerca de la adecuada gesti\u00f3n de la Informaci\u00f3n de la Compa\u00f1\u00eda.<\/span><\/p>

\u00a0<\/span><\/p>

Todas las actividades realizadas por usuarios internos y externos de VECOL S.A. est\u00e1n bajo el control del Sistema de Gesti\u00f3n de Seguridad de la Informaci\u00f3n (SGSI), que se somete de forma regular y sistem\u00e1tica a auditor\u00edas internas al Sistema de Gesti\u00f3n, con el fin de asegurar su eficacia.<\/span><\/p>

\u00a0<\/span><\/p>

El presente Manual de Seguridad y Privacidad de la Informaci\u00f3n est\u00e1 a disposici\u00f3n de todos los usuarios internos y externos de la <\/span>Compa\u00f1\u00eda para servir de gu\u00eda en las actividades referentes a la Seguridad de la Informaci\u00f3n.<\/span><\/p>

\u00a0<\/span><\/p>

La Presidencia aprueba el contenido de este Manual y lo declara de obligatorio cumplimiento en todos los procesos de la <\/span>Compa\u00f1\u00eda.<\/span><\/p>

\u00a0<\/span><\/p>

1.8.\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>SANCIONES PARA LAS VIOLACIONES A LAS POL\u00cdTICAS DE SEGURIDAD DE LA INFORMACI\u00d3N.<\/span><\/h1>

\u00a0<\/span><\/p>

Las Pol\u00edticas de Seguridad de la Informaci\u00f3n pretenden instituir y afianzar la cultura de Seguridad de la Informaci\u00f3n entre los usuarios internos y externos de VECOL S.A. Por tal raz\u00f3n, es necesario que las violaciones al Sistema de Gesti\u00f3n de Seguridad de la Informaci\u00f3n (SGSI), se analicen teniendo en cuenta las diferentes disposiciones legales que apli<\/span>quen en la materia, con el objetivo de aplicar las medidas correctivas que legalmente procedan y as\u00ed mitigar posibles afectaciones contra la Seguridad de la Informaci\u00f3n. Las medidas correctivas pueden considerar desde acciones administrativas, hasta acciones de orden disciplinario o penal, de acuerdo con las circunstancias, si as\u00ed lo ameritan. Las violaciones a las pol\u00edticas de seguridad de la informaci\u00f3n ser\u00e1n consideradas como un incumplimiento a la presente pol\u00edtica y el mismo ser\u00e1 calificado con base en la legislaci\u00f3n laboral, el reglamento Interno de Trabajo y los acuerdos colectivos vigentes en VECOL S.A.<\/span><\/p>

\u00a0<\/span><\/p>

1.9.\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>REVISI\u00d3N POR LA DIRECCI\u00d3N.<\/span><\/h1>

\u00a0<\/span><\/p>

El Comit\u00e9 <\/span>Institucional de Gesti\u00f3n y Desempe\u00f1o revisa anualmente el desempe\u00f1o, eficacia y eficiencia del Sistema de Gesti\u00f3n de Seguridad de la Informaci\u00f3n (SGSI), as\u00ed como el cumplimiento de las pol\u00edticas y objetivos de Seguridad de la Informaci\u00f3n, seg\u00fan lo establece la Resoluci\u00f3n 00<\/span>9-2022. <\/span>Para efectuar dichas revisiones, el Comit\u00e9 Institucional de Gesti\u00f3n y Desempe\u00f1o cuenta con la asistencia del Director del Departamento de T.I., quien es el responsable de la preparaci\u00f3n de los elementos de entrada necesarios para efectuar la revisi\u00f3n y se defini\u00f3 la siguiente informaci\u00f3n:<\/span><\/p>

\u00a0<\/span><\/p>

a.\u00a0\u00a0\u00a0\u00a0 <\/span><\/span><\/b>Estado de las acciones con relaci\u00f3n a las revisiones previas por la Direcci\u00f3n.<\/span><\/p>

b.\u00a0\u00a0\u00a0\u00a0 <\/span><\/span><\/b>Los <\/span>cambios que podr\u00edan afectar al Sistemas de Gesti\u00f3n de Seguridad de la Informaci\u00f3n (SGSI).<\/span><\/p>

c.\u00a0\u00a0\u00a0\u00a0 <\/span><\/span><\/b>Desempe\u00f1o de la Seguridad de la Informaci\u00f3n referente a:<\/span><\/p>

\u25cf\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>No conformidades y acciones correctivas.<\/span><\/p>

\u25cf\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>Seguimiento y resultados de las mediciones.<\/span><\/p>

\u25cf\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>Resultados de auditor\u00edas internas y externas del SGSI.<\/span><\/p>

\u25cf\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>Cumplimiento de la Pol\u00edtica General y los objetivos espec\u00edficos de Seguridad de la Informaci\u00f3n.<\/span><\/p>

d.\u00a0\u00a0\u00a0\u00a0 <\/span><\/span><\/b>Resultados de la valoraci\u00f3n de riesgos y el estado del plan de tratamiento de riesgos.<\/span><\/p>

e.\u00a0\u00a0\u00a0\u00a0 <\/span><\/span><\/b>Oportunidades de mejora continua.<\/span><\/p>

\u00a0<\/span><\/p>

El Comit\u00e9 <\/span>Institucional de Gesti\u00f3n y Desempe\u00f1o delega en el Director de Aseguramiento de Calidad y Jefe de secci\u00f3n de Aseguramiento de Calidad, el seguimiento de las acciones correctivas y preventivas, oportunidades de mejora continua y cualquier necesidad de cambio en el SGSI, requeridas como resultado de la revisi\u00f3n por la direcci\u00f3n para garantizar que el Sistema de Gesti\u00f3n de Seguridad de la Informaci\u00f3n est\u00e9 funcionando acorde con las Pol\u00edticas y Objetivos de Seguridad de la Informaci\u00f3n de la Compa\u00f1\u00eda.<\/span><\/p>

\u00a0<\/span><\/p>

1.10.\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>MEJORA<\/span>.<\/span><\/h1>

\u00a0<\/span><\/p>

1.10.1. <\/span><\/b>NO CONFORMIDADES Y ACCIONES CORRECTIVAS.<\/b><\/p>

\u00a0<\/b><\/p>

VECOL S.A., cuando ocurra una no conformidad:<\/span><\/p>

\u00a0<\/span><\/p>

a.\u00a0\u00a0\u00a0\u00a0 <\/span><\/span><\/b>Toma acciones para controlarla y corregirla<\/span><\/p>

b.\u00a0\u00a0\u00a0\u00a0 <\/span><\/span><\/b>Eval\u00faa la necesidad de acciones para eliminar las causas de la no conformidad, de tal manera que no vuelva a ocurrir.<\/span><\/p>

\u25cf\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>Identifica la no conformidad<\/span><\/p>

\u25cf\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>Hace una revisi\u00f3n de la no conformidad<\/span><\/p>

\u25cf\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>Realiza la determinaci\u00f3n de las causas de la no conformidad<\/span><\/p>

\u25cf\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>Realiza la determinaci\u00f3n de si existen no conformidades<\/span><\/p>

c.\u00a0\u00a0\u00a0\u00a0 <\/span><\/span><\/b>Implementa acciones necesarias<\/span><\/p>

d.\u00a0\u00a0\u00a0\u00a0 <\/span><\/span><\/b>Revisa la eficacia de las acciones tomadas<\/span><\/p>

e.\u00a0\u00a0\u00a0\u00a0 <\/span><\/span><\/b>Hace cambios al SGSI si es necesario<\/span><\/p>

f.\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span><\/b>Documenta la informaci\u00f3n relacionada con las causas y las acciones realizadas de la no conformidad.<\/span><\/p>

g.\u00a0\u00a0\u00a0\u00a0 <\/span><\/span><\/b>An\u00e1lisis de procedencia de acciones legales de tipo penal y\/o administrativo.<\/span><\/p>

\u00a0<\/span><\/p>

Con el fin de garantizar la soluci\u00f3n y evitar la recurrencia o prevenir las no conformidades, se procede de acuerdo con lo descrito en el PRO-GC1-014 \u201c<\/span>GESTI\u00d3N DE NO CONFORMIDADES\u201d.<\/span><\/p>

\u00a0<\/span><\/p>

1.10.2.\u00a0\u00a0\u00a0 <\/span><\/span>MEJORA CONTINUA.<\/span><\/h1>

\u00a0<\/span><\/p>

VECOL S.A. debe mejorar continuamente la conveniencia, adecuaci\u00f3n y eficacia del SGSI. Se realizan capacitaciones a todo el personal para garantizar la actualizaci\u00f3n en el desarrollo del talento humano en temas de Seguridad de la Informaci\u00f3n, y mantiene un seguimiento permanente a las acciones correctivas y preventivas.<\/span>
<\/span><\/p>

\u00a0 <\/span>Cap\u00edtulo 2\u00a0\u00a0\u00a0 <\/span><\/span><\/b>GESTI\u00d3N DEL MANUAL DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACI\u00d3N<\/b><\/p>

\u00a0<\/b><\/p>

\u00a0\u00a0\u00a0\u00a0 <\/span>2.1.\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span><\/b>PRESENTACI\u00d3N DEL MANUAL<\/b><\/p>

\u00a0<\/b><\/p>

El Manual de Seguridad y Privacidad de la Informaci\u00f3n de VECOL S.A. establece las buenas pr\u00e1cticas en materia de Seguridad de la Informaci\u00f3n, con el fin de dar cumplimiento a la Norma T\u00e9cnica Colombiana NTC-ISO-IEC 27001:2013, Tecnolog\u00eda de la Informaci\u00f3n. T\u00e9cnicas de Seguridad, Sistemas de Gesti\u00f3n de la Seguridad de la Informaci\u00f3n, y la Gu\u00eda T\u00e9cnica Colombiana GTC-ISO-IEC 27002:2013, Tecnolog\u00eda de la informaci\u00f3n. T\u00e9cnicas de seguridad. C\u00f3digo de pr\u00e1ctica para controles de seguridad de la informaci\u00f3n, y est\u00e1 constituido por cuatro cap\u00edtulos de los cuales el primero hace referencia a las generalidades, el segundo hace referencia a la gesti\u00f3n del manual, el tercero hace referencia a la organizaci\u00f3n interna y el cuarto hace referencia a la pol\u00edtica general y pol\u00edticas espec\u00edficas de Seguridad de la Informaci\u00f3n.<\/span><\/p>

\u00a0<\/span><\/p>

El Manual de Seguridad y Privacidad de la Informaci\u00f3n, aplica a todos los procesos Estrat\u00e9gicos, Operacionales y los de Apoyo y Control de la Compa\u00f1\u00eda y por lo tanto es de obligatorio cumplimiento por todos los colaboradores.<\/span><\/p>

\u00a0<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0 <\/span>2.2.\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span><\/b>ELABORACI\u00d3N, REVISI\u00d3N Y APROBACI\u00d3N<\/b><\/p>

\u00a0<\/span><\/p>

El Manual de Seguridad y Privacidad de la Informaci\u00f3n es un documento fundamental cuya elaboraci\u00f3n recae en la responsabilidad del <\/span>Director de TI y\/o a quien delegue, encargado de su dise\u00f1o, redacci\u00f3n y actualizaci\u00f3n, garantizando que el contenido sea preciso, relevante y cumpla con las normativas vigentes.<\/span><\/p>

\u00a0<\/span><\/p>

Una vez elaborado el manual, o cuando se presentan propuestas de cambios significativos, el <\/span>Director de TI y\/o su delegado tiene la tarea de presentarlo ante el Grupo de Trabajo de Arquitectura Empresarial, su funci\u00f3n principal es analizar el manual o los cambios propuestos, ofreciendo sugerencias, recomendaciones y aportes. Esta etapa de retroalimentaci\u00f3n es vital para asegurar que el manual sea integral, aborde todas las perspectivas relevantes de la empresa y se alinee con la estrategia general de arquitectura empresarial.<\/span><\/p>

\u00a0<\/span><\/p>

El Manual de Seguridad y Privacidad de la Informaci\u00f3n se elabora siguiendo los lineamientos que se encuentran en el PRO-GC1-001 \u201cClasificaci\u00f3n y Presentaci\u00f3n de Documentos\u201d<\/span><\/p>

\u00a0<\/span><\/p>

El proceso de revisi\u00f3n de este manual recae en el Comit\u00e9 Institucional de Gesti\u00f3n y Desempe\u00f1o. Este comit\u00e9 es el responsable de analizar, evaluar y validar las modificaciones propuestas, asegurando que el manual se ajuste a las mejores pr\u00e1cticas de la industria y cumpla con la normativa vigente en materia de seguridad y privacidad de la informaci\u00f3n. Una vez que el comit\u00e9 ha dado su aprobaci\u00f3n, el manual est\u00e1 listo para su legalizaci\u00f3n y posterior divulgaci\u00f3n en toda la organizaci\u00f3n.<\/span><\/p>

\u00a0<\/p>

El Comit\u00e9 Institucional de Gesti\u00f3n y Desempe\u00f1o tiene la responsabilidad indelegable de aprobar el Manual de Seguridad y Privacidad de la Informaci\u00f3n. Esta aprobaci\u00f3n, as\u00ed como la de cualquier modificaci\u00f3n subsiguiente, debe formalizarse mediante una Resoluci\u00f3n Especial de Presidencia. \u00c9sta medida garantiza el respaldo institucional y la obligatoriedad del cumplimiento de las directrices establecidas en el manual.<\/span><\/p>

\u00a0<\/span><\/p>

Una vez la Resoluci\u00f3n Especial sea firmada por Presidencia, el documento deber\u00e1 formalizarse con la firma de revisi\u00f3n del Jefe de Desarrollo y Nuevas Tecnolog\u00edas y la firma de aprobaci\u00f3n del Director de TI.<\/span><\/p>

\u00a0<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0 <\/span>2.3.\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span><\/b>DISTRIBUCI\u00d3N<\/b><\/p>

\u00a0<\/span><\/p>

El Jefe de Secci\u00f3n de Aseguramiento de Calidad es el responsable de generar y distribuir las copias digitales del Manual de Seguridad y Privacidad de la Informaci\u00f3n, asegurando su integridad y el control de versiones.<\/span><\/p>

Para facilitar el acceso y consulta, el manual se encuentra disponible en el Sistema Documental de la organizaci\u00f3n (Drive). El documento original y su versi\u00f3n maestra son custodiados por la Jefatura de Aseguramiento de Calidad, garantizando su autenticidad y protecci\u00f3n.<\/span><\/p>

\u00a0<\/span><\/p>

\u00a0<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0 <\/span>2.4.\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span><\/b>CONTROL DE CAMBIOS<\/b><\/p>

\u00a0<\/span><\/p>

Para asegurar la continua adecuaci\u00f3n del Manual de Seguridad y Privacidad de la Informaci\u00f3n este se revisa y\/o modifica, seg\u00fan se requiera o si no se han suscitado cambios, se revisa completamente cada 3 a\u00f1os.<\/span><\/p>

\u00a0<\/span><\/p>

Los cambios en el Manual de Seguridad y Privacidad de la Informaci\u00f3n pueden ser generados por modificaciones significativas en la organizaci\u00f3n, cambio del reglamento interno o de sus estatutos generales que pueden ser aplicables para el desarrollo de sus actividades o por el cambio del modelo referencial, implantaci\u00f3n de nuevas normas o requisitos, cambios en el Sistema de Gesti\u00f3n de Seguridad de la Informaci\u00f3n (SGSI) tales como el alcance.<\/span><\/p>

\u00a0<\/span><\/p>

Todo incidente recibido en la Mesa de Ayuda T\u00e9cnica del Departamento de T.I. servir\u00e1 como entrada para el an\u00e1lisis de posibles cambios en el Manual de Seguridad y Privacidad de la Informaci\u00f3n (MSPI).
<\/span><\/p>

\u00a0<\/span>Cap\u00edtulo 3\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>ORGANIZACI\u00d3N DE LA SEGURIDAD DE LA INFORMACI\u00d3N.<\/span><\/p>

\u00a0<\/span><\/p>

\u00a0 <\/span>3.1.\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span><\/b>ORGANIZACI\u00d3N INTERNA<\/b><\/p>

\u00a0<\/span><\/p>

A nivel interno, se tiene estructurada la organizaci\u00f3n que permite iniciar y controlar la implementaci\u00f3n del Sistema de Gesti\u00f3n de Seguridad de la Informaci\u00f3n (SGSI) en VECOL S.A., esto es posible estableciendo una adecuada comunicaci\u00f3n para que el Presidente pueda aprobar los lineamientos de Seguridad de la Informaci\u00f3n, asignando responsabilidades y coordinando la implementaci\u00f3n de la seguridad en todos los niveles de la Compa\u00f1\u00eda.<\/span><\/p>

\u00a0<\/span><\/p>

Es por esto que se definen los roles y responsabilidades que deben participar en la oportuna y efectiva gesti\u00f3n del SGSI, los cuales se describen a continuaci\u00f3n, as\u00ed:<\/span><\/p>

\u00a0<\/span><\/p>

ALTA GERENCIA: <\/b>Es responsabilidad:<\/span><\/p>

\u00a0<\/span><\/p>

\u25cf\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>Designar al L\u00edder de Seguridad de la Informaci\u00f3n de la Compa\u00f1\u00eda.<\/span><\/p>

\u25cf\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>Revisar el Sistema de Gesti\u00f3n de Seguridad de la Informaci\u00f3n (SGSI) de la Compa\u00f1\u00eda.<\/span><\/p>

\u00a0<\/span><\/p>

COMIT\u00c9 INSTITUCIONAL DE GESTI\u00d2N Y DESEMPE\u00d1O: <\/b>Este comit\u00e9 es responsable del liderazgo, planeaci\u00f3n e impulso de la pol\u00edtica de Gobierno Digital en la Compa\u00f1\u00eda y conforme al Manual de Gobierno Corporativo de la Compa\u00f1\u00eda ha sido creado mediante Resoluci\u00f3n de Presidencia.<\/span><\/p>

\u00a0<\/span><\/p>

El Comit\u00e9 Institucional de Gesti\u00f3n y Desempe\u00f1o dentro de sus responsabilidades incluye los siguientes referentes al Sistema de Gesti\u00f3n de Seguridad de la Informaci\u00f3n (SGSI), as\u00ed:<\/span><\/p>

\u00a0<\/span><\/p>

\u25cf\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>Definir los lineamientos y las estrategias de Seguridad de la Informaci\u00f3n en funci\u00f3n de la misi\u00f3n y visi\u00f3n de la Compa\u00f1\u00eda.<\/span><\/p>

\u25cf\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>Revisar las Pol\u00edticas de Seguridad de la Informaci\u00f3n de la Compa\u00f1\u00eda.<\/span><\/p>

\u25cf\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>Revisar el Plan de Acci\u00f3n del proceso de Gesti\u00f3n de Seguridad de la Informaci\u00f3n de la Compa\u00f1\u00eda.<\/span><\/p>

\u25cf\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>Revisar las estrategias del Programa de Concientizaci\u00f3n en Seguridad de la Informaci\u00f3n.<\/span><\/p>

\u25cf\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>Fomentar el desarrollo de la Seguridad de la Informaci\u00f3n en la Compa\u00f1\u00eda.<\/span><\/p>

\u25cf\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>Velar por un seguimiento y que se cumplan los lineamientos de Seguridad de la Informaci\u00f3n.<\/span><\/p>

\u25cf\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>Ejercer un control gerencial del plan de Seguridad de la Informaci\u00f3n y tomar las acciones correctivas respecto a aquellos que no est\u00e9n acordes con el Plan de Seguridad de la Informaci\u00f3n.<\/span><\/p>

\u25cf\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>Verificar la efectividad de los Programas de Seguridad de la Informaci\u00f3n en la Compa\u00f1\u00eda.<\/span><\/span><\/p>

\u25cf\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>Velar que el L\u00edder de Seguridad de la Informaci\u00f3n o quien haga sus veces dise\u00f1e, desarrolle, ejecute y controle un Programa de Seguridad de la Informaci\u00f3n ajustado a la Compa\u00f1\u00eda.<\/span><\/p>

\u00a0<\/span><\/p>

L\u00cdDER DE SEGURIDAD DE LA INFORMACI\u00d3N (o quien haga sus veces): <\/b>Corresponde al l\u00edder del Grupo de Trabajo de Arquitectura Empresarial (Director de TI o quien haga sus veces). Es responsable del dise\u00f1o, desarrollo, implantaci\u00f3n, mantenimiento y verificaci\u00f3n del correcto funcionamiento del Sistema de Gesti\u00f3n de Seguridad de la Informaci\u00f3n (SGSI), en l\u00ednea con los requerimientos del negocio y bajo las directrices del Comit\u00e9 Institucional de Gesti\u00f3n y Desempe\u00f1o, entre sus responsabilidades de seguridad de la informaci\u00f3n, est\u00e1n:<\/span><\/p>

\u00a0<\/span><\/p>

\u25cf\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>Verificar que todos los riesgos a los que pudiera estar sometida la informaci\u00f3n en la Compa\u00f1\u00eda est\u00e9n identificados, evaluados, actualizados y mitigados.<\/span><\/p>

\u25cf\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>Verificar el crecimiento del nivel de Seguridad de la Informaci\u00f3n por medio del an\u00e1lisis de los indicadores de gesti\u00f3n del proceso de seguridad de la Informaci\u00f3n, as\u00ed como tomar acciones correctivas en caso de ser requerido.<\/span><\/p>

\u25cf\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>Analizar integralmente los riesgos de la informaci\u00f3n de la Compa\u00f1\u00eda<\/span><\/p>

\u25cf\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>Mantener informado al due\u00f1o de la Informaci\u00f3n de los riesgos de Seguridad de la Informaci\u00f3n identificados en su \u00e1rea, as\u00ed como dise\u00f1ar los planes de acci\u00f3n para mitigarlos.<\/span><\/p>

\u25cf <\/span>Dise\u00f1ar, desarrollar, implantar y controlar el proceso de Seguridad de la Informaci\u00f3n con indicadores de gesti\u00f3n claros, objetivos y verificables.<\/span><\/p>

\u25cf\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>Implantar los lineamientos de Seguridad de la Informaci\u00f3n definidos por medio del dise\u00f1o, desarrollo, implantaci\u00f3n, mantenimiento y control de un Sistema de Gesti\u00f3n de Seguridad de la Informaci\u00f3n.<\/span><\/p>

\u25cf\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>Someter a revisi\u00f3n y socializaci\u00f3n ante el Comit\u00e9 Institucional de Gesti\u00f3n y Desempe\u00f1o, el Plan de proyectos y el Programa que implementa el Sistema de Gesti\u00f3n de Seguridad de la Informaci\u00f3n (SGSI) en la Compa\u00f1\u00eda.<\/span><\/p>

\u25cf\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>Definir la Arquitectura de Seguridad de Informaci\u00f3n en l\u00ednea con la arquitectura de tecnolog\u00eda de la Compa\u00f1\u00eda.<\/span><\/p>

\u25cf\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>Desarrollar, implantar y controlar el procedimiento de gesti\u00f3n de Incidentes de Seguridad de Informaci\u00f3n.<\/span><\/p>

\u25cf \u00a0\u00a0\u00a0\u00a0<\/span><\/span>Definir los lineamientos y las directrices de Seguridad de la Informaci\u00f3n a ser incluidas en el Plan de Contingencias.<\/span><\/p>

\u25cf <\/span>Proveer asesor\u00eda en materia de Seguridad de la Informaci\u00f3n al Comit\u00e9 Institucional de Gesti\u00f3n y Desempe\u00f1o y a las distintas unidades funcionales de la Compa\u00f1\u00eda.<\/span><\/p>

\u25cf\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>Verificar que el Sistema de Gesti\u00f3n de Seguridad de la Informaci\u00f3n (SGSI) est\u00e9 incluido en el ciclo de vida de una aplicaci\u00f3n o sistema.<\/span><\/p>

\u25cf\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>Ponderar la relaci\u00f3n costo-beneficio entre la implantaci\u00f3n de Proyectos de Seguridad de la Informaci\u00f3n y el riesgo asumido.<\/span><\/p>

\u25cf\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>Impulsar el mejoramiento continuo del Proceso de Seguridad de la Informaci\u00f3n en la Compa\u00f1\u00eda.<\/span><\/p>

\u25cf\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>Desarrollar, implantar y controlar el programa de clasificaci\u00f3n de la informaci\u00f3n para la Compa\u00f1\u00eda.<\/span><\/p>

ADMINISTRADOR DE SEGURIDAD INFORM\u00c1TICA: <\/b>Corresponde al Departamento de Tecnolog\u00edas de la Informaci\u00f3n (T.I.). Se encargar\u00e1 de toda la gesti\u00f3n de infraestructura de seguridad inform\u00e1tica y dem\u00e1s temas que tengan relaci\u00f3n con el Departamento de T.I., as\u00ed:<\/span><\/p>

\u00a0<\/span><\/p>

\u25cf\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>Administrar\u00a0\u00a0\u00a0 las\u00a0\u00a0 herramientas\u00a0\u00a0\u00a0 de\u00a0\u00a0 Seguridad\u00a0\u00a0\u00a0 de\u00a0\u00a0 la\u00a0\u00a0 Informaci\u00f3n\u00a0\u00a0 de\u00a0\u00a0\u00a0 su\u00a0\u00a0\u00a0 plataforma\u00a0\u00a0 de responsabilidad.<\/span><\/p>

\u25cf\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>Administrar el nivel de seguridad de las aplicaciones basado en el nivel de acceso que identifique el Responsable de la Informaci\u00f3n.<\/span><\/p>

\u25cf\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>Aplicar los controles de seguridad a los recursos inform\u00e1ticos.<\/span><\/p>

\u25cf\u00a0 \u00a0 <\/span><\/span>Monitorear, registrar, resolver e informar los eventos de intrusi\u00f3n o uso malicioso de los recursos inform\u00e1ticos de su responsabilidad y reportarlos al Responsable de la Informaci\u00f3n y al L\u00edder de Seguridad de la Informaci\u00f3n.<\/span><\/p>

\u25cf\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>Revisar y reportar al L\u00edder de Seguridad de la Informaci\u00f3n respecto al nivel y consistencia de la seguridad de los recursos inform\u00e1ticos de su responsabilidad.<\/span><\/p>

\u25cf <\/span>Evaluar sus activos de informaci\u00f3n en t\u00e9rminos de riesgo y mantener los est\u00e1ndares de Seguridad de la Informaci\u00f3n para minimizar dichos riesgos.<\/span><\/p>

\u25cf\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>Proveer al L\u00edder de Seguridad de la Informaci\u00f3n, los datos obtenidos durante el monitoreo de la infraestructura de seguridad.<\/span><\/p>

\u25cf \u00a0\u00a0\u00a0\u00a0<\/span><\/span>Facilitar informaci\u00f3n que permita resolver incidentes que involucren los recursos inform\u00e1ticos de su responsabilidad.<\/span><\/p>

\u25cf\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>Aplicar y mantener los est\u00e1ndares de seguridad de la plataforma tecnol\u00f3gica de la informaci\u00f3n de la Compa\u00f1\u00eda.<\/span><\/p>

\u25cf\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>Apoyar las actividades planteadas en el Plan de Concientizaci\u00f3n que ayuden a incrementar el nivel de conciencia sobre la importancia de la Seguridad de la Informaci\u00f3n.<\/span><\/p>

\u25cf\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>Suministrar informaci\u00f3n que permita verificar el cumplimiento de los est\u00e1ndares de configuraci\u00f3n.<\/span><\/p>

\u00a0<\/span><\/p>

VICEPRESIDENTE DE TALENTO HUMANO: <\/b>Es responsable de facilitar los mecanismos necesarios para la creaci\u00f3n de una cultura organizacional en Seguridad de la Informaci\u00f3n, entre sus responsabilidades de seguridad de la informaci\u00f3n, est\u00e1n:<\/span><\/p>

\u00a0<\/span><\/p>

\u25cf\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>Implementar el Programa de Concientizaci\u00f3n.<\/span><\/p>

\u25cf\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>Apoyar al L\u00edder de Seguridad de la Informaci\u00f3n en cuanto a la concientizaci\u00f3n en el reporte de eventos o incidentes de Seguridad de la Informaci\u00f3n y evaluaci\u00f3n de riesgos.<\/span><\/p>

\u25cf\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>Participar en la investigaci\u00f3n de las personas que tengan acceso a informaci\u00f3n cr\u00edtica sin estar autorizados.<\/span><\/p>

\u25cf\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>Fomentar el cumplimiento de las Pol\u00edticas y procedimientos de Seguridad de la Informaci\u00f3n en la Compa\u00f1\u00eda.<\/span><\/p>

\u25cf\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>Incluir responsabilidades tanto directas como indirectas en cuanto a Seguridad de la Informaci\u00f3n en los manuales de funciones de los cargos.<\/span><\/p>

\u25cf\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>Desarrollar el plan de capacitaci\u00f3n del \u00e1rea de Seguridad de la Informaci\u00f3n.<\/span><\/p>

\u25cf\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>Apoyo en la conformaci\u00f3n de la organizaci\u00f3n de Seguridad de la Informaci\u00f3n de la Compa\u00f1\u00eda.<\/span><\/p>

\u25cf\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>Asegurar que en los contratos de trabajo y en el reglamento interno de trabajo, se incluyan responsabilidades de Seguridad de la Informaci\u00f3n.<\/span><\/p>

\u00a0<\/span><\/p>

VICEPRESIDENCIA JUR\u00cdDICA<\/b>: Es responsable de brindar apoyo y asesoramiento para que el Sistema de Gesti\u00f3n de Seguridad de la Informaci\u00f3n de la Compa\u00f1\u00eda est\u00e9 dentro del marco legal correspondiente y cuente con el sustento legal que formalice y haga viable su aplicaci\u00f3n. El due\u00f1o de la Informaci\u00f3n y\/o el l\u00edder de Seguridad deben informar a la Vicepresidencia Jur\u00eddica cuando se presenten incidentes de Seguridad de la Informaci\u00f3n que puedan resultar en litigios.<\/span><\/p>

\u00a0<\/span><\/p>

Entre sus responsabilidades de seguridad de la informaci\u00f3n, est\u00e1n:<\/span><\/p>

\u00a0<\/span><\/p>

\u25cf\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>Verificar que el Sistema de Gesti\u00f3n de Seguridad de la Informaci\u00f3n (SGSI) emitido por la Compa\u00f1\u00eda cuente con el sustento legal que permita su formalizaci\u00f3n, aplicaci\u00f3n y obligatorio cumplimiento previa publicaci\u00f3n y distribuci\u00f3n.<\/span><\/p>

\u25cf\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>Asesorar a la Compa\u00f1\u00eda en el cumplimiento de las normas legales locales y\/o internacionales de Seguridad de la Informaci\u00f3n que afecten a la Compa\u00f1\u00eda.<\/span><\/p>

\u25cf\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>Atender y resolver las consultas legales que el L\u00edder de Seguridad de la Informaci\u00f3n, el Comit\u00e9 Institucional de Gesti\u00f3n y Desempe\u00f1o o el Vicepresidente de Talento Humano pudieran hacer en cuanto al proceso de emisi\u00f3n, ajuste y formalizaci\u00f3n del Sistema de Gesti\u00f3n de Seguridad de Informaci\u00f3n (SGSI) de la Compa\u00f1\u00eda.<\/span><\/p>

\u25cf\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>Alertar al L\u00edder de Seguridad de la Informaci\u00f3n de la Compa\u00f1\u00eda cuando cambios en la legislaci\u00f3n afecten la vigencia o haga necesarios ajustes al Sistema de Gesti\u00f3n de Seguridad de la Informaci\u00f3n (SGSI) de la Compa\u00f1\u00eda.<\/span><\/p>

\u25cf\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>Asesorar al l\u00edder de Seguridad de la Informaci\u00f3n y Auditor\u00eda Interna, cuando en una investigaci\u00f3n aparezcan situaciones que puedan resultar en un litigio que la comprometa.<\/span><\/p>

\u00a0<\/span><\/p>

USUARIOS INTERNOS Y EXTERNOS DE LA COMPA\u00d1\u00cdA: <\/b>Son responsables de poner en pr\u00e1ctica las pol\u00edticas, procedimientos y programas oficializados por el proceso de Seguridad de la Informaci\u00f3n que garanticen la protecci\u00f3n de la informaci\u00f3n del negocio. Entre sus responsabilidades de seguridad de la informaci\u00f3n, est\u00e1n:<\/span><\/p>

\u00a0<\/span><\/p>

\u25cf\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>Identificar los activos de informaci\u00f3n que sean cr\u00edticos para el negocio.<\/span><\/p>

\u25cf\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>Identificar los problemas y posibles riesgos de la informaci\u00f3n e informar a los due\u00f1os de la informaci\u00f3n y\/o al l\u00edder de Seguridad de la informaci\u00f3n.<\/span><\/p>

\u25cf\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>Cumplir las pol\u00edticas de Seguridad de la Informaci\u00f3n.<\/span><\/p>

\u25cf\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>Clasificar y manejar la informaci\u00f3n generada de acuerdo con la criticidad definida en el Sistema de Gesti\u00f3n de Seguridad de la Informaci\u00f3n (SGSI).<\/span><\/p>

\u25cf\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>Brindar informaci\u00f3n y participar en las labores de investigaci\u00f3n de incidentes de seguridad de la informaci\u00f3n.<\/span><\/p>

\u25cf\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>Ser agentes de cambio en el proceso de Concientizaci\u00f3n sobre la importancia de la Seguridad de la Informaci\u00f3n.<\/span><\/p>

\u25cf\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>Generar sugerencias para mejorar el Sistema de Gesti\u00f3n de Seguridad de la Informaci\u00f3n (SGSI).<\/span><\/p>

\u25cf\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>Reportar eventos o incidentes que afecten la seguridad de la informaci\u00f3n.<\/span><\/p>

\u00a0<\/span><\/p>

DUE\u00d1O DE LA INFORMACI\u00d3N<\/b>: Debe identificar claramente el valor de su informaci\u00f3n, conocer los riesgos a que podr\u00eda estar expuesta y velar porque se provean los mecanismos necesarios para que los riesgos se mitiguen a niveles aceptables considerando la relaci\u00f3n costo-beneficio para su \u00e1rea de negocio. Entre sus responsabilidades de Seguridad de la Informaci\u00f3n, est\u00e1n:<\/span><\/p>

\u00a0<\/span><\/p>

\u25cf\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>Identificar los activos de informaci\u00f3n con sus requerimientos de seguridad.<\/span><\/p>

\u25cf\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>Identificar, definir y evaluar los riesgos a que pudiera estar expuesta su informaci\u00f3n, solicitando asesor\u00eda al L\u00edder de Seguridad de la Informaci\u00f3n.<\/span><\/p>

\u25cf\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>Aprobar los riesgos de su informaci\u00f3n.<\/span><\/p>

\u25cf\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>Definir los controles de negocio a implantar para cada riesgo identificado.<\/span><\/p>

\u25cf\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>Recomendar posibles ajustes al Sistema de Gesti\u00f3n de Seguridad de la Informaci\u00f3n (SGSI).<\/span><\/p>

\u25cf\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>Apoyar al Equipo Operativo de Trabajo en Seguridad de la Informaci\u00f3n en la definici\u00f3n de los requerimientos de Seguridad de la Informaci\u00f3n.<\/span><\/p>

\u25cf\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>Mantener un nivel adecuado de conocimiento y conciencia en cuanto a la Seguridad de la Informaci\u00f3n en su \u00e1rea de negocio.<\/span><\/p>

\u25cf\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>Definir los perfiles de los usuarios de los Sistemas de Informaci\u00f3n, los respectivos privilegios y justificaci\u00f3n de negocio para su acceso y uso, e informar al Departamento de T.I. para su implantaci\u00f3n.<\/span><\/p>

\u25cf\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>Informar sobre los incidentes de Seguridad de la Informaci\u00f3n que ocurran en su \u00e1rea al l\u00edder de Seguridad de la Informaci\u00f3n.<\/span><\/p>

\u25cf\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>Mantener un registro que incluya todo lo referente a riesgos, clasificaci\u00f3n de los activos, lista de usuarios e incidentes y acciones correctivas ejecutadas.<\/span><\/p>

\u25cf\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>Ejecutar y participar activamente en las actividades planteadas en el plan de Concientizaci\u00f3n.<\/span><\/p>

\u25cf\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>Cumplir con las pol\u00edticas y procedimientos de Seguridad de la Informaci\u00f3n.<\/span><\/p>

\u25cf\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>Participar en las Auditor\u00edas del Sistema de Gesti\u00f3n de Seguridad de la Informaci\u00f3n (SGSI).<\/span><\/p>

\u00a0<\/span><\/h2>

\u00a0<\/span><\/p>

\u00a0<\/span>Cap\u00edtulo 4\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>POL\u00cdTICAS DE SEGURIDAD DE LA INFORMACI\u00d3N.<\/span><\/p>

\u00a0<\/b><\/p>

\u00a0\u00a0\u00a0\u00a0 <\/span>4.1.\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span><\/b>POL\u00cdTICA GENERAL DE SEGURIDAD DE LA INFORMACI\u00d3N<\/b><\/p>

La siguiente es la Pol\u00edtica de Seguridad de la Informaci\u00f3n establecida para VECOL S.A., as\u00ed:<\/span><\/p>

\u00a0<\/span><\/p>

\u201cLa Empresa Colombiana de Productos Veterinarios S.A. \u2013 VECOL S.A. reconoce la importancia de identificar y proteger sus activos de informaci\u00f3n, asegurando su Confidencialidad, Integridad y Disponibilidad, dependiendo su nivel de clasificaci\u00f3n, comprometi\u00e9ndose a establecer, implementar, mantener y mejorar continuamente el Sistema de Gesti\u00f3n de Seguridad de la Informaci\u00f3n (SGSI).\u201d<\/i><\/b><\/p>

\u00a0<\/i><\/b><\/p>

As\u00ed mismo, VECOL S.A. como sociedad an\u00f3nima de econom\u00eda mixta cuyo objeto es promover y estimular el incremento de la producci\u00f3n agropecuaria y sus insumos, as\u00ed como el mejoramiento de la salud humana y animal, mediante la producci\u00f3n, venta, comercializaci\u00f3n, importaci\u00f3n, exportaci\u00f3n e investigaci\u00f3n cient\u00edfica de productos biotecnol\u00f3gicos, qu\u00edmicos, farmac\u00e9uticos, agr\u00edcolas e industriales, en aras de propender por la seguridad de la informaci\u00f3n, tiene como finalidad permitir que los activos de informaci\u00f3n de propiedad de VECOL S.A. reciban los niveles de protecci\u00f3n adecuados de acuerdo a su Confidencialidad, Integridad y Disponibilidad.<\/span><\/p>

\u00a0<\/span><\/p>

La Presidencia de VECOL S.A., entendiendo la importancia de una adecuada gesti\u00f3n de la informaci\u00f3n, se ha comprometido con la implementaci\u00f3n de un SGSI, buscando establecer un marco de confianza en el ejercicio de sus deberes con el Estado y los ciudadanos; alineado con el ordenamiento jur\u00eddico y normativo en concordancia con la misi\u00f3n, visi\u00f3n, objetivos estrat\u00e9gicos y valores corporativos de la Compa\u00f1\u00eda.<\/span><\/p>

\u00a0<\/span><\/p>

Para VECOL S.A., la protecci\u00f3n de la informaci\u00f3n busca la disminuci\u00f3n del impacto generado sobre los activos de informaci\u00f3n por los riesgos identificados de manera sistem\u00e1tica; con el prop\u00f3sito de mantener un nivel aceptable de exposici\u00f3n que permita responder por la Confidencialidad, Integridad y Disponibilidad de la informaci\u00f3n, acorde con las necesidades de los diferentes grupos de inter\u00e9s identificados. A continuaci\u00f3n, se relacionan las pol\u00edticas espec\u00edficas que soportan la pol\u00edtica general de Seguridad de la Informaci\u00f3n.<\/span><\/p>

\u00a0<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.\u00a0\u00a0\u00a0 <\/span><\/span><\/b>POL\u00cdTICAS ESPEC\u00cdFICAS DE SEGURIDAD DE LA INFORMACI\u00d3N<\/b><\/p>

\u00a0<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.1.<\/b>POL\u00cdTICA PARA DISPOSITIVOS M\u00d3VILES<\/b><\/p>

\u00a0<\/span><\/p>

El uso de dispositivos m\u00f3viles, tales como computadores port\u00e1tiles (notebooks y laptops), tabletas electr\u00f3nicas, tel\u00e9fonos inteligentes – smartphones, unidades de almacenamiento externo y tel\u00e9fonos m\u00f3viles, que contengan informaci\u00f3n de VECOL S.A. y que a su vez se utilicen para el manejo de esta informaci\u00f3n, deben ser integrados y controlados por una plataforma de administraci\u00f3n del Departamento de T.I. de VECOL S.A. para mitigar el impacto a que se expone la informaci\u00f3n como su p\u00e9rdida, alteraci\u00f3n y divulgaci\u00f3n no autorizada. Con el fin de garantizar el cumplimiento de esta pol\u00edtica, se establecen los siguientes lineamientos:<\/span><\/p>

\u00a0<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.1.1.<\/span>El Departamento de T.I. debe contar con un inventario actualizado de dispositivos m\u00f3viles utilizados para almacenar o transmitir informaci\u00f3n de VECOL S.A.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.1.2.<\/span>El Departamento de T.I. se reserva el derecho a bloquear de manera temporal o indefinida los servicios instalados en los dispositivos m\u00f3viles (tel\u00e9fonos, laptops, tabletas) de los contratistas o trabajadores que utilicen la red de datos y\/o servicios corporativos siempre y cuando considere que son un riesgo para los activos de informaci\u00f3n.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.1.3.<\/span>Los contratistas y trabajadores que utilicen la red de datos de la Compa\u00f1\u00eda aceptan los par\u00e1metros de seguridad corporativos.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.1.4.<\/span>En los dispositivos m\u00f3viles que exista informaci\u00f3n de VECOL S.A., se restringe su conexi\u00f3n a otras redes o servicios que no sean expl\u00edcitamente autorizados por VECOL S.A.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.1.5.<\/span>En caso de tener un dispositivo m\u00f3vil asignado por la Compa\u00f1\u00eda y que tenga fines de traslado, deber\u00e1 usar la plataforma de almacenamiento en nube que disponga VECOL S.A. en la cuenta asignada para tal fin.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.1.6.<\/span>Si desde el dispositivo m\u00f3vil se procesa informaci\u00f3n, se debe contar con un software instalado y actualizado contra c\u00f3digos maliciosos, firewall personal y para prevenir intrusos.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.1.7.<\/span>Estos dispositivos deben contar con un mecanismo de autenticaci\u00f3n.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.1.8.<\/span>La direcci\u00f3n de Comunicaciones debe generar recomendaciones del uso y cuidado de tipo f\u00edsico, cuando el dispositivo se encuentre fuera de las instalaciones de la Compa\u00f1\u00eda.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.1.9.<\/span>Cuando desde los dispositivos m\u00f3viles no se est\u00e9n usando servicios de conexi\u00f3n inal\u00e1mbrica se desactivan los protocolos de comunicaci\u00f3n mientras no los est\u00e9 usando.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.1.10.<\/span>Si desde el equipo m\u00f3vil se requiere conexi\u00f3n remota a los servicios de informaci\u00f3n de la red de VECOL S.A., se valida previamente que el dispositivo est\u00e9 libre de infecci\u00f3n y cumple con los dem\u00e1s controles de seguridad activos y actualizados.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.1.11.<\/span>Los dispositivos m\u00f3viles que se conecten a la red de la infraestructura tecnol\u00f3gica de VECOL S.A. deben ser previamente autorizados por el Departamento de T.I.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.1.12.<\/span>Se proh\u00edbe el uso de dispositivos m\u00f3viles personales que no est\u00e9n autorizados por el Departamento de T.I. para el manejo, transporte y transmisi\u00f3n de informaci\u00f3n de la Compa\u00f1\u00eda.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.1.13.<\/span>Se configuran los dispositivos m\u00f3viles de tal manera que cualquier aplicaci\u00f3n incluyendo los mecanismos de software de seguridad, permanezcan actualizados sin que dependan de conexi\u00f3n directa a la infraestructura tecnol\u00f3gica de VECOL S.A.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.1.14.<\/span>Los dispositivos m\u00f3viles cuentan con mecanismos de autenticaci\u00f3n para desbloquear el equipo y poder tener acceso a su informaci\u00f3n y servicios.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.1.15.<\/span>Peri\u00f3dicamente se deber\u00e1n realizar copias de respaldo a la informaci\u00f3n de VECOL S.A. y almacenarla en la nube que la Compa\u00f1\u00eda disponga; es responsabilidad de cada usuario la realizaci\u00f3n de las copias de respaldo, m\u00ednimo una vez por semana.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.1.16.<\/span>En caso de robo o extrav\u00edo, el Departamento de T.I. debe contar con mecanismos que permitan eliminar el usuario e informaci\u00f3n remotamente, poder localizar, recuperar o borrar los datos que almacenaron en la nube de la Compa\u00f1\u00eda.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.1.17.<\/span>Al realizar la disposici\u00f3n final o reasignaci\u00f3n del dispositivo m\u00f3vil a otra \u00e1rea con un prop\u00f3sito diferente para el cual estaba designado, se realiza un borrado seguro de toda la informaci\u00f3n all\u00ed almacenada.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.1.18.<\/span>El acceso al computador port\u00e1til estar\u00e1 protegido por una contrase\u00f1a del dominio de Vecol S.A.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.1.19.<\/span>Si el usuario no est\u00e1 presente en el dispositivo, \u00e9ste deber\u00e1 estar bloqueado o apagado.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.1.20.<\/span>El computador port\u00e1til tiene un mecanismo de anclaje con clave y\/o llave que permita asegurarlo a otro elemento fijo de tal manera que no pueda ser hurtado del lugar conectado.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.1.21.<\/span>Los dispositivos deber\u00e1n tener solo software legal y autorizado por el Departamento de T.I.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.1.22.<\/span>Est\u00e1 prohibido tener dispositivos m\u00f3viles que utilicen la red de datos y\/o servicios de Vecol con software de an\u00e1lisis y penetraci\u00f3n de redes. Los equipos que usen este tipo de software sin autorizaci\u00f3n de la Compa\u00f1\u00eda, ser\u00e1n bloqueados por el Departamento de T.I. y los usuarios podr\u00edan llegar a tener sanciones contractuales.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.1.23.<\/span>En cualquier momento el Departamento de T.I. podr\u00e1 hacer revisi\u00f3n del cumplimiento de la pol\u00edtica directamente en los dispositivos m\u00f3viles, sin previo aviso.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.1.24.<\/span>Todo equipo m\u00f3vil que se compre y\/o se renueve, deber\u00e1 contar con el aval t\u00e9cnico obligatorio del Departamento de T.I.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.1.25.<\/span>Evitar el uso de dispositivos m\u00f3viles cuyo software (Sistema Operativo) ha sido modificado (jailbreak, rooted, WGA y WAT).<\/span><\/p>

\u00a0<\/span><\/p>

El Departamento de T.I., previa solicitud presentada por un colaborador en la que justifique la necesidad, podr\u00e1 autorizar el uso de dispositivos m\u00f3viles por un per\u00edodo m\u00e1ximo de tres (3) meses<\/i>. En esos casos, deber\u00e1 hacer entrega del presente Manual y contar con la confirmaci\u00f3n de lectura y aceptaci\u00f3n por parte del colaborador.<\/span><\/p>

\u00a0<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.2.<\/b>POL\u00cdTICA DE SEGURIDAD DEL TRABAJO EN CASA.<\/b><\/p>

\u00a0<\/span><\/p>

La Compa\u00f1\u00eda protege la informaci\u00f3n clasificada seg\u00fan lo establecido en sus pol\u00edticas de\u00a0 \u201cInventario, Clasificaci\u00f3n y Valoraci\u00f3n de activos de Informaci\u00f3n\u201d, a la que tienen acceso los trabajadores desde lugares remotos, por raz\u00f3n y motivo de su cargo, por lo tanto, el acceso a la informaci\u00f3n fuera de la oficina puede ser permitida si se demuestra que la informaci\u00f3n requerida es necesaria para el cumplimiento de sus funciones, y que existe un control de acceso dado con autorizaci\u00f3n previa y controlado por VECOL S.A. Con el fin de garantizar el cumplimiento de esta pol\u00edtica, se establecen los siguientes lineamientos.<\/span><\/p>

\u00a0<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.2.1.<\/span>El acceso remoto se puede realizar desde equipos de propiedad de VECOL S.A. y de equipos de propiedad de los trabajadores debidamente autorizados y configurados por el Departamento de T.I., que cumplan con niveles de seguridad aceptables (como m\u00ednimo: Sistema Operativo actualizado, con firewall y antivirus actualizado), antes de permitir la conexi\u00f3n remota a los servicios o recursos de la infraestructura tecnol\u00f3gica de VECOL S.A.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.2.2.<\/span>El Departamento de Tecnolog\u00edas de la Informaci\u00f3n (T.I.) debe contar con la administraci\u00f3n y control del dispositivo del cual se procesa la informaci\u00f3n, para evitar accesos no autorizados por personas ajenas a VECOL S.A.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.2.3.<\/span>Los equipos en los que se realiza trabajo en casa, deben tener protecci\u00f3n contra software malicioso, antivirus, cliente de VPN y dem\u00e1s que el Departamento de T.I. establezca como necesario.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.2.4.<\/span>EL usuario deber\u00e1 usar su cuenta de las herramientas colaborativas para asegurar toda informaci\u00f3n en la nube, garantizando el acceso en cualquier momento de la informaci\u00f3n. Si es indispensable tener una \u00fanica copia en el dispositivo, deber\u00e1 garantizar la copia regular a la nube por parte del usuario y as\u00ed dar la continuidad de las funciones realizadas.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.2.5.<\/span>Cualquier usuario que requiera conexi\u00f3n remota a los servicios o informaci\u00f3n de VECOL S.A., deber\u00e1 ser previamente autorizado por el Departamento de T.I. y avalado por la Vicepresidencia de Talento Humano.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.2.6.<\/span>La conexi\u00f3n remota a servicios o informaci\u00f3n de VECOL S.A. se realiza a trav\u00e9s de canales de comunicaci\u00f3n seguros como redes privadas virtuales (VPN).<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.2.7.<\/span>La administraci\u00f3n remota de la infraestructura tecnol\u00f3gica de VECOL S.A. desde equipos conectados a Internet no est\u00e1 permitida, salvo que se cuente con la autorizaci\u00f3n debidamente sustentada mediante documento escrito y con un mecanismo de control de acceso seguro autorizado por el Director de T.I. o el Jefe de Desarrollo y Nuevas Tecnolog\u00edas de VECOL S.A.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.2.8.<\/span>En el esquema de trabajo en casa no se permite almacenar informaci\u00f3n clasificada ni de uso del cargo en servicios en la nube p\u00fablicos o h\u00edbridos de cuentas personales, deben usarse los mecanismos y servicios que VECOL S.A ponga a disposici\u00f3n del usuario previamente administrados por el Departamento de T.I.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.2.9.<\/span>El propietario del activo, con el apoyo del Departamento de Tecnolog\u00edas de la Informaci\u00f3n (TI), identificar\u00e1 los riesgos potenciales que puede generar el retiro del equipo o medios de las instalaciones; as\u00ed mismo, adoptar\u00e1 los controles necesarios para la mitigaci\u00f3n de dichos riesgos.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.2.10.<\/span>En caso de p\u00e9rdida, suplantaci\u00f3n o robo de un equipo port\u00e1til se debe reportar inmediatamente al Departamento de T.I. para realizar la gesti\u00f3n necesaria y se deber\u00e1 poner la denuncia ante la autoridad competente, si aplica.<\/span><\/p>

\u00a0<\/span><\/p>

\u00a0<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.3.<\/b>POL\u00cdTICA DE CONTROL DE ACCESO L\u00d3GICO Y F\u00cdSICO<\/b><\/p>

\u00a0<\/span><\/p>

El acceso l\u00f3gico y f\u00edsico a los activos de informaci\u00f3n de VECOL S.A. est\u00e1 restringido de acuerdo a los niveles de clasificaci\u00f3n definidos para proteger la informaci\u00f3n de accesos no autorizados; para esto, la Compa\u00f1\u00eda tiene en cuenta los requisitos de seguridad de los sistemas de informaci\u00f3n, y la autorizaci\u00f3n del acceso a la misma, con base en los perfiles y roles definidos. Adem\u00e1s, el Departamento de T.I. debe tener implementados controles para las diferentes actividades cuando se requiere: dar acceso a los activos de informaci\u00f3n, implementar derechos de acceso, cambiar roles o funciones o deshabilitar accesos; as\u00ed mismo, se debe contar con mecanismos que permiten mantener actualizados los permisos garantizando los m\u00ednimos privilegios para el desarrollo de las funciones para todos los usuarios. Con el fin de garantizar el cumplimiento de \u00e9sta pol\u00edtica se establecen los siguientes lineamientos:<\/span><\/p>

\u00a0<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.3.1.<\/span>Dependiendo del nivel de clasificaci\u00f3n y criticidad de los activos de informaci\u00f3n a los cuales se va a brindar acceso, se establecen mecanismos de autenticaci\u00f3n de uno, dos o tres factores.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.3.2.<\/span>Cuando se solicite tener acceso a alg\u00fan recurso o servicio inform\u00e1tico de VECOL S.A., el Departamento de T.I. realizar\u00e1 el correspondiente an\u00e1lisis con el fin de determinar los privilegios a otorgar y definir los mecanismos necesarios para su protecci\u00f3n seg\u00fan matrices de acceso y privilegios.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.3.3.<\/span>En ning\u00fan caso se otorgar\u00e1 acceso a terceros a la informaci\u00f3n, a las instalaciones, o a centros de procesamiento de informaci\u00f3n cr\u00edtica, si previamente no han sido autorizados por el Director de T.I. o el Jefe de Desarrollo y Nuevas Tecnolog\u00edas junto con los due\u00f1os del activo.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.3.4.<\/span>La creaci\u00f3n, modificaci\u00f3n y baja de usuarios en la infraestructura de procesamiento de informaci\u00f3n, comunicaciones y seguridad deber\u00e1 ser solicitada por la mesa de ayuda del Departamento de Tecnolog\u00edas de la Informaci\u00f3n (TI) y autorizada por la Vicepresidencia de Talento Humano para poder ser ejecutada seg\u00fan los par\u00e1metros de la solicitud.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.3.5.<\/span>Las asignaciones de privilegios en las aplicaciones para los diferentes usuarios estar\u00e1n determinadas por la matriz de “Roles y responsabilidades del cargo” que administra la Vicepresidencia de Talento Humano.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.3.6.<\/span>Los cambios a las cuentas privilegiadas estar\u00e1n determinados por la matriz de “Roles y responsabilidades del cargo” que administra la Vicepresidencia de Talento Humano.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.3.7.<\/span>Se cuenta con la separaci\u00f3n de las funciones de solicitud, autorizaci\u00f3n y administraci\u00f3n del acceso que deben ser desarrolladas por personas diferentes.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.3.8.<\/span>Cada Direcci\u00f3n que interviene en el proceso debe contar con los requisitos para la autorizaci\u00f3n formal de las solicitudes, as\u00ed como para la revisi\u00f3n peri\u00f3dica de los controles y el retiro de los derechos de acceso a los usuarios.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.3.9.<\/span>Se establece la regla basada en la premisa “En general, todo est\u00e1 prohibido, a menos que est\u00e9 expresamente permitido”.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.3.10.<\/span>Para el uso de las redes sociales (Facebook, Instagram, WhatsApp web, TikTok, entre otros), debe quedar una evidencia por la Mesa de Ayuda T\u00e9cnica, con justificaci\u00f3n clara, lectura y comprensi\u00f3n suscrita del presente manual; este documento debe quedar suscrito por el usuario y por el jefe de \u00e1rea, con explicaci\u00f3n clara de la necesidad; la habilitaci\u00f3n de uso y\/o excepci\u00f3n sin caducidad.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.3.11.<\/span>Para la autorizaci\u00f3n de uso del ERP en computadores personales, debe quedar una evidencia por la Mesa de Ayuda T\u00e9cnica, con justificaci\u00f3n clara, lectura y comprensi\u00f3n suscrita del presente manual; este documento debe quedar suscrito por el usuario y por el jefe de \u00e1rea, con explicaci\u00f3n clara de la necesidad; la habilitaci\u00f3n de uso y\/o excepci\u00f3n sin caducidad.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.3.12.<\/span>Para el uso de las redes sociales, debe quedar una evidencia por la Mesa de Ayuda T\u00e9cnica, con justificaci\u00f3n clara, lectura y comprensi\u00f3n suscrita del presente manual; este documento debe quedar suscrito por el usuario y por el jefe de \u00e1rea, con explicaci\u00f3n clara de la necesidad; la habilitaci\u00f3n de uso y\/o excepci\u00f3n sin caducidad.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.3.13.<\/span>Se usa una \u00fanica identificaci\u00f3n de usuario (ID) para permitir que los usuarios queden vinculados y sean responsables de sus acciones.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.3.14.<\/span>Se verifica que el usuario tenga autorizaci\u00f3n del propietario del sistema para el uso del sistema o servicio de informaci\u00f3n.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.3.15.<\/span>Se verifica que el nivel de acceso otorgado sea adecuado para los prop\u00f3sitos y limitado exclusivamente a la informaci\u00f3n que est\u00e1 autorizado a acceder, y no poner en riesgo la segregaci\u00f3n de funciones.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.3.16.<\/span>Dar a los usuarios una declaraci\u00f3n escrita de sus derechos de acceso la cual debe firmar, que indique que ellos conocen, entienden y aceptan cumplir las condiciones del acceso.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.3.17.<\/span>Se retira o bloquea inmediatamente los derechos de acceso a los usuarios que han dejado de ser parte de VECOL S.A. o modificarlos para aquellos que han cambiado de funci\u00f3n.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.3.18.<\/span>Se incluyen cl\u00e1usulas en los contratos del personal y de los servicios, que especifiquen las sanciones del personal o los proveedores del servicio, que intenten ingresar a accesos no autorizados.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.3.19.<\/span>Los privilegios de administraci\u00f3n de cualquier equipo de c\u00f3mputo (servidor, estaci\u00f3n de trabajo, desktop, port\u00e1til, o equipo activo de red), son asignados exclusivamente a los administradores del sistema designados por el Departamento de Tecnolog\u00edas de la Informaci\u00f3n (TI) de VECOL S.A.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.3.20.<\/span>Los privilegios de administraci\u00f3n se asignan a un identificador de usuario (ID) diferente a los utilizados para el uso normal del sistema.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.3.21.<\/span>Cuando se exige a los usuarios mantener sus propias contrase\u00f1as, inicialmente se les suministra de manera segura una contrase\u00f1a temporal, la cual se forzar\u00e1 a cambiar inmediatamente realice el siguiente ingreso al sistema.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.3.22.<\/span>Las contrase\u00f1as nunca se deben almacenar en sistemas de computador o en otro medio en un formato no protegido.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.3.23.<\/span>Las contrase\u00f1as predeterminadas por el vendedor se cambiar\u00e1n inmediatamente despu\u00e9s de la instalaci\u00f3n de los sistemas o del software.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.3.24.<\/span>Se revisan las autorizaciones para derechos de acceso privilegiado, a intervalos frecuentes, para garantizar que no se tengan privilegios no autorizados o que no correspondan a las funciones del usuario.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.3.25.<\/span>Talento Humano informa a las direcciones y jefaturas que administren accesos f\u00edsicos y l\u00f3gicos, de la ausencia de los trabajadores debido a vacaciones, licencias o incapacidad, para que se les modifique su usuario de manera temporal, mientras no est\u00e9n ejerciendo sus funciones, a partir de la cantidad de d\u00edas que determine VECOL S.A.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.3.26.<\/span>Toda contrase\u00f1a es personal e intransferible, y cada usuario es responsable de las acciones que se ejecuten con el usuario que se le ha asignado.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.3.27.<\/span>En caso de que exista sospecha o certeza de que alguna contrase\u00f1a se ha comprometido, \u00e9sta debe ser cambiada de manera inmediata.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.3.28.<\/span>De acuerdo con los par\u00e1metros que est\u00e1n fijados en la documentaci\u00f3n de cada sistema de informaci\u00f3n, todos los usuarios deben cumplir los lineamientos para la construcci\u00f3n de sus contrase\u00f1as. Deben estar compuestas de acuerdo a los lineamientos establecidos en el Anexo 2. \u201cGesti\u00f3n de Acceso\u201d.<\/span><\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.3.29.<\/span>La protecci\u00f3n f\u00edsica se lleva a cabo mediante la creaci\u00f3n de diversas barreras o medidas de control f\u00edsicas, alrededor de las instalaciones de VECOL S.A. y de las instalaciones de procesamiento de informaci\u00f3n.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.3.30.<\/span>Para la selecci\u00f3n de controles de las \u00e1reas protegidas se tendr\u00e1 en cuenta la posibilidad de da\u00f1o producido por incendio, inundaci\u00f3n, explosi\u00f3n, agitaci\u00f3n civil y otras formas de desastres naturales o provocados por el hombre.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.3.31.<\/span>El cableado de energ\u00eda el\u00e9ctrica y comunicaciones que transportan voz y datos que brinda apoyo a los servicios de informaci\u00f3n, deben protegerse contra intercepci\u00f3n o da\u00f1os.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.3.32.<\/span>Se garantiza la seguridad f\u00edsica del Centro de C\u00f3mputo incluyendo, entre otros, el sistema el\u00e9ctrico, el control de acceso, el sistema de protecci\u00f3n contra incendios y el control de temperatura.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.3.33.<\/span>Todas las puertas que utilicen sistema de control de acceso, deben permanecer cerradas, y es responsabilidad de todos los empleados y terceros autorizados evitar que las puertas se dejen abiertas.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.3.34.<\/span>Se exige a todo el personal, sin excepci\u00f3n, el porte en un lugar visible del mecanismo de identificaci\u00f3n adoptado en cada una de las \u00e1reas de VECOL S.A., mientras permanezcan dentro de sus instalaciones.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.3.35.<\/span>Los visitantes permanecen acompa\u00f1ados de un empleado cuando se encuentren dentro de alguna de las \u00e1reas seguras de VECOL S.A.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.3.36.<\/span>Es responsabilidad de todos los usuarios internos y externos acatar las normas de seguridad y mecanismos de control de acceso a las instalaciones de las \u00e1reas de VECOL S.A.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.3.37.<\/span>Todas las \u00e1reas que se hayan definido como protegidas y activos de informaci\u00f3n que la componen, est\u00e1n protegidas de acceso no autorizado mediante controles y tecnolog\u00edas de autenticaci\u00f3n fuerte.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.3.38.<\/span>Se mantiene un sistema de informaci\u00f3n de los derechos de acceso suministrados a una identificaci\u00f3n de usuario para acceder a sistemas de informaci\u00f3n y\/o servicios.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.3.39.<\/span>Todo acceso f\u00edsico a las \u00e1reas protegidas, debe estar manejado seg\u00fan los lineamientos definidos por la jefatura de la Secci\u00f3n de Seguridad Industrial y Salud Ocupacional.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.3.40.<\/span>En las \u00e1reas seguras donde se encuentren activos inform\u00e1ticos, se debe cumplir como m\u00ednimo con los siguientes lineamientos:<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.3.40.1.\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>No se deben consumir alimentos ni bebidas.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.3.40.2.\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>No se deben ingresar elementos inflamables.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.3.40.3.\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>No se deben almacenar elementos ajenos a la funcionalidad de la respectiva zona segura.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.3.40.4.\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>No se permiten tomar fotos o grabaciones de las \u00e1reas seguras sin la previa autorizaci\u00f3n del \u00e1rea responsable de cada una de ellas.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.3.40.5.\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>No se permite el ingreso de equipos electr\u00f3nicos (computadores port\u00e1tiles, c\u00e1maras, celulares, USB, etc.), as\u00ed como maletas o contenedores, a menos que haya una justificaci\u00f3n para esto.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.3.41.<\/span>Se otorga al Departamento de TI la responsabilidad y la autoridad para administrar el entorno de las Herramientas Colaborativas, con el fin de proteger la informaci\u00f3n de la Compa\u00f1\u00eda y garantizar el cumplimiento de las pol\u00edticas de seguridad. Las funciones de administraci\u00f3n incluyen:<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.3.41.1.\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>Reclasificaci\u00f3n de correos: La capacidad de reclasificar correos electr\u00f3nicos seg\u00fan su nivel de sensibilidad o necesidad. Esta acci\u00f3n ser\u00e1 ejecutada por el Departamento de TI, pero requerir\u00e1 la autorizaci\u00f3n previa de la Vicepresidencia de Talento Humano o la Presidencia de la compa\u00f1\u00eda, solamente en caso de reclasificaci\u00f3n por solicitud, y no en reclasificaciones por seguridad, las cuales pueden ser temporales.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.3.41.2.\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>Ocultar y Filtrar Correos: La capacidad de ocultar o filtrar correos electr\u00f3nicos que contengan informaci\u00f3n confidencial o que representen un riesgo para la seguridad de la Compa\u00f1\u00eda (por ejemplo, correos con phishing o malware).<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.3.41.3.\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>Administraci\u00f3n de Herramienta Colaborativa: La gesti\u00f3n de la configuraci\u00f3n, los permisos y las funciones de las herramientas colaborativas para garantizar la seguridad, la privacidad y el cumplimiento de las pol\u00edticas de la Compa\u00f1\u00eda. Esto puede incluir la administraci\u00f3n de cuentas de usuario, la configuraci\u00f3n de pol\u00edticas de uso compartido, la implementaci\u00f3n de controles de acceso y la supervisi\u00f3n de la actividad.\u00a0<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.3.41.4.\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>Toda lista de distribuci\u00f3n que no sea de seguridad (uso de T.I. interno), configurada en la plataforma, deber\u00e1 ser avalada y autorizada por la Vicepresidencia de Talento Humano, quien asignar\u00e1 un responsable para su mantenimiento y control, su trazabilidad debe hacerse mediante las herramientas que el Departamento de TI considere o en su defecto por la MAT.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.3.41.4.1.\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>Estas acciones deben realizarse de acuerdo con los procedimientos establecidos por las plataformas y fabricantes en cumplimiento de la legislaci\u00f3n aplicable.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.3.41.4.2.\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>Al colaborador y\/o \u00e1rea que delegue Talento Humano la responsabilidad del manejo de las listas de distribuci\u00f3n, ser\u00e1(n) responsable(s) de velar por la pertinencia y actualizaci\u00f3n de los miembros incluidos en las listas.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.3.41.4.3.\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>La solicitud de una nueva lista de distribuci\u00f3n deber\u00e1 realizarse obligatoriamente a trav\u00e9s de la Mesa de Ayuda del departamento de TI. Esto permitir\u00e1 llevar un registro adecuado de todas las solicitudes y facilitar su seguimiento, esta debe contener m\u00ednimo la sustentaci\u00f3n de la necesidad, as\u00ed como del uso que se le va a dar.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.3.41.4.4.\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>Una vez ingresada la solicitud, el m\u00e1ximo responsable del \u00e1rea solicitante, vicepresidente o director senior deber\u00e1 dar la aprobaci\u00f3n para validar la necesidad y pertinencia de la creaci\u00f3n de la lista, as\u00ed mismo deber\u00e1 determinar el responsable propietario de la lista para su administraci\u00f3n.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.3.41.4.5.\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>Una vez obtenida la aprobaci\u00f3n anterior, la solicitud deber\u00e1 ser compartida al \u00e1rea de Talento Humano para su verificaci\u00f3n y conocimiento.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.3.41.4.6.\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>Finalmente, una vez completadas las etapas de aprobaci\u00f3n, el departamento de TI proceder\u00e1 a la ejecuci\u00f3n t\u00e9cnica de la configuraci\u00f3n y creaci\u00f3n de la nueva lista de distribuci\u00f3n en el sistema correspondiente.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.3.41.4.7.\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>Anualmente, el Departamento de TI. deber\u00e1 realizar una verificaci\u00f3n anual de \u00a0\u00a0\u00a0\u00a0 todas las listas de distribuci\u00f3n existentes. Este proceso de revisi\u00f3n anual tendr\u00e1 como objetivo principal identificar listas que hayan quedado obsoletas o que requieran una depuraci\u00f3n de sus miembros, garantizando as\u00ed la eficiencia y la correcta administraci\u00f3n del sistema de correo electr\u00f3nico. Esta verificaci\u00f3n peri\u00f3dica permitir\u00e1 mantener el sistema actualizado y evitar la acumulaci\u00f3n de listas innecesarias.<\/span><\/p>

\u00a0<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.4.<\/b>POL\u00cdTICA SOBRE EL USO DE CONTROLES CRIPTOGR\u00c1FICOS.<\/b><\/p>

\u00a0<\/span><\/p>

La pol\u00edtica de Seguridad de Controles Criptogr\u00e1ficos utiliza controles encaminados a la protecci\u00f3n de la informaci\u00f3n de VECOL S.A. soportado en la realizaci\u00f3n del an\u00e1lisis de riesgos donde se identifica la informaci\u00f3n sensible para aplicar estos controles y as\u00ed garantizar una adecuada protecci\u00f3n de la Confidencialidad, Integridad y Disponibilidad de la informaci\u00f3n. Con el fin de garantizar el cumplimiento de esta pol\u00edtica se establecen los siguientes lineamientos:<\/span><\/p>

\u00a0<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.4.1.<\/span>La informaci\u00f3n digital catalogada como p\u00fablica reservada y p\u00fablica clasificada, se debe almacenar y\/o transmitir bajo t\u00e9cnicas de cifrado con el prop\u00f3sito de proteger su confidencialidad e integridad, no obstante, en caso de no poderse aplicar un mecanismo criptogr\u00e1fico, se deber\u00e1 asignar clave de apertura a los archivos digitales que contengan este tipo de informaci\u00f3n.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.4.2.<\/span>Se verifica que todo sistema de informaci\u00f3n o aplicativo que requiera realizar transmisi\u00f3n de informaci\u00f3n p\u00fablica reservada o p\u00fablica clasificada, cuente con mecanismos de cifrado de datos.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.4.3.<\/span>Se verifican, desarrollan y establecen mecanismos para el manejo y la administraci\u00f3n de llaves de cifrado y est\u00e1ndares para la aplicaci\u00f3n de controles criptogr\u00e1ficos.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.4.4.<\/span>Se implementan controles respecto de la administraci\u00f3n de claves, recuperaci\u00f3n de informaci\u00f3n cifrada en caso de p\u00e9rdida, compromiso o da\u00f1o de las claves y reemplazo de las claves de cifrado.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.4.5.<\/span>Se debe llevar a cabo un an\u00e1lisis y evaluaci\u00f3n de riesgos entre el propietario de la Informaci\u00f3n y el responsable de la Seguridad de la Informaci\u00f3n.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.4.6.<\/span>Se utilizan algoritmos de cifrado y tama\u00f1os de clave que se consideren seguros. Se verifica esta condici\u00f3n peri\u00f3dicamente con el objeto de efectuar las actualizaciones correspondientes.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.4.7.<\/span>Se tiene en cuenta los controles aplicables al cumplimiento de todos los acuerdos, legislaci\u00f3n y reglamentaci\u00f3n pertinentes a criptograf\u00eda.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.4.8.<\/span>Las firmas digitales proporcionan un medio de protecci\u00f3n de la autenticidad e integridad de los documentos electr\u00f3nicos, estas pueden aplicarse a cualquier tipo de documento que se procesa electr\u00f3nicamente.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.4.9.<\/span>Al utilizar firmas y certificados digitales, se debe considerar la legislaci\u00f3n vigente que describa las condiciones bajo las cuales una firma digital es legalmente v\u00e1lida.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.4.10.<\/span>Todas las claves son protegidas contra modificaci\u00f3n y destrucci\u00f3n; y las claves secretas o privadas ser\u00e1n protegidas contra copia o divulgaci\u00f3n no autorizada.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.4.11.<\/span>Se proporcionar\u00e1 una protecci\u00f3n adecuada a la infraestructura utilizada para generar, almacenar y archivar claves, consider\u00e1ndola cr\u00edtica o de alto riesgo.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.4.12.<\/span>Cuando las claves son comprometidas o cuando un empleado se desvincula de VECOL S.A. se revocan los certificados o firmas digitales.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.4.13.<\/span>Se registra y audita las actividades relativas a la administraci\u00f3n de claves.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.4.14.<\/span>A fin de reducir la probabilidad de compromiso, las claves tienen fechas de inicio y caducidad de vigencia, definidas de manera que s\u00f3lo puedan ser utilizadas por un lapso de tiempo definido, no mayor a 12 meses.<\/span><\/p>

\u00a0<\/span><\/p>

\u00a0<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.5.<\/b>POL\u00cdTICA DE CAPACITACI\u00d3N Y SENSIBILIZACI\u00d3N EN SEGURIDAD DE LA INFORMACI\u00d3N, ESCRITORIO LIMPIO, Y PANTALLA LIMPIA.<\/b><\/p>

\u00a0<\/span><\/p>

La pol\u00edtica de Capacitaci\u00f3n y Sensibilizaci\u00f3n en Seguridad de la Informaci\u00f3n, Escritorio Limpio, y Pantalla Limpia, se centra en formar y dar a conocer a los trabajadores temas relacionados con la Seguridad de la Informaci\u00f3n, cuya finalidad es que puedan identificar y reportar de manera oportuna los incidentes de seguridad de la informaci\u00f3n y disminuir las vulnerabilidades y amenazas relacionadas con el recurso humano. Esta gesti\u00f3n est\u00e1 a cargo de la Vicepresidencia de Talento Humano. Con el fin de garantizar el cumplimiento de esta pol\u00edtica se establecen los siguientes lineamientos:<\/span><\/p>

\u00a0<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.5.1.<\/span>Se provee al personal activo las habilidades requeridas a trav\u00e9s de entrenamientos para proteger los sistemas y cumplir con las responsabilidades de administrar de manera oportuna y correcta los dispositivos de seguridad de la informaci\u00f3n.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.5.2.<\/span>Se tiene una cultura que promueve la Seguridad de la Informaci\u00f3n donde todos los trabajadores apliquen los controles de Seguridad de la Informaci\u00f3n y prevengan que la informaci\u00f3n sensible de VECOL S.A. se vea comprometida.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.5.3.<\/span>A partir de los resultados de pruebas de ingenier\u00eda social y de an\u00e1lisis de riesgo se debe determinar los temas y las estrategias de sensibilizaci\u00f3n para reforzar el nivel de conocimiento en temas de Seguridad de la Informaci\u00f3n para todos los trabajadores.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.5.4.<\/span>Se tiene definido un mecanismo de inducci\u00f3n en Seguridad de la Informaci\u00f3n para todos los trabajadores que sean destinados a recibir un nuevo cargo, bien sea por nombramiento, traslado o por disposiciones internas de la Compa\u00f1\u00eda.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.5.5.<\/span>Se tiene definido un programa de capacitaci\u00f3n y sensibilizaci\u00f3n que de manera peri\u00f3dica refuerzan los conceptos y amenazas de seguridad de la informaci\u00f3n para que los trabajadores cuenten con informaci\u00f3n actualizada y sepan c\u00f3mo actuar ante incidentes y c\u00f3mo reportarlos.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.5.6.<\/span>VECOL S.A. destina los recursos suficientes para desarrollar los programas de capacitaci\u00f3n y sensibilizaci\u00f3n.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.5.7.<\/span>La asistencia a las sesiones de capacitaci\u00f3n y sensibilizaci\u00f3n en seguridad de la informaci\u00f3n son de car\u00e1cter obligatorio.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.5.8.<\/span>Los mensajes de sensibilizaci\u00f3n de las pol\u00edticas de Seguridad de la Informaci\u00f3n, se dan a conocer y entender de manera f\u00e1cil.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.5.9.<\/span>Se eval\u00faa a todos los empleados de manera peri\u00f3dica, los niveles de sensibilizaci\u00f3n en temas de Seguridad de la Informaci\u00f3n.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.5.10.<\/span>En horas no h\u00e1biles, o cuando los sitios de trabajo se encuentren desatendidos, los usuarios deben dejar los medios que contengan informaci\u00f3n cr\u00edtica protegida bajo llave.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.5.11.<\/span>Los usuarios deben guardar bajo llave informaci\u00f3n cr\u00edtica cada vez que se retiren de su puesto de trabajo, de tal manera que no quede expuesta y se pueda comprometer su disponibilidad o confidencialidad.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.5.12.<\/span>Todas las estaciones de trabajo usan \u00fanicamente el papel tapiz y el protector de pantalla establecido por VECOL S.A.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.5.13.<\/span>Al retirarse del puesto de trabajo, los usuarios deben bloquear el equipo de c\u00f3mputo, para evitar que otras personas puedan acceder a la informaci\u00f3n:<\/span><\/p>

\u25cf\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>Debe pulsar simult\u00e1neamente (tecla Windows + la tecla L) para bloquear el equipo o bloqueo de pantalla.<\/span><\/p>

\u25cf\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>Pulsar (Ctrl + alt + supr) y seleccionar la opci\u00f3n bloquear equipo.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.5.14.<\/span>Los empleados son responsables por la custodia y las acciones que se realicen sobre los activos inform\u00e1ticos que le han asignado. Por lo tanto, deben estar presentes en el sitio de trabajo cuando se realice cualquier mantenimiento o actualizaci\u00f3n de software de dichos activos. Cuando se requiera trasladar el equipo inform\u00e1tico a otro sitio, se deber\u00e1 hacer previa autorizaci\u00f3n del responsable del activo inform\u00e1tico.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.5.15.<\/span>Se definen compromisos y obligaciones por parte del personal que es capacitado en temas de Seguridad de la Informaci\u00f3n.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.5.16.<\/span>No se deben dejar en las impresoras documentos expuestos que contengan informaci\u00f3n sensible, ya que se puede comprometer su confidencialidad.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.5.17.<\/span>Los usuarios y claves son personales e intransferibles en ese sentido no se pueden \u201cprestar\u201d o facilitar entre compa\u00f1eros de trabajo, el hacerlo se considera como una falta grave a las obligaciones contractuales.<\/span><\/p>

\u00a0<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.6.<\/b>POL\u00cdTICA DE COPIAS DE RESPALDO.<\/b><\/p>

\u00a0<\/span><\/p>

VECOL S.A. realizar\u00e1 copias de respaldo de la informaci\u00f3n dando prioridad a la clasificada con mayores niveles de importancia y criticidad basados en lo definido en el Anexo 3. \u201cInventario, Clasificaci\u00f3n y Valoraci\u00f3n de activos de Informaci\u00f3n\u201d<\/span>. Con el fin de garantizar el cumplimiento de \u00e9sta pol\u00edtica se establecen los siguientes lineamientos:<\/span><\/p>

\u00a0<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.6.1.<\/span>Todo usuario y\/o empleado de VECOL S.A. ser\u00e1 responsable de tener copia de respaldo de su informaci\u00f3n, en la herramienta de almacenamiento que se disponga para el alojamiento de la informaci\u00f3n; dicha copia de respaldo deber\u00e1 realizarse por lo menos 1 vez cada 15 d\u00edas.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.6.2.<\/span>Los usuarios que no tengan conexi\u00f3n y\/o entrada a la herramienta nombrada en el \u00edtem anterior, deber\u00e1n entregar en la misma periodicidad y en medio digital (USB, CD, DD, DVD, etc.) al Departamento de T.I., el backup correspondiente y el Departamento de T.I. realizar\u00e1 el respectivo almacenamiento de la informaci\u00f3n en la herramienta dispuesta para ello.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.6.3.<\/span>Cuando se trate de informaci\u00f3n de respaldo identificada como p\u00fablica reservada y p\u00fablica clasificada, debe estar cifrada.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.6.4.<\/span>Los medios de copias se almacenar\u00e1n en custodia externa, nube, o cualquier otro que el Departamento de T.I. considere, asegurando disponibilidad y que tenga implementado mecanismos de protecci\u00f3n ambiental como detecci\u00f3n de humo, fuego, humedad, as\u00ed como mecanismos de control de acceso f\u00edsico.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.6.5.<\/span>Se realizan pruebas de restauraci\u00f3n de la informaci\u00f3n contenida en las copias de respaldo, de acuerdo a un plan de restauraci\u00f3n para asegurar que se puede depender de ellas en caso de emergencia si es necesario.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.6.6.<\/span>Se definen los tiempos de retenci\u00f3n de las copias de respaldo, permitiendo minimizar el impacto de la operaci\u00f3n de VECOL S.A., en caso de presentarse una falla o desastre y poder contar con la informaci\u00f3n necesaria en el momento oportuno para responder con los tiempos de restauraci\u00f3n de los servicios.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.6.7.<\/span>Se define la frecuencia y tipo de copias de respaldo a realizar.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.6.8.<\/span>El Departamento de T.I. garantizar\u00e1 las copias de respaldo de los Servidores asignados al Departamento de T.I.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.6.9.<\/span>La informaci\u00f3n perteneciente a los colaboradores que por una u otra raz\u00f3n terminan su contrato, es de la Compa\u00f1\u00eda, por lo tanto, no se suministrar\u00e1 backup, sin excepci\u00f3n.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.6.10.<\/span>Cada administrador de servicios que se encuentre en el inventario de software, garantizar\u00e1 el respaldo de la informaci\u00f3n para la continuidad del negocio; teniendo copias de seguridad en los alojamientos administrados por el Departamento de T.I.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.6.11.<\/span>El Departamento de T.I. garantizar\u00e1 la actualizaci\u00f3n del Anexo 3. \u201cInventario, Clasificaci\u00f3n y Valoraci\u00f3n de activos de Informaci\u00f3n\u201d.<\/span>, y en conjunto con el administrador de servicios, se realizar\u00e1 un plan de copia de respaldo de estos servicios anualmente, gestionando con el Departamento de T.I. las copias de respaldo de la informaci\u00f3n en las herramientas proporcionadas por la Compa\u00f1\u00eda.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.6.12.<\/span>Los administradores de servicios, deber\u00e1n entregar al Departamento de T.I. un superusuario de administraci\u00f3n de los servicios o plataforma de Herramienta Colaborativa.<\/span><\/p>

\u00a0<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.7.<\/b>POL\u00cdTICA DE TRANSFERENCIA DE LA INFORMACI\u00d3N.<\/b><\/p>

\u00a0<\/span><\/p>

VECOL S.A. Implementa mecanismos y los debidos controles que permitan establecer una comunicaci\u00f3n segura en la transferencia de la informaci\u00f3n evitando la interceptaci\u00f3n que pueda copiar, modificar, o eliminar la informaci\u00f3n por parte de terceros. Con el fin de garantizar el cumplimiento de \u00e9sta pol\u00edtica se establecen los siguientes lineamientos:<\/span><\/p>

\u00a0<\/b><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.7.1.<\/span>Todo trabajador de la Compa\u00f1\u00eda con autoridad, que desee conceder permisos de transferencia de informaci\u00f3n, debe solicitar la autorizaci\u00f3n al Departamento de Tecnolog\u00edas de la Informaci\u00f3n a trav\u00e9s de un correo electr\u00f3nico dirigido al Director de T.I. con copia al Jefe de Desarrollo y Nuevas Tecnolog\u00edas<\/span>. La persona que realiza la solicitud es responsable de la Confidencialidad e Integridad de la misma.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.7.2.<\/span>Toda informaci\u00f3n requerida por un \u00e1rea o un tercero, debe ser solicitada directamente al responsable de la misma, siguiendo los conductos regulares, previa autorizaci\u00f3n de la Vicepresidencia Jur\u00eddica.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.7.3.<\/span>Se usan t\u00e9cnicas de cifrado de la informaci\u00f3n sensible para garantizar la Confidencialidad, Integridad y Disponibilidad de la informaci\u00f3n durante la transferencia de la informaci\u00f3n.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.7.4.<\/span>\u00danicamente se entrega informaci\u00f3n a receptores autorizados por la Vicepresidencia Jur\u00eddica, quienes garanticen por escrito la reserva legal y protecci\u00f3n de la informaci\u00f3n que se les vaya a suministrar.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.7.5.<\/span>Se deber\u00e1n suscribir Acuerdos de Confidencialidad con los terceros que van a acceder a la informaci\u00f3n. Para el efecto, el interesado deber\u00e1 realizar la correspondiente solicitud formal a la Vicepresidencia Jur\u00eddica[1]<\/a>\u00a0 para la elaboraci\u00f3n o revisi\u00f3n, seg\u00fan sea el caso, del respectivo Acuerdo de Confidencialidad.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.7.6.<\/span>Cuando proceda, la oficina responsable de dar respuesta legal a un requerimiento de informaci\u00f3n clasificada, deber\u00e1 verificar previamente entre otros temas y sin limitarse a:<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.7.6.1.\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>La solicitud se ajuste a la normatividad aplicable vigente.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.7.6.2.\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>La respuesta identifique el nivel de clasificaci\u00f3n correspondiente a la naturaleza del documento o la informaci\u00f3n que se ponga en conocimiento de la autoridad competente.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.7.6.3.\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>La respuesta refleja adecuadamente la valoraci\u00f3n de la informaci\u00f3n, el uso de t\u00e9rminos condicionales y dubitativos, que garantice entre otros la reserva, el debido proceso, el buen nombre y el derecho a la intimidad.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.7.6.4.\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>La respuesta cumple con los protocolos de seguridad, acceso y reserva.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.7.6.5.\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>La respuesta con la informaci\u00f3n suministrada no pone en peligro o riesgo la Seguridad de VECOL S.A.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.7.6.6.\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>La respuesta no da a conocer capacidades, procedimientos, m\u00e9todos, medios, elementos t\u00e9cnicos, operaciones o actividades que comprometan la seguridad de VECOL S.A.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.7.6.7.\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>La respuesta queda debidamente registrada para tener la trazabilidad de la misma. En el documento de respuesta se debe trasladar a las autoridades competentes o receptores autorizados la reserva legal de la informaci\u00f3n y especificar las prohibiciones o restricciones de su distribuci\u00f3n, alertando sobre las acciones penales y disciplinarias que acarrea la no observancia de lo consagrado en la ley.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.7.6.8.\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>Se da cumplimiento a lo establecido en el Anexo 3. \u201cInventario, Clasificaci\u00f3n y Valoraci\u00f3n de activos de Informaci\u00f3n\u201d.<\/span><\/span><\/p>

\u00a0<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.8.<\/b>POL\u00cdTICA DE DESARROLLO SEGURO.<\/b><\/p>

\u00a0<\/span><\/p>

VECOL S.A. crea y mantiene mecanismos que incluyan los requerimientos de seguridad en todo el ciclo de vida de desarrollo y mantenimiento seguro de las aplicaciones, los responsables revisan y determinan la acci\u00f3n a seguir para el tratamiento de las vulnerabilidades, para evitar que tengan brechas de seguridad, esto aplica para los desarrollos realizados al interior de VECOL S.A. Con el fin de garantizar el cumplimiento de esta pol\u00edtica se establecen los siguientes lineamientos:<\/span><\/p>

\u00a0<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.8.1.<\/span>Se identifican y establecen los requisitos de seguridad en todas las fases del ciclo de vida de desarrollo de software, y se justifica, acuerda y documenta.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.8.2.<\/span>Se incluyen puntos de chequeo de seguridad dentro de las fases del ciclo de vida de desarrollo de software.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.8.3.<\/span>El cambio de versi\u00f3n de las aplicaciones implementadas en el ambiente de producci\u00f3n debe contar con controles de seguridad, para esto se hace una copia de respaldo en caso que se deba realizar marcha atr\u00e1s, para mantener la integridad de los datos y de los sistemas de informaci\u00f3n.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.8.4.<\/span>Se realizan pruebas de seguridad en un ambiente controlado con el fin de identificar vulnerabilidades, las cuales son resueltas antes del paso a producci\u00f3n.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.8.5.<\/span>El Departamento de Tecnolog\u00edas de la Informaci\u00f3n (TI) deber\u00e1 contar con los ambientes de Desarrollo, Pruebas y Producci\u00f3n, los cuales deber\u00e1n estar separados.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.8.6.<\/span>El ambiente de prueba es simular el ambiente de producci\u00f3n.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.8.7.<\/span>Cuando se contraten desarrollos por terceros, VECOL S.A. valida el cumplimiento de requerimientos de seguridad.<\/span><\/p>

\u00a0<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.9.<\/b>POL\u00cdTICA DE SEGURIDAD DE LA INFORMACI\u00d3N PARA LAS RELACIONES CON LOS PROVEEDORES.<\/b><\/p>

\u00a0<\/span><\/p>

VECOL S.A. identifica requisitos de seguridad para proteger la informaci\u00f3n, e incluirlos dentro de los acuerdos con proveedores, por medio de un an\u00e1lisis que permita identificar riesgos asociados para implementar planes de acci\u00f3n dependiendo de las actividades a realizar. Con el fin de garantizar el cumplimiento de esta pol\u00edtica se establecen los siguientes lineamientos:<\/span><\/p>

\u00a0<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.9.1.<\/span>Se tiene en cuenta la documentaci\u00f3n relacionada con los servicios, infraestructura de TI, sistemas de informaci\u00f3n y activos a los cuales tendr\u00e1n acceso los proveedores, esto es controlado teniendo en cuenta los permisos de acuerdo al trabajo a realizar y los acuerdos firmados, los cuales tienen requisitos m\u00ednimos de seguridad, que se cumplen haciendo seguimiento por medio de mecanismos establecidos.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.9.2.<\/span>VECOL S.A. incluye dentro de los acuerdos a firmar con el proveedor, todos los controles de seguridad aplicables.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.9.3.<\/span>Cuando exista la necesidad de otorgar acceso de terceras partes a los diferentes sistemas de informaci\u00f3n, se realiza siempre con la participaci\u00f3n del propietario de la informaci\u00f3n una evaluaci\u00f3n de riesgos para identificar los requerimientos de controles espec\u00edficos, teniendo en cuenta entre otros los siguientes aspectos:<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.9.3.1.\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>El tipo de acceso requerido (f\u00edsico, l\u00f3gico y a qu\u00e9 recurso).<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.9.3.2.\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>Los motivos por los cuales solicita el acceso.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.9.3.3.\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>El valor de la informaci\u00f3n del \u00e1rea que lo solicita.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.9.3.4.\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>Los controles empleados por la tercera parte.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.9.4.<\/span>En ning\u00fan caso se otorgar\u00e1 acceso a terceros a la informaci\u00f3n, a las instalaciones de procesamiento u otras \u00e1reas de servicios cr\u00edticos, hasta tanto se hayan implementado los controles apropiados y firmado un contrato o acuerdo que definan las condiciones para la conexi\u00f3n o el acceso.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.9.5.<\/span>El acceso de los terceros a la informaci\u00f3n o a cualquier elemento de la infraestructura tecnol\u00f3gica es solicitado por el supervisor, o persona a cargo del tercero, al propietario de dicho activo, \u00e9ste junto con los encargados de la infraestructura tecnol\u00f3gica, aprueban y autorizan el acceso y uso de la informaci\u00f3n.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.9.6.<\/span>Los contratos o acuerdos de tercerizaci\u00f3n total o parcial para la administraci\u00f3n y control de sistemas de informaci\u00f3n, redes y\/o ambientes de computadores, contemplar\u00e1n como m\u00ednimo los siguientes aspectos:<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.9.6.1.\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>Forma en los que se cumplir\u00e1n los requisitos legales aplicables<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.9.6.2.\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>Medios para garantizar que todas las partes involucradas en la tercerizaci\u00f3n incluyendo los subcontratistas, conocen sus responsabilidades en materia de seguridad.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.9.6.3.\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>Forma en que se mantendr\u00e1 y comprobar\u00e1 la integridad y confidencialidad de los activos.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.9.6.4.\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>Controles f\u00edsicos y l\u00f3gicos que se utilizar\u00e1n para restringir y delimitar el acceso a la informaci\u00f3n sensible.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.9.6.5.\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>Forma en que se mantendr\u00e1 la disponibilidad de los servicios ante la ocurrencia de desastres.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.9.6.6.\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>Niveles de seguridad f\u00edsica que se asignar\u00e1 al equipamiento tercerizado.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.9.6.7.\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>Derecho a la auditor\u00eda por parte de VECOL S.A.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.9.7.<\/span>Todos los proveedores firman la cl\u00e1usula y\/o acuerdo de confidencialidad que es parte integral de los contratos, utilizando t\u00e9rminos legalmente ejecutables y contemplando factores como responsabilidades y acciones de los firmantes para evitar la divulgaci\u00f3n de informaci\u00f3n no autorizada. Este requerimiento tambi\u00e9n se aplica para los casos de contrataci\u00f3n de personal temporal o cuando se permita el acceso a la informaci\u00f3n y\/o a los recursos a personas o entidades externas.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.9.8.<\/span>Se formalizan los Acuerdos de Niveles de Servicio y los acuerdos de intercambio de informaci\u00f3n con cada proveedor dentro del contrato realizado, de acuerdo a los lineamientos establecidos por VECOL S.A.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.9.9.<\/span>Se definen las cl\u00e1usulas por incumplimiento en los contratos de los proveedores, para establecer las situaciones que puedan generar multas o penalizaciones, dentro de los cuales se contempla los acuerdos de confidencialidad y no divulgaci\u00f3n de la informaci\u00f3n.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.9.10.<\/span>Los procesos de selecci\u00f3n, evaluaci\u00f3n y adjudicaci\u00f3n del contratista o proveedor est\u00e1n enmarcados en la normatividad vigente aplicable y las pol\u00edticas internas de VECOL S.A.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.9.11.<\/span>El seguimiento y control de ejecuci\u00f3n de los contratos es ejercido por los supervisores que designe VECOL S.A.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.9.12.<\/span>Los encargados de la infraestructura tecnol\u00f3gica verifican las condiciones de comunicaci\u00f3n segura, cifrado y transmisi\u00f3n de informaci\u00f3n desde y hacia los terceros.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.9.13.<\/span>Los supervisores de contratos con terceros administran los cambios en el suministro de servicios por parte de terceros, manteniendo los niveles de cumplimiento de servicio y seguridad establecidos con ellos y monitoreando la aparici\u00f3n de nuevos riesgos.<\/span><\/p>

\u00a0<\/span><\/p>

\u00a0<\/span>4.2.10.<\/b>POL\u00cdTICA DE GESTI\u00d3N DE ACTIVOS.<\/b><\/p>

\u00a0<\/span><\/p>

VECOL S.A. identifica todos los activos de informaci\u00f3n y mantiene un inventario actualizado, exacto, consistente y documentado con todos los aspectos relevantes de cada uno, clasific\u00e1ndolos de acuerdo a la Confidencialidad, Integridad y Disponibilidad de la informaci\u00f3n, para identificar su valor y criticidad. Adem\u00e1s, cada activo debe tener un propietario que garantice los niveles de seguridad que correspondan seg\u00fan sea el caso. Con el fin de garantizar el cumplimiento de esta pol\u00edtica se establecen los siguientes lineamientos:<\/span><\/p>

\u00a0<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.10.1.<\/span>Los equipos de terceros que requieran acceder a las redes de datos de VECOL S.A. deben cumplir con mecanismos de sanitizaci\u00f3n inform\u00e1tica antes de concederles dicho acceso.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.10.2.<\/span>VECOL S.A., garantizar\u00e1 que el Departamento de Tecnolog\u00edas de la Informaci\u00f3n (TI) tenga los recursos para una correcta gesti\u00f3n de Activos de la Informaci\u00f3n.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.10.3.<\/span>Todos los activos de informaci\u00f3n adquiridos y dados de baja, deben ser reportados por el responsable del mismo mediante la Mesa de Ayuda T\u00e9cnica con el fin de ser actualizado el inventario.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.10.4.<\/span>Cuando un activo de informaci\u00f3n es reasignado a otra persona, se debe informar por la Mesa de Ayuda T\u00e9cnica, con el fin de ser actualizado el inventario.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.10.5.<\/span>Los equipos de terceros que hayan sido autorizados para acceder de forma permanente a las redes de datos de VECOL S.A. s\u00f3lo podr\u00e1n hacerlo una vez se haya efectuado un an\u00e1lisis de software malicioso por parte del Departamento de Tecnolog\u00edas de la Informaci\u00f3n (TI).<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.10.6.<\/span>Los trabajadores de VECOL S.A. se comprometen a identificar, clasificar, etiquetar, disponer, devolver y gestionar los activos de informaci\u00f3n establecidos como tal, de acuerdo a la presente pol\u00edtica y al Anexo 3. \u201cInventario, Clasificaci\u00f3n y Valoraci\u00f3n de activos de Informaci\u00f3n\u201d.<\/span><\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.10.7.<\/span>La identificaci\u00f3n, clasificaci\u00f3n y valoraci\u00f3n de los activos de informaci\u00f3n se realiza de acuerdo al Anexo 3. \u201cInventario, Clasificaci\u00f3n y Valoraci\u00f3n de activos de Informaci\u00f3n\u201d.<\/span><\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.10.8.<\/span>Se mantiene un registro actualizado y exacto de todos los activos de informaci\u00f3n necesarios para la prestaci\u00f3n de servicios, de acuerdo al Sistema o Herramienta que el Departamento de Tecnolog\u00edas de la Informaci\u00f3n (TI) disponga para el Inventario, Clasificaci\u00f3n y Valoraci\u00f3n de activos de Informaci\u00f3n.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.10.9.<\/span>Todos los activos de informaci\u00f3n tienen asignado un custodio que tiene la responsabilidad de mantener los controles adecuados para su protecci\u00f3n.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.10.10.<\/span>Los propietarios de la informaci\u00f3n son los encargados de clasificarla de acuerdo con su grado de sensibilidad y criticidad, de documentar y mantener actualizada la clasificaci\u00f3n efectuada, y de definir las funciones que deber\u00e1n tener permisos de acceso a la informaci\u00f3n.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.10.11.<\/span>Los documentos, informaci\u00f3n o material de VECOL S.A. se enmarcan dentro de los niveles de clasificaci\u00f3n de seguridad de la informaci\u00f3n, de acuerdo a lo establecido en el Anexo 3. \u201cInventario, Clasificaci\u00f3n y Valoraci\u00f3n de activos de Informaci\u00f3n\u201d.<\/span><\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.10.12.<\/span>Los documentos de VECOL S.A. que contengan informaci\u00f3n relacionada con diferentes niveles de clasificaci\u00f3n de seguridad, asumir\u00e1n la del nivel m\u00e1s alto que tenga la informaci\u00f3n contenida en ellos.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.10.13.<\/span>La informaci\u00f3n con mayor nivel de clasificaci\u00f3n de seguridad, tiene mayores restricciones y controles para el acceso a la misma por parte de los receptores, las autoridades, los empleados y asesores que deban conocer de ella.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.10.14.<\/span>Los trabajadores de VECOL S. A. deben seguir los siguientes lineamientos:<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.10.14.1.\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>Se encuentra restringida la conexi\u00f3n no autorizada de cualquier elemento de almacenamiento de acuerdo con la Pol\u00edtica de Dispositivos M\u00f3viles que hace parte del presente manual.<\/span><\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.10.14.2.\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>El uso de medios removibles de almacenamiento solamente es autorizado a los trabajadores, contratistas y dem\u00e1s terceros con el aval del Jefe de cada una de las oficinas quienes deber\u00e1n informar por medio de de la mesa de ayuda t\u00e9cnica. En caso de solicitar la autorizaci\u00f3n para el uso de medios removibles, ser\u00e1 condici\u00f3n para otorgar el aval, la ratificaci\u00f3n y aceptaci\u00f3n de las pol\u00edticas contenidas en el presente Manual por parte del colaborador, contratistas y dem\u00e1s terceros, de tal forma que el uso contrario a las disposiciones aqu\u00ed previstas lo har\u00e1 sujeto de las sanciones a las que haya lugar.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.10.14.3.\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>Los medios de almacenamiento removibles como cintas, discos duros removibles, y dispositivos USB, que contengan informaci\u00f3n corporativa de Vecol, deben ser controlados y f\u00edsicamente protegidos por el funcionario responsable de la informaci\u00f3n.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.10.14.4.\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>La informaci\u00f3n que es almacenada en medios removibles y que debe estar disponible por largo tiempo, debe ser protegida y controlada adecuadamente por cada Jefe o Director responsable para evitar que \u00e9sta se vea afectada por el tiempo de vida \u00fatil del medio.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.10.14.5.\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>La responsabilidad de la informaci\u00f3n contenida en los medios removibles es del trabajador que est\u00e1 a cargo del mismo, con la autorizaci\u00f3n del Jefe o Director.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.10.14.6.\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>De acuerdo con buenas pr\u00e1cticas en seguridad de la informaci\u00f3n, se debe evitar el almacenamiento o transporte de este tipo de informaci\u00f3n en medios removibles no controlados o autorizados. S\u00f3lo se deben habilitar unidades de medios removibles cifrados si hay una raz\u00f3n de la operaci\u00f3n para hacerlo. Se deben aplicar los siguientes controles:<\/span><\/span><\/span><\/p>

\u25cf\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>Se utilizan mecanismos de cifrado fuertes sobre la informaci\u00f3n y\/o medio removible.<\/span><\/p>

\u25cf\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>Los medios removibles sobre los cuales se pueda tener control, se almacenan en un ambiente protegido y seguro.<\/span><\/p>

\u25cf\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>Para mitigar el riesgo de degradaci\u00f3n de los medios que contienen los datos almacenados, \u00e9stos se transfieren a medios nuevos antes de que se vuelvan ilegibles luego de cumplir un tiempo el cual es definido por la Compa\u00f1\u00eda.<\/span><\/p>

\u25cf\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>En caso de necesitar retirar de Vecol un medio removible, deber\u00e1 ser autorizado por medio de una solicitud en la Mesa de Ayuda T\u00e9cnica, la cual debe ser autorizada por el jefe directo, Director de T.I. y\/o el Jefe de Desarrollo y Nuevas Tecnolog\u00edas.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.10.14.7.\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>En caso de ser necesario, el Director o Jefe responsable de los medios debe realizar una copia de respaldo de la informaci\u00f3n que se encuentra en el medio removible antes de ejecutar cualquier acci\u00f3n de disposici\u00f3n segura o reasignaci\u00f3n del mismo.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.10.14.8.\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>El responsable de un medio que se reasigne o que se requiera para otra tarea y deba realizar un borrado total del mismo, debe solicitar al Director de T.I. realizar el borrado seguro del contenido del medio removible, para esto se utiliza el m\u00e9todo Peter Gutmann (35 pasadas).<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.10.14.9.\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>Cuando un medio removible se deba destruir, el responsable del mismo debe realizar la disposici\u00f3n segura del medio utilizando alguna de las siguientes t\u00e9cnicas: Desintegrar, Pulverizar, Fundir o Incinerar. Adicionalmente, para los discos \u00f3pticos (CD, DVD, Blu-ray) se utiliza la t\u00e9cnica de triturar, haciendo uso de m\u00e1quinas trituradoras de papel o espec\u00edficas para esta labor.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.10.15.<\/span>Los activos de informaci\u00f3n deben tener un uso aceptable siguiendo las indicaciones definidas en el Anexo 3. \u201cInventario, Clasificaci\u00f3n y Valoraci\u00f3n de activos de Informaci\u00f3n\u201d.<\/span><\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.10.16.<\/span>EI desarrollo de contratos de mantenimiento de equipos inform\u00e1ticos cuentan con la asignaci\u00f3n de un supervisor permanente, encargado de controlar que se cumplan los est\u00e1ndares de seguridad tanto en la parte f\u00edsica como l\u00f3gica de los sistemas.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.10.17.<\/span>VECOL S.A. deber\u00e1 garantizar al Departamento de Tecnolog\u00edas de la Informaci\u00f3n (TI), contar con un \u00e1rea f\u00edsica de mantenimiento de equipos, la cual garantizar\u00e1 que los equipos que son llevados a mantenimiento y que contenga informaci\u00f3n p\u00fablica reservada y p\u00fablica clasificada, estar\u00e1n contenidos y supervisados.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.10.18.<\/span>Los discos duros o sistemas de almacenamiento que requieran mantenimiento y en los cuales se haya grabado en alg\u00fan momento informaci\u00f3n p\u00fablica reservada y p\u00fablica clasificada, no podr\u00e1n ser retirados de las instalaciones donde est\u00e9n asignados por aspectos de seguridad. Si el dispositivo requiere reemplazo, en ning\u00fan caso podr\u00e1 ser entregado para su cambio al proveedor o fabricante. Esta disposici\u00f3n deber\u00e1 quedar registrada y acordada en todos los contratos y garant\u00edas. En caso de una garant\u00eda, se debe proceder a borrar en forma segura, para lo cual VECOL S.A. garantizar\u00e1 al Departamento de T.I. que tenga la herramienta necesaria para dicha labor.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.10.19.<\/span>Se considera activo de informaci\u00f3n las cuentas de correo que disponga la Compa\u00f1\u00eda, los datos almacenados en Drive, los documentos creados en el uso de las herramientas colaborativas, las interacciones realizadas a trav\u00e9s de IA o IAG y cualquier otra herramienta que la compa\u00f1\u00eda disponga para el uso de los colaboradores.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.10.19.1.\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>Las pol\u00edticas de control de acceso, respaldo, retenci\u00f3n y eliminaci\u00f3n de informaci\u00f3n se extienden a estos activos digitales.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.10.19.2.\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>En cualquier momento, el departamento de TI bajo su experiencia, manejo y gesti\u00f3n podr\u00e1 tomar decisiones de remoci\u00f3n, acceso o dem\u00e1s de cualquier activo de la compa\u00f1\u00eda.<\/span><\/p>

\u00a0<\/span><\/p>

\u00a0<\/span>4.2.11.<\/b>POL\u00cdTICA DE GESTI\u00d3N DE INCIDENTES DE SEGURIDAD DE LA INFORMACI\u00d3N.<\/b><\/p>

\u00a0<\/span><\/p>

VECOL S.A. Promueve para usuarios internos y externos el reporte de incidentes relacionados con la seguridad de la informaci\u00f3n y sus medios de procesamiento, incluyendo cualquier tipo de medio de almacenamiento de informaci\u00f3n, como la plataforma tecnol\u00f3gica, los sistemas de informaci\u00f3n, los medios f\u00edsicos de almacenamiento y las personas. Con el fin de garantizar el cumplimiento de esta pol\u00edtica se establecen los siguientes lineamientos:<\/span><\/p>

\u00a0<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.11.1.<\/span>Se deben reportar a la Mesa de Ayuda T\u00e9cnica los incidentes de seguridad de la informaci\u00f3n, la cual tendr\u00e1 la responsabilidad de investigar y solucionar junto con el Departamento de T.I., los incidentes reportados, tomando las medidas necesarias para evitar su reincidencia y escalando los incidentes de acuerdo con su criticidad.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.11.2.<\/span>Los propietarios de los activos de informaci\u00f3n, trabajadores y terceros deben informar los incidentes de seguridad que identifiquen o que reconozcan su posibilidad de materializaci\u00f3n, mediante la Mesa de Ayuda T\u00e9cnica MAT<\/span> de Vecol S.A.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.11.3.<\/span>Se documentan y clasifican los incidentes de seguridad de la informaci\u00f3n de acuerdo con las indicaciones especificadas en la\u00a0 M<\/span>esa de Ayuda T\u00e9cnica MAT<\/span><\/a> de Vecol S.A.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.11.4.<\/span>Se analizan los incidentes de seguridad de la Informaci\u00f3n para identificar cu\u00e1les ser\u00e1n escalados y proceder a realizar el contacto con las autoridades, cuando se estime necesario.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.11.5.<\/span>Todo aquel evento que se identifique por medio del monitoreo y revisi\u00f3n de los registros y que ponga en riesgo la Confidencialidad, Integridad y Disponibilidad de la infraestructura tecnol\u00f3gica, ser\u00e1 reportado en la\u00a0 Mesa de Ayuda T\u00e9cnica MAT<\/span> de Vecol S.A.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.11.6.<\/span>En los casos que sea necesario realizar recolecci\u00f3n y preservaci\u00f3n de la evidencia de las investigaciones que se realicen durante el an\u00e1lisis de un incidente de seguridad de la informaci\u00f3n, ser\u00e1 reportado a la Mesa de Ayuda T\u00e9cnica de Vecol S.A. y el comit\u00e9 TIC deber\u00e1 generar el plan de recolecci\u00f3n de evidencia a ser ejecutado.<\/span><\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.11.7.<\/span>En caso de presentarse incidentes de seguridad, se deber\u00e1 informar a la Vicepresidencia Jur\u00eddica con el fin de que se garantice la adecuada cadena de custodia y, si es procedente, se inicien las correspondientes acciones legales a que haya lugar en contra de las personas responsables.<\/span><\/p>

\u00a0<\/span><\/p>

\u00a0<\/span>4.2.12.<\/b>POL\u00cdTICA DE ORGANIZACI\u00d3N DE LA SEGURIDAD DE LA INFORMACI\u00d3N<\/b><\/p>

\u00a0<\/span><\/p>

VECOL S.A. estructura una organizaci\u00f3n donde se instituyen unos roles y responsabilidades de Seguridad de la Informaci\u00f3n, los cuales ejecutan actividades de administraci\u00f3n, operaci\u00f3n y gesti\u00f3n de la Seguridad de la Informaci\u00f3n. Esto es posible estableciendo una adecuada comunicaci\u00f3n para que la Compa\u00f1\u00eda pueda aprobar los lineamientos de Seguridad de la Informaci\u00f3n y coordinar la implementaci\u00f3n del Sistema de Gesti\u00f3n de Seguridad de la Informaci\u00f3n (SGSI) en todos los procesos de la Compa\u00f1\u00eda. Con el fin de garantizar el cumplimiento de esta pol\u00edtica se establecen los siguientes lineamientos:<\/span><\/p>

\u00a0<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.12.1.<\/span>Los diferentes roles y sus responsabilidades del Sistema de Gesti\u00f3n de Seguridad de la Informaci\u00f3n (SGSI) est\u00e1n definidos en el Cap\u00edtulo 3 del presente Manual.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.12.2.<\/span>La estructura de organizaci\u00f3n de Seguridad de la Informaci\u00f3n debe ser p\u00fablica y clara en sus responsabilidades para cada uno de los roles definidos.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.12.3.<\/span>Se debe nombrar a quien lidera y asume la responsabilidad total por el desarrollo e implementaci\u00f3n de la Seguridad de la Informaci\u00f3n y que apoye la identificaci\u00f3n de los controles.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.12.4.<\/span>Cada activo o proceso de Seguridad de la Informaci\u00f3n tiene asignado un responsable y est\u00e1n documentados los detalles de esta responsabilidad.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.12.5.<\/span>Para tener la capacidad de cumplir las responsabilidades en el \u00e1rea de Seguridad de la Informaci\u00f3n, los trabajadores nombrados deben ser competentes en el \u00e1rea y se les debe brindar oportunidades de mantenerse actualizados con los avances en este tema.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.12.6.<\/span>Se definen las responsabilidades para las actividades de gesti\u00f3n del riesgo de la Seguridad de la Informaci\u00f3n, de acuerdo al Anexo 1. \u201cIdentificaci\u00f3n, An\u00e1lisis y Tratamiento de Riesgos de Seguridad de la Informaci\u00f3n\u201d<\/span>.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.12.7.<\/span>El Departamento de TI tiene la autoridad para administrar y gestionar los sistemas de informaci\u00f3n de la Compa\u00f1\u00eda, lo que incluye:<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.12.7.1.\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>La potestad de crear, modificar y eliminar cuentas de usuario en los sistemas de informaci\u00f3n, de acuerdo con las pol\u00edticas de control de acceso y las necesidades operativas.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.12.7.2.\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>La capacidad de determinar, aprobar o prohibir la instalaci\u00f3n y el uso de software, aplicaciones y sistemas dentro de la infraestructura de la Compa\u00f1\u00eda, con el fin de proteger la seguridad, integridad y disponibilidad de la informaci\u00f3n.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.12.7.3.\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>La facultad de implementar controles y realizar las acciones necesarias para garantizar el cumplimiento de las pol\u00edticas de seguridad de la informaci\u00f3n, as\u00ed como para responder a incidentes de seguridad.<\/span><\/p>

\u00a0<\/span><\/p>

\u00a0<\/span>4.2.13.<\/b>POL\u00cdTICA DE NO REPUDIO.<\/b><\/p>

\u00a0<\/span><\/p>

La pol\u00edtica de No Repudio comprende la capacidad de definir diferentes mecanismos o estrategias que est\u00e1n encaminadas a que un empleado o tercero evite negar que hayan realizado alguna acci\u00f3n. Con el fin de garantizar el cumplimiento de esta pol\u00edtica se establecen los siguientes lineamientos:<\/span><\/p>

\u00a0<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.13.1.<\/span>Para los procesos que se consideren, se deben implementar mecanismos en los que no exista la posibilidad de desafiar su validez de una acci\u00f3n por parte de quien la gener\u00f3.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.13.2.<\/span>Algunos mecanismos a implementar deber\u00e1n contar con un tercero, quien permita avalar la integridad y origen de los datos.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.13.3.<\/span>Se cuentan con registros que permitan hacer trazabilidad de las acciones de creaci\u00f3n, origen, recepci\u00f3n, entrega de informaci\u00f3n y otros, que servir\u00e1n de evidencia para poder garantizar el no repudio.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.13.4.<\/span>Estos registros se protegen contra la p\u00e9rdida o modificaci\u00f3n de tal manera que se garantice su disponibilidad e integridad.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.13.5.<\/span>Se pueden realizar auditor\u00edas continuas a los mecanismos de control y a los procesos, para asegurarse que las partes implicadas nieguen haber realizado una acci\u00f3n.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.13.6.<\/span>Los servicios de intercambio electr\u00f3nico de informaci\u00f3n incorporan mecanismos que sean garant\u00eda de no repudio.<\/span><\/p>

\u00a0<\/span>4.2.14.<\/b>POL\u00cdTICA DE PRIVACIDAD Y CONFIDENCIALIDAD.<\/b><\/p>

\u00a0<\/span><\/p>

La Pol\u00edtica de Privacidad y Confidencialidad determina los lineamientos de tratamiento y protecci\u00f3n sobre los datos personales y sobre la informaci\u00f3n considerada como sensible seg\u00fan la Ley 1581 de 2012 y las que apliquen. Se implementan controles de acuerdo a su nivel de clasificaci\u00f3n. Con el fin de garantizar el cumplimiento de esta pol\u00edtica se establecen los siguientes lineamientos:<\/span><\/p>

\u00a0<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.14.1.<\/span>En los contratos laborales y de prestaci\u00f3n de servicios de VECOL S.A. Se deber\u00e1n contemplar cl\u00e1usulas con obligaciones de confidencialidad, que establezcan el compromiso de no divulgar la informaci\u00f3n interna y externa que conozca como parte del desarrollo de las funciones que desempe\u00f1a o de su vinculaci\u00f3n con la Compa\u00f1\u00eda.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.14.2.<\/span>El tratamiento de datos personales debe estar sujeto a lo establecido en la normatividad vigente.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.14.3.<\/span>El tratamiento de datos personales, est\u00e1 sujeto a lo establecido en la \u201cPol\u00edtica de tratamiento de datos personales\u201d de VECOL S.A.<\/span><\/p>

\u00a0<\/span><\/p>

\u00a0<\/span>4.2.15.<\/b>POL\u00cdTICA DE INTEGRIDAD.<\/b><\/p>

\u00a0<\/span><\/p>

La pol\u00edtica de Integridad se refiere a la protecci\u00f3n de la exactitud y completitud de la informaci\u00f3n tanto interna como externa, conocida o administrada por usuarios internos y externos relacionados con VECOL S.A. Con el fin de garantizar el cumplimiento de esta pol\u00edtica se establecen los siguientes lineamientos:<\/span><\/p>

\u00a0<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.15.1.<\/span>Toda la informaci\u00f3n verbal, f\u00edsica o electr\u00f3nica, es adoptada, procesada y entregada o transmitida integral, coherente y en forma exclusiva a las personas autorizadas a trav\u00e9s de los medios correspondientes, sin modificaciones ni alteraciones.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.15.2.<\/span>En el caso de vinculaci\u00f3n contractual, el compromiso de administraci\u00f3n y manejo \u00edntegro de la informaci\u00f3n interna y externa es parte de las cl\u00e1usulas del respectivo contrato, bajo la denominaci\u00f3n de cl\u00e1usula de integridad de la informaci\u00f3n.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.15.3.<\/span>Para la informaci\u00f3n que se clasifique como p\u00fablica reservada, p\u00fablica clasificada y p\u00fablica, y requiera ser transmitida a trav\u00e9s de canales de comunicaci\u00f3n, se utilizan mecanismos que permitan garantizar que la informaci\u00f3n mantiene su integridad mientras es transmitida por la red, es decir, que la informaci\u00f3n es completa y exacta de punto a punto en la transmisi\u00f3n.<\/span><\/p>

\u00a0<\/span><\/p>

\u00a0<\/span>4.2.16.<\/b>POL\u00cdTICA DE DISPONIBILIDAD DEL SERVICIO E INFORMACI\u00d3N.<\/b><\/p>

\u00a0<\/span><\/p>

VECOL S.A., proporciona los recursos suficientes y desarrolla esfuerzos tendientes a garantizar la continuidad de las operaciones para sus procesos con el fin brindar la disponibilidad de los servicios; as\u00ed mismo, responde de manera efectiva ante eventos adversos seg\u00fan la dimensi\u00f3n y el grado de afectaci\u00f3n de los mismos; se restablecer\u00e1n las operaciones con el menor costo y p\u00e9rdidas posibles, manteniendo la Seguridad de la Informaci\u00f3n durante dichos eventos, de igual manera se mantienen canales de comunicaci\u00f3n adecuados hacia los trabajadores y dem\u00e1s partes interesadas.<\/span><\/p>

\u00a0<\/span><\/p>

Para esto VECOL S.A. eval\u00faa el impacto de eventos que afectan los procesos de la Compa\u00f1\u00eda y que tienen soporte en la infraestructura tecnol\u00f3gica y en la prestaci\u00f3n de terceros. Igualmente, desarrolla planes de continuidad para aquellos servicios que son cr\u00edticos y misionales de VECOL S.A., dichos planes cuentan con medidas tanto t\u00e9cnicas como administrativas y se prueban y revisan de manera peri\u00f3dica. Con el fin de garantizar el cumplimiento de esta pol\u00edtica se establecen los siguientes lineamientos:<\/span><\/p>

\u00a0<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.16.1.<\/span>La Compa\u00f1\u00eda debe contar con un Plan de Continuidad de Seguridad de la Informaci\u00f3n que asegure la operaci\u00f3n de los procesos cr\u00edticos ante la ocurrencia de eventos no previstos o desastres naturales.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.16.2.<\/span>El responsable de la Continuidad de Seguridad de la Informaci\u00f3n es el encargado de mantener documentado y actualizado el Plan de Continuidad de Seguridad de la Informaci\u00f3n e informar cualquier cambio a todos los interesados.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.16.3.<\/span>Todos los sistemas de informaci\u00f3n que soportan las funciones cr\u00edticas de VECOL S.A., cuentan con un plan de recuperaci\u00f3n de T.I. que le permita garantizar una respuesta efectiva y eficiente ante eventos de desastre o interrupciones mayores, el cual est\u00e1 a cargo del Departamento de T.I.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.16.4.<\/span>Los procesos cr\u00edticos est\u00e1n soportados en aplicaciones e infraestructura t\u00e9cnica robusta, software y hardware confiable.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.16.5.<\/span>Se provee al personal activo la documentaci\u00f3n de las acciones a llevar a cabo en el evento de un desastre o una emergencia que puede afectar las aplicaciones de la operaci\u00f3n y la infraestructura t\u00e9cnica, habilitando los procesos cr\u00edticos de VECOL S.A., para ser restaurados en escalas de tiempo aceptables.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.16.6.<\/span>Los planes de continuidad de Seguridad de la Informaci\u00f3n son probados peri\u00f3dicamente y como resultado de estas pruebas se realizan los ajustes correspondientes.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.16.7.<\/span>Se identifica, acuerda y documenta todas las responsabilidades y los procedimientos para la continuidad de los servicios inform\u00e1ticos.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.16.8.<\/span>Se realiza la definici\u00f3n y actualizaci\u00f3n de las normas, pol\u00edticas, procedimientos y est\u00e1ndares relacionados con la continuidad de Seguridad de la Informaci\u00f3n.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.16.9.<\/span>Se realizan los an\u00e1lisis de impacto a la operaci\u00f3n y los an\u00e1lisis de riesgos de continuidad para posteriormente proponer posibles estrategias de recuperaci\u00f3n en caso de activarse el plan de contingencia o continuidad, con las consideraciones de Seguridad de la Informaci\u00f3n a que haya lugar.<\/span><\/p>

\u00a0<\/span><\/p>

\u00a0<\/span>4.2.17.<\/b>POL\u00cdTICA DE REGISTRO Y AUDITOR\u00cdA.<\/b><\/p>

\u00a0<\/span><\/p>

Esta pol\u00edtica de Registro y Auditor\u00eda define lo pertinente a las auditor\u00edas que se realizan a los procesos que incluyen activos del Sistema de Gesti\u00f3n de Seguridad de la Informaci\u00f3n (SGSI) e indica temas del registro y conservaci\u00f3n de las evidencias de las actividades y acciones que afectan los activos de informaci\u00f3n. Con el fin de garantizar el cumplimiento de esta pol\u00edtica se establecen los siguientes lineamientos<\/span><\/p>

\u00a0<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.17.1.<\/span>El Departamento de Aseguramiento de Calidad es el responsable de planificar, establecer, implementar y mantener cada 2 a\u00f1os la programaci\u00f3n de las auditor\u00edas internas del Sistema de Gesti\u00f3n de Seguridad de la Informaci\u00f3n (SGSI) y de designar al equipo auditor.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.17.2.<\/span>Las auditor\u00edas internas del Sistema de Gesti\u00f3n de Seguridad de la Informaci\u00f3n (SGSI) se programan con base en el estado e importancia de las actividades a auditar y se llevan a cabo por personal auditor calificado, e independiente del \u00e1rea que se audite.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.17.3.<\/span>Cada director o jefe de secci\u00f3n es responsable de suministrar los medios necesarios para el adecuado desarrollo de la auditor\u00eda interna dentro de su departamento o secci\u00f3n, y es responsable de establecer y aplicar las acciones correctivas que se deriven de ella.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.17.4.<\/span>Para llevar a cabo las auditor\u00edas internas de la calidad en VECOL S.A, se aplica lo descrito en el PRO-GC1-005 \u201cAuditor\u00edas Internas y Externas\u201d.<\/span> Las actividades de preparaci\u00f3n de auditor\u00edas internas incluyen la revisi\u00f3n de los documentos del Sistema de Gesti\u00f3n de Seguridad de la Informaci\u00f3n (SGSI) relacionado con el proceso, la elaboraci\u00f3n de un plan de auditor\u00edas en el FVC-GC1-683 \u201cPlan de Auditor\u00eda\u201d y la elaboraci\u00f3n de listas de verificaci\u00f3n empleando el FVC-GC1-450 \u201cLista de Verificaci\u00f3n\u201d.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.17.5.<\/span>La ejecuci\u00f3n de la auditor\u00eda inicia con la realizaci\u00f3n de una reuni\u00f3n de apertura con el responsable del proceso a auditar y\/o el auditado y los auditores, la recolecci\u00f3n de informaci\u00f3n durante el desarrollo de las actividades de acuerdo con el plan de auditor\u00eda, la revisi\u00f3n y evaluaci\u00f3n de hallazgos de auditor\u00eda y una reuni\u00f3n de cierre.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.17.6.<\/span>Como m\u00ednimo, se realiza un ciclo completo de auditor\u00eda una vez cada cuatro a\u00f1os (todos los procesos y todos los elementos del Sistema de Gesti\u00f3n de Seguridad de la Informaci\u00f3n (SGSI)).<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.17.7.<\/span>Cada auditor\u00eda interna de la calidad conlleva a la emisi\u00f3n de un informe en el que se describen los hallazgos detectados. Este informe se transmite a los responsables de las \u00e1reas auditadas, quienes realizan las correcciones o acciones correctivas correspondientes en los plazos previstos.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.17.8.<\/span>Las actividades de seguimiento realizadas por el auditor tienen la finalidad de garantizar que se realizaron las mejoras y las del \u00e1rea de Aseguramiento de Calidad tienen la finalidad de verificar y documentar que las acciones correctivas se han implantado con \u00e9xito.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.17.9.<\/span>Los resultados de las auditor\u00edas internas forman parte de la revisi\u00f3n por la direcci\u00f3n del Sistema de Gesti\u00f3n de Seguridad de la Informaci\u00f3n (SGSI).<\/span><\/p>

\u00a0<\/span><\/p>

\u00a0<\/span>4.2.18.<\/b> POL\u00cdTICA DE INTELIGENCIA ARTIFICIAL<\/b><\/p>

Esta pol\u00edtica establece los lineamientos para el uso adecuado, seguro y responsable de la Inteligencia Artificial dentro de VECOL S.A., minimizando los riesgos y maximizando los beneficios. Aplicar\u00e1 a todos los empleados, contratistas y terceros que utilicen las herramientas de IA proporcionadas por la Compa\u00f1\u00eda.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.18.1.<\/span>Uso aceptable:<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.18.1.1.\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>La IA debe utilizarse para mejorar la eficiencia, apoyar la toma de decisiones y realizar tareas relacionadas con el trabajo.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.18.1.2.\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>Est\u00e1 prohibido utilizar la IA para actividades ilegales, discriminatorias, acosadoras o que violen los derechos de otros.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.18.1.3.\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>Todo uso de herramientas proporcionadas por la compa\u00f1\u00eda deber\u00e1 ser usado exclusivamente para los asuntos laborales, y se tiene totalmente prohibido su uso personal.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.18.2.<\/span>Protecci\u00f3n de Datos y Privacidad:<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.18.2.1.\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>No[2]<\/a>\u00a0 se debe ingresar informaci\u00f3n confidencial o datos personales en la IA a menos que sea absolutamente necesario y est\u00e9 permitido por las pol\u00edticas de privacidad de la Compa\u00f1\u00eda.\u00a0<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.18.2.2.\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>Los empleados deben ser conscientes de que las interacciones con la IA pueden ser registradas y monitoreadas por la Compa\u00f1\u00eda, en cabeza del Departamento de TI.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.18.3.<\/span>Seguridad:<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.18.3.1.\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>Los empleados deben reportar cualquier incidente de seguridad relacionado con la IA (por ejemplo, respuestas inapropiadas, sesgos, vulnerabilidades) al Departamento de TI por medio de la MAT.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.18.3.2.\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>Se deben utilizar las versiones y configuraciones de la IA proporcionadas por la Compa\u00f1\u00eda, evitando el uso de herramientas de IA no autorizadas.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.18.4.<\/span>Responsabilidad y Transparencia:<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.18.4.1.\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>Los empleados son responsables de verificar la precisi\u00f3n y la veracidad de la informaci\u00f3n generada por la IA. La IA es una herramienta de apoyo, no una fuente de verdad absoluta.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.18.4.2.\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>Cuando se utilice la IA para generar contenido o tomar decisiones importantes, se debe indicar claramente su uso.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.18.5.<\/span>Capacitaci\u00f3n y Concientizaci\u00f3n:<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.18.5.1.\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>VECOL S.A. proporcionar\u00e1 capacitaci\u00f3n sobre el uso seguro y \u00e9tico de la IA, incluyendo los riesgos y las mejores pr\u00e1cticas, en coordinaci\u00f3n con la Vicepresidencia de Talento Humano.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.18.5.2.\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>Se promover\u00e1 la concientizaci\u00f3n sobre los posibles sesgos de la IA y la importancia del juicio humano.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.18.6.<\/span>Aclaraci\u00f3n sobre la IA:<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.18.6.1.\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>Sesgos y Discriminaci\u00f3n: La IA puede perpetuar o amplificar los sesgos presentes en los datos de entrenamiento, lo que puede llevar a decisiones discriminatorias.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.18.6.2.\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>Privacidad: El ingreso de datos personales o confidenciales en la IA puede comprometer la privacidad si no se manejan adecuadamente.\u00a0<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.18.6.3.\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>Seguridad: La IA puede ser vulnerable a ataques o manipulaciones que pueden comprometer su funcionamiento o generar informaci\u00f3n err\u00f3nea.\u00a0<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.18.6.4.\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>Desinformaci\u00f3n: La IA puede utilizarse para generar contenido falso o enga\u00f1oso, lo que puede da\u00f1ar la reputaci\u00f3n de la Compa\u00f1\u00eda o influir en la opini\u00f3n p\u00fablica.<\/span><\/p>

\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span>4.2.18.6.5.\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>Dependencia: El uso excesivo de la IA puede llevar a una dependencia excesiva de la tecnolog\u00eda y a una disminuci\u00f3n del juicio humano.<\/span><\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t

\n\t\t\t\t\t\t
\n\t\t\t\t\t
\n\t\t\t
\n\t\t\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t<\/div>\n\t\t","protected":false},"excerpt":{"rendered":"

POLITICA DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACION Cap\u00edtulo 1 INTRODUCCI\u00d3N \u00a0 La Empresa Colombiana de Productos Veterinarios S.A. \u2013 VECOL S.A. (en adelante VECOL S.A. o la Compa\u00f1\u00eda) tiene la responsabilidad de contar con un direccionamiento estrat\u00e9gico en materia de Seguridad de la Informaci\u00f3n. El desarrollo de este Manual de Seguridad y Privacidad de […]<\/p>\n","protected":false},"author":1,"featured_media":0,"parent":0,"menu_order":0,"comment_status":"closed","ping_status":"closed","template":"elementor_header_footer","meta":{"_acf_changed":false,"site-sidebar-layout":"default","site-content-layout":"","ast-site-content-layout":"default","site-content-style":"default","site-sidebar-style":"default","ast-global-header-display":"","ast-banner-title-visibility":"","ast-main-header-display":"","ast-hfb-above-header-display":"","ast-hfb-below-header-display":"","ast-hfb-mobile-header-display":"","site-post-title":"","ast-breadcrumbs-content":"","ast-featured-img":"","footer-sml-layout":"","ast-disable-related-posts":"","theme-transparent-header-meta":"","adv-header-id-meta":"","stick-header-meta":"","header-above-stick-meta":"","header-main-stick-meta":"","header-below-stick-meta":"","astra-migrate-meta-layouts":"default","ast-page-background-enabled":"default","ast-page-background-meta":{"desktop":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"ast-content-background-meta":{"desktop":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"footnotes":""},"class_list":["post-4890","page","type-page","status-publish","hentry"],"acf":[],"yoast_head":"\nPol\u00edtica de Seguridad de la Informaci\u00f3n - VECOL<\/title>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/www.vecol.com.co\/en\/politica-de-seguridad-de-la-informacion\/\" \/>\n<meta property=\"og:locale\" content=\"en_US\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"Pol\u00edtica de Seguridad de la Informaci\u00f3n - VECOL\" \/>\n<meta property=\"og:description\" content=\"POLITICA DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACION Cap\u00edtulo 1 INTRODUCCI\u00d3N \u00a0 La Empresa Colombiana de Productos Veterinarios S.A. \u2013 VECOL S.A. (en adelante VECOL S.A. o la Compa\u00f1\u00eda) tiene la responsabilidad de contar con un direccionamiento estrat\u00e9gico en materia de Seguridad de la Informaci\u00f3n. El desarrollo de este Manual de Seguridad y Privacidad de […]\" \/>\n<meta property=\"og:url\" content=\"https:\/\/www.vecol.com.co\/en\/politica-de-seguridad-de-la-informacion\/\" \/>\n<meta property=\"og:site_name\" content=\"VECOL\" \/>\n<meta property=\"article:publisher\" content=\"https:\/\/www.facebook.com\/vecolveterinaria\" \/>\n<meta property=\"article:modified_time\" content=\"2025-11-11T13:00:46+00:00\" \/>\n<meta property=\"og:image\" content=\"\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<meta name=\"twitter:site\" content=\"@VecolColombia\" \/>\n<meta name=\"twitter:label1\" content=\"Est. reading time\" \/>\n\t<meta name=\"twitter:data1\" content=\"105 minutes\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\\\/\\\/schema.org\",\"@graph\":[{\"@type\":\"WebPage\",\"@id\":\"https:\\\/\\\/www.vecol.com.co\\\/politica-de-seguridad-de-la-informacion\\\/\",\"url\":\"https:\\\/\\\/www.vecol.com.co\\\/politica-de-seguridad-de-la-informacion\\\/\",\"name\":\"Pol\u00edtica de Seguridad de la Informaci\u00f3n - VECOL\",\"isPartOf\":{\"@id\":\"https:\\\/\\\/www.vecol.com.co\\\/#website\"},\"primaryImageOfPage\":{\"@id\":\"https:\\\/\\\/www.vecol.com.co\\\/politica-de-seguridad-de-la-informacion\\\/#primaryimage\"},\"image\":{\"@id\":\"https:\\\/\\\/www.vecol.com.co\\\/politica-de-seguridad-de-la-informacion\\\/#primaryimage\"},\"thumbnailUrl\":\"file:\\\/\\\/\\\/\\\/Users\\\/tic\\\/Library\\\/Group%20Containers\\\/UBF8T346G9.Office\\\/TemporaryItems\\\/msohtmlclip\\\/clip_image001.jpg\",\"datePublished\":\"2022-07-19T03:04:54+00:00\",\"dateModified\":\"2025-11-11T13:00:46+00:00\",\"breadcrumb\":{\"@id\":\"https:\\\/\\\/www.vecol.com.co\\\/politica-de-seguridad-de-la-informacion\\\/#breadcrumb\"},\"inLanguage\":\"en-US\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"https:\\\/\\\/www.vecol.com.co\\\/politica-de-seguridad-de-la-informacion\\\/\"]}]},{\"@type\":\"ImageObject\",\"inLanguage\":\"en-US\",\"@id\":\"https:\\\/\\\/www.vecol.com.co\\\/politica-de-seguridad-de-la-informacion\\\/#primaryimage\",\"url\":\"file:\\\/\\\/\\\/\\\/Users\\\/tic\\\/Library\\\/Group%20Containers\\\/UBF8T346G9.Office\\\/TemporaryItems\\\/msohtmlclip\\\/clip_image001.jpg\",\"contentUrl\":\"file:\\\/\\\/\\\/\\\/Users\\\/tic\\\/Library\\\/Group%20Containers\\\/UBF8T346G9.Office\\\/TemporaryItems\\\/msohtmlclip\\\/clip_image001.jpg\"},{\"@type\":\"BreadcrumbList\",\"@id\":\"https:\\\/\\\/www.vecol.com.co\\\/politica-de-seguridad-de-la-informacion\\\/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"Inicio\",\"item\":\"https:\\\/\\\/www.vecol.com.co\\\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"Pol\u00edtica de Seguridad de la Informaci\u00f3n\"}]},{\"@type\":\"WebSite\",\"@id\":\"https:\\\/\\\/www.vecol.com.co\\\/#website\",\"url\":\"https:\\\/\\\/www.vecol.com.co\\\/\",\"name\":\"VECOL\",\"description\":\"Empresa Colombiana de Productos Veterinarios\",\"publisher\":{\"@id\":\"https:\\\/\\\/www.vecol.com.co\\\/#organization\"},\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"https:\\\/\\\/www.vecol.com.co\\\/?s={search_term_string}\"},\"query-input\":{\"@type\":\"PropertyValueSpecification\",\"valueRequired\":true,\"valueName\":\"search_term_string\"}}],\"inLanguage\":\"en-US\"},{\"@type\":\"Organization\",\"@id\":\"https:\\\/\\\/www.vecol.com.co\\\/#organization\",\"name\":\"Empresa Colombiana de Productos Veterinarios\",\"url\":\"https:\\\/\\\/www.vecol.com.co\\\/\",\"logo\":{\"@type\":\"ImageObject\",\"inLanguage\":\"en-US\",\"@id\":\"https:\\\/\\\/www.vecol.com.co\\\/#\\\/schema\\\/logo\\\/image\\\/\",\"url\":\"https:\\\/\\\/www.vecol.com.co\\\/wp-content\\\/uploads\\\/2023\\\/07\\\/logoVecol.png\",\"contentUrl\":\"https:\\\/\\\/www.vecol.com.co\\\/wp-content\\\/uploads\\\/2023\\\/07\\\/logoVecol.png\",\"width\":106,\"height\":106,\"caption\":\"Empresa Colombiana de Productos Veterinarios\"},\"image\":{\"@id\":\"https:\\\/\\\/www.vecol.com.co\\\/#\\\/schema\\\/logo\\\/image\\\/\"},\"sameAs\":[\"https:\\\/\\\/www.facebook.com\\\/vecolveterinaria\",\"https:\\\/\\\/x.com\\\/VecolColombia\"]}]}<\/script>\n<!-- \/ Yoast SEO plugin. -->","yoast_head_json":{"title":"Pol\u00edtica de Seguridad de la Informaci\u00f3n - VECOL","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/www.vecol.com.co\/en\/politica-de-seguridad-de-la-informacion\/","og_locale":"en_US","og_type":"article","og_title":"Pol\u00edtica de Seguridad de la Informaci\u00f3n - VECOL","og_description":"POLITICA DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACION Cap\u00edtulo 1 INTRODUCCI\u00d3N \u00a0 La Empresa Colombiana de Productos Veterinarios S.A. \u2013 VECOL S.A. (en adelante VECOL S.A. o la Compa\u00f1\u00eda) tiene la responsabilidad de contar con un direccionamiento estrat\u00e9gico en materia de Seguridad de la Informaci\u00f3n. El desarrollo de este Manual de Seguridad y Privacidad de […]","og_url":"https:\/\/www.vecol.com.co\/en\/politica-de-seguridad-de-la-informacion\/","og_site_name":"VECOL","article_publisher":"https:\/\/www.facebook.com\/vecolveterinaria","article_modified_time":"2025-11-11T13:00:46+00:00","og_image":[{"url":"file:\/\/\/\/Users\/tic\/Library\/Group%20Containers\/UBF8T346G9.Office\/TemporaryItems\/msohtmlclip\/clip_image001.jpg","type":"","width":"","height":""}],"twitter_card":"summary_large_image","twitter_site":"@VecolColombia","twitter_misc":{"Est. reading time":"105 minutes"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"WebPage","@id":"https:\/\/www.vecol.com.co\/politica-de-seguridad-de-la-informacion\/","url":"https:\/\/www.vecol.com.co\/politica-de-seguridad-de-la-informacion\/","name":"Pol\u00edtica de Seguridad de la Informaci\u00f3n - VECOL","isPartOf":{"@id":"https:\/\/www.vecol.com.co\/#website"},"primaryImageOfPage":{"@id":"https:\/\/www.vecol.com.co\/politica-de-seguridad-de-la-informacion\/#primaryimage"},"image":{"@id":"https:\/\/www.vecol.com.co\/politica-de-seguridad-de-la-informacion\/#primaryimage"},"thumbnailUrl":"file:\/\/\/\/Users\/tic\/Library\/Group%20Containers\/UBF8T346G9.Office\/TemporaryItems\/msohtmlclip\/clip_image001.jpg","datePublished":"2022-07-19T03:04:54+00:00","dateModified":"2025-11-11T13:00:46+00:00","breadcrumb":{"@id":"https:\/\/www.vecol.com.co\/politica-de-seguridad-de-la-informacion\/#breadcrumb"},"inLanguage":"en-US","potentialAction":[{"@type":"ReadAction","target":["https:\/\/www.vecol.com.co\/politica-de-seguridad-de-la-informacion\/"]}]},{"@type":"ImageObject","inLanguage":"en-US","@id":"https:\/\/www.vecol.com.co\/politica-de-seguridad-de-la-informacion\/#primaryimage","url":"file:\/\/\/\/Users\/tic\/Library\/Group%20Containers\/UBF8T346G9.Office\/TemporaryItems\/msohtmlclip\/clip_image001.jpg","contentUrl":"file:\/\/\/\/Users\/tic\/Library\/Group%20Containers\/UBF8T346G9.Office\/TemporaryItems\/msohtmlclip\/clip_image001.jpg"},{"@type":"BreadcrumbList","@id":"https:\/\/www.vecol.com.co\/politica-de-seguridad-de-la-informacion\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Inicio","item":"https:\/\/www.vecol.com.co\/"},{"@type":"ListItem","position":2,"name":"Pol\u00edtica de Seguridad de la Informaci\u00f3n"}]},{"@type":"WebSite","@id":"https:\/\/www.vecol.com.co\/#website","url":"https:\/\/www.vecol.com.co\/","name":"VECOL","description":"Colombian Veterinary Products Company","publisher":{"@id":"https:\/\/www.vecol.com.co\/#organization"},"potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/www.vecol.com.co\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"en-US"},{"@type":"Organization","@id":"https:\/\/www.vecol.com.co\/#organization","name":"Colombian Veterinary Products Company","url":"https:\/\/www.vecol.com.co\/","logo":{"@type":"ImageObject","inLanguage":"en-US","@id":"https:\/\/www.vecol.com.co\/#\/schema\/logo\/image\/","url":"https:\/\/www.vecol.com.co\/wp-content\/uploads\/2023\/07\/logoVecol.png","contentUrl":"https:\/\/www.vecol.com.co\/wp-content\/uploads\/2023\/07\/logoVecol.png","width":106,"height":106,"caption":"Empresa Colombiana de Productos Veterinarios"},"image":{"@id":"https:\/\/www.vecol.com.co\/#\/schema\/logo\/image\/"},"sameAs":["https:\/\/www.facebook.com\/vecolveterinaria","https:\/\/x.com\/VecolColombia"]}]}},"_links":{"self":[{"href":"https:\/\/www.vecol.com.co\/en\/wp-json\/wp\/v2\/pages\/4890","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.vecol.com.co\/en\/wp-json\/wp\/v2\/pages"}],"about":[{"href":"https:\/\/www.vecol.com.co\/en\/wp-json\/wp\/v2\/types\/page"}],"author":[{"embeddable":true,"href":"https:\/\/www.vecol.com.co\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.vecol.com.co\/en\/wp-json\/wp\/v2\/comments?post=4890"}],"version-history":[{"count":36,"href":"https:\/\/www.vecol.com.co\/en\/wp-json\/wp\/v2\/pages\/4890\/revisions"}],"predecessor-version":[{"id":12032,"href":"https:\/\/www.vecol.com.co\/en\/wp-json\/wp\/v2\/pages\/4890\/revisions\/12032"}],"wp:attachment":[{"href":"https:\/\/www.vecol.com.co\/en\/wp-json\/wp\/v2\/media?parent=4890"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}