Política de Seguridad y Privacidad de la Información
1. Objetivo
Teniendo en cuenta que la información es considerada como un activo que se expone a diferentes riesgos, desde la Ventanilla Única Empresarial contamos con medidas de seguridad de la información que permiten preservar la confidencialidad, integridad, disponibilidad y privacidad de los datos y la información que se administra dentro de la VUE mediante la implementación de la presente Política de Seguridad de la Información.
Para la VUE, la protección de la información busca la disminución del impacto generado sobre sus activos, por los riesgos identificados de manera sistemática con objeto de mantener un nivel de exposición que permita responder por la integridad, confidencialidad y la disponibilidad de la misma, acorde con las necesidades de los diferentes grupos de interés identificados.
Por tanto, estas políticas tienen como objetivo definir los principios y reglas para la adecuada gestión y seguridad de la información, buscando otorgar la importancia y el compromiso que ello conlleva por parte del VUE para así minimizar los riesgos de seguridad que puedan llegar a presentarse.
2. Alcance
La presente Política es aplicable para cada uno de los procesos, trámites, documentos y demás gestiones que pueden realizarse dentro de la VUE. Asimismo, aplica para las entidades y personal que se encarga de realizar las diferentes gestiones dentro de la VUE, quienes deberán cumplir con los requisitos acá contenidos sin perjuicio de poder contar con políticas más restrictivas y que mejoren la seguridad.
3. Cumplimiento regulatorio
Esta Política responde a las recomendaciones de las mejores prácticas de Seguridad de la Información que se encuentran en el Estándar Internacional ISO/IEC 27001:2013 Anexo A, así como el cumplimiento de la legislación vigente en materia de datos personales y demás normativa que integre la Seguridad de la Información.
4. Principios
Dentro de la VUE se contemplan los siguientes principios como directrices para una adecuada seguridad de la información, los cuales estarán determinados por las siguientes premisas:
- Minimizar el riesgo en las funciones más importantes de la VUE.
- Cumplir con los principios de seguridad de la información.
- Cumplir con los principios de la función administrativa.
- Mantener la confianza de sus clientes, socios y empleados.
- Apoyar la innovación tecnológica.
- Proteger los activos tecnológicos.
- Establecer las políticas, procedimientos e instructivos en materia de seguridad de la información.
- Garantizar la continuidad del negocio frente a incidentes.
La VUE ha decidido definir, implementar, operar y mejorar de forma continua un Sistema de Gestión de Seguridad de la Información, soportado en lineamientos claros alineados a las necesidades de los usuarios, y a los requerimientos regulatorios.
Bajo este panorama, la VUE dará cumplimiento a los siguientes principios:
Integración: La seguridad de la información deberá contar con el compromiso y apoyo de cada una de las entidades que hacen parte de la VUE y respecto de las cuales se puede generar cualquier clase de trámite, de forma que pueda coordinarse e integrarse con cada una de las iniciativas de estas entidades.
Seguridad integral: La seguridad de la información se entenderá como un proceso integral constituido por elementos técnicos, humanos, materiales y organizativos, evitando, salvo casos de urgencia o necesidad, cualquier actuación puntual o tratamiento coyuntural. La seguridad de la información deberá considerarse como parte de la operativa habitual, estando presente y aplicándose durante todo el proceso de diseño, desarrollo y mantenimiento de los sistemas de información
Gestión de riesgos: El análisis y gestión de riesgos será parte esencial del proceso de seguridad de la información. La gestión de riesgos permitirá el mantenimiento de un entorno controlado, minimizando los riesgos hasta niveles aceptables.
La reducción de estos niveles se realizará mediante el despliegue de medidas de seguridad, que establecerá un equilibrio entre la naturaleza de los datos y los tratamientos, el impacto y la probabilidad de los riesgos a los que están expuestos y la eficacia y el coste de las medidas de seguridad.
Proporcionalidad: El establecimiento de medidas de protección, detección y recuperación deberá ser proporcional a los potenciales riesgos y a la criticidad y valor de la información y de los servicios afectados.
Mejora continua: Las medidas de seguridad se reevaluarán y actualizarán periódicamente para adecuar su eficacia a la constante evolución de los riesgos y sistemas de protección.
5. Lineamientos generales
Esta política abarca todos los aspectos relacionados con seguridad y ciberseguridad de la información.
Desde la VUE se ha establecido un SGSI adoptando medidas de seguridad tomadas de los estándares de seguridad NIST FRAMEWORK e ISO/IEC 27001:2013 anexo A de controles de seguridad, con el fin de mantener niveles aceptables de seguridad sobre los productos y servicios del portafolio, cumpliendo así con los estándares de seguridad y ciberseguridad dada por los entes de control y las normativas vigentes de privacidad y protección de datos.
Buscando dar cumplimiento a tales disposiciones la VUE diseñará, implementará y pondrá en marcha el monitoreo, auditorías y mejoramiento continuo del SGSI.
Esta política será revisada y/o actualizada mínimo una vez al año y/o cuando exista un cambio significativo en la normativa o procesos internos.
6. Deber del Colaborador
Todo colaborador de la VUE tiene el deber de contribuir permanentemente a la Seguridad de la Información, de manera proactiva, respetando y cumpliendo las políticas, normas, procedimientos de Seguridad de la Información, y debe preocuparse de conocer y comprender el contenido de todas ellas.
7. Aplicación a Terceros
Las políticas de Seguridad de la Información se darán a conocer y se exigirán a terceros quienes presten servicios a la VUE, tales como clientes o proveedores que realicen trabajos para la empresa, incorporándose las cláusulas y/o anexos pertinentes en los contratos respectivos.
8. Objetivos
- Identificar riesgos de seguridad de la información sobre procesos y actividades críticas de negocio, así como establecer los planes de tratamientos y controles óptimos para llevar dichos riesgos a un nivel aceptable para la VUE.
- Apoyar al negocio en la prestación de servicios con altos niveles de confidencialidad, integridad y disponibilidad, de esta manera, se dará efectivo cumplimiento a los requerimientos legales, normativos y regulatorios relacionados con la seguridad de la información, la Ciberseguridad, privacidad, protección de datos y lo establecido por los estándares normativos vigentes.
- Mejorar los niveles de seguridad de la VUE a partir de la adopción de cultura en seguridad de la información, privacidad y protección de datos.
9. Compromisos
- Las responsabilidades frente a la seguridad de la información serán definidas, compartidas, publicadas y aceptadas por cada uno de los empleados, proveedores, socios de negocio o terceros.
- La VUE protegerá la información generada, procesada o resguardada por los procesos de negocio, su infraestructura tecnológica y activos del riesgo que se genera de los accesos otorgados a terceros, o como resultado de un servicio interno en outsourcing.
- La VUE protegerá la información creada, procesada, transmitida o resguardada por sus procesos de negocio, con el fin de minimizar impactos financieros, operativos o legales debido a un uso incorrecto de esta. Para ello es fundamental la aplicación de controles de acuerdo con la clasificación de la información de su propiedad o en custodia.
- La VUE protegerá su información de las amenazas originadas por parte del personal.
- La VUE protegerá las instalaciones de procesamiento y la infraestructura tecnológica que soporta sus procesos críticos.
- La VUE controlará la operación de sus procesos de negocio garantizando la seguridad de los recursos tecnológicos y las redes de datos.
- La VUE implementará control de acceso a la información, sistemas y recursos de red.
- La VUE garantizará que la seguridad sea parte integral del ciclo de vida de los sistemas de información.
- La VUE garantizará a través de una adecuada gestión de los eventos de seguridad y las debilidades asociadas con los sistemas de información una mejora efectiva de su modelo de seguridad.
- LA VUE garantizará la disponibilidad de sus procesos de negocio y la continuidad de su operación basada en el impacto que pueden generar los eventos.
- La VUE garantizará el cumplimiento de las obligaciones legales, regulatorias y contractuales establecidas.
10. Políticas Generales de Seguridad de la Información
- La VUE cuenta con un Sistema de Gestión de la Seguridad de la Información (SGSI) que apoya una adecuada gestión de riesgos. Dicho Sistema soportará la debida protección de la información a partir de principios universalmente aceptados de seguridad de la información (Confidencialidad, Integridad, Disponibilidad).
- La VUE valora la información desde el punto de vista de seguridad y acorde a ello determina los mecanismos de protección adecuados.
- La VUE desde las etapas iniciales de los proyectos, incluye la evaluación de aspectos relacionados con la arquitectura de seguridad y sigue los lineamientos establecidos al respecto.
- La VUE atiende los incidentes relacionados con la seguridad de la información y ciberseguridad.
- La VUE implementa mecanismos para vigilar y promover el buen de los recursos tecnológicos.
- La VUE implementa mecanismos para vigilar y promover el buen uso de la información.
- La VUE implementa controles de acceso (físicos y lógicos) para que la información corporativa se encuentre debidamente protegida. Así mismo, tiene mecanismos para seguimiento de actividades no autorizadas sobre la información o recursos de tecnología.
- La VUE implementa mecanismos y procedimientos para minimizar los riesgos asociados a la gestión de la información en los procesos que soportan la operación del negocio.
- La VUE implementa un programa de ciberseguridad alineado con mejores prácticas y la Política Nacional de Ciberseguridad. Dicho programa busca el mejoramiento continuo de su postura de seguridad y aumentar su resiliencia.
11. Información y sitios web de terceros
La VUE puede contener enlaces o acceso a sitios web y contenidos de otras personas o entidades, pero no se hace responsable de su contenido, no controla, refrenda ni garantiza el contenido incluido en dichos sitios, tampoco se responsabiliza del funcionamiento o accesibilidad de las páginas web vinculadas; ni sugiere, invita o recomienda la visita a las mismas, por lo que tampoco será responsable del resultado obtenido, incluidos los cambios o actualizaciones realizados en el sitio enlazado o la exactitud o integridad de la información que se proporciona allí.
En consecuencia, los Ciudadanos-Usuarios aceptan que la VUE no es responsable de ningún contenido, enlace asociado, recurso o servicio asociado al sitio de un tercero, ni será responsable de ninguna pérdida o daño de cualquier tipo que se derive del uso que se realice de los contenidos de terceros.
La VUE proporciona los enlaces para su conveniencia y la realización de manera simplificada y directa de sus diferentes trámites; sin embargo, la existencia de estos en nuestros sitios web no implica necesariamente que apruebe o mantenga relaciones contractuales vigentes con las organizaciones o compañías a la que se enlaza, o a sus productos o servicios y viceversa para las organizaciones o compañías que se enlacen al sitio web.
Seleccione la ciudad de la cual desea conocer los datos de contacto: