Ingresa Aquí Para Registro De Factura Electrónica

Accesspark

Manual De Políticas De Seguridad De La Información

1. INTRODUCCIÓN

Consciente que la información es uno de los activos más importantes para las organizaciones
y particularmente para ACCESSPARK S.A.S., en cumplimiento de su misión y sus
objetivos, es indispensable establecer estrategias y mecanismos que contribuyan a la
protección de la seguridad de la información institucional, independientemente del personal
que interactúa con ella y del medio en que se trate, transporte o almacene.
Para ello ACCESSPARK S.A.S., implementa el Sistema de Gestión de Seguridad de la Información
– SGSI para todos los procesos de la Empresa y establece mediante el presente
manual, un conjunto de políticas y lineamientos acordes a los requisitos de la
norma NTC-ISO-IEC 27001 de 2013, para el uso adecuado de la información institucional
y de los recursos y servicios tecnológicos que la soportan, que se constituyen en la
base para el diseño y ejecución de procedimientos, protocolos, controles y en general, el
desarrollo de las actividades diarias de los empleados, contratistas y personas que interactúen
con la información institucional de ACCESSPARK S.A.S.
A través del decreto único reglamentario 1078 de 2015, del sector de Tecnologías de Información
y las Comunicaciones, se define el componente de seguridad y privacidad de
la información, como parte integral de la estrategia.
Para el desarrollo del componente de Seguridad y Privacidad de la Información, se ha
elaborado un conjunto de documentos asociados al Modelo de Seguridad y Privacidad
de la Información, los cuales a lo largo de los últimos años, han sido utilizados por las
diferentes entidades tanto del orden nacional como territorial, para mejorar sus estándares
de seguridad de la información. El Modelo de Seguridad y Privacidad para estar
acorde con las buenas prácticas de seguridad será actualizado periódicamente; así mismo
recoge además de los cambios técnicos de la norma, legislación de la Ley de Protección
de Datos Personales, Transparencia y Acceso a la Información Pública, entre otras,
las cuales se deben tener en cuenta para la gestión de la información.

Las políticas, además del presente manual deben ser conocidas por todos los empleados),
contratistas y personas que interactúen con la información institucional de la ACCESSPARK
S.A.S., y una vez publicado y difundido se constituirá en la base formal para
dar cumplimiento a las normativas, lineamientos y políticas establecidas en relación al
uso y seguridad la información, y su aplicación será de obligatorio cumplimiento, siendo
responsabilidad de todos velar por el cumplimiento de estas políticas y directrices.
El incumplimiento de las políticas y del presente manual puede constituir un riesgo para
la disponibilidad, integridad y/o confidencialidad de la información institucional, por lo
tanto, la dirección de sistemas, establecerá los mecanismos que considere necesarios,
para verificar su cumplimiento.

2. OBJETIVO

Establecer las políticas y lineamientos de seguridad de la información para ACCESSPARK
S.A.S., con el fin de contribuir al cumplimiento de los requisitos de seguridad que ayudarán
mediante su implementación y cumplimiento, a preservar la confidencialidad, integridad
y disponibilidad de la información de ACCESSPARK S.A.S.

3. ALCANCE

3.1. ALCANCE / APLICABILIDAD

Las políticas contenidas en el presente manual son de obligatorio cumplimiento para todos
los directivos, empleados, contratistas y terceros de ACCESSPARK S.A.S., para conseguir
un adecuado nivel de protección de las características de seguridad y calidad de
la información relacionada.
Las políticas aplican para todas las sedes de ACCESSPARK S.A.S., locales, construcciones
y puntos de atención con que cuente la Empresa.

3.2. NIVEL DE CUMPLIMIENTO

Todas las personas cubiertas por el alcance y aplicabilidad deberán dar cumplimiento a
las políticas establecidas en el presente manual.

4. RESPONSABLES

4.1. RESPONSABLES DE LOS PROCESOS Y /O DIRECTORES O JEFES DE DEPENDENCIAS

Informar a la Dirección de Tecnologías de la Información y las Comunicaciones DTIC las
novedades de los empleados y contratistas, así como los permisos de las carpetas o recursos
compartidos para los cuales están autorizados. Así mismo, deben conocer, promover
y asegurar la implementación y cumplimiento de las políticas de seguridad de la
información por parte de su equipo de trabajo dentro de sus dependencias.

4.2. DIRECCIÓN DE TECNOLOGÍAS DE LA INFORMACIÓN Y LAS COMUNICACIONES

Liderar las actividades relacionadas con la implementación, mantenimiento y mejora
continua del Sistema de Gestión de Seguridad de la Información –SGSI en ACCESSPARK
S.A.S., garantizando la divulgación y el seguimiento de las políticas de seguridad de la
información al interior de la Empresa, estableciendo los procedimientos, lineamientos y
controles que permitan su operatividad y cumplimiento.

4.3. DIRECCIÓN ADMINISTRATIVA Y FINANCIERA

Responsable del inventario de equipos y su actualización según se establezca en las
normas vigentes y de proporcionar los suministros que permitan la operación adecuada
de los sistemas de información de la Empresa por medio de los procesos contractuales
necesarios tanto para la ampliación de la red como su mantenimiento. Informar a la Dirección
de Tecnologías de la Información y las Comunicaciones, las novedades de ingreso
y retiro de los contratistas que en el desarrollo de sus actividades requieran acceso a
información y sistemas de la empresa, de acuerdo al procedimiento establecido.

4.4. DIRECCIÓN DE TALENTO HUMANO

Informar a la Dirección de Tecnologías de la Información y las Comunicaciones toda novedad
de personal mediante el procedimiento establecido.

4.5. EMPLEADOS Y CONTRATISTAS

Conocer y aplicar las políticas, procedimientos de seguridad de la información vigentes y
proteger el buen manejo de la información física y digital so pena de incurrir en faltas
disciplinarias y/o contractuales.
Reportar oportunamente las debilidades e incidentes de seguridad que detecte o que
sean de su conocimiento y resguardar el acceso a los recursos informáticos asignados,
mediante la utilización de contraseñas seguras; para tal fin debe concluirlas sesiones activas
al finalizar las tareas, y/o dejar los equipos bloqueados al retirarse del puesto de
trabajo así sea temporalmente.
Asumir la responsabilidad por el manejo del espacio en disco en su equipo de trabajo,
realizando revisiones periódicas y eliminación de archivos no necesarios.

5. DEFINICIONES

Activo: En relación con la seguridad de la información, se refiere a cualquier información
o elementos relacionados con el tratamiento de la misma (sistemas, soportes, edificios,
personas) que tenga valor para la organización.

Activo de información: Cualquier elemento que tenga valor para la empresa tales
como: software, hardware personas y servicios, que almacenan, manipulan, modifican,
ingresan, o transportan información, y que, en caso de verse afectada en su confidencialidad,
integridad y/o disponibilidad, afectan a ACCESSPARK S.A.S., en menor o mayor
medida.

Archivo: Conjunto de documentos, sea cual fuere su fecha, forma y soporte material,
acumulados en un proceso natural por una persona o entidad pública o privada, en el
transcurso de su gestión, conservados respetando aquel orden para servir como testimonio
e información a la persona o institución que los produce y a los(las)
ciudadanos(as), o como fuentes de la historia.

También se puede entender cómo la institución que está al servicio de la gestión administrativa, la información, la investigación y la cultura.

Archivo Central: Unidad administrativa que coordina y controla el funcionamiento de
los archivos de gestión y reúne los documentos transferidos por los mismos, una vez finalizado
su trámite y cuando su consulta es constante.

Archivo de gestión: Archivo de la oficina productora que reúne su documentación en
trámite, sometida a continua utilización y consulta administrativa. Los documentos que
conforman los archivos de gestión reposan en las dependencias mientras se adelantan
los trámites, actuaciones o procedimientos que los originan, y una vez cerrados, durante
el tiempo que indiquen las Tablas de Retención Documental.

Archivo histórico: Archivo al cual se transfiere del archivo central o del archivo de
gestión, la documentación que, por decisión del correspondiente Comité de Archivo,
debe conservarse permanentemente, dado el valor que adquiere para la investigación, la
ciencia y la cultura. Este tipo de archivo también puede conservar documentos históricos
recibidos por donación, depósito voluntario, adquisición o expropiación.

Acuerdo de Nivel de Servicio (ANS): Es un convenio entre un proveedor de servicios
de TI y un usuario. Describe las características del servicio de TI, los niveles de cumplimiento
y especifica las responsabilidades del proveedor y del usuario.

Aplicaciones o aplicativos: Las aplicaciones son herramientas informáticas que permiten
a los usuarios comunicarse, realizar trámites, entretenerse, orientarse, aprender,
trabajar, informarse y realizar una serie de tareas de manera práctica y desde distintos
tipos de terminales como computadores tabletas o celulares.

Autenticación: Proceso utilizado entre un emisor y un receptor, con el fin de asegurar
la integridad de los datos y proporcionar la autenticidad de los datos originales.

Autorización: Consentimiento expreso e informado del titular para llevar a cabo el tratamiento
de datos personales.

Backup: Operación que consiste en duplicar y asegurar datos e información contenida
en un sistema informático. Es una copia de seguridad.

Base de datos: Todo conjunto organizado de datos Personales que sea objeto de Tratamiento.
Clave de autenticación o Contraseñas: Clave criptográfica utilizada para la autenticación
de usuario y que se utiliza para acceder a los recursos informáticos.

Cloud Computing: Es un nuevo concepto tecnológico que se basa en que las aplicaciones
software y los equipos hardware con capacidad de proceso y almacenaje de datos
que están ubicados en un Datacenter que permite a los usuarios acceder a las aplicaciones
y servicios disponibles a través de Internet o como se conoce coloquialmente a
través “la Nube” de Internet, de una forma sencilla y cómoda.

Clúster: Conjunto de servidores que trabajan como una única maquina mejorando el
desempeño de las transacciones y operaciones implantadas en este sistema.

Contenido: Todo tipo de información o dato que se divulga en la intranet y/o página
web, entre los que se encuentran: textos, imágenes, fotos, logos, diseños y animaciones.

Confidencialidad: La información no se pone a disposición ni se revela a individuos,
entidades o procesos no autorizados.

Copyright: Derecho exclusivo de un autor o editor a explotar una obra física o digital,
literaria, científica o artística.

CPD: Centros de Procesamiento de Datos, ubicación física dónde se concentran todos
los equipos electrónicos necesarios para el procesamiento de la información de una organización.

CRM: “Customer Retationship Management”. Gestión de la Relación con el Cliente, son
herramientas informáticas dedicadas a la gestión integrada de información sobre clientes. Estas aplicaciones permiten, desde almacenar y organizar esta información, hasta
integrar, procesar y analizar la misma.

Dato personal: Cualquier información vinculada o que pueda asociarse a una o varias
personas naturales determinadas o determinables (en adelante “Datos Personales” o
“Información Personal”).

Datos sensibles: Se entiende como datos sensibles aquellos que afecten la intimidad
del titular o cuyo uso indebido pueda afectar la intimidad del titular o la potencialidad de
generar su discriminación.

Datos públicos: Aquellos datos que no sean semiprivados, privados o sensibles. Son
considerados datos públicos, entre otros, los datos relativos al estado civil de la personas,
a su profesión u oficio y a su calidad de comerciante o servidor público.

Dato semiprivado: Es semiprivado el dato que no tiene naturaleza íntima, reservada,
ni pública y cuyo conocimiento o divulgación puede interesar no sólo a su titular sino a
cierto sector o grupo de personas o a la sociedad en general.

Dato privado: Es el dato que por su naturaleza íntima o reservada sólo es relevante
para el titular.

Dirección IP: La dirección IP (IP es un acrónimo para Internet Protocol) es un número
único e irrepetible con el cual se identifica una computadora conectada a una red que
corre el protocolo IP.

Disponibilidad: acceso y utilización de la información y los sistemas de tratamiento de
la misma por parte de los individuos, entidades o procesos autorizados cuando lo requieran.

Dominio: Es un conjunto de computadores, conectados en una red, que confían a uno
de los equipos de dicha red la administración de los usuarios y los privilegios que cada
uno de los usuarios tiene en la red. Es la parte principal de una dirección en la Web, que
usualmente indica la organización o compañía que administra dicha página (www.accesspark.
co).

DVR: (Digital Video Recorder), grabador de cámaras análogas, digitaliza, graba y administra
imágenes enviadas desde cámaras de seguridad analógicas.

Encargado del tratamiento: Persona natural o jurídica, pública o privada, que por sí
misma o en asocio con otros, realice el tratamiento de datos personales por cuenta del
responsable del tratamiento.

Información personal: Es aquella suministrada por el usuario o el visitante para el
registro o consulta de información, la cual incluye datos como nombre, identificación,
edad, género, dirección, correo electrónico y teléfono, entre otros.

Integridad: Mantenimiento de la exactitud y completitud de la información y sus métodos
de proceso.

Internet: Herramienta de comunicación con decenas de miles de redes de computadoras
unidas por el protocolo TCP/IP.

Intranet: Es una red de ordenadores privados que utiliza tecnología Internet para
compartir, dentro de una organización, parte de sus sistemas de información y sistemas
operacionales.

Log: Uno o más ficheros de texto automáticamente creados y administrados por un
servidor, en donde se almacena toda la actividad que se hace sobre éste.

Medios de almacenamiento físico: Se considera como medio de almacenamiento
físico las cintas, los disco extraíbles, los CD y los DVD entre otros.

MFA o Multifactor Autenticator: Es el doble factor de autenticación a un aplicativo o
sistema para validar la identidad de un funcionario público.

NVR: (Network Video Recorder), grabador de cámaras IP, graba y administra imágenes
ya digitales las cuales son enviadas desde las cámaras IP a través de una red.

Nombres de Grupos: Seudónimos utilizados para la clasificación de conjuntos de computadoras dentro del dominio.

Portal intranet: Es un sitio compuesto por varias páginas web, el cual, permite a los(as) funcionarios(as), empleados(as) y contratistas de la empresa el fácil acceso a diferentes recursos y servicios en línea que tiene la Empresa.

Portal web: Sitio web que permite a los grupos de interés consultar puntos de aten- ción, canales, acceder a servicios y demás información relacionada con el quehacer ins- titucional, se encuentra en la dirección URL: http://www.accesspark.co.

Publicar: Es la acción de hacer visible un contenido o documento desde un portal o si- tio web.

Responsable del tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el tratamiento de los datos.

Seguridad de la información: Preservación de la confidencialidad, la integridad y la disponibilidad de la información; además, puede involucrar otras propiedades tales como: autenticidad, trazabilidad, no repudio y fiabilidad.

Servicio al ciudadano: Es la asistencia, orientación o intervención que actualmente suministra ACCESSPARK S.A.S., en línea o que proveerá en el futuro, por medio de su portal, como publicación de información, registro, certificados, asistencia, noticias, entre otros.

Servicio de TI: Un servicio de tecnologías de la información es un conjunto de produc- tos (Bienes o servicios) que buscan solucionar las necesidades de los clientes de una organización a través del uso de elementos tecnológicos o informáticos.

Servidor: Computadora central en un sistema de red que provee servicios a otras computadoras.

Sistema Informático o de Información: Se entenderá todo sistema utilizado para- generar, enviar, recibir, archivar o procesar de alguna forma mensajes de datos.

Titular: Persona natural cuyos datos personales sean objeto de tratamiento.

Transmisión de datos: tratamiento de datos personales que implica la comunicación de los mismos dentro o fuera del territorio de la República de Colombia, cuando tenga por objeto la realización de un tratamiento por el encargado o por cuenta del responsa- ble.

Transferencia de datos: La transferencia de datos tiene lugar cuando el responsable y/o encargado del tratamiento de datos personales, ubicado en Colombia, envía la in- formación o los datos personales a un receptor, que a su vez es responsable del trata- miento y se encuentra dentro o fuera del país.

Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales, incluyendo, pero sin limitar, la recolección, almacenamiento, uso, circulación o supre- sión.

Usuario: Es un individuo que utiliza una computadora, sistema operativo, servicio o cualquier sistema informático. Por lo general es una única persona. Se autentica e ingre- sa a los sistemas y sus servicios mediante un nombre de usuario (cuenta) y una contra- seña de autenticación.

VPN: Red privada virtual, por sus siglas en inglés (Virtual Private Network), es un tipo de tecnología de red utilizada para interconectar de forma segura un computador o dis- positivo de red a una red local o privada a través de una red pública como internet.

6. CONSIDERACIONES GENERALES

La Dirección de Tecnologías de la Información y las Comunicaciones DTIC de ACCESS- PARK S.A.S., entendiendo la importancia de una adecuada gestión de la información, se ha comprometido con la implementación de un Sistema de Gestión de Seguridad de la Información – SGSI, buscando establecer un marco de confianza en el ejercicio de sus deberes con el Estado y las personas, todo enmarcado en el estricto cumplimiento de las leyes y en concordancia con la misión y visión de la empresa.

Por lo anterior, este Manual de Políticas aplica a toda la empresa según lo establecido en el alcance, sus funcionarios(as), empleados(as) contratistas y terceros de ACCESSPARK S.A.S., teniendo en cuenta que los principios sobre los que se basa el desarrollo de las acciones o toma de decisiones alrededor del Sistema de Gestión de Seguridad de la In- formación – SGSI estarán determinados por las siguientes premisas:

  • Identificar e implementar mecanismos para lograr el cumplimiento de la normatividad en materia de seguridad de la información.
  • Desarrollar las actividades necesarias para lograr la continuidad y disponibilidad delos sistemas de información de ACCESSPARK S.A.S..
  • Fortalecer la cultura de seguridad de la información en los(as) funcionarios(as), em- pleados, terceros(as), contratistas de ACCESSPARK S.A.S. y las personas, a través de la capacitación y sensibilización en el SGSI.
  • Realizar una adecuada gestión de riesgos de seguridad de la información Implemen- tando controles que contribuyan a mitigar su probabilidad de materialización.
  • Implementar mecanismos que fomenten la transparencia en el acceso a la informa- ción, mediante procesos de clasificación y control de acceso a la información.
  • Fortalecer y mantener los niveles de confianza de las personas en los procedimientos y servicios que presta ACCESSPARK S.A.S.
  • Gestionar de manera adecuada los incidentes de seguridad de la información, gene- rando, documentando y aplicando lecciones aprendidas con el fin de reducir la posibili- dad de ocurrencia y/o el impacto de incidentes futuros.
  • Mejorar continuamente el desempeño del SGSI, mediante la implementación de ac- ciones correctivas y de mejora que se generen como resultado de las auditorías internas y externas y las revisiones de seguridad de la información.
  • ACCESSPARK S.A.S., ha decidido implementa un Sistema de Gestión de Seguridad de la Información – SGSI, soportado en lineamientos claros alineados a las necesidades del negocio y a los requerimientos legales vigentes.

6.1. COMUNICACIÓN Y SOCIALIZACION DE LAS POLÍTICAS

Todo(a) funcionario(a), empleado (a) o contratista que ingrese a ACCESSPARK S.A.S.,
deberá recibir capacitación sobre las políticas establecidas en el presente manual en el
momento de su inducción.
La Dirección de Talento Humano remitirá con la debida anticipación a la Dirección de
Tecnologías de la Información y las Comunicaciones DTIC, la información de fecha, hora
y lugar de las jornadas de inducción.

6.2. INCUMPLIMIENTO DE LAS POLÍTICAS DE SEGURIDAD

El incumplimiento de las políticas establecidas en el presente manual podrá acarrear
sanciones disciplinarias, civiles o penales según sea el caso.

6.3. REVISIÓN DE LAS POLÍTICAS

El Manual de Políticas de Seguridad de la Información es revisado anualmente o antes
de ser necesario, con el fin de mantenerlo actualizado y acorde a los cambios en la infraestructura tecnológica, los procedimientos y servicios que involucran el manejo de la
información institucional.

7. DESARROLLO DEL DOCUMENTO

7.1. POLÍTICA GENERAL DE SEGURIDAD DE LA INFORMACIÓN

ACCESSPARK S.A.S., en ejercicio de sus funciones constitucionales, es consciente y reconoce
la importancia de preservar la seguridad de la información, la cual se define
como el conjunto de medidas adoptadas por una organización, que permiten resguardar
y proteger la información para garantizar la confidencialidad, disponibilidad e integridad
de la misma, y que constituye factor fundamental para el cumplimiento de su Misión,
Visión y Objetivos Estratégicos.

Por tal razón, la Gerencia de ACCESSPARK S.A.S., se compromete en todos sus niveles
institucionales con la implementación, mantenimiento y mejora continua del Sistema de
Gestión de Seguridad de la Información y con el cumplimiento de los requisitos aplicables
en la materia, adoptando las buenas prácticas de gestión y administración de las tecnologías de la información; de esta manera generará un marco de confianza en el
desarrollo de sus obligaciones con el Estado y las personas, junto con el cumplimiento
de los requisitos legales y contractuales que le aplican.

ACCESSPARK S.A.S., define los objetivos de seguridad de la información, los cuales se
encuentran alineados con los objetivos estratégicos de la empresa, se apoya en la identificación
periódica de las amenazas y vulnerabilidades que signifiquen un riesgo para
los principios de la seguridad de la información y en el análisis, valoración y tratamiento
de los riesgos que puedan afectar el cumplimiento de los objetivos institucionales.
La presente política aplicará para todos(as) los(as) empleados(as), funcionarios(as),
contratistas, proveedores y demás partes interesadas, así como los activos que se encuentran
incluidos en el alcance del SGSI.
Todas las personas naturales y jurídicas cubiertas por el alcance y aplicabilidad deberán
dar cumplimiento de la política.
La presente política es comunicada y socializada al interior de ACCESSPARK S.A.S., y las
partes interesadas a través de los canales de comunicación de la empresa; está disponible
para su consulta cumpliendo con los parámetros de documentación establecidos en
el Modelo Integrado de Gestión – MIPG y el Sistemade Gestión de Calidad – SGC, y su
incumplimiento, traerá consigo, las consecuencias legales que apliquen a la normativa
de la empresa, incluyendo lo establecido en las normas que competen al Gobierno

7.2. ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

7.2.1. Organización interna Lineamientos generales
  • ACCESSPARK S.A.S. establece el responsable del Sistema de Gestión de Seguridad de
    la Información – SGSI.
  • Los responsables de los procesos y/o supervisores del contrato definirán los roles de
    usuario que estimen pertinentes en cada uno de sus equipos de trabajo y los niveles de
    operación siguiendo lo establecido en el procedimiento “Gestión de usuarios”.
  • Los roles asociados a cada servicio o sistema de información serán identificados y clasificados por su tipo y uso teniendo como base los siguientes criterios:
    • Tipo.
    • Rol.
    • Criterios Internos
  • Grupo Core IT
    • Aquellos usuarios que por su función tecnológica y de investigación, gestión y apoyo tienen acceso ilimitado a los servicios y que requieren operar en aspectos técnicos y tecnológicos, instalación, configuración, decisión, administración de servicios y atención al usuario final en procesos, capacitación y procedimientos de sistemas.
  • Grupo VIP
    • Directivos, asesores, coordinadores, jefes de área, oficina de comunicaciones, funcionarios(as), empleados(as) y contratistas que por su gestión requieren el acceso especial o privilegiado a recursos tecnológicos y servicios especiales.
  • Funcionario(a)y contratista Activo(a)
    • Todos aquellos usuarios que requieren acceso a la red de datos y comunicaciones, aplicaciones y servicios de TI en general, de acuerdo con las funciones propias del cargo y los niveles de servicio:
      • Asociados
      • Externos
      • Ciudadanos
    • Personas o terceros con acceso a los servicios de TI, mediante el uso herramientas tecnológicas y/o sistemas de información diseñados especialmente para satisfacer los requerimientos ciudadanos, proveer servicios en pro del cumplimiento de las funciones propias de la Empresa.
    • La Dirección de Tecnologías de la Información y las Comunicaciones DTIC, identificará las autoridades competentes a quienes podrá contactar en caso de presentarse algún incidente de seguridad de la información que amerite su intervención; de igual manera establecerá contacto con grupos de interés especializados en seguridad de la información, que puedan contribuir a la gestión de la seguridad de la información en ACCESSPARK S.A.S.
    • Para los proyectos desarrollados por ACCESSPARK S.A.S., se deben tener en cuenta las políticas del presente manual, y en todo caso considerar los asuntos relacionados con la seguridad de la información mediante la identificación y tratamiento de riesgos asociados a la información de los proyectos.
    • La planeación estratégica de la Dirección de Tecnologías de la Información y las Comunicaciones DTIC, estará alineada con la planeación estratégica institucional y acorde con los objetivos estratégicos y la asignación de recursos. Para ello, se trabaja articuladamente con los demás procesos y de acuerdo a la normatividad legal vigente.
    • Para el desarrollo de proyectos que requieran el uso de componentes tecnológicos,los procesos contarán con el apoyo de la Dirección de Tecnologías de la Información y las Comunicaciones DTIC.
    • Todos los requerimientos de equipos informáticos, sistemas de información y aplicativos o servicios de software, serán solicitados a la Dirección de Tecnologías de la Información y las Comunicaciones – DTIC, quien realizará el análisis pertinente para determinar su viabilidad técnica.
7.2.2. Dispositivos móviles y teletrabajo
7.2.2.1.Política de dispositivos móviles

La Dirección de Tecnologías de la Información y las Comunicaciones – DTIC, establece
las condiciones necesarias para el acceso a los recursos de red y activos de información
de ACCESSPARK S.A.S. a través de los dispositivos de tecnología móviles (computadores
portátiles, smartphones, tabletas, o cualquier tipo de dispositivos electrónicos con capacidad
de acceso a las redes). La autorización de conexión de dispositivos móviles a las redes de datos de la Empresa se realiza una vez se identifican, gestionan y mitigan los riesgos de seguridad de la información asociados al uso de los dispositivos.

Lineamientos generales

  • El líder de Seguridad de la Información debe definir y dar seguimiento al cumplimiento de la Política de dispositivos móviles de ACCESSPARK S.A.S.
  • Los dispositivos móviles de ACCESSPARK S.A.S., son una herramienta de trabajo y deben ser utilizados exclusivamente para las comunicaciones de los(as) funcionarios(as),
  • empleados(as) y/o contratistas, en desarrollo de las funciones laborales o de las obligaciones contractuales correspondientes.
  • La Dirección de Tecnologías de la Información y las Comunicaciones – DTIC, está autorizada para realizar la desactivación, eliminación y/o retiro de los permisos de acceso de las aplicaciones y/o cuentas de ACCESSPARK S.A.S., cuando el dispositivo móvil haya sido extraviado, hurtado o se presente algún evento que comprometa la seguridad de la información institucional y empresarial.
  • El acceso a todos los dispositivos móviles con acceso a información institucional y
  • empresarial debe estar configurado con contraseña segura y bloqueo automático, y tener configurada la aplicación para el borrado remoto de la información.
  • La Dirección de Tecnologías de la Información y las Comunicaciones – DTIC, adopta e implementa los mecanismos de seguridad necesarios para salvaguardar la información contenida y transmitida mediante el uso de dispositivos móviles de los(as) funcionarios(as), empleados(as) contratistas y terceros de ACCESSPARK S.A.S., a través de los cuales se les autoriza el acceso a los recursos tecnológicos de la Empresa.
  • En cualquier momento el líder de Seguridad de la Información de ACCESSPARK S.A.S. podrá hacer revisión del cumplimiento de la presente política directamente en los dispositivos móviles.
  • El personal encargado de realizar las auditorías internas o externas que se realicen al
  • Sistema de Gestión de Seguridad de la Información – SGSI de ACCESSPARK S.A.S., podrá realizar la verificación de las configuraciones de seguridad de los equipos móviles y su cumplimiento con los lineamientos de esta política.
  • Seguridad para el uso de dispositivos móviles privados que accedan información de ACCESSPARK S.A.S.El acceso a la información de ACCESSPARK S.A.S. a través de dispositivos móviles de propiedad de los(as) funcionarios(as), empleados(as), contratistas y/o terceros, se autorizará previa solicitud de los líderes de los procesos a través del servicio de mesa de ayuda y posterior visto bueno del líder de seguridad de la Información.No está permitido transferir ni almacenar la información clasificada, reservada o sensible de ACCESSPARK S.A.S., en los dispositivos móviles privados, ni en sitios o redes públicas como café internet, servicios de nube gratuitos, correos electrónicos persona- les, WhatsApp, OneDrive, Google Drive, Dropbox, ni cualquier otro medio NO autorizado por la Dirección de Tecnologías de la Información y las Comunicaciones de ACCESSPARK S.A.S.
  • Se debe hacer uso de las herramientas y medios suministrados por la Dirección de Tecnologías de la Información y las Comunicaciones – DTIC de ACCESSPARK S.A.S. para almacenar, transmitir, procesar y en general para tratar la información a que tenga acceso mediante el uso de dispositivos móviles personales.
  • En el momento de cesar la vinculación laboral o relación contractual que dio lugar a la autorización para el uso de dispositivos móviles privados para acceder a la información de ACCESSPARK S.A.S., se deben eliminar los accesos a aplicaciones de la empresa en los que se almacene o transmita la información institucional, como por ejemplo correo electrónico institucional, OneDrive de Office 365, Microsoft Teams, SharePoint, etc.
  • En caso de cambio, pérdida o hurto de un dispositivo móvil personal con acceso a la información de ACCESSPARK S.A.S., el (la) funcionario(a), empleado(a) contratista o tercero a quien se le haya autorizado el uso del dispositivo, será responsable de informar con carácter urgente a su jefe inmediato en ACCESSPARK S.A.S., y a la Dirección de Tecnologías de la Información y las Comunicaciones – DTIC a través de los canales de comunicación autorizados.

Seguridad para dispositivos móviles de propiedad de ACCESSPARK S.A.S.

  • Está prohibido almacenar información personal en los dispositivos móviles asignados por ACCESSPARK S.A.S.
  • Está prohibido cambiar en los equipos de propiedad de ACCESSPARK S.A.S., la configuración de seguridad o realizar instalación de aplicaciones, o software no autorizadas.por la Dirección de Tecnologías de la Información y las Comunicaciones – DTIC; única- mente está autorizado la instalación de actualizaciones del software instalado.
  • Los(as) funcionarios(as), empleados(as) o contratistas que tengan asignados dispositivos móviles de ACCESSPARK S.A.S. no deben conectarse en estos dispositivos a través de redes inalámbricas públicas.
  • El sistema de mensajería instantánea autorizado para uso en los dispositivos móviles de propiedad de ACCESSPARK S.A.S. es Microsoft TEAMS, la cual debe ser instalada y configurada por la Dirección de Tecnologías de la Información y las Comunicaciones – DTIC.
  • Los(as) funcionarios(as), empleados(as) y contratistas deben proteger física y lógicamente los dispositivos móviles asignados y que son de propiedad de ACCESSPARK S.A.S., para prevenir el hurto y/o acceso o divulgación no autorizada de la información institucional.
  • En caso de pérdida o hurto de un dispositivo móvil de propiedad de ACCESSPARK S.A.S., el(la) funcionario(a), empleado(a) contratista o tercero a quien se le haya asignado el dispositivo, será el responsable de informar con carácter urgente a su jefe inmediato en ACCESSPARK S.A.S., y a la Dirección de Tecnologías de la Información y las Comunicaciones – DTIC a través de los canales de comunicación autorizados.
7.2.2.2. Política de Teletrabajo

ACCESSPARK S.A.S., implementó la modalidad de teletrabajo para que un número determinado de funcionarios(as), empleados(as) y contratistas tengan la posibilidad de desarrollar sus actividades y funciones laborales mediante el uso de las tecnologías de la información y las comunicaciones – TIC, de manera remota y sin requerirse la presencia física en sitio específico de trabajo.

En razón de lo anterior, ACCESSPARK S.A.S..en el marco del Sistema de Gestión de Seguridad de la Información – SGSI, de la norma ISO/IEC 27001 de 2013, establece la política de teletrabajo mediante la cual se dictan lineamientos de obligatorio cumplimiento para el personal de la Empresa que ejerza sus labores diarias mediante la modalidad de teletrabajo, con el fin de contribuir al cumplimiento de los objetivos del SGSI, a través del cuidado y manejo responsable de la información institucional.

Lineamientos generales

  • El(La) funcionario(a), empleado(a) debe mantener la seguridad física del área de teletrabajo manteniendo en lugar seguro la información institucional, y velar por que esta se encuentre protegida contra el acceso no autorizado y los incidentes que puedan afectar su disponibilidad, integridad y confidencialidad.
  • Los(as) funcionarios(as), empleado(a) y contratistas serán responsables de mantener
  • las copias de respaldo necesarias y alojarlas en el servicio de nube institucional para garantizar la restauración de la información institucional en caso de pérdida o daño.
  • En el momento en que el (la) empleado(a) se levante del puesto de trabajo se debe
  • bloquear la sesión en el equipo de cómputo y asegurarse que los documentos físicos estén protegidos contra daños y acceso no autorizado.
  • Al terminar la jornada de trabajo, se debe asegurar que las cesiones y accesos a los
  • aplicativos y sistemas de información queden debidamente finalizadas y cerrados, y los documentos físicos deben quedar guardados en un lugar seguro y protegidos de daños y /o accesos no autorizados.
  • No está permitido guardar en los navegadores de internet, los usuarios y contraseñas
  • de acceso, ni configurar la apertura automática de los sistemas de información y aplicativos de ACCESSPARK S.A.S.
  • No está permitido almacenar la información confidencial, clasificada, reservada o sensible de la cual tenga conocimiento en ejercicio de las actividades de teletrabajo, en los equipos de cómputo, dispositivos móviles, medios de almacenamiento extraíbles, servicios de almacenamiento en la nube y en general cualquier medio de almacenamiento de información digital de propiedad de los tele trabajadores, dicha información debe permanecer almacenada en los repositorios de OneDrive de Office 365 institucional o cualquier medio de almacenamiento de propiedad y suministrado por ACCESSPARK S.A.S.
  • No está permitido transmitir la información confidencial, clasificada, reservada o sensible en el ejercicio de las actividades de teletrabajo, por medios diferentes al servicio de correo electrónico institucional de Office 365 suministrado por la Dirección de Tecnologías de la Información y las Comunicaciones – DTIC de ACCESSPARK S.A.S.
  • La Dirección de Tecnologías de la Información y las Comunicaciones – DTIC, suministrará las herramientas tecnológicas necesarias para garantizar la comunicación y transferencia segura de la información institucional, que los(as) funcionario(as) realicen mediante la modalidad de teletrabajo.
  • La Dirección de Tecnologías de la Información y las Comunicaciones, DTIC realizará la configuración de accesos, permisos, restricciones de seguridad y demás acciones que considere necesarias para garantizar la seguridad y protección de los activos de información de ACCESSPARK S.A.S.
  • La conectividad hacia ACCESSPARK S.A.S. debe hacerse desde un sistema de acceso
  • remoto seguro, privado y licenciado a nombre de ACCESSPARK S.A.S. el cual debe ser proveído por la Dirección de Tecnologías de la Información y las Comunicaciones – DTIC. No está permitido realizar esta conexión desde plataformas gratuitas como TeamViewer, AnyDesk, etc., ni desde sitios públicos de internet o redes de internet públicas.
  • La estación de trabajo del teletrabajador debe contar con el software de protección contra virus y código malicioso actualizado.
    • Los(as) funcionarios(as), empleados(as) y/o contratistas deben informar oportunamente a la Dirección de Tecnologías de la Información y las Comunicaciones – DTIC de ACCESSPARK S.A.S. cuando se realice cambio del equipo de cómputo en el cual realiza las actividades de teletrabajo, con el fin de que esta realice la verificación de los requisitos de seguridad mínimos en el nuevo equipo de cómputo.
7.2.2.3. Política de Trabajo en Casa

Atendiendo lo dispuesto por el gobierno nacional y la Ley 2088 del 12 de mayo de 2021 “Por el cual se regula el trabajo en casa y se dictan otras disposiciones”, y demás disposiciones del gobierno nacional, implementadas con el fin de garantizar la prestación de los servicios en el marco de la emergencia sanitaria generada por la pandemia del Coronavirus COVID – 19, ACCESSPARK S.A.S., adoptó mecanismos para el cumplimiento de las funciones y obligaciones contractuales de sus funcionarios(as), empleados(as) y/o contratistas mediante la modalidad de trabajo en casa, lo cual permite que la empresa continúe con la operación normal de sus actividades haciendo uso de las tecnologías de la información y las comunicaciones, situación que actualmente se mantiene para algunos cargos. Habilitación al servidor público o trabajador del sector privado para desempeñar transitoriamente sus funciones o actividades laborales por fuera del sitio donde habitualmente las realiza, sin modificar la naturaleza del contrato o relación laboral, o legal y reglamentaria respectiva, ni tampoco desmejorar las condiciones del contrato la- boral, cuando se presenten circunstancias ocasionales, excepcionales o especiales que impidan que el trabajador pueda realizar sus funciones en su lugar de trabajo, privilegiando el uso de las tecnologías de la información y las comunicaciones”.

Sumado a esto, y según lo establecido por el Ministerio del Trabajo en la circular No. 21 de 2020, “(…) el trabajo en casa, como situación ocasional, temporal y excepcional, no presenta los requerimientos necesarios para el teletrabajo, y se constituye como una alternativa viable y enmarcada en el ordenamiento legal, para el desarrollo de las actividades laborales en el marco de la actual emergencia sanitaria”.

De igual manera, y en el marco del Sistema de Gestión de Seguridad y Privacidad de la Información SGSI y en cumplimiento de las obligaciones establecidas en el Acuerdo No. 755 de 2019 artículo 23, numerales 6, 7 y 8, la Dirección de Tecnologías de la Información y las Comunicaciones DTIC, debe implementar medidas y controles para fortalecer y contribuir con la preservación de la disponibilidad, confidencialidad e integridad de la información institucional.

Por lo tanto, y teniendo en cuenta que para la prestación de servicios mediante la modalidad de trabajo en casa, se requiere que los funcionarios(as), empleados(as) y/o contratistas hagan uso de herramientas y servicios tecnológicos de su propiedad como computadores, internet, dispositivos de almacenamiento, etc., se requiere establecer controles, medidas y lineamientos que mitiguen los riesgos de seguridad a los que se expone la información de ACCESSPARK S.A.S., y contribuyan a mantener la confidencialidad, integridad y disponibilidad de los datos.

En razón de lo anterior, ACCESSPARK S.A.S. en el marco del Sistema de Gestión de Seguridad de la Información – SGSI, de la norma ISO/IEC 27001 de 2013, y las medidas implementadas por el gobierno nacional, para atender la contingencia generada por el COVID-19 a partir del uso de las tecnologías y las comunicaciones, establece la política de seguridad de la información para el trabajo en casa, mediante la cual se dictan lineamientos de obligatorio cumplimiento para los(las) funcionarios(as), empleados(as) y/ o contratistas de la empresa que desarrollen sus funciones u obligaciones contractuales mediante la modalidad de trabajo en casa.

Lineamientos generales

  • La Dirección de Tecnologías de la Información y las Comunicaciones – DTIC, suministrará las herramientas tecnológicas de carácter institucional (VPN y herramientas de colaboración) para garantizar la comunicación y transferencia segura de la información institucional mediante la modalidad de trabajo en casa.
  • ACCESSPARK S.A.S., no se hará responsable de suministrar ni mantener el servicio de internet, equipos de cómputo de propiedad del (de la) funcionario(a), empleado(a) o contratista, ni herramientas o servicios tecnológicos personales, utilizados para el desarrollo de sus actividades mediante la modalidad de trabajo en casa.
  • La Dirección de Tecnologías de la Información y las Comunicaciones, DTIC realizará la configuración de accesos, permisos, controles de seguridad y demás acciones que considere necesarias para garantizar la seguridad de los activos de información de ACCESSPARK S.A.S…
  • La Dirección de Tecnologías de la Información y las Comunicaciones, brindará la capacitación que los (las) funcionarios(as), empleados(as) y/o contratistas de la empresa requieran, para garantizar el acceso y uso adecuado de las tecnologías de la información y las comunicaciones, necesarias para el desarrollo de sus actividades mediante la modalidad de trabajo en casa.
  • Los (Las) funcionarios (as), empleados(as) y/o contratistas deben cumplir los lineamientos y políticas de seguridad establecidas por la empresa, acatando los controles técnicos implementados por la Dirección de Tecnologías de la Información y las Comunicaciones DTIC, para garantizar la seguridad de la información institucional durante las actividades de trabajo en casa incluido:
    • Disponer de los recursos necesarios para conectarse a la empresa de forma segura tales como computador con sistema operativo y antivirus actualizados y conexión a internet.
    • Cuando los recursos tecnológicos sean de propiedad de ACCESSPARK S.A.S., deberán ser configurados por la Dirección DTIC, con todos los requisitos mínimos de seguridad (Software licenciado y actualizado, antivirus con protección de administración y control de cuentas usuario, entre otras) y las demás que se requieran para el desarrollo de sus funciones u obligaciones contractuales; de igual forma el funcionario deberá firmar el formato “compromiso de confidencialidad y no divulgación de la información para empleados y contratistas de prestación de servicios.
    • Mantener la seguridad física del área de trabajo en casa almacenando en lugar seguro la información institucional (Física o digital), y velar por que esta se encuentre protegida contra el acceso no autorizado y los riesgos que puedan afectar su disponibilidad, integridad y confidencialidad.
    • » Procurar utilizar los servicios de almacenamiento en la nube institucional (OneDrive de office 365), y realizar periódicamente copias de respaldo de la información de trabajo contenida en los equipos de cómputo y dispositivos de almacenamiento, utilizados durante la jornada de trabajo en casa.
    • Reportar inmediatamente a través de la mesa de ayuda en la intranet, cualquier evento, incidente o comportamiento sospechoso que pueda afectar la disponibilidad, integridad o confidencialidad de la información institucional.
    • En el momento en que se levante del lugar de trabajo, se debe bloquear la sesión en el equipo de cómputo y asegurarse que los documentos físicos estén protegidos contra daños y/o acceso no autorizado.
    • Al terminar la jornada de trabajo en casa, asegurarse que la sesión de trabajo en el equipo de cómputo y los accesos a los aplicativos y sistemas de información queden debidamente finalizados y cerrados, y los documentos físicos queden guardados en lugar seguro y protegidos de daños y/o accesos no autorizados.
    • No guardar en los navegadores de internet, las credenciales de acceso (Usuarios y contraseñas) de los sistemas de información y aplicativos de ACCESSPARK S.A.S.
    • Las contraseñas de acceso a los sistemas de información de ACCESSPARK S.A.S., son personales e intransferibles y en ninguna circunstancia deben ser reveladas a otras personas; en caso de que llegasen a ser reveladas deberá realizarse el cambio de contraseña de inmediato.
    • No almacenar en los equipos de cómputo personales, dispositivos móviles, medios de almacenamiento extraíbles, servicios de almacenamiento en la nube y en general cualquier medio de almacenamiento de información digital personal, la información clasificada, reservada o con datos sensibles, generada, transformada o de la cual tenga conocimiento en ejercicio de las actividades de trabajo en casa; dicha información debe permanecer almacenada en los repositorios de OneDrive de Office 365 institucional o cualquier medio de almacenamiento suministrado por ACCESSPARK S.A.S.
    • No transmitir la información digital de ACCESSPARK S.A.S., clasificada, reservada o sensible, por medios diferentes a las herramientas tecnológicas suministradas por la Di- rección de Tecnologías de la Información y las Comunicaciones – DTIC de ACCESSPARK S.A.S
    • Destruir totalmente la información institucional contenida en papel o cualquier otro medio físico que vaya a ser eliminada, garantizando que esta no pueda ser leída ni reconstruida por personas no autorizadas.

La conectividad hacia la red de ACCESSPARK S.A.S. debe hacerse mediante una herramienta de acceso seguro, privado y licenciado a nombre de ACCESSPARK S.A.S. el cual debe ser proveído por la Dirección de Tecnologías de la Información y las Comunicaciones – DTIC. No está permitido realizar esta conexión desde plataformas gratuitas como TeamViewer, AnyDesk, etc, ni desde sitios públicos de internet o redes de internet públicas.

Utilizar exclusivamente la herramienta Microsoft TEAMS, para las reuniones, videoconferencias, charlas y demás actividades virtuales organizadas con fines institucionales por los procesos, dependencias y/o colaboradores de ACCESSPARK S.A.S. No se permite el uso de herramientas que no estén autorizadas por la Dirección de Tecnologías de la In- formación y las Comunicaciones DTIC.

7.3 SEGURIDAD DE LOS RECURSOS HUMANOS

7.3.1 Antes de asumir el empleo
  • La Dirección de Talento Humano de ACCESSPARK S.A.S., realizará las actividades necesarias para la selección de personal, asegurando la verificación de los requisitos mínimos para proveer los cargos y el cumplimiento de la normatividad vigente.
    • Para el ingreso de nuevo personal de planta y la suscripción de contratos o convenios relacionados con servicios de tecnología y/o acceso a información institucional, se debe garantizar que la persona acepte y firme una cláusula en la cual se informe sobre las políticas de seguridad de la información y acuerde mantener la confidencialidad de la información, con la suscripción de un acuerdo o compromiso de confidencialidad; este acuerdo se hará extensivo a todos los colaboradores de los contratistas o terceros para el caso de contratos o convenios.
7.3.2 Durante la ejecución del empleo

Lineamientos generales

  • La Dirección de Talento Humano es la responsable de Informar a la Dirección de Tecnologías de la Información y las Comunicaciones – DTIC, toda novedad de personal mediante el procedimiento establecido.
  • La Dirección Administrativa y Financiera, será la responsable de Informar a la Dirección de Tecnologías de la Información y las Comunicaciones DTIC, las novedades de los Contratistas, mediante el procedimiento establecido.
  • La Dirección de Tecnologías de la Información y las Comunicaciones DTIC, será responsable de la divulgación y el seguimiento de las políticas de seguridad de la información al interior de la empresa, estableciendo los procedimientos que permitan su operatividad y cumplimiento.
  • Los (las) funcionarios(as), Empleados(as) y Contratistas de ACCESSPARK S.A.S., deben conocer y aplicar los procedimientos de seguridad de la información vigentes so pena de incurrir en faltas disciplinarias y/o contractuales; de igual manera deben reportar oportunamente las debilidades e incidentes de seguridad de la información que detecten o que sean de su conocimiento y resguardar el acceso a los recursos informáticos asignados.
  • Los responsables de los procesos y jefes de dependencias deben Informar a la Dirección de Tecnologías de la Información y las Comunicaciones DTIC, de los permisos a las carpetas o recursos compartidos de los (las) funcionarios(as), empleados(as) y/o contratistas para los cuales están autorizados(as); así mismo, deben conocer y asegurar el cumplimiento de las políticas de seguridad de la información por parte de su equipo de trabajo.
    • Los(as) funcionarios(as) y/o contratistas de ACCESSPARK S.A.S., deben recibir inducción en donde se forme y sensibilice sobre las políticas de seguridad de la información y las obligaciones frente al Sistema de Gestión de Seguridad de la Información – SGSI; de igual manera, la empresa deberá mantener informado al personal sobre los cambios y actualizaciones realizadas a las políticas, procedimientos y demás documentos que hacen parte el SGSI.
    • La inducción relacionada con el uso de las herramientas tecnológicas será impartida
    • por la Dirección de Tecnologías de la Información y las Comunicaciones DTIC, previa información de hora y lugar por la Dirección de Talento Humano o el área encargada de la logística del evento.
    • El representante legal de ACCESSPARK S.A.S., y demás miembros del nivel directivo de ACCESSPARK S.A.S., serán responsables de conocer y asegurar la implementación y cumplimiento de las políticas de seguridad de la información al interior de sus dependencias, equipos de trabajo y personal a cargo.
7.3.3 Terminación y cambio de empleo

Lineamientos generales

  • Los responsables de los procesos o dependencias de ACCESSPARK S.A.S., y supervisores de contratistas, serán responsables de la custodia de la información institucional a cargo de funcionarios(as) y/o contratistas cuando se produzca su retiro definitivo o parcial.
  • La Dirección de Talento Humano es la responsable de Informar a la Dirección de Tecnologías de la Información y las Comunicaciones – DTIC, sobre las novedades de personal, de acuerdo con el procedimiento establecido.
  • La Dirección Administrativa y Financiera, será la responsable de Informar a la Dirección de Tecnologías de la Información y las Comunicaciones – DTIC, sobre las novedades de los Contratistas, de acuerdo con el procedimiento establecido.
    • Se debe mantener la confidencialidad de la información clasificada, reservada o sensible, de ACCESSPARK S.A.S. aun después de que la persona haya finalizado la vinculación laboral o contractual con ACCESSPARK S.A.S., o haya sido trasladado de dependencia.

7.4 GESTIÓN DE ACTIVOS

7.4.1 Responsabilidad por los activos
  • Los activos de información de ACCESSPARK S.A.S., tendrán un responsable o custodio y serán identificados, clasificados y valorados de acuerdo con la normatividad legal vigente.
  • Todo(a) funcionario(a), empleado(a) contratista o tercero que haga uso de los recursos y sistemas de información de ACCESSPARK S.A.S., tendrá acceso únicamente a la
  • información necesaria para el desempeño de sus funciones, obligaciones contractuales o actividades autorizadas.
  • Todo(a) funcionario(a), empleado(a) o contratista deberá devolver los activos informáticos a su cargo, por motivo de retiro definitivo, cambio de puesto de trabajo, sus- pensión y/o finalización del contrato, haciendo entrega formal del (de los) equipo(s) a su cargo y claves de acceso necesarias.
    • Todos(as) los(as) funcionarios(as), empleados(as) y contratistas de ACCESSPARK S.A.S., deben reportar sin demoras injustificadas a los responsables de sus dependencias o procesos, y a la Dirección de Tecnologías de la Información y las Comunicaciones DTIC, cualquier evento que pueda afectar la integridad, disponibilidad o confidencialidad de los activos de información de la empresa.
7.4.2 Clasificación de la Información

Lineamientos generales

  • La información resultante de los procesos misionales y de apoyo de la Empresa se tratará conforme a los lineamientos y parámetros establecidos en el Manual de Gestión Documental.
    • Los activos de información institucional deben ser identificados, clasificados y valorados de acuerdo con los procedimientos, protocolos, guías, manuales y demás medios formalmente establecidos por la empresa y acordes con la normatividad legal vigente.
7.4.3 Manejo de medios
  • Se deben implementar acciones, protocolos o procedimientos para el uso y administración de medios informáticos removibles.
  • Se deben adoptar procedimientos o mecanismos de eliminación o borrado seguro de la información institucional alojada en cualquier medio extraíble, que ha de ser retirado o reutilizado en la empresa.
  • Los medios removibles que contengan información institucional se deben almacenar en un ambiente seguro y protegido contra el acceso no autorizado y de acuerdo con las especificaciones de los fabricantes o proveedores.
    • Todo medio extraíble que vaya a ser utilizado en los equipos de cómputo de ACCESSPARK S.A.S., debe ser analizados con la herramienta de antivirus de la empresa, por lo tanto, se debe habilitar la opción de escaneo automático de amenazas en el software de antivirus.

7.5 CONTROL DE ACCESO

7.5.1. Política de Control de Acceso

El Sistema de Gestión de Seguridad de la Información SGSI de ACCESSPARK S.A.S., busca reducir los riesgos que atenten contra la confidencialidad, integridad y disponibilidad de los activos de información de la empresa que se encuentran a cargo de sus funcionarios(as), empleados(as) contratistas o terceros; para lograr este objetivo se establecen controles que regulan el acceso a las redes, los datos y la información institucional, así como la implementación de perímetros de seguridad para la protección de las instalaciones, especialmente aquellas clasificadas como áreas de trabajo seguras, como los centros de procesamiento de datos, áreas de almacenamiento de información física, cuartos de suministro de energía eléctrica, aire acondicionado y otras áreas esenciales para el cumplimiento de las funciones misionales de la Empresa.

ACCESSPARK S.A.S., lleva a cabo el control de acceso a la información permitiendo mantener la trazabilidad de las acciones realizadas, identificando entre otros datos relevantes, quién realiza el acceso, las operaciones ejecutadas, fecha, hora, lugar, cantidad de intentos de acceso y accesos denegados.

7.5.2. Gestión de acceso de usuarios

Lineamientos generales

  • Todos los usuarios a quienes se les autorice el ingreso a los sistemas y aplicaciones de TI deberán contar con un identificador único (usuario y contraseña), el cual será personal e intransferible.
  • Los responsables de los sistemas de información deberán realizar revisiones y actualizaciones periódicas de los roles y privilegios de acceso de los usuarios, inactivando las que no se encuentren en uso o pertenezcan a usuarios retirados no autorizados.
  • La creación del registro de usuarios para otorgar y revocar el acceso a los sistemas de información, bases de datos y servicios de TI, debe hacerse de acuerdo con lo establecido en el procedimiento “Gestión de usuarios”.
  • Para la creación o definición del usuario de red se deben seguir las siguientes especificaciones en su estructura:
    • » Primera letra del nombre.
    • » Primera letra del segundo nombre, de no tener segundo nombre se continuará con el siguiente ítem.
    • » Primer apellido.
    • » En caso de coincidir con otro identificador de usuario, se agregará la primera letra inicial del segundo apellido.
  • La Dirección de Tecnologías de la Información y las Comunicaciones – DTIC debe asegurarse, que los usuarios o perfiles de usuario que tienen asignados por defecto los diferentes recursos y/o equipos de la plataforma tecnológica, sean deshabilitados o eliminados.
  • Es responsabilidad de la Dirección de TIC y de todos los funcionarios(as) y contratistas activar y usar en todas las herramientas que se disponga doble factor de autenticación o validación de captcha para acceder a las páginas o herramientas propias de ACCESSPARK S.A.S.
7.5.3. Responsabilidades de los usuarios
  • Todos los usuarios serán responsables de las actuaciones realizadas con sus credenciales de red (usuario, contraseña y números de celular) asignadas para el uso de los
  • sistemas de información y demás recursos tecnológicos a los cuales se les proporcione acceso.
  • Las contraseñas de red son secretas y en ninguna circunstancia deben ser compartidas o reveladas a otra persona.
  • Los usuarios a los cuales se les otorgue acceso a la red de datos y comunicaciones, sistemas de información y demás servicios de TI que hacen parte de la plataforma tecnológica de ACCESSPARK S.A.S., deben acogerse y acatar las políticas y directrices establecidas por la empresa para la gestión de contraseñas.
    • Los (las) funcionarios(as), empleados(as) contratistas y terceros que tengan acceso a la información de ACCESSPARK S.A.S., no deben realizar modificaciones sobre la información institucional sin estar autorizados para ello, deberán guardar la confidencialidad de la información a la cual tengan acceso y no vulnerar los controles de seguridad establecidos por la Dirección de Tecnologías de la Información y las Comunicaciones – DTIC.
7.5.3. Responsabilidades de los usuarios

6. CONSIDERACIONES GENERALES

6. CONSIDERACIONES GENERALES