Política de seguridad de la información

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

La Dirección de 02 Online SAS, entendiendo la importancia de una adecuada gestión de la información, se ha comprometido con la implementación de un sistema de gestión de seguridad de la información buscando establecer un marco de confianza en el ejercicio de sus deberes con el Estado y los ciudadanos, todo enmarcado en el estricto cumplimiento de las leyes y en concordancia con la misión y visión de la entidad.
Para 02 Online SAS, la protección de la información busca la disminución del impacto generado sobre sus activos, por los riesgos identificados de manera sistemática con objeto de mantener un nivel de exposición que permita responder por la integridad, confidencialidad y la disponibilidad de la misma, acorde con las necesidades de los diferentes grupos de interés identificados.
De acuerdo con lo anterior, esta política aplica a la empresa según como se defina en el alcance, sus funcionarios, terceros, proveedores y la ciudadanía en general, teniendo en cuenta que los principios sobre los que se basa el desarrollo de las acciones o toma de decisiones alrededor del SGSI estarán determinadas por las siguientes premisas:
• Minimizar el riesgo en las funciones más importantes de la empresa
• Cumplir con los principios de seguridad de la información.
• Cumplir con los principios de la función administrativa.
• Mantener la confianza de nuestros clientes, socios y empleados.
• Apoyar la innovación tecnológica.
• Proteger los activos tecnológicos.
• Establecer las políticas, procedimientos e instructivos en materia de seguridad de la información.
• Fortalecer la cultura de seguridad de la información en los empleados, terceros, y clientes de 02 Online SAS
• Garantizar la continuidad del negocio frente a incidentes.

02 Online SAS, ha decidido definir, implementar, operar y mejorar de forma continua un Sistema de Gestión de Seguridad de la Información, soportado en lineamientos claros alineados a las necesidades del negocio, y a los requerimientos regulatorios.
Descripción general de otras políticas relevantes para el cumplimiento de los Objetivos planteados dentro del proyecto del SGSI :
A continuación, se establecen 12 principios de seguridad que soportan el SGSI de 02 Online SAS:
• Las responsabilidades frente a la seguridad de la información serán definidas, compartidas, publicadas y aceptadas por cada uno de los empleados, proveedores, socios de negocio o terceros.
• O2 Online SAS, protegerá la información generada, procesada o resguardada por los procesos del negocio, su infraestructura tecnológica y activos del riesgo que se genera de los accesos otorgados a terceros (ej.: proveedores o clientes), o como resultado de un servicio interno en outsourcing.
• O2 Online SAS, protegerá la información creada, procesada, transmitida o resguardada por sus procesos de negocio, con el fin de minimizar impactos financieros, operativos o legales debido a un uso incorrecto de esta. Para ello es fundamental la aplicación de controles de acuerdo con la clasificación de la información de su propiedad o en custodia
• O2 Online SAS, protegerá su información de las amenazas originadas por parte del personal.
• O2 Online SAS, protegerá las instalaciones de procesamiento y la infraestructura tecnológica que soporta sus procesos críticos.
• O2 Online SAS, controlará la operación de sus procesos de negocio garantizando la seguridad de los recursos tecnológicos y las redes de datos.
• 02 Online SAS, implementará control de acceso a la información, sistemas y recursos de red.
• O2 Online SAS, garantizará que la seguridad sea parte integral del ciclo de vida de los sistemas de información.
• O2 Online SAS, garantizará a través de una adecuada gestión de los eventos de seguridad y las debilidades asociadas con los sistemas de información una mejora efectiva de su modelo de seguridad.
• O2 Online SAS, garantizará la disponibilidad de sus procesos de negocio y la continuidad de su operación basada en el impacto que pueden generar los eventos.
• O2 Online SAS, garantizará el cumplimiento de las obligaciones legales, regulatorias y contractuales establecidas.

Política de Seguridad y Privacidad de la Información.

La Política de Seguridad y Privacidad de la Información es la declaración general que representa la posición de la administración de 02 Online SAS, con respecto a la protección de los activos de información (los funcionarios, contratistas, terceros. la información, los procesos, las tecnologías de información incluido el hardware y el software), que soportan los procesos de la empresa y apoyan la implementación del Sistema de Gestión de Seguridad de la Información, por medio de la generación y publicación de sus políticas, procedimientos e instructivos, así como de la asignación de responsabilidades generales y específicas para la gestión de la seguridad de la información.

02 Online SAS, para asegurar la dirección estratégica de la empresa, establece la compatibilidad de la política de seguridad de la información y los objetivos de seguridad de la información, estos últimos correspondientes a:

• Minimizar el riesgo de los procesos misionales de la empresa
• Cumplir con los principios de seguridad de la información.
• Cumplir con los principios de la función administrativa.
• Mantener la confianza de los funcionarios, contratistas y terceros.
• Apoyar la innovación tecnológica
• Implementar el sistema de gestión de seguridad de la información.
• Proteger los activos de información.
• Establecer las políticas, procedimientos e instructivos en materia de seguridad de la información.
• Fortalecer la cultura de seguridad de la información en los funcionarios, terceros, y clientes la empresa.
• Garantizar la continuidad del negocio frente a incidentes.

Alcance/Aplicabilidad
Esta política aplica a toda la empresa, sus empleados, contratistas y terceros de O2 Online SAS y la ciudadanía en general.

Nivel de cumplimiento Todas las personas cubiertas por el alcance y aplicabilidad deberán dar cumplimiento un 100% de la política.

DEFINICIONES:

Activo de información: Algo de valor tangible o intangible que vale la pena proteger, incluidas las personas, la información, infraestructura de T.I, finanzas y reputación para 02 Online SAS, con los activos corresponden a los objetos materiales o intangibles asociados con la información y que son requeridos para la operación de las actividades de los negocios.
Aliados: Cualquier ente o empresa que apoya, fortalece o respalda a otra compañía o genera algún tipo de beneficio.
Ciso: Es el miembro de la organización que se encarga de la Seguridad de la Información dentro de la empresa.
Ciberseguridad: La práctica de proteger y recuperar redes, dispositivos, programas y activos de información de cualquier tipo de ciberataque malicioso.

Confidencialidad: Se refiere a la preservación de las restricciones o limitantes que la Empresa 02 Online SAS, sus entes reguladores y sus obligaciones con los clientes han fijado para autorizar el acceso y la divulgación, así como los medios para la protección de la intimidad y propiedad de la información.

Controles: Medios para administrar Políticas, procedimientos y actividades definidas para gestionar los riesgos y aumentar la probabilidad de alcanzar los objetivos y metas establecidos.
Cumplimiento: Adhesión a las políticas, planes, procedimientos, leyes, regulaciones, manuales, contratos y otros mecanismos que la empresa adopte para impartir directrices en desarrollo de su operación.
Dato: Es un término que se refiere a hechos, eventos, transacciones que han sido registrados, que pueden ser cuantitativos o cualitativos y son la entrada sin procesar de la cual se produce la información.

Disponibilidad: Asegurar el acceso oportuno y confiable del uso de la información de cada una de las Oficinas Comerciales de la empresa.

Estándar: Es un requisito obligatorio, código de práctica o especificación aprobada por un organismo externo reconocido como la ISO, que especifica una acción o respuesta que se debe seguir a una situación dada. Los estándares son orientaciones obligatorias que buscan hacer cumplir y promover la implementación de las políticas de alto nivel en la Empresa O2 Online SAS.

Grupos de Interés: Son personas naturales, organizaciones o grupos que pueden estar vinculados o relacionados de manera directa o indirecta, se pueden ver afectados de manera significativa por las actividades, productos o servicios de la empresa, sus acciones o decisiones afectan o influyen en la capacidad de la empresa para implementar con éxito sus estrategias y alcanzar los objetivos.
Input: Conjunto de datos que se introducen en un sistema, proceso, procedimiento o un programa informáticos.
Integridad: La protección contra la modificación no autorizada, exactitud o completitud de toda información que pertenezca a los negocios de La Empresa.
IEC: Comisión Electrotécnica Internacional.
ISO: Organización de estándares Internacionales.
Output: son los productos o salidas resultantes del proceso o procedimiento.

Política: Declaración de alto nivel que describe la posición de la empresa sobre un tema específico.
Procedimientos: Son las guías de ejecución de un proceso completo o de sus etapas. Deben incluir las descripciones de las actividades a realizar, así como los responsables de realizarlas, las evidencias o registros de su ejecución y la descripción del producto intermedio o final.

Procesos: Son las formas de organizar el trabajo dentro de la empresa. En general tienen una entrada (Input) y un producto o entregable (Output) que debe cumplir con unos requisitos de calidad y oportunidad. Para lograr estos objetivos del producto, generalmente se incluyen en las actividades de Control.

Seguridad de la Información: Se refiere a la protección de la información y los sistemas de información del acceso, la divulgación, la alteración y la modificación o destrucción no autorizados. La gestión de la seguridad de la información y Ciberseguridad se apoya en el cumplimiento de tres criterios de confidencialidad, integridad y disponibilidad.

Sistema de Información: Un sistema de información es un conjunto de datos, que interactúan entre sí con un fin común. En informática, los sistemas de información ayudan a administrar, recolectar, usar, recuperar, procesar, almacenar y distribuir información de gran valor e importancia para los procesos fundamentales y las particularidades de cada organización.

SGSI: Sistema de Gestión de Seguridad de la Información.

Terceros: Es cualquier persona natural o jurídica ajena a la empresa pero que interactúa con ella, como lo es un cliente, proveedor, compañía, o ente gubernamental.
T.I: Tecnologías de la Información.
Transparencia: La cualidad de un gobierno, empresa, organización o persona natural, que tiene la obligación de actuar de manera visible, predecible y comprensible en la promoción de la participación y la rendición de cuentas sobre la divulgación de información, Políticas, normas, planes, procesos, procedimientos y acciones.

A continuación, se establecen las 12 políticas de seguridad que soportan el SGSI de O2 Online SAS.

• O2 Online SAS, ha decidido definir, implementar, operar y mejorar de forma la Gestión de Seguridad de la Información, soportado en lineamientos claros alineados a las necesidades del negocio, y a los requerimientos regulatorios que le aplican a su naturaleza.
• Las responsabilidades frente a la seguridad de la información serán definidas, compartidas, publicadas y aceptadas por cada uno de los empleados, contratistas o terceros.
• O2 Online SAS, protegerá la información generada, procesada o resguardada por los procesos de negocio y activos de información que hacen parte de los mismos.
• O2 Online SAS, protegerá la información creada, procesada, transmitida o resguardada por sus procesos de negocio, con el fin de minimizar impactos financieros, operativos o legales debido a un uso incorrecto de esta. Para ello es fundamental la aplicación de controles de acuerdo con la clasificación de la información de su propiedad o en custodia.
• O2 Online SAS, protegerá su información de las amenazas originadas por parte del personal.
• O2 Online SA, protegerá las instalaciones de procesamiento y la infraestructura tecnológica que soporta sus procesos críticos.
• O2 Online SAS, controlará la operación de sus procesos de negocio garantizando la seguridad de los recursos tecnológicos y las redes de datos. • O2 Online SAS, implementará control de acceso a la información, sistemas y recursos de red.
• O2 Online SAS, garantizará que la seguridad sea parte integral del ciclo de vida de los sistemas de información.
• O2 Online SAS, garantizará a través de una adecuada gestión de los eventos de seguridad y las debilidades asociadas con los sistemas de información una mejora efectiva de su modelo de seguridad.
• O2 Online SAS, garantizará la disponibilidad de sus procesos de negocio y la continuidad de su operación basado en el impacto que pueden generar los eventos.
• O2 Online SAS, garantizará el cumplimiento de las obligaciones legales, regulatorias y contractuales establecidas.

El incumplimiento a la política de Seguridad y Privacidad de la Información, traerá consigo, las consecuencias legales que apliquen a la normativa de la Entidad, incluyendo lo establecido en las normas que competen al Gobierno nacional y territorial en cuanto a Seguridad y Privacidad de la Información se refiere.
Control de Cambios:

Versión Descripción del Cambio Fecha del Cambio
1.0 Creación documento inicial