POLÍTICA PARA LA SEGURIDAD DE LA INFORMACIÓN

En virtud del compromiso de MAQUITECNICOS IMPORTADORES SAS con el adecuado tratamiento de datos personales, garantizando además de la salvaguarda y seguridad de la información, ejercicio del Habeas Data, la empresa establece la presenta Política aplicables para la seguridad de la información en la organización.

CAPÍTULO I: OBJETIVO

Esta Política establece las directrices generales para la Seguridad de la Información al interior de MAQUITECNICOS IMPORTADORES SAS con el objetivo de brindar las condiciones de seguridad necesarias que impidan la adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento a la información que es tratada por MAQUITECNICOS IMPORTADORES SAS. Esta Política también establece las directrices para la seguridad de la información en el teletrabajo, brindar condiciones y capacitaciones para prevención de phishing y pérdida de información.

 

CAPÍTULO II: ALCANCE

Esta Política de Seguridad de la Información será aplicada en todos los aspectos administrativos, de gestión, logísticos y de control fijados por la empresa, que deben ser cumplidos por los directivos, funcionarios, trabajadores, contratistas, terceros que presten sus servicios, empleados de terceros proveedores que estén regulados por términos contractuales, y en general todas aquellas personas que tengan algún tipo de relación con la manipulación de información en MAQUITECNICOS IMPORTADORES SAS.

 

CAPÍTULO III: POLÍTICAS ESPECÍFICAS PARA EL TRATAMIENTO DE DATOS PERSONALES

Es una empresa creada desde el año 2000 que se dedica al comercio de piezas y autopartes para vehículos automotores. En ejecución de su actividad principal, la empresa accede y trata datos de contacto e identificación personal principalmente de sus trabajadores, accionistas, clientes, y proveedores con el objeto exclusivo de facilitar la ejecución de los negocios, las órdenes de compra, contrato de prestación de servicios, contrato de trabajo y demás documentos propios y necesarios para el desarrollo a cabalidad de la actividad principal.

Entre las finalidades específicas de tratamiento se encuentran:

1. Comunicarnos con nuestros clientes, proveedores, contratistas trabajadores y otras personas que, con la autorización de éstos, nos han entregado información personal como parte de nuestra actividad comercial

2. Enviar información importante acerca de cambios en nuestras políticas, términos y condiciones, modificaciones en el sitio y otra información de carácter administrativo o comercial.

3. Enviar información para ofrecerle productos, servicios, promociones, publicidad e información de toda índole que tenga relación con nuestro objeto social.

4. Administrar nuestra infraestructura, nuestras operaciones comerciales y actividades de logística. En este sentido, el tratamiento de los datos se limita a cumplir con las políticas y procedimientos internos, incluidos aquellos relacionados con auditorías, finanzas, logística, contabilidad, facturación, cobro, continuidad del negocio y gestión de registros, documentos e impresión.

5. Resolver quejas y tramitar solicitudes de acceso a datos, corrección de estos o cualquier otra facultad relacionada con el objeto del derecho de hábeas data.

6. Cumplir con las leyes y las obligaciones regulatorias aplicables.

 

CAPÍTULO IV: POLÍTICAS ESPECIALES

1. INSTALACIÓN DE SOFTWARE

Propósito: minimizar el riesgo de exposición y de infección por malware, evitando a su vez posibles sanciones por el uso de software sin licencia. Mantener actualizado el sistema operativo para que el sistema este seguro.

Política

Los trabajadores no deben instalar software en los dispositivos de la compañía sin la respectiva autorización. Las peticiones de instalación de software deben ser aprobadas por la parte administrativa de la empresa. Todo software que sea instalado debe tener licenciamiento comercial, ser de licenciamiento libre, o en su defecto la licencia debe provenir del departamento de tecnología.

2. USO DE DISPOSITIVOS DE ALMACENAMIENTO EXTERNO

Propósito: minimizar el riesgo de exposición de información de la empresa o de infección por malware contenido en dispositivos externos de almacenamiento (Discos Duros externos, USBs, CDs, Diskettes, Teléfonos Celulares, Reproductores Multimedia, etc.).

Política

Está prohibido el uso de dispositivos de almacenamiento personales dentro de la infraestructura tecnológica de la compañía. En caso de requerirse alguno de estos dispositivos, se deben solicitar a modo de préstamo a los jefes de área correspondientes. Una vez se termine de realizar la labor requerida con el dispositivo se debe eliminar toda la información contenida en el mismo, realizar una limpieza con un software de antivirus y retornar al encargado.

3. USO DEL INTERNET EMPRESARIAL Y POLÍTICA DE MONITOREO

Propósito: definir los estándares para el monitoreo y limitación de la navegación por Internet desde cualquier dispositivo en la red empresarial. Estos estándares están diseñados para asegurar que los empleados utilicen el Internet de forma segura y responsable.

Política

La gerencia está en potestad de monitorear todas las comunicaciones entrantes y salientes dentro de la red de la organización. Esto incluye conocer la IP de origen, la fecha, la hora, el protocolo, el servidor o dirección de destino y los datos comunicados.

La gerencia puede bloquear los sitios de Internet que se consideren inapropiados para el ambiente empresarial. Se considera una falta disciplinaria bajo cualquier circunstancia el acceso a páginas y sitios web de contenido sexual explícito, sitios de juegos o apuestas, sitios relacionados con sustancias ilícitas, sitios de citas y redes sociales, sitios de fraude, contenidos SPAM o en relación a delitos tipificados por la ley colombiana, contenido racista o de alguna forma ofensivo y discriminatorio, contenido violento, y todo contenido que no esté relacionado con el desarrollo de las finalidades de la empresa sin que medie previa autorización.

Así mismo está totalmente prohibido el uso de la infraestructura empresarial para realizar ataques informáticos o similares. Además, está prohibido el uso del Internet en horas no autorizadas para acceder a contenido multimedia no asociado a la labor del empleado.

Cualquier intento por evadir los controles técnicos impuestos, será considerado en sí mismo una falta disciplinaria.

4. USO DE CORREO ELECTRÓNICO Y COMUNICACIONES PERSONALES

Propósito: prevenir daños y perjuicios en la imagen o el nombre de la organización por el manejo incorrecto de los servicios de comunicación.

Política

Los diferentes medios de comunicación a disposición de los trabajadores no deben ser utilizados para la distribución de mensajes con contenido ofensivo, racista, discriminatorio, pornográfico, sexual, político, etc. Los empleados que reciban comunicaciones con este contenido deben eliminarlo inmediatamente y reportar el incidente si es de origen interno.

Utilizar los correos corporativos para comunicaciones personales está prohibido. En especial si es para la distribución de mensajes cadena, spam o de alguna forma comerciales.

Los empleados no deben esperar privacidad alguna en contenido que almacenen o envíe como parte de los servicios de comunicación de la compañía. El no cumplimiento de las condiciones mencionadas anteriormente es considerado una falta disciplinaria y puede ser objeto de sanción.

5. USO DE INTERNET EN EL TELETRABAJO

Propósito: tener una conexión de internet estable es muy importante y por esta razón se sugiere tener al menos un ancho de banda de 30 Mb/s por cada persona que habita tu hogar. Es recomendable crear un perfil desde el navegador de preferencia exclusivamente para búsquedas relacionadas con la empresa y almacenar información.

Políticas

Para implementar políticas efectivas de teletrabajo desde el punto de vista de la seguridad informática, aquí hay algunas medidas clave a considerar:

✔️ Uso de redes seguras: los empleados deben conectarse a través de redes seguras, preferiblemente utilizando conexiones VPN (Red Privada Virtual) para cifrar la comunicación entre el dispositivo y la red de la empresa.
✔️ Actualización de software y sistemas operativos: es fundamental mantener actualizados los sistemas operativos, aplicaciones y programas en los dispositivos utilizados para el teletrabajo para protegerse contra vulnerabilidades conocidas.
✔️ Autenticación de dos factores (2FA): implementa la autenticación de dos factores en todas las cuentas y sistemas relevantes para agregar una capa adicional de seguridad.
✔️ Uso de contraseñas seguras: exige el uso de contraseñas seguras y cambiantes regularmente. Puedes implementar un gestor de contraseñas para facilitar la gestión de contraseñas seguras. Es muy importante tratar de no recordar o guardar las contraseñas en el navegador de su preferencia.
✔️ Educación y concienciación sobre seguridad: proporciona formación regular sobre seguridad informática a todos los empleados para sensibilizarlos sobre las amenazas y las mejores prácticas de seguridad, como la detección de phishing y el manejo seguro de datos. 

Nota: ¿Qué es el phishing?, el phishing (o "phishing" en inglés) es una técnica utilizada por ciberdelincuentes para engañar a las personas y obtener información confidencial, como contraseñas, información financiera o datos personales. Por lo general, esto se hace mediante el envío de correos electrónicos, mensajes de texto, llamadas telefónicas u otros medios de comunicación que parecen ser legítimos y provienen de fuentes confiables, como bancos, empresas u organizaciones gubernamentales.

El objetivo principal del phishing es persuadir a la víctima para que revele información confidencial o haga clic en enlaces maliciosos que conducen a sitios web falsificados o descarguen archivos infectados con malware. Estos correos electrónicos o mensajes a menudo incluyen enlaces a sitios web que imitan a los sitios legítimos, pero en realidad están diseñados para robar información cuando la víctima ingresa sus credenciales.

✔️ Política de acceso y permisos: establece políticas claras sobre quién tiene acceso a qué datos y sistemas, y asegúrate de que se implementen adecuadamente para evitar accesos no autorizados.
✔️ Copia de seguridad y recuperación de datos: implementa un plan de copia de seguridad regular y asegúrate de que todos los datos críticos estén respaldados de manera segura y que exista un plan de recuperación de desastres en caso de pérdida de datos. En relación con la perdida de información se pueden implementar soluciones como por ejemplo sincronizar todos los archivos del equipo en One Drive de Microsoft office 365.
✔️ Control de dispositivos: considera la implementación de software de gestión de dispositivos para controlar y monitorear los dispositivos utilizados para el teletrabajo, lo que permite aplicar políticas de seguridad y detectar posibles amenazas.
✔️ Seguridad física de los dispositivos: asegúrate de que los dispositivos utilizados para el teletrabajo estén protegidos físicamente contra robos o accesos no autorizados.
✔️ Política de uso de dispositivos personales: si permites el uso de dispositivos personales para el trabajo remoto, establece políticas claras sobre cómo deben configurarse y utilizarse de manera segura.
✔️ Actualización constante de políticas de seguridad: las políticas de seguridad deben revisarse y actualizarse regularmente para abordar nuevas amenazas y desafíos de seguridad. 

Implementar estas políticas ayudará a garantizar un entorno de teletrabajo seguro desde el punto de vista de la seguridad informática.

6. COPIAS DE SEGURIDAD

Propósito: evitar la pérdida de información de la empresa.

Política

Las copias de seguridad de la información se tomarán de forma automática cada 360 días, a las bases de datos con información sensible. Las copias de respaldo se almacenarán en medios magnéticos y serán custodiadas por un periodo igual a 1 año.

Los funcionarios responsables de la gestión del almacenamiento y respaldo de la información deberán proveer los recursos necesarios para garantizar el correcto tratamiento de esta.

Los dueños o responsables de los activos de información tecnológicos y recursos informáticos deben definir las estrategias para la correcta y adecuada generación, retención, y rotación de las copias de respaldo de la información.

Los dueños o responsables de los activos de información tecnológicos y recursos informáticos deben velar por el cumplimiento de los procedimientos de respaldo de la información.

7. MANEJO DE CLAVES

Propósito: establecer un estándar de generación de contraseñas seguras, la protección de dichas contraseñas y su frecuencia de cambio.

Política

Todas las contraseñas de nivel de sistema deben ser cambiadas al menos cada tres meses. Todas las contraseñas de nivel de usuario (correo, cuentas personales), deben ser cambiadas al menos cada seis meses.

Todas las contraseñas utilizadas deben seguir las condiciones descritas a continuación: Contener al menos tres de los siguientes caracteres: Minúsculas, Mayúsculas, Números, Caracteres especiales (#$%&/(“!.;), la longitud de la contraseña debe ser de al menos 8 caracteres, la contraseña no debe estar compuesta únicamente de palabras de diccionario, se deben evitar contraseñas tradicionales.

Como base del correcto manejo de claves y contraseñas se presentan una serie de recomendaciones para el manejo correcto de las mismas:

✔️ Siempre utilice contraseñas diferentes para los servicios de la compañía y sus cuentas personales no relacionadas al ámbito laboral.
✔️ No comparta sus contraseñas con ningún tercero, incluso si este pertenece a la organización.
✔️ Las contraseñas nunca deben estar escritas en texto plano (jamás archivos llamados claves.txt y en el escritorio).
✔️ No revele las contraseñas por medios de comunicación desprotegidos como correo, mensajería instantánea, SMS, etc.
✔️ Evite utilizar la opción de recordar contraseña en navegadores y programas internos.

8. LA SEGURIDAD FÍSICA Y AMBIENTAL

Propósito: evitar el acceso físico no autorizado, daños e interferencia para la información de la organización y las instalaciones de procesamiento de información.

Política

Los equipos de cómputo deben estar situados y protegidos para reducir los riesgos de las amenazas ambientales y los riesgos y las oportunidades de acceso no autorizado. El equipo deberá estar protegido contra fallas de energía y otras interrupciones causadas por fallas en el soporte de los servicios públicos. El cableado que transporta datos, energía y telecomunicaciones o el soporte de los servicios de información debe estar protegido contra la intercepción, interferencia o daños. Los equipos de cómputo deben tener un correcto mantenimiento para asegurar su continua disponibilidad e integridad.

Los equipos, la información o el software no se sacarán de las instalaciones de la empresa sin la previa autorización. Se aplicará seguridad a los activos fuera de las instalaciones, teniendo en cuenta los diferentes riesgos de trabajar fuera de las instalaciones de la organización. Todos los elementos del equipo que contienen los medios de almacenamiento deberán ser verificados para garantizar que los datos sensibles y el software con licencia se han eliminado o sobrescrito de forma segura antes de su eliminación o reutilización.

Los usuarios deberán asegurarse de que el equipo que no cuenta con vigilancia tenga la protección adecuada.

Los puestos de trabajo deben estar limpios de papeles, soportes de almacenamiento extraíbles y cuando un computador esté desatendido deberá bloquearse la pantalla.

Cuando sea apropiado, papeles y medios de información deben estar asegurados en armarios especiales, especialmente en horas fuera de las normales de trabajo.

9. REQUISITOS PARA EL CONTROL DE ACCESO

Propósito: limitar el acceso de la información y a las instalaciones de procesamiento de la información.

Política

Los trabajadores tienen la obligación de vigilar y garantizar que se cumplan las siguientes medidas de seguridad:

✔️ El acceso a áreas seguras donde se procesa o almacena información confidencial y restringida, es limitado únicamente a personas autorizadas
✔️ El acceso a áreas seguras, requieren esquemas de control de acceso, como tarjetas, llaves o candados.
✔️ El responsable de un área segura debe asegurar que no ingresen cámaras fotográficas, videos, teléfonos móviles con cámaras, salvo se tenga una autorización expresa.
✔️ Se utilizan planillas para registrar la entrada y salida del personal.
✔️ Se restringe el acceso físico a dispositivos como: puntos de acceso inalámbricos, puertas de enlace a redes y terminales de red que estén ubicadas en las áreas seguras.

10. ACCESO A DATOS SENSIBLES DE LOS EMPLEADOS, CLIENTES, PROVEEDORES.

Propósito: garantizar que los datos sensibles relacionados con los datos de la salud, creencias religiosas, políticas, sexuales, entre otros de los trabajadores, clientes, proveedores y accionistas, solo puedan ser conocidos por el personal competente y pertinente en virtud de sus funciones, teniendo en cuenta el principio de Acceso Restringido.

Política:

Las finalidades para las que son tratados los datos sensibles en la empresa son limitadas y especificadas en las respectivas autorizaciones otorgadas por el titular de la información. De forma general, el tratamiento de datos sensibles en la empresa estará limitado únicamente a las divisiones de recurso humano, y gerencia administrativa atendiendo las finalidades particulares autorizadas por el titular. La empresa de forma particular y en los respectivos manuales de funciones según el cargo, determinará aquellos cargos particulares que podrán tener acceso a datos de carácter sensible, sin que ese acceso signifique una violación a la política de seguridad de acceso restringido.

Igualmente, aplican los mecanismos de seguridad identificados previamente como de acceso restringido a los datos personales.

11. SEGURIDAD DE LA INFORMACIÓN EN TORNO AL RECURSO HUMANO

En tratamiento de los datos personales, antes, durante y después de la relación laboral, se regirá por las siguientes reglas:

✔️ MAQUITECNICOS IMPORTADORES SAS informará a las personas interesadas en participar en un proceso de selección, las reglas aplicables al tratamiento de los datos personales que suministre el interesado durante el respectivo proceso de selección, así como de aquellos datos que se obtengan durante la realización de este.
✔️ El tratamiento de los datos suministrados por los interesados en las vacantes de MAQUITECNICOS IMPORTADORES SAS, y los obtenidos del proceso de selección, será únicamente la informada en la autorización al aspirante.
✔️ La empresa realizará estudios de seguridad previos a la contratación de nuevo personal para la empresa.
✔️ La empresa contará con un proceso de eliminación de las hojas de vida de los candidatos (titulares) sobre los que ya no se tenga interés en conservar contacto, teniendo en cuenta las herramientas de archivística tales como tablas de valoración documental, tablas de retención documental y cuadros de comparación documental.
✔️ Una vez seleccionado un aspirante para ocupar un cargo en MAQUITECNICOS IMPORTADORES SAS, se celebrará el respectivo contrato de trabajo, acuerdo de confidencialidad y se le asignará cuando el cargo lo requiera, un usuario con un perfil definido relacionado directamente con el cargo a desempeñar, el cual le permitirá el acceso a la información personal tratada por la empresa, cuando el cargo así lo requiera.
✔️ Seleccionado el candidato para el cargo, la empresa almacenará los datos personales del trabajador en una carpeta identificada con el nombre de cada persona. A esta carpeta solo tendrá acceso el Área de Gestión Humana y Administrativa y con la finalidad de gestionar la relación laboral entre la empresa y el empleado.
✔️ Para cuando MAQUITECNICOS IMPORTADORES SAS requiera contratar servicios externos para el tratamiento de datos durante la relación contractual con los trabajadores, podrá requerirse la transferencia de datos personales a un tercero que se denominará Encargado, Para este caso, la empresa seguirá los lineamientos para la selección de Encargados en la transmisión de datos personales contenidos en esta política.
✔️ Una vez se termine el contrato de trabajo, la empresa suscribirá un acuerdo de confidencialidad con el extrabajador para salvaguardar la confidencialidad de la información personal manipulada por el ex trabajador; así como solicitará la entrega formas de perfiles y contraseñas que le hayan sido asignadas durante la ejecución del contrato de trabajo.
✔️ Terminada la relación laboral, MAQUITECNICOS IMPORTADORES SAS igualmente procederá a almacenar los datos personales de sus trabajadores en un archivo general, sometiendo tal información a medidas y niveles de seguridad altas, atendiendo la calidad de los datos que dicho archivo puede contener.

12. CONFIDENCIALIDAD CON TERCEROS

Propósito: establecer los requerimientos de confidencialidad en las relaciones con proveedores, contratistas, en particular con empleados y los terceros en general.

Política

Para el desarrollo de las relaciones contractuales, comerciales y laborales, se debe exigir a los terceros la aceptación de los acuerdos de confidencialidad definidos por la organización. En dichos acuerdos se debe establecer el compromiso de salvaguardar la información, velar por su correcto uso, impedir el uso no autorizado de dicha información y guardar reserva. Se debe estipular a su vez la información que es objeto de protección dentro del acuerdo y su temporalidad.

Los acuerdos deben incluirse dentro de los contratos celebrados entre la organización y terceros, como parte integral del contrato o firmarse como un acuerdo independiente.

La aceptación de las condiciones de confidencialidad es indispensable para conceder al tercero el acceso a la información protegida.

13. SELECCIÓN DE ENCARGADOS PARA TRANSMISIÓN DE DATOS PERSONALES

Propósito: garantizar que en los casos en los que se realicen transmisiones de datos personales, se elija el encargado teniendo en cuenta las prerrogativas que trata la normativa sobre protección de datos personales.

Política

Cuando MAQUITECNICOS IMPORTADORES SAS actúe como responsable del tratamiento de datos personales, cuando realice Transmisión de datos personales, es de imperativo cumplimiento por parte de la empresa, seguir los siguientes lineamientos:

✔️ Determinar cuál será el alcance del tratamiento que se permitirá realizar al Encargado.
✔️ Evaluar la competencia y capacidad del Encargado para realizar el tratamiento que se le encomendará.
✔️ Revisar el manual de políticas de tratamiento de datos personales propias del Encargado.
✔️ Examinar las medidas de seguridad implementadas por el Encargado para el tratamiento de los datos personales, y su compatibilidad con los estándares determinados por MAQUITECNICOS IMPORTADORES SAS Suscribir un contrato de transmisión de datos personales.
✔️ Realizar auditorías para medir el nivel de protección de los datos personales en la ejecución del contrato de transmisión.

14. REVISIONES DE LA SEGURIDAD DE LA INFORMACIÓN

Propósito: garantizar que la seguridad informática sea implementada y aplicada de acuerdo con las políticas y procedimientos de la organización.

Política

Los sistemas de información son revisados regularmente a través de Auditorías para cerciorarse que se da cumplimiento a las políticas y normas de seguridad de la información de la entidad.

CAPÍTULO V: PROCESO PARA LA ATENCIÓN DE INCIDENTES

Cada vez que se presente algún incidente con la seguridad de la información tratada por MAQUITECNICOS IMPORTADORES SAS deberá adelantarse el siguiente procedimiento:

1. Reporte del Incidente: Ocurrido el incidente de seguridad, la primera persona que tenga conocimiento de este, deberá inmediatamente presentar dirigido al área o persona encargada de la seguridad de la información, Departamento administrativo; así como en el menor tiempo posible presentar un informe detallado sobre los hechos que del mismo se conocen.
2. Comunicación del Incidente ante la SIC: Todo incidente de seguridad de la información, deberá ser reportado ante la Superintendencia de Industria y Comercio, específicamente ante el Registro Nacional de Bases de Datos -RNBD-. El reporte de los incidentes es una obligación del Departamento Administrativo, quien deberá realizarlo una vez haya sido notificados de la ocurrencia de este por parte de cualquier área de la compañía.

 

CAPÍTULO VI: MODIFICACIÓN DE LAS POLÍTICAS

MAQUITECNICOS IMPORTADORES SAS se reserva el derecho de modificar la presente Política de Seguridad de la información en cualquier momento, comunicando de forma oportuna a todas aquellas personas que estén relacionadas o que participen en la manipulación de la información de la empresa para su correcta implementación.

CAPÍTULO VII: VIGENCIA

La presente Política rige a partir del día 14 de mayo de 2024.