GRUPO EMPRESARIAL OIKOS S.A.S. identificado con NIT: 860.074.389-7 con domicilio principal en la ciudad de Bogotá, ubicado en la carrera 16 A No. 78-55 Piso 6, y Teléfono: 601-651614, siendo consciente de la importancia que tiene la adecuada gestión de la información, ha implementado una Política de Seguridad de la Información, que describe el manejo y gestión de la información, brindando privacidad, confidencialidad y seguridad a través de los mecanismos y procedimientos establecidos en ella; apoyando y brindando soporte a la efectiva operación de los diferentes modelos de Negocio de GRUPO EMPRESARIAL OIKOS S.A.S., a través de la cual se permite mantener la información debidamente protegida y segura en beneficio de los intereses de la Organización y sus diferentes grupos de interés.
Su adaptación y apropiación a todo nivel corporativo, permite enfocar los esfuerzos de los trabajadores hacia el cumplimiento de las directrices y objetivos estratégicos planteados por la Compañía. A su vez, se convierten en una herramienta para el correcto actuar corporativo y la promoción de una cultura de seguridad en la información, que permita responder por la integralidad, confidencialidad y disponibilidad de la información, disminuyendo los impactos negativos que le pudiera generar la exposición al riesgo tecnológico.
Las políticas definidas para GRUPO EMPRESARIAL OIKOS S.A.S, son de aplicación obligatoria para todos los accionistas, administradores, funcionarios, contratistas, proveedores, clientes y en general todas las partes interesadas.
El ámbito de aplicación de estas políticas podrá hacerse extensivo a cualquier otra persona vinculada con la empresa, cuando por la naturaleza de dicha vinculación, pueda afectar el Sistema de Gestión de Seguridad de la Información - SGSI.
Con el fin de garantizar un adecuado funcionamiento del Sistema de Gestión de Seguridad de la Información - SGSI en la empresa, se ha definido un modelo organizacional acorde a las exigencias normativas, en el cual se incorpora a la Junta Directiva, la Presidencia con las principales operaciones de las Unidades Estratégicas de Negocio y las Unidades estratégicas de Soporte de GRUPO EMPRESARIAL OIKOS S.A.S
Con el fin de establecer un marco de actuación a seguir en GRUPO EMPRESARIAL OIKOS S.A.S, el gobierno corporativo establece la Política Seguridad de la Información para asegurar el control en los diferentes modelos de negocio, a través de la gestión y el despliegue de estrategias y el manejo adecuado de los riesgos y recursos asociados a la seguridad de la información y la protección de datos. Esta Política está enmarcada en los modelos de gobernabilidad de las tecnologías de la información, las estrategias de negocio y la normatividad interna y externa que apliquen a las mejores prácticas de la industria.
Esta política está dirigida a todos los usuarios y gestores de tecnologías de la información, en todas las regiones donde GRUPO EMPRESARIAL OIKOS S.A.S desarrolla sus operaciones; incluyendo, empleados, contratistas, consultores, clientes, entidades de gobierno, proveedores y demás personas con acceso a sus recursos de seguridad de la información y protección de datos. Aplican a todos los dispositivos de hardware, software y a la información digital contenida en dispositivos de las plataformas tecnológicas, que sean propiedad de la Compañía o sobre las cuales se tenga derecho de uso.
3.1 Trabajar en equipo con las áreas usuarias
El propósito es asegurar un aprovechamiento óptimo y el control sobre la información y los datos manejados en las diferentes plataformas en la Compañía. Esto implica aplicar las tecnologías de la información de la manera más adecuada en el lugar más adecuado. Para lograrlo, el área de Gestión IT trabaja en conjunto con las áreas que apoya, asegurando una cooperación armónica y productiva, determinando las responsabilidades que se tienen sobre la información, facilitando las herramientas que permitan su permanente protección y seguridad.
3.2 Aprovechar la Seguridad de la Información como una sola organización, apoyando las estrategias de cada negocio y de la corporación
Las Tecnologías de Seguridad de la Información sirven a cada uno de los negocios de la organización para que compitan de forma segura en sus mercados. Sirve igualmente a nivel corporativo de la Compañía para ayudarle a asegurar subordinación, control y unidad de propósito, y a la vez capitalizar sinergias entre los negocios.
3.3 Gestionar los riesgos activamente y respetar las normas
GRUPO EMPRESARIAL OIKOS S.A.S es consciente de la importancia de la seguridad de la información para la organización y por eso se esfuerza para asegurar la continuidad y seguridad de la información en los servicios que presta, en un trabajo conjunto con las diferentes áreas que la conforman, de la mano permanente de la Gerencia de IT quien identifica los riesgos, los comunica oportunamente y dispone de estrategias para su gestión. Fija normas aplicables a la tecnología de información, las que son respetadas por la Compañía entre otras, la propiedad intelectual y la confidencialidad de la información.
3.4 Desarrollar relaciones de largo plazo con los proveedores y contratistas
El Grupo Empresarial gestiona los proveedores como una extensión de su propia capacidad de dar respuesta a las necesidades de la Organización. Desarrolla relaciones complementarias gana-gana, no de competición con los proveedores y contratistas, estableciendo condiciones de control y responsabilidad sobre los servicios prestados, mitigando la afectación de los principios de integridad, disponibilidad y confidencialidad de la información.
3.5 Gestionar proactivamente la T.I.
GRUPO EMPRESARIAL OIKOS S.A.S gestiona las tecnologías y la seguridad de la información anticipándose a los eventos de posibles riesgos a través del monitoreo continuo del ambiente interno y externo para morigerar los sucesos que pueden impactar a la Compañía desde el punto de vista de la seguridad de la Información y la Protección de Datos, garantizando la continuidad del negocio frente a los incidentes presentados.
3.6 Aplicar la Seguridad de la Información para innovar
El área de Gestión de Control y Procesos en conjunto con el área Gestión IT atiende las solicitudes de las diferentes áreas de negocios para proponer innovaciones tecnológicas que permitan mantener y avanzar en técnicas de seguridad de información. GRUPO EMPRESARIAL OIKOS S.A.S se mantiene al tanto de los avances en el mundo de la tecnología y de la industria para identificar oportunidades de aportar valor a los negocios.
4.1 Gerencias Funcionales
Los gerentes, directores y líderes de procesos de la Unidades Estratégicas de Negocio y las Unidades Estratégicas de Soporte, les corresponde conocer, cumplir y difundir todos los aspectos relacionados a la normatividad del Sistema de Gestión de Seguridad de la Información – SGSI establecido por GRUPO EMPRESARIAL OIKOS S.A.S., en materia de control y prevención de los riesgos asociados a la seguridad de la información, para evitar sanciones legales y normativas que puedan afectar las operaciones de la organización.
4.2 Área de Tecnología IT
Desde el área de IT se establece como objetivo el trabajo dinámico y alineado con todas las Unidades Estratégicas de Negocio y Unidades Estratégicas de Soporte de GRUPO EMPRESARIAL OIKOS S.A.S, respaldando el control sobre seguridad de la información que manejan y apoyando de esta forma la competencia de la compañía frente al mercado, identificando, comunicando y estructurando estrategias para una óptima gestión de procesos de seguridad de la información, acorde con los niveles de riesgo que la alta gerencia de GRUPO EMPRESARIAL OIKOS S.A.S está dispuesta a aceptar.
El compromiso del área de IT con la compañía se extiende a innovar en nuevas tecnologías, con el mejoramiento continuo en las ya aplicadas a la organización y la gestión integral de su equipo de trabajo, a través de mecanismos que garanticen: (i) la trazabilidad de las acciones, seguimiento de la creación, origen, recepción, entrega y almacenamiento de la información. (ii) la retención o almacenamiento la cual será informada a cada usuario, (iii) las auditorias periódicas y continuas que permitan verificar el cumplimiento de la política
4.3 Proveedores, contratista y demás terceros interesados.
GRUPO EMPRESARIAL OIKOS S.A.S, tiene como objetivo la responsabilidad y compromiso desde y hacia proveedores, contratistas, así como todos los terceros relacionados con la compañía garantizando el cumplimiento de lo establecido en el Sistema de Gestión de la Seguridad de la Información; por lo tanto se obliga a guardar estricta reserva sobre el funcionamiento, información sistematizada, bases de datos, estrategias de mercado y en fin cualquier asunto que comprometa el desempeño de negocio, así como también sobre los documentos a los que tenga acceso y maneje en desarrollo de su actividad o que llegue a conocer en el desarrollo del servicio y que no tengan carácter público.
Los proveedores y contratistas, así como todos los terceros relacionados a GRUPO EMPRESARIAL OIKOS S.A.S, garantizarán que la información recibida a la tengan acceso, en desarrollo y ejecución de la presente política, gozan de confidencialidad y por lo tanto solo podrá ser usada para fines inherentes a su actividad en desarrollo del servicio. La protección es indefinida, por lo que no se podrá hacer uso de ella una vez haya finalizado la relación contractual.
Los proveedores y contratistas, así como todos los terceros relacionados con GRUPO EMPRESARIAL OIKOS S.A.S se comprometen a establecer controles para monitorear y mitigar el riesgo en los procesos de negocio, según lo establecido en el Sistema de Gestión de la Seguridad de la Información.
GRUPO EMPRESARIAL OIKOS S.A.S. como responsable del sistema de información: (I) Desarrolla procesos de gestión del riesgo de seguridad de la información. (II) Valida que los activos de información bajo su responsabilidad se encuentren dentro del inventario de activos de información. (III) Vela por la existencia de custodios de los activos de información bajo su responsabilidad. (IV) Apoya la realización de actividades de gestión del riesgo sobre los activos bajo su responsabilidad; lo que incluye, por ejemplo, la entrega oportuna de información y la asistencia a sesiones de trabajo celebradas para tal fin. (V) Aplica, opera y mantiene los controles para la protección de los activos de información. (VI) Desarrolla actividades de mitigación o tratamiento de riesgos identificados. (VII) Hace seguimiento sobre la eficacia de los controles aplicados a los activos de información bajo su responsabilidad.
GRUPO EMPRESARIAL OIKOS S.A.S. ha dispuesto un Oficial de Seguridad de la Información el cual tiene como responsabilidad velar por el efectivo, eficiente y oportuno funcionamiento de las etapas del ciclo PHVA que conforman el Sistema de Gestión de Seguridad de la Información – SGSI.
Coordinando el desarrollo de programas internos de capacitación, orientando al personal en la comprensión y cumplimiento de las políticas y procedimientos del SGSI; así como tomar acciones frente a vulnerabilidades detectadas como resultado de indicadores y valoraciones de la gestión del riesgo.
Hace parte fundamental de la política de seguridad de la información, la política de tratamiento de protección de datos personales que se encuentra vigente para GRUPO EMPRESARIAL OIKOS, que se encuentra publicada en la página web www.oikos.com.co