Política General de Seguridad de la Información

GRUPO EMPRESARIAL OIKOS S.A.S. identificado con NIT: 860.074.389-7 con domicilio  principal en la ciudad de Bogotá, ubicado en la carrera 16 A No. 78-55 Piso 6, y  Teléfono: 601-651614, siendo consciente de la importancia que tiene la adecuada  gestión de la información, ha implementado una Política de Seguridad de la  Información, que describe el manejo y gestión de la información, brindando  privacidad, confidencialidad y seguridad a través de los mecanismos y  procedimientos establecidos en ella; apoyando y brindando soporte a la efectiva  operación de los diferentes modelos de Negocio de GRUPO EMPRESARIAL OIKOS  S.A.S., a través de la cual se permite mantener la información debidamente  protegida y segura en beneficio de los intereses de la Organización y sus diferentes  grupos de interés.  

 

Su adaptación y apropiación a todo nivel corporativo, permite enfocar los  esfuerzos de los trabajadores hacia el cumplimiento de las directrices y objetivos  estratégicos planteados por la Compañía. A su vez, se convierten en una  herramienta para el correcto actuar corporativo y la promoción de una cultura de  seguridad en la información, que permita responder por la integralidad,  confidencialidad y disponibilidad de la información, disminuyendo los impactos  negativos que le pudiera generar la exposición al riesgo tecnológico.  

 

Las políticas definidas para GRUPO EMPRESARIAL OIKOS S.A.S, son de aplicación  obligatoria para todos los accionistas, administradores, funcionarios, contratistas,  proveedores, clientes y en general todas las partes interesadas.  

 

El ámbito de aplicación de estas políticas podrá hacerse extensivo a cualquier otra  persona vinculada con la empresa, cuando por la naturaleza de dicha vinculación,  pueda afectar el Sistema de Gestión de Seguridad de la Información - SGSI. 

 

Con el fin de garantizar un adecuado funcionamiento del Sistema de Gestión de  Seguridad de la Información - SGSI en la empresa, se ha definido un modelo  organizacional acorde a las exigencias normativas, en el cual se incorpora a la  Junta Directiva, la Presidencia con las principales operaciones de las Unidades  Estratégicas de Negocio y las Unidades estratégicas de Soporte de GRUPO  EMPRESARIAL OIKOS S.A.S 

 

  1. OBJETIVO 

Con el fin de establecer un marco de actuación a seguir en GRUPO  EMPRESARIAL OIKOS S.A.S, el gobierno corporativo establece la Política  Seguridad de la Información para asegurar el control en los diferentes  modelos de negocio, a través de la gestión y el despliegue de estrategias y  el manejo adecuado de los riesgos y recursos asociados a la seguridad de  la información y la protección de datos. Esta Política está enmarcada en los  modelos de gobernabilidad de las tecnologías de la información, las  estrategias de negocio y la normatividad interna y externa que apliquen a  las mejores prácticas de la industria. 

 

  1. ALCANCE 

Esta política está dirigida a todos los usuarios y gestores de tecnologías de la  información, en todas las regiones donde GRUPO EMPRESARIAL OIKOS S.A.S desarrolla sus operaciones; incluyendo, empleados, contratistas,  consultores, clientes, entidades de gobierno, proveedores y demás personas  con acceso a sus recursos de seguridad de la información y protección de  datos. Aplican a todos los dispositivos de hardware, software y a la  información digital contenida en dispositivos de las plataformas  tecnológicas, que sean propiedad de la Compañía o sobre las cuales se  tenga derecho de uso. 

 

  1. PREMISAS GENERALES PARA EL CUMPLIMIENTO DE LA POLÍTICA 

3.1 Trabajar en equipo con las áreas usuarias  

 

El propósito es asegurar un aprovechamiento óptimo y el control sobre la  información y los datos manejados en las diferentes plataformas en la  Compañía. Esto implica aplicar las tecnologías de la información de la  manera más adecuada en el lugar más adecuado. Para lograrlo, el área de  Gestión IT trabaja en conjunto con las áreas que apoya, asegurando una  cooperación armónica y productiva, determinando las responsabilidades  que se tienen sobre la información, facilitando las herramientas que  permitan su permanente protección y seguridad.

 

3.2 Aprovechar la Seguridad de la Información como una sola organización,  apoyando las estrategias de cada negocio y de la corporación 

 

Las Tecnologías de Seguridad de la Información sirven a cada uno de los  negocios de la organización para que compitan de forma segura en sus mercados. Sirve igualmente a nivel corporativo de la Compañía para  ayudarle a asegurar subordinación, control y unidad de propósito, y a la vez  capitalizar sinergias entre los negocios. 

 

3.3 Gestionar los riesgos activamente y respetar las normas 

 

GRUPO EMPRESARIAL OIKOS S.A.S es consciente de la importancia de la  seguridad de la información para la organización y por eso se esfuerza para  asegurar la continuidad y seguridad de la información en los servicios que  presta, en un trabajo conjunto con las diferentes áreas que la conforman,  de la mano permanente de la Gerencia de IT quien identifica los riesgos, los  comunica oportunamente y dispone de estrategias para su gestión. Fija  normas aplicables a la tecnología de información, las que son respetadas  por la Compañía entre otras, la propiedad intelectual y la confidencialidad  de la información. 

 

3.4 Desarrollar relaciones de largo plazo con los proveedores y contratistas 

 

El Grupo Empresarial gestiona los proveedores como una extensión de su  propia capacidad de dar respuesta a las necesidades de la Organización.  Desarrolla relaciones complementarias gana-gana, no de competición con  los proveedores y contratistas, estableciendo condiciones de control y  responsabilidad sobre los servicios prestados, mitigando la afectación de los  principios de integridad, disponibilidad y confidencialidad de la información. 

 

3.5 Gestionar proactivamente la T.I. 

 

GRUPO EMPRESARIAL OIKOS S.A.S gestiona las tecnologías y la seguridad de  la información anticipándose a los eventos de posibles riesgos a través del  monitoreo continuo del ambiente interno y externo para morigerar los  sucesos que pueden impactar a la Compañía desde el punto de vista de la  seguridad de la Información y la Protección de Datos, garantizando la  continuidad del negocio frente a los incidentes presentados.

 

3.6 Aplicar la Seguridad de la Información para innovar 

 

El área de Gestión de Control y Procesos en conjunto con el área Gestión IT atiende las solicitudes de las diferentes áreas de negocios para proponer  innovaciones tecnológicas que permitan mantener y avanzar en técnicas  de seguridad de información. GRUPO EMPRESARIAL OIKOS S.A.S se mantiene  al tanto de los avances en el mundo de la tecnología y de la industria para identificar oportunidades de aportar valor a los negocios.  

 

  1. ROLES, RESPONSABILIDADES Y AUTORIDADES PARA LA SEGURIDAD DE LA  INFORMACIÓN. 

4.1 Gerencias Funcionales 

 

Los gerentes, directores y líderes de procesos de la Unidades Estratégicas de  Negocio y las Unidades Estratégicas de Soporte, les corresponde conocer,  cumplir y difundir todos los aspectos relacionados a la normatividad del  Sistema de Gestión de Seguridad de la Información – SGSI establecido por  GRUPO EMPRESARIAL OIKOS S.A.S., en materia de control y prevención de los  riesgos asociados a la seguridad de la información, para evitar sanciones  legales y normativas que puedan afectar las operaciones de la  organización. 

 

4.2 Área de Tecnología IT 

 

Desde el área de IT se establece como objetivo el trabajo dinámico y  alineado con todas las Unidades Estratégicas de Negocio y Unidades  Estratégicas de Soporte de GRUPO EMPRESARIAL OIKOS S.A.S, respaldando  el control sobre seguridad de la información que manejan y apoyando de  esta forma la competencia de la compañía frente al mercado,  identificando, comunicando y estructurando estrategias para una óptima  gestión de procesos de seguridad de la información, acorde con los niveles  de riesgo que la alta gerencia de GRUPO EMPRESARIAL OIKOS S.A.S está  dispuesta a aceptar.

 

El compromiso del área de IT con la compañía se extiende a innovar en  nuevas tecnologías, con el mejoramiento continuo en las ya aplicadas a la  organización y la gestión integral de su equipo de trabajo, a través de  mecanismos que garanticen: (i) la trazabilidad de las acciones, seguimiento  de la creación, origen, recepción, entrega y almacenamiento de la  información. (ii) la retención o almacenamiento la cual será informada a cada usuario, (iii) las auditorias periódicas y continuas que permitan verificar  el cumplimiento de la política

 

4.3 Proveedores, contratista y demás terceros interesados. 

 

GRUPO EMPRESARIAL OIKOS S.A.S, tiene como objetivo la responsabilidad y  compromiso desde y hacia proveedores, contratistas, así como todos los  terceros relacionados con la compañía garantizando el cumplimiento de lo  establecido en el Sistema de Gestión de la Seguridad de la Información; por  lo tanto se obliga a guardar estricta reserva sobre el funcionamiento,  información sistematizada, bases de datos, estrategias de mercado y en fin  cualquier asunto que comprometa el desempeño de negocio, así como  también sobre los documentos a los que tenga acceso y maneje en  desarrollo de su actividad o que llegue a conocer en el desarrollo del servicio  y que no tengan carácter público. 

 

Los proveedores y contratistas, así como todos los terceros relacionados a  GRUPO EMPRESARIAL OIKOS S.A.S, garantizarán que la información recibida  a la tengan acceso, en desarrollo y ejecución de la presente política, gozan  de confidencialidad y por lo tanto solo podrá ser usada para fines inherentes  a su actividad en desarrollo del servicio. La protección es indefinida, por lo  que no se podrá hacer uso de ella una vez haya finalizado la relación contractual. 

 

Los proveedores y contratistas, así como todos los terceros relacionados con  GRUPO EMPRESARIAL OIKOS S.A.S se comprometen a establecer controles  para monitorear y mitigar el riesgo en los procesos de negocio, según lo  establecido en el Sistema de Gestión de la Seguridad de la Información. 

 

  1. GESTION DE ACTIVOS 

GRUPO EMPRESARIAL OIKOS S.A.S. como responsable del sistema de  información: (I) Desarrolla procesos de gestión del riesgo de seguridad de la  información. (II) Valida que los activos de información bajo su  responsabilidad se encuentren dentro del inventario de activos de  información. (III) Vela por la existencia de custodios de los activos de  información bajo su responsabilidad. (IV) Apoya la realización de  actividades de gestión del riesgo sobre los activos bajo su responsabilidad;  lo que incluye, por ejemplo, la entrega oportuna de información y la  asistencia a sesiones de trabajo celebradas para tal fin. (V) Aplica, opera y  mantiene los controles para la protección de los activos de información. (VI)  Desarrolla actividades de mitigación o tratamiento de riesgos identificados.  (VII) Hace seguimiento sobre la eficacia de los controles aplicados a los  activos de información bajo su responsabilidad.

  1. QUIENES PUEDEN DAR INFORMACION SOBRE LA POLITICA 

GRUPO EMPRESARIAL OIKOS S.A.S. ha dispuesto un Oficial de Seguridad de  la Información el cual tiene como responsabilidad velar por el efectivo,  eficiente y oportuno funcionamiento de las etapas del ciclo PHVA que  conforman el Sistema de Gestión de Seguridad de la Información – SGSI.  

 

Coordinando el desarrollo de programas internos de capacitación,  orientando al personal en la comprensión y cumplimiento de las políticas y  procedimientos del SGSI; así como tomar acciones frente a vulnerabilidades  detectadas como resultado de indicadores y valoraciones de la gestión del  riesgo. 

 

  1. PRIVACIDAD Y CONFIDENCIALIDAD 

Hace parte fundamental de la política de seguridad de la información, la  política de tratamiento de protección de datos personales que se  encuentra vigente para GRUPO EMPRESARIAL OIKOS, que se encuentra  publicada en la página web www.oikos.com.co