CÓDIGO: TI-PL-03

POLITICA DE TECNOLOGIAS DE LA VERSIÓN: 3

INFORMACION FECHA: 25-10-2019
HOJA 1 de 12

1 GENERALES

i. ABC considera la información como un activo vital para la prestación del servicio
y la efectiva toma de decisiones que debe ser protegido para garantizar
razonablemente la confidencialidad, integridad, disponibilidad, privacidad y
auditabilidad de la misma; por lo que se compromete a administrar
coherentemente los riesgos a los que está expuesta la información, con el fin de
mantener la capacidad viable de continuar la prestación de los servicios y
soluciones logísticas, asegurar el cumplimiento de sus objetivos
organizacionales, así como de los requisitos legales y contractuales adquiridos.
ii. Todas las áreas y procesos de ABC deben hacerse participes de la protección de
la información por lo que deben mantener el nivel de protección definido para los
activos de información, de acuerdo con su clasificación, sin importar su
presentación, medio o formato en el que estén creados, almacenados o sean
utilizados.
iii. Se debe establecer un esquema organizacional alineado con el esquema de
gobierno y de seguridad del Grupo, que identifique roles y responsabilidades
documentadas, para operar y proteger la información de la compañía.
iv. Se deben identificar y señalar las responsabilidades de los dueños de la
Información, de la administración de los recursos informáticos, el control de
acceso, la seguridad física y la integración de la gestión de seguridad para los
proyectos y/o nuevos desarrollos de tecnologías de la información.
v. Es responsabilidad de la Dirección de Talento Humano brindar la inducción,
capacitación o concientización necesaria, que enfatice la importancia de la
protección de la información y su contribución al logro de los objetivos de la
compañía, desde el mismo momento de ingreso del colaborador.
vi. Los riesgos a los que están expuestos la información y los recursos informáticos,
deben ser identificados, evaluados y mitigados acorde con su valor, probabilidad
de ocurrencia e impacto en el negocio.
vii. Se deberán tener en cuenta las directrices para la protección de la Información en
el desarrollo o adquisición de nuevas aplicaciones computacionales y todas las
fases del ciclo de vida de los proyectos de TI, a partir de requerimientos de
negocios, arquitectura de sistemas, diseño, construcción, pruebas, implantación y
mantenimiento.
viii. La Dirección de TI debe asignar los roles, funciones y responsabilidades
necesarias para la administración y operación de la plataforma de tecnología y el
desarrollo seguro de aplicaciones, teniendo en cuenta que dichas
responsabilidades deben estar adecuadamente segregadas, documentadas y
asignadas.
ix. Es deber de las Direcciones y jefes velar por que el personal asignado,
proveedores o contratistas, protejan la información y den uso adecuado a los
activos de información de la compañía y tengan cláusulas de confidencialidad
vigentes.

2 DEL TRATAMIENTO DE LA INFORMACION

 CÓDIGO: TI-PL-03
POLITICA DE TECNOLOGIAS DE LA VERSIÓN: 3
INFORMACION FECHA: 25-10-2019
HOJA 2 de 12

i. Las áreas de la compañía que en función de sus actividades obtengan,

almacenen o traten información correspondiente a datos personales son
responsables por asegurar que cuenta con la debida autorización para recolectar,
almacenar, usar, alterar, suprimir, actualizar, transmitir o difundir la información
personal, y velar por que dicha información sea tratada de acuerdo con la
autorización otorgada.
ii. Todo funcionario debe velar por la información que le ha sido entregada, por lo
que debe garantizar su seguridad y su clasificación, con base en su valor, riesgos
a los que pueda estar expuesto y requerimientos legales
iii. En el caso que la información a intercambiar con terceros incluya datos
personales se debe asegurar que se cuentan con los permisos legales o el previo
consentimiento de los titulares de dichos datos, antes de la entrega de la
información solicitada.
iv. La entrega de información a entes de control o estamentos legales debe ser
previamente autorizada por la Presidencia de la compañía.
v. El área de archivo deberá asegurar, de conformidad con los procedimientos
establecidos, que la información física almacenada y/o enviada, está protegida
contra la indebida divulgación, pérdida o modificación de esta.

3 DEL PERSONAL

i. La Dirección de Talento Humano debe llevar a cabo un proceso de selección

definido y documentado que garantice la verificación de información y
antecedentes de los candidatos, antes de su proceso de contratación.
ii. La Dirección de Talento Humano debe garantizar que todos los funcionarios
cuenten con un acuerdo firmado de confidencialidad.
iii. Todos los funcionarios deben mantener la reserva sobre la información en los
sitios de trabajo, en el hogar, en los compromisos sociales y en cualquier lugar
público, evitando hacer comentarios que puedan perjudicar los intereses de la
empresa, de sus directivos, de sus empleados, colaboradores, clientes,
contratistas y proveedores.
iv. Es deber de todos los funcionarios No revelar información restringida de la
entidad ni de sus asociados de negocios a terceros, salvo que se trate de los
entes de control o de las autoridades competentes, con previa autorización de la
Presidencia de la empresa.
v. Los funcionarios no deben utilizar la información a la que han tenido acceso, en
provecho propio o de terceras personas, ni en perjuicio de terceros.
vi. Todos los vicepresidentes, gerentes y directores deben reportar de manera
inmediata la desvinculación o cambio de labores de los funcionarios a su cargo,
así como de aquellas personas externas que tengan acceso a los datos de la
compañía, para que se efectué el cambio de accesos y/o se adelanten labores
para recuperar los activos de información de dichas personas.
vii. Es responsabilidad de todos los funcionarios y terceros autorizados, hacer
entrega a su tecnología, los activos de información y los recursos tecnológicos
asignados, al momento de su retiro o cambio de labores.
 CÓDIGO: TI-PL-03
POLITICA DE TECNOLOGIAS DE LA VERSIÓN: 3
INFORMACION FECHA: 25-10-2019
HOJA 3 de 12

viii. La Dirección de Talento Humano debe realizar el proceso de retiro, promociones,

vacaciones o licencias de los funcionarios, de conformidad con los procedimientos
definidos garantizando la aplicación del proceso de entrega de activos de
información (cuando sea requerido) e informando oportunamente a los
encargados de la plataforma de tecnología.
ix. Todos los funcionarios y terceros autorizados deben velar porque sus escritorios
queden libres de documentos clasificados como restringidos o confidenciales, al
final de la jornada laboral o durante sus ausencias del lugar de trabajo.
x. Es responsabilidad de la Dirección de Talento Humano establecer los métodos
para contar con la autorización de tratamiento de los datos personales de los
aspirantes y funcionarios.

4 DE LA GESTION DE ACTIVOS

i. Todos los activos de información y los medios para su administración, transporte

y almacenamiento (Equipos de cómputo, correo electrónico, aplicaciones
computacionales, fotocopiadoras, impresoras, archivos físicos, etc.) son
propiedad de ABC, y son solamente proporcionados a los funcionarios y terceros
autorizados con el fin de cumplir los objetivos de negocio, sin trasladar en ningún
momento la propiedad de los mismos o de la información contenida en los
mismos.
ii. Se debe establecer las responsabilidades sobre los activos de información,
determinar las directrices para su clasificación y para el uso adecuado de dichos
activos, ya se encuentren estos en medios físicos o lógicos.
iii. La Dirección de TI es la encargada y responsable de la plataforma tecnológica,
por lo cual debe velar por su adecuada operación y gestión.
iv. La Dirección de TI es la encargada de realizar la instalación, cambio o eliminación
de cualquier componente de la plataforma de tecnología de la compañía; para lo
cual deberá dar cumplimiento al procedimiento de gestión de cambios.
v. La Dirección de TI está obligada a establecer y mantener actualizado un
inventario de software utilizado en la plataforma de información, así como verificar
periódicamente que el software instalado en los equipos de cómputo o móviles
autorizados corresponda al permitido y autorizado por la organización.
vi. ABC debe realizar un control de sus activos de información a través de un
inventario que incluya información de las características propias del activo,
identificación corporativa, propietario o responsable y su localización física.
vii. Los recursos tecnológicos provistos a los funcionarios y personal externo
autorizado son proporcionados con objeto de la labor a desarrollar y no deben ser
utilizados para fines personales o para fines distintos al desempeño de las
actividades laborales.
viii. Es responsabilidad de todos los funcionarios y terceros autorizados, hacer un
adecuado uso de los recursos tecnológicos, con el fin de evitar daños o pérdidas
sobre la operación o la imagen de la compañía.
ix. No está permitido ingerir bebidas o alimentos en el área de trabajo donde se
encuentren elementos tecnológicos.
 CÓDIGO: TI-PL-03
POLITICA DE TECNOLOGIAS DE LA VERSIÓN: 3
INFORMACION FECHA: 25-10-2019
HOJA 4 de 12

5 DE CONTROL DE ACCESO

i. La Dirección de TI debe proteger el acceso a la red de datos, inclusive las redes

inalámbricas, y demás recursos tecnológicos, a través de controles de
autenticación y por medio de procedimientos para otorgar debidamente las
autorizaciones de acceso.
ii. La Dirección de TI debe crear o modificar las cuentas de acceso a las redes
previa solicitud de los propietarios de la información o la información sobre las
novedades de personal.
iii. Se debe determinar e implementar un procedimiento que le permita administrar
los usuarios en la red datos, los recursos tecnológicos y demás sistemas de
información, que contemple la creación, modificación, bloqueo o eliminación de
las cuentas de usuario.
iv. Los recursos informáticos deben contar con mecanismos que soliciten la
identificación y autenticación al usuario o a los programas que pretendan
accederlos.
v. Las contraseñas o cualquier otro método de autenticación deben mantener el
nivel de información confidencial o restringida.
vi. Las contraseñas de acceso a los recursos informáticos deben estar establecidas
de tal manera que un número limitado de intentos fallidos en la autenticación de
un usuario resultará en la deshabilitación de la identificación del mismo; siempre
que sea posible.
vii. Los directores y jefes deben monitorear periódicamente la validez de los usuarios
y sus perfiles de acceso a la información del personal a su cargo, informando
sobre cualquier inquietud a la Dirección de TI.
viii. La Dirección de TI es la responsable por aplicar los procedimientos necesarios
para asegurar la eliminación, reasignación o bloqueo de los privilegios de acceso
otorgados sobre los recursos tecnológicos, los servicios de red y los sistemas de
información de manera oportuna, cuando los funcionarios se desvinculan, tomen
licencias o vacaciones, sean trasladados o cambian de cargo.
ix. Las áreas que procesen o almacenen datos de carácter personal deben asegurar
que a dichos datos solo tienen acceso las personas autorizadas con legítima
necesidad de conocer estos datos en función de la labor realizada.
x. La solicitud de acceso a los centros de cómputo, así como los centros de
cableado deberán ser aprobadas por la Dirección de la Oficina con el apoyo de la
Dirección de TI; manteniendo el visitante autorizado siempre acompañado de un
funcionario delegado por la Dirección de la Oficina y/o la Dirección de TI.
xi. Los usuarios de la plataforma de información son los directos responsables por la
información que conocen, registran, administran o almacenan.
xii. Ningún funcionario o tercero autorizado, debe compartir sus cuentas de usuario y
contraseñas con otros funcionarios o tercero.
xiii. La Dirección de TI debe velar porque en los desarrollos, a nivel de los aplicativos,
restrinjan el acceso a archivos u otros recursos, a direcciones URL protegidas, a
funciones protegidas, a servicios, a información de las aplicaciones, a atributos y
políticas utilizadas por los controles de acceso y a la información relevante de la
configuración, solamente a usuarios autorizados.
 CÓDIGO: TI-PL-03
POLITICA DE TECNOLOGIAS DE LA VERSIÓN: 3
INFORMACION FECHA: 25-10-2019
HOJA 5 de 12

xiv. La Dirección de TI debe velar porque los medios en donde se almacena a

información de respaldo se encuentren resguardados en instalaciones diferentes
a donde reposan los servidores y servicios de producción, asegurando que
cuenten con los controles físicos y ambientales necesarios para su protección.

6 SEGURIDAD DE LAS OPERACIONES

i. La Dirección de TI debe identificar y proveer los mecanismos necesarios para

proteger la confidencialidad, integridad y disponibilidad de la información
propiedad de la organización alojada en los equipos de cómputo; ya sea que se
encuentren dentro o fuera de las instalaciones de la compañía.
ii. La Jefatura del SIG debe realizar un análisis periódico de los riesgos de la
información de los procesos y de la plataforma tecnológica, involucrándola en la
matriz de riesgo.
iii. La Dirección de TI es la responsable por el tratamiento de las vulnerabilidades
identificadas.
iv. Los propietarios de los activos de información deberán velar porque la
información de respaldo de los activos a su cargo, dependiendo el nivel de
criticidad para la operación, sea debidamente respaldada y asegurada; para los
cual deberá efectuar la identificación de la misma y aplicar los procedimientos
definidos para este fin.
v. La compañía promoverá entre sus funcionarios el reporte de los incidentes
relacionados con la seguridad de la información y sus medios, reporte y
seguimiento. Así mismo, asignara responsables para el tratamiento de los
incidentes de seguridad de la información, quienes tendrán la responsabilidad de
investigar y solucionar los incidentes reportados, de acuerdo con su criticidad.
vi. Es responsabilidad de toda persona que desarrolle labores para el Grupo ABC, en
carácter de empleado, proveedor, contratista o funcionario de estos últimos;
informar a la empresa a través de los canales determinados, la ocurrencia de
incidentes de que afecten la información.
vii. La Dirección de TI deberá establecer el tratamiento de incidentes por eventos
relacionados con hacking o software malicioso, que puedan poner en riesgo la
información y/o la continuidad de los servicios de la compañía.
viii. En caso de incidente se debe designar personal competente para efectuar las
investigaciones de los incidentes reportados, identificando las causas y acciones
correctivas a aplicar.
ix. Todo mensaje sospechoso respecto de sus remitente o contenido debe ser
reportado a la dirección de TI a través de la mesa de servicios, como incidente de
seguridad de la información según procedimiento establecido para el caso y
proceder de acuerdo a las indicaciones de la esta Dirección.
x. La Dirección de TI debe establecer los procedimientos requeridos para la
generación, almacenamiento y restauración de las copias de respaldo de la
información requerida por la compañía, manteniendo y aplicando controles físicos,
lógicos y ambientales para asegurar su correcta identificación, rotulación,
protección, integridad, disponibilidad y confidencialidad.
xi. La Dirección de TI es la responsable por asegurar la realización de las copias de
 CÓDIGO: TI-PL-03
POLITICA DE TECNOLOGIAS DE LA VERSIÓN: 3
INFORMACION FECHA: 25-10-2019
HOJA 6 de 12

seguridad de la información requeridas y el borrado seguro de dicha información,

cuando sea pertinente.
xii. La Dirección de TI es la responsable de entregar los recursos tecnológicos
solicitados, asegurando que cuenten con el software requerido y las
características de seguridad necesarias.
xiii. Está prohibido a los usuarios instalar software en los equipos de cómputo
entregados por la compañía, sin que medie la respectiva autorización de la
Dirección de TI; sin importar si el software es de libre distribución y uso.
xiv. Para el acceso al sistema informático de ABC se deberá contar con un ambiente
informático adecuado para el desarrollo del contrato que contenga controles de
acceso claramente definidos, protección contra malware, virus.
xv. La Dirección de TI debe velar por mantener actualizadas, activas y
adecuadamente licenciadas las herramientas de protección (antivirus, antispam,
antispyware, etc.) que pueden reducir la probabilidad de contagio o infección con
software malicioso.
xvi. Está prohibido la alteración o apagado de las herramientas de protección
(antivirus, antispam, antispyware, etc.) sin el previo cumplimiento del
procedimiento de Gestión de Cambio.
xvii. La Dirección de TI debe garantizar la adecuada disposición de los medios de
almacenamiento, cuando estos entren en desuso; mediante técnicas de borrado
seguro u otro medio que asegure la destrucción efectiva de la información
contendida en los mismos.

7 SEGURIDAD DE LAS COMUNICACIONES

i. La Dirección de TI es responsable por el sistema de comunicaciones de la

compañía, por lo que debe velar por la implementación de controles para proteger
y monitorear la red, así como asegurar la confidencialidad de la información.
ii. La Dirección de TI debe implementar, mantener y asegurar las herramientas
definidas para controlar la seguridad en las conexiones remotas hacia la
plataforma de la compañía.
iii. El acceso remoto a la red de datos de la compañía debe ser controlado y
gestionado por el personal TICs y se rigen bajo los mismos lineamientos para el
acceso local a la red. Es responsabilidad de la dirección de TI elaborar, mantener
y publicar los documentos de configuración de los servicios de red, equipos de
comunicaciones e instructivos adicionales que facilitan el manejo y acceso a la
red de la corporación.
iv. La Dirección de TI es responsable por definir y monitorear los acuerdos de
seguridad y niveles de servicio, cuando se contraten externamente servicios de
red o comunicaciones.
v. Los funcionarios que por la naturaleza de su trabajo requieran acceder a páginas
bloqueadas por el filtro de contenido, deberán a través de las Jefaturas o
Direcciones, efectuar la solicitud; señalando las páginas requeridas y la
explicación de la necesidad de uso para el desarrollo de su trabajo.
vi. La Dirección de TI debe permitir el acceso remoto a la red de datos solamente al
personal interno o externo, previamente autorizado y por los periodos de tiempo
establecidos en dicha aprobación.
 CÓDIGO: TI-PL-03
POLITICA DE TECNOLOGIAS DE LA VERSIÓN: 3
INFORMACION FECHA: 25-10-2019
HOJA 7 de 12

vii. El acceso remoto a la red de datos de la corporación debe ser controlado y

gestionado por el personal TI y se rigen bajo los mismos lineamientos para el
acceso local a la red.
viii. Estará prohibido el uso del correo electrónico para envíos masivos tanto internos
como externos, salvo desde las cuentas definidas por la Dirección General para
comunicaciones institucionales.
ix. todo mensaje sospechoso respecto de sus remitente o contenido debe ser
reportado a la dirección de TI a través de la mesa de servicios, como incidente de
seguridad de la información según procedimiento establecido para el caso y
proceder de acuerdo a las indicaciones de la esta Dirección.
x. Es deber de todos los usuarios de correo electrónico asegurar que los archivos
que descargan provienen de fuentes conocidas. Si se sospecha de un posible
contagio de software malicioso debe informar a la Mesa de Ayuda.
xi. El cifrado de los mensajes de correo corporativo será necesario siempre que la
información esté clasificada como confidencial en el inventario de activos o en el
marco de la ley vigente.
xii. En lo posible se debe evitar la transmisión o recepción de información
confidencial o restringida a través de correo electrónico. El cifrado de los
mensajes de correo corporativo será necesario siempre que la información esté
clasificada como confidencial en el inventario de activos o en el marco de la ley
vigente.
xiii. Los usuarios de dispositivos móviles conectados a los servicios institucionales
deben mantener la configuración mínima de seguridad establecida; aplicando las
recomendaciones de cambio que les sean notificadas.
xiv. Cuando un tercero que desarrolle servicios de mantenimiento, consultoría o
soporte de hardware o software para la compañía, requiera acceder remotamente
a dichos equipos o aplicativos, deberá hacerlo por un canal seguro (por ejemplo
SSL), suministrado o validado por la Dirección de TI.
xv. Se debe verificar periódicamente la efectividad de los controles aplicados sobre
las conexiones remotas a los recursos de la plataforma informática.
xvi. Los usuarios únicamente deben establecer conexiones remotas en computadores
previamente identificados, de conformidad con los lineamientos establecidos.
xvii. Los usuarios deben, en lo posible, evitar el uso de redes inalámbricas de uso
público, mantener desactivado el Bluetooth, infrarrojos y WiFi; para resguardar la
información almacenada en los dispositivos.
xviii. Se deberán establecer controles para evitar la descarga de software o material no
autorizado a través de los servicios de internet, a los recursos de la plataforma de
información de la compañía.
xix. La Dirección de TI debe implementar y mantener esquemas de seguridad para la
configuración de los dispositivos de seguridad y de red de la plataforma de
información.
xx. El uso del internet a través de la red de la compañía solo debe efectuarse para la
realización de actividades laborales y está prohibida la descarga de software,
música, protectores de pantalla, etc.; sin la debida autorización de la Dirección de
TI.
xxi. Estará bloqueada, salvo para personal autorizado, la navegación a servicios de
mensajería en internet y redes sociales.
 CÓDIGO: TI-PL-03
POLITICA DE TECNOLOGIAS DE LA VERSIÓN: 3
INFORMACION FECHA: 25-10-2019
HOJA 8 de 12

xxii. La Dirección de TI debe establecer y mantener una adecuada segmentación de

las redes de datos, procurando mantener la seguridad de la información y la
disponibilidad de los servicios de red y aplicaciones.
xxiii. La utilización del WhatsApp se debe limitar en lo posible. Las comunicaciones
oficiales deberán efectuarse por medio del correo electrónico y/o los otros medios
o canales definidos por la compañía.
xxiv. Esta expresamente prohibido la utilización de herramientas o software tipo Proxy
para permitir la navegación no controlada hacia internet por parte de los
funcionarios; considerándose esta como una falta disciplinaria grave.
xxv. La dirección de TI tiene como responsabilidad elaborar, mantener y publicar los
documentos de configuración de los servicios de red, equipos de comunicaciones
e instructivos adicionales que facilitan el manejo y acceso a la red de la
corporación.

8 ESCRITORIOS LIMPIOS

i. Es responsabilidad de todo empleado al levantarse de su puesto de trabajo al

finalizar su jornada laboral, velar porque el escritorio quede despejado de
documentos y/o medios extraíbles con información digital clasificada como
confidencial de la compañía.
ii. Todo documento o medio digital con información pública o reservada deben
guardarse en un lugar seguro bajo llave al finalizar la jornada laboral para evitar la
perdida y/o acceso no autorizado a esta información.
iii. La pantalla del computador (escritorio) no debe contener ningún tipo de archivo,
salvo los accesos directos a las aplicaciones necesarias para que los empleados
ejerzan sus funciones o cumplan sus obligaciones contractuales, según el caso.
iv. Los documentos electrónicos que producen los empleados en el ejercicio de sus
funciones contractuales, según el caso, deben guardarse en la carpeta de
almacenamiento en red dispuesta por el área de tecnología.
v. Cada proceso de la compañía contará con un espacio de almacenamiento
compartido en Sharepoint o Servidor de Archivos, con un sistema de perfiles y
roles de acceso previamente definido, y una estructura de carpetas y tablas de
retención definidos en el plan de Gestión Documental.
vi. Todo funcionario al levantarse de su puesto de trabajo deberá bloquear la sesión
en su equipo de cómputo mediante la función Windows + L para proteger el
acceso no autorizado a los sistemas de información.

9 DE LA INFRAESTRUCTURA DE TECNOLOGÍA

i. Es responsabilidad de la Dirección de TI o la Dirección de la Oficina, según

corresponda, velar por que las condiciones físicas y medioambientales de los
centros de cómputo y/o de cableado a su cargo, sean las necesarias para
asegurar la protección y adecuada operación de los recursos de tecnología;
monitoreando periódicamente la temperatura y la humedad, los sistemas de
 CÓDIGO: TI-PL-03
POLITICA DE TECNOLOGIAS DE LA VERSIÓN: 3
INFORMACION FECHA: 25-10-2019
HOJA 9 de 12

detección y extinción de incendios, descarga eléctrica, sistemas de vigilancia, etc.

ii. La Dirección de TI deberá asegurar el diseño y desarrollo de un plan de
mantenimiento preventivo para la plataforma de tecnología incluyendo los
servicios de energía, voz y datos, con personal idóneo y previamente autorizado e
identificado.
iii. Es responsabilidad de la Dirección de TI, en conjunto con la Jefatura
Administrativa, asegurar que el cableado se encuentra protegido y cumple con las
especificaciones requeridas.
iv. Es responsabilidad de los Gerentes y Directores, autorizar la salida de equipos de
cómputo e información de la compañía por parte de funcionarios.
v. Solo los funcionarios autorizados por la Dirección de TI podrán efectuar cambios
en los equipos o aplicaciones.
vi. Ningún funcionario debe instalar software, sin la previa autorización de la
Dirección de TI, quien es la responsable por el control de licenciamiento.
vii. Cualquier falla o defecto en los equipos o software debe ser reportada a la Mesa
de Ayuda, conforme a los procedimientos definidos.
viii. Se deben establecer y documentar los procedimientos operativos y de
administración de la plataforma de información de la compañía.
ix. La Dirección de TI es la responsable por definir, informar y monitorear los análisis
de capacidad (demanda y proyección de crecimiento) de los diferentes recursos
informáticos de la compañía (hardware, comunicaciones, almacenamiento, etc.),
con el fin de asegurar el adecuado desempeño de estos.
x. La Dirección de TI debe establecer las condiciones de utilización de medios de
almacenamiento externo en la plataforma tecnológica.
xi. Los funcionarios y terceros autorizados para el manejo o utilización de medios de
almacenamiento externo deben aplicar las recomendaciones de utilización
brindadas y hacerse responsables por la custodia y almacenamiento de la
información allí contenida.
xii. Ningún funcionario o tercero no autorizado debe utilizar medios de
almacenamiento personales en la plataforma de información.
xiii. Los únicos autorizados para hacer modificaciones o actualizaciones en los
elementos y recursos tecnológicos, como destapar, agregar, retirar y/o reparar
sus componentes, son el equipo de soporte técnico designado por la Dirección de
TI para tal labor.
xiv. La única dependencia autorizada para trasladar los elementos y recursos
tecnológicos de un puesto a otro es la dirección de TI con el fin de llevar un
control de inventarios. En tal virtud, toda reasignación de equipos deberá
ajustarse a los procedimientos de la Dirección de TI.
xv. Los equipos de cómputo y de impresión deben quedar apagados cada vez que el
funcionario termine su jornada laboral, esto con el fin de proteger la seguridad y
distribuir bien los recursos de la compañía, siempre y cuando no vaya a realizar
actividades de vía remota.
xvi. La dirección de TI periódicamente deberá evaluar el mercado para identificar
oportunidades de mejora para el manejo de la información y/o los procesos de la
compañía, informando al respecto a la vicepresidencia corporativa y/o a la
Presidencia.
xvii. Es deber de la dirección de TI divulgar periódicamente entre los funcionarios
 CÓDIGO: TI-PL-03
POLITICA DE TECNOLOGIAS DE LA VERSIÓN: 3
INFORMACION FECHA: 25-10-2019
HOJA 10 de 12

información que permita la mejora en la utilización de las tecnologías de

información.
xviii. Periódicamente la dirección de TI deberá evaluar el grado de conocimiento y
utilización de los recursos de tecnología por parte de los usuarios. Con base en la
información recaudada deberá efectuar campañas para fortalecer el uso de las
herramientas tecnológicas con las que cuenta la compañía.
xix. Solo está permitido el uso de software licenciado por la compañía y/o aquel que
sin requerir licencia este expresamente autorizado por la dirección de TI. Las
aplicaciones creadas o adquiridas por la organización en el desarrollo de su
gestión misional deben ser reportadas y controladas por la dirección de TI.
xx. No está permitido ingerir bebidas o alimentos en el área de trabajo donde se
encuentren elementos tecnológicos.
xxi. Los equipos de cómputo y de impresión deben quedar apagados cada vez que el
funcionario termine su jornada laboral, esto con el fin de proteger la seguridad y
distribuir bien los recursos de la compañía, siempre y cuando no vaya a realizar
actividades de vía remota.

10 DEL TELETRABAJO

i. Solo se autoriza el teletrabajo desde equipos de cómputo asignados por la

compañía o aquellos autorizados por seguridad de la información.
ii. La conexión al escritorio virtual únicamente se debe realizar desde la VPN que
asigne la compañía, a través de la dirección de TI.
iii. Las licencias de los equipos de cómputo asignados para el teletrabajo son
propiedad de la compañía, por tanto, no se autoriza la instalación en otros
equipos no autorizados.
iv. La conexión para realizar el teletrabajo se debe realizar desde sitios seguros,
preferiblemente desde redes domésticas.
v. Al retirar el equipo de la compañía debe velar por su cuidado no exponiéndolo ni
abandonándolo en lugares públicos o privados, y en viajes debe siempre tenerlo
consigo llevándolo como equipaje de mano y nunca almacenándolo en la bodega
de carga.
vi. La dirección de TI podrá monitorear y controlar las conexiones remotas en la
modalidad de teletrabajo, con el fin de garantizar el uso adecuado de los recursos
de conectividad e incluso estimar el uso eficiente de las herramientas
tecnológicas entregadas.

11 RELACION CON PROVEEDORES Y TERCEROS

i. Los proveedores o terceras partes que realicen labores que les permita conocer
información crítica y/o afecten la protección de la información, deben firmar un
Acuerdo y/o Cláusula de Confidencialidad, que incluya a el personal provisto ya
sea en carácter de empleado o subcontratistas, antes de que se les otorgue
acceso a las instalaciones y a la plataforma tecnológica.
 CÓDIGO: TI-PL-03
POLITICA DE TECNOLOGIAS DE LA VERSIÓN: 3
INFORMACION FECHA: 25-10-2019
HOJA 11 de 12

ii. Los equipos de cómputo que requieran clientes, contratistas o proveedores deben
asegurar que el software instalado en dichas máquinas cumple con los requisitos
legales y con los estándares de seguridad que la Dirección de TI solicite.

12 DE LA ADQUISICION Y DESARROLLO DE SOFTWARE

i. La Dirección de TI debe asegurase que los aplicativos adquiridos o desarrollados

por terceros, tengan acuerdos de licenciamiento que especifiquen claramente las
condiciones de uso y los derechos de propiedad intelectual.
ii. Todos los usuarios deben cumplir con las leyes de derechos de autor y acuerdos
de licenciamiento de software, estando prohibido la copia o reproducción no
autorizada de software o información en archivos físicos o lógicos (libros,
artículos, música, videos, etc.)
iii. Los empleados del Grupo ABC les conceden a las empresas, los derechos
exclusivos de las patentes, derechos de propiedad literaria, invenciones, u otra
propiedad intelectual que ellos originen y/o desarrollen como parte de sus
actividades en el desarrollo normal del negocio; por lo que está prohibido el retiro
de esta información sin la correspondiente autorización de la compañía.
iv. En lo posible, se deben incluir avisos de derechos de propiedad intelectual en
todo software y/o documentación que sea propiedad del Grupo ABC.
v. La Dirección de TI debe certificar al corte de cada ciclo contable que el software
utilizado, cuenta con el adecuado licenciamiento o es software de libre
distribución y uso.
vi. Las áreas que procesen o almacenen datos con carácter personal deben seguir
las pautas y metodologías definidas por la organización para la protección y
tratamiento de los datos, velando por la seguridad de los mismos y manteniendo
actualizada la información relativa a los datos administrados. En caso de ser esta
actividad contratada con un tercero, se deberán definir y controlar condiciones
contractuales para el tratamiento de dichos datos personales.
vii. Es deber de todos los usuarios salvaguardar la información la compañía,
accionistas, funcionarios, clientes, proveedores o contratistas, guardando total
discreción o reserva, sobre la información que conozca o llegue a conocer
durante su permanencia y después de su retiro de la compañía.
viii. Se debe informar los todos los terceros, que el recaudo de información personal
que se efectúa a través de los portales de la compañía, encuestas, campañas,
etc.; considera previamente la autorización de dichos terceros y que dicha
información puede ser tratada en los diferentes procesos de negocio y/o
reportada a los entes judiciales o de control.
ix. Es responsabilidad de la Dirección de TI asegurar que, en los desarrollos de
aplicativos para la organización, se tenga en cuenta la implementación de
controles de autenticación.

13 DE LA CONTINUIDAD

i. El Comité de Presidencia deberá en conjunto con la Dirección de TI definir las

 CÓDIGO: TI-PL-03
POLITICA DE TECNOLOGIAS DE LA VERSIÓN: 3
INFORMACION FECHA: 25-10-2019
HOJA 12 de 12

políticas y estrategias de continuidad para la compañía, teniendo en cuenta el

resultado del análisis de Impacto al Negocio.
ii. La Dirección de TI deberá evaluar la posibilidad de contar con plataformas
alternas de información para los servicios de información críticos para el negocio,
informando de las mismas a la Presidencia.
iii. El modelo de continuidad aprobado por la Presidencia deberá ser implementado
por la Dirección de TI, efectuando pruebas periódicas documentadas en las que
participe el personal impactos por la contingencia.
iv. La Dirección de TI debe establecer los mecanismos necesarios para garantizar la
disponibilidad de canales de internet aún en condiciones de contingencia,
monitoreando continuamente la disponibilidad y capacidad del servicio.

Elaboró: Revisó:
Aprobó:
Juan Carlos Solano James Alexander Diaz
Luis Corrales
John Miranda Bayron Espinosa
Cargo: Cargo:
Cargo:
Jefe Infraestructura Gerente de Tecnología
Vicepresidente
Director de TI Ingeniero SIG