Política do SGSI
Establecer el compromiso y liderazgo de la alta gerencia mediante la definición de la Política General de Seguridad de la Información en concordancia con el Sistema de Gestión de Seguridad de la Información de Aranda Software y con el propósito de preservar la integridad, confidencialidad y disponibilidad de la información.
Aplica para todos los procesos de Aranda Software y las partes interesadas que gestionan, usan o acceden a los activos de información de la organización.
Todos los colaboradores y demás partes interesadas que gestionan, usan o acceden a los activos de información de Aranda Software.
- Alta Gerencia: definición, publicación, comunicación e implementación de la Política General de Seguridad de la Información.
- Líderes de Proceso: Liderando la implementación y adopción, en sus procesos, de la Política General de Seguridad de la Información.
- Colaboradores y demás partes interesadas: adoptando y dando cumplimiento a los lineamientos contenidos en la Política General de Seguridad de la Información.
- Terceros y/o cadena de suministro: Adoptando y dando cumplimiento a los lineamientos contenidos en la Política General de Seguridad de la Información expedida por Aranda Software dentro de este documento.
Activo: cualquier elemento que tiene valor para la organización. para la gestión de riesgos de seguridad de la información se consideran los siguientes tales como: la información, el software, elementos físicos, los servicios, las personas e intangibles.
- Confidencialidad: propiedad de la información que hace que no esté disponible o que sea revelada a individuos no autorizados, entidades o procesos.
- Disponibilidad: propiedad de ser accesible y utilizable ante la demanda de una entidad autorizada. [Fuente: ISO 27000].
- Importancia del activo: valor que refleja el nivel de protección requerido por un activo de información frente a las tres propiedades de la seguridad de la información: integridad, confidencialidad y disponibilidad.
- Integridad: propiedad de precisión y completitud. [Fuente: ISO 27000].
- Monitoreo: verificación, supervisión, observación crítica o determinación continua del estado con el fin de identificar cambios con respecto al nivel de desempeño exigido o esperado.
- Parte involucrada: persona u organización que puede afectar, verse afectada o percibirse a sí misma como afectada por una decisión o una actividad. Una persona que toma decisiones puede ser una parte involucrada. [Fuente: ISO 31000].
- Riesgo: efecto de la incertidumbre sobre los objetivos. Un efecto es una desviación de aquello que se espera, sea positivo, negativo o ambos. Los objetivos pueden tener aspectos diferentes (económicos, de imagen, medio ambiente) y se pueden aplicar a niveles diferentes (estratégico, operacional, toda la organización) [Fuente: ISO 31000].
La normatividad aplicable a la presente política podrá ser consultada en el Normograma del Sistema de Gestión de Seguridad de la Información – SGSI.
Este documento tiene la finalidad de describir la Política General del Sistema de Gestión de Seguridad de la Información – SGSI, de acuerdo con el marco internacional NTC ISO 27001 y otras disposiciones nacionales e internacionales referentes a los principios de seguridad de la información (integridad, confidencialidad y disponibilidad).
La aplicación de la Política debe propender por la protección de los activos de información de Aranda Software ante cualquier amenaza que afecte los tres pilares de la información.
Teniendo en cuenta que la seguridad de la información deberá permanecer en constante evolución, debido a que las organizaciones enfrentan amenazas persistentes y nuevas de acuerdo con los cambios tecnológicos y las condiciones de su entorno; el Sistema de Gestión de Seguridad de la Información debe adaptarse a esta situación.
En virtud de lo anterior, las políticas requieren revisión, actualización, aprobación y adaptación permanente para lograr el propósito de la mejora continua.
Aranda Software consciente de la importancia que representa la seguridad de la información y considerándola como un factor fundamental que debe incorporarse en sus procesos y la misión institucional, se compromete a preservar la confidencialidad, integridad y disponibilidad de la información a través de la implementación y mejora continua del Sistema de Gestión de Seguridad de la
Información – SGSI. Monitoreando el cumplimiento de los objetivos del Sistema de Gestión; implementando estrategias, controles y lineamientos, que permitan gestionar de manera adecuada sus activos, riesgos e incidentes de seguridad de la información, y asignando los recursos necesarios para garantizar el cumplimiento de los requisitos legales, organizacionales y obligaciones contractuales en relación con el manejo y/o tratamiento de la información.
Promoverá entre sus colaboradores y demás personas vinculadas, la formación de una cultura de seguridad de la información, que permita la adopción efectiva de controles y buenas prácticas de seguridad diseñadas al interior de la organización.
- Disminuir la probabilidad de materialización de riesgos asociados a la seguridad de la información, que puedan vulnerar la confidencialidad, integridad y disponibilidad de la información, mediante una gestión adecuada de riesgos.
- Concientizar a los colaboradores sobre la importancia de proteger los activos de información, mediante capacitaciones en temas relacionados con seguridad de la información, de manera que se pueda evidenciar el cumplimiento de políticas, procedimientos y demás lineamientos diseñados en el marco del sistema de gestión.
- Garantizar la atención oportuna de los incidentes de seguridad de la información, implementando un procedimiento eficaz para la identificación, reporte y tratamiento de estos.
- Atender de manera oportuna acciones correctivas y observaciones emitidas por seguimientos, auditorías internas/externas y revisiones planificadas.
- Proveer los recursos financieros, humanos y de infraestructura, requeridos para mantener el Sistema de Gestión de Seguridad de la Información – SGSI y asegurar un adecuado tratamiento de los riesgos en Aranda Software.
La presente política rige a partir del (28/12/2023) fecha en que fue aprobada, debe ser revisada anualmente o actualizarse en el momento en que existan modificaciones en el propósito o contexto de la organización, en el alcance del Sistema de Gestión de Seguridad de la Información o cuando existan cambios legales, estatutarios o reglamentarios; y se debe hacer seguimiento al cumplimiento de las disposiciones aquí contenidas.
Todos los colaboradores y en general para todas las partes interesadas identificadas en el Sistema de Gestión de Seguridad de la Información de Aranda Software, deberán dar cumplimiento al 100% de la política.
En caso de incumplimiento de la presente política y las disposiciones aquí contenidas pueden conducir a acciones disciplinarias, investigaciones y/o acciones de índole legal, de acuerdo a los procedimientos internos de Aranda Software y demás lineamientos aplicables a la organización.