Simil360°
Simil360°

Política General de seguridad de la información

1. Objetivo

Proteger, conservar y asegurar los activos de información propiedad de Simil Tech S.A.S., y las herramientas tecnológicas utilizadas y sus procesos diseñados para su generación, procesamiento y disposición, con el fin de preservar la confidencialidad, integridad y disponibilidad frente amenazas internas o externas, deliberadas o accidentales.

2. Alcance

Esta política instaura los criterios y comportamientos que deben seguir todas las partes interesadas de Simil Tech S.A.S. (colaboradores, contratistas y terceros, entre otros) para preservar la seguridad de la información en la compañía.

3. Glosario

  • Activo de información: Recurso del sistema de información que tiene valor para la organización.
  • Amenaza: Una causa potencial de un incidente no deseado, el cual puede resultar en daño a un sistema u organización.
  • Análisis del riesgo: Proceso para comprender la naturaleza del riesgo y determinar el nivel de riesgo.
  • Comunicación del riesgo: Comunicar o intercambiar la información acerca del riesgo entre la persona que toma la decisión y otras partes interesadas.
  • Confidencialidad: Propiedad de la información de no ponerse a disposición o ser revelada a individuos, entidades o procesos no autorizados.
  • Disponibilidad: Propiedad de la información de estar accesible y utilizable cuando lo requiera una entidad autorizada.
  • Gestión del riesgo: Actividades coordinadas para dirigir y controlar una amenaza con relación a la probabilidad de ocurrencia.
  • Identificación del riesgo: Proceso para encontrar, numerar y caracterizar los elementos del riesgo.
  • Impacto: Cambio adverso en el nivel de los objetivos del negocio logrado.
  • Integridad: Propiedad de la información relativa a su exactitud y completitud.
  • Probabilidad: Frecuencia o factibilidad de ocurrencia del riesgo.
  • Riesgo: Posibilidad de que una amenaza concreta pueda explotar una vulnerabilidad para causar pérdida o daño en un activo de información.
  • Tratamiento del riesgo: Selección e implementación de las opciones o acciones apropiadas para ocuparse del riesgo.
  • Valor del impacto: Está determinado por el responsable del activo de información.
  • Vulnerabilidad: Debilidad de un activo o grupo de activos que puede ser explotada por una o más amenazas.

4. Introducción

La Política de Seguridad de la Información representa la posición de la alta dirección de Simil Tech S.A.S. respecto a la protección de los activos de información, la implementación del Sistema de Gestión de Seguridad de la Información y el apoyo, generación y publicación de políticas, procedimientos e instructivos.

Simil Tech S.A.S. debe contar con plataformas apropiadas que protejan los mecanismos de tratamiento, almacenamiento y comunicación donde están contenidos y soportados sus servicios, contando con personal competente y comprometido con una cultura de seguridad.

Con la implementación de políticas en seguridad de la información se busca dar cumplimiento a disposiciones legales y regulatorias, así como contar con una metodología de gestión de riesgos para actuar proactivamente ante situaciones que puedan afectar la continuidad de los procesos.

Las políticas del Sistema de Gestión de Seguridad de la Información se definen según su orden de importancia en:

  • Primer Nivel: Corresponde a la Política del Sistema de Gestión de Seguridad de la Información (SGSI).
  • Segundo Nivel: Corresponde a la Política General de Seguridad de la Información.
  • Tercer Nivel: Corresponde a políticas específicas enfocadas a grupos, servicios o actividades particulares.

5. Política del Sistema de Gestión de Seguridad de la Información (SGSI)

Es la directriz global que establece qué se quiere proteger, por qué se requiere la protección y cómo se deben proteger los activos y sistemas informáticos de Simil Tech S.A.S.

Los objetivos de seguridad de la información de la organización son los siguientes:

  • Contar con plataformas apropiadas que protejan los mecanismos de tratamiento, almacenamiento y comunicación donde están contenidos y soportados los servicios de consulta, registro y validación de Simil Tech S.A.S.
  • Educar al personal para lograr colaboradores competentes y comprometidos con una cultura de seguridad de la información.
  • Implementar una metodología de gestión de riesgos de seguridad de la información para actuar proactivamente ante situaciones que puedan afectar la disponibilidad, confidencialidad e integridad de la información.

6. Política General

Simil Tech S.A.S. asume el compromiso de implementar el Sistema de Gestión de Seguridad de la Información, destacando la importancia de una gestión adecuada de la información y el fortalecimiento de la confianza en el cumplimiento del deber corporativo.

Esta política aplica a toda la organización, sus colaboradores, contratistas, proveedores y terceros.

La Política de Seguridad de la Información estará determinada por las siguientes premisas:

  • Gestionar los activos de información en cuanto a su identificación, clasificación y protección para preservar su confidencialidad, privacidad, integridad y disponibilidad.
  • Gestionar los riesgos de seguridad de la información de alto impacto para la entidad.
  • Fortalecer la cultura y competencias de los colaboradores respecto a la gestión de Seguridad de la Información.
  • Mantener en constante mejora y evaluación el Sistema de Gestión de Seguridad de la Información.

La organización se compromete a mantener actualizados todos los documentos relacionados con el sistema de gestión de seguridad de la información.

El incumplimiento de las políticas de Seguridad de la Información traerá consigo consecuencias administrativas y legales.

7. Políticas Específicas

Forman parte integral de la Política General de Seguridad de la Información todas aquellas directrices que requieren un mayor nivel de detalle y especialización.

  • Política de uso de equipos portátiles corporativos
  • Política de uso de contraseñas
  • Política de uso de correo electrónico corporativo
  • Política de uso de internet
  • Política de antivirus
  • Política de asignación y uso de dispositivos de autenticación fuerte
  • Política de acceso a aplicaciones
  • Política de seguridad física a los sistemas de información
  • Política de desarrollo y mantenimiento de software
  • Política de relacionamiento con proveedores
  • Política de seguridad gestión humana
  • Política gestión de incidentes de seguridad
  • Política de backups
  • Política de enmascaramiento de datos
  • Política de transferencia de información
  • Política de uso de la nube
  • Política de control de acceso
  • Política Tiempos de Remediación

8. Cumplimiento

Esta política es de total cumplimiento y debe ser acatada por los colaboradores, contratistas y terceros que interactúen con los sistemas y demás activos de información de Simil Tech S.A.S.

Entre los ejemplos de incumplimiento se incluyen:

  • Negligencia en la aplicación de medidas de seguridad y control.
  • Acciones u omisiones que contribuyan a la violación de normas orientadas al buen uso de la información.
  • No resolver o reportar problemas de seguridad detectados.
  • No tomar medidas correspondientes ante eventos o incidentes de seguridad.

El incumplimiento de las políticas y procedimientos de seguridad constituye falta disciplinaria conforme al reglamento interno de trabajo.

9. Notificación de Incidentes

La gestión de incidentes se realizará de acuerdo con la política de gestión de incidentes de seguridad, el procedimiento de atención de incidentes y el procedimiento de notificación de incidentes.

11. Roles Usuario

Todo colaborador, contratista, ente regulador, socio de negocios o tercero que esté involucrado con los activos de información de Simil Tech S.A.S.

Líder de Seguridad: Colaborador y/o proveedor responsable de establecer y mantener la estrategia y programa para asegurar los activos de información en Simil Tech S.A.S.

12. Normatividad

Instituto Colombiano de Normas Técnicas y Certificación. Norma Técnica Colombiana NTC-ISO-IEC-27001:2022 Sistemas de Gestión de la Seguridad de la Información (SGSI).

13. Grupos y eventos de interés

Con el fin de fomentar la participación de los colaboradores en grupos de interés relacionados con la seguridad de la información, se definen los siguientes lineamientos:

  • La participación en eventos o grupos de interés debe ser solicitada y aprobada por el líder de área de tecnología o la alta dirección.
  • El registro en los eventos deberá hacerse a nombre de la compañía utilizando correos corporativos.
  • Será válida como evidencia de asistencia:
    • Email de confirmación de registro.
    • Material audiovisual de asistencia.
    • Material de marca, escarapelas y folletos.
    • Certificado de asistencia.

13. Capacitaciones

Simil Tech S.A.S. trabajará para que todos los empleados estén debidamente capacitados en materia de seguridad de la información, ejecutando el plan de capacitación correspondiente.

14. Auditorías Internas

El Sistema de Gestión de Seguridad de la Información de Simil Tech S.A.S. establece la realización de mínimo una auditoría interna cada año.

Estas auditorías serán realizadas por un equipo designado por la empresa o por un tercero especializado.

El objetivo principal será identificar posibles riesgos, vulnerabilidades o incumplimientos en los sistemas, políticas y procedimientos de seguridad de la información.

Simil Tech S.A.S. se compromete a proporcionar los recursos necesarios para llevar a cabo estas auditorías internas de manera efectiva.

Los resultados de estas auditorías serán documentados y presentados a la dirección de Simil Tech S.A.S.

15. Protección de la información en auditorías

El acceso a los activos de información se regirá por el Procedimiento de Clasificación y Etiquetado de Información y la Política de Acceso a Sistemas de Información.

La información se clasificará en:

  • Pública: Disponible para acceso general dentro de la organización.
  • Interna: Requiere autorización del dueño del activo.
  • Confidencial: Restringida a individuos con necesidad legítima de conocerla.
  • Altamente confidencial: Acceso restringido y sujeto a controles adicionales.

16. Análisis de Vulnerabilidades

Simil Tech S.A.S. define que servicios de AWS, entre ellos Inspector, serán las herramientas seleccionadas para llevar a cabo análisis de vulnerabilidades en la infraestructura.

La gestión de las vulnerabilidades identificadas se realizará de manera constante y será administrada por el equipo de operaciones encargado del SIEM-SOC.

CONTROL DE CAMBIOS:  
FECHA VERSIÓN DESCRIPCIÓN DEL CAMBIO
30/11/2021 01 Cambio al formato de documento del sistema de gestión.
20/12/2023 02 Actualización de acuerdo con el estándar NTC/ISO 27001:2022.
24/01/2024 03 Actualización para definir los mecanismos de participación en eventos y grupos de interés de seguridad de la información. Se agrega la mención a las dos políticas nuevas de gestión de información y transferencia de información.
17/02/2024 04 Se agrega cláusula para la gestión de auditorías internas en materia de Seguridad de la Información y se agrega el lineamiento del acceso a información en procesos de auditorías.
23/02/2024 05 Se anexa lineamiento para la gestión de análisis de vulnerabilidades en la infraestructura de TI.
24/04/2025 06 Actualización del documento en las personas intervinientes en los procesos. Modificación al detalle del plan de capacitación. Inclusión de la política tiempos de remediación.
29/04/2025 07 Aclaraciones sobre los objetivos de seguridad de la información de la organización. (Numeral 6.2 de la 27001:2022).
01/04/2026 08 Aclaraciones sobre gestión de vulnerabilidades y gestión de incidentes.