Manual de políticas de seguridad de la información

1. OBJETIVO DEL MANUAL
Establecer los criterios y comportamientos que deben seguir todos los Colaboradores de
SIESA (empleados, contratistas, terceros, entre otros) con el fin de regular la gestión de la seguridad de la información al interior de la organización y preservar la confidencialidad, integridad y disponibilidad de los activos de información.Para SIESA las políticas de seguridad constituyen un factor muy importante tanto para mantener
los procesos internos organizados, como para el establecimiento de un plan de mejora continua.

2. ALCANCE DEL MANUAL
Este documento describe las políticas de seguridad de la información definidas por SIESA. Para la elaboración del mismo, se toman como base las leyes dictadas por los entes de control y el estado colombiano, además la NTC-ISO-IEC 27001:2013 y las recomendaciones del estándar ISO 27002:2013. Este manual cubre todos los aspectos
administrativos y de control que deben ser cumplidos por los Colaboradores de SIESA
(empleados, contratistas, terceros, entre otros), para conseguir un adecuado nivel de
protección de las características de seguridad y la calidad de la información relacionada.

3. DEFINICIONES
Activo de información: En relación con la privacidad de la información, se refiere al activo que contiene información pública que el sujeto obligado genere, obtenga, adquiera,
transforme o controle en su calidad de tal (Ministerio de Tecnologías de la Información y las Comunicaciones, 2020).
Amenaza: Causa potencial de un incidente no deseado, que puede provocar daños a un
sistema o a la organización (ISO/IEC 27000, 2012).
Auditoría: Inspección formal para verificar si se está siguiendo/cumpliendo un estándar o
un conjunto de guías, que sus registros son precisos o que las metas de eficiencia y efectividad se están cumpliendo (Axelos Limited, 2011).
Confidencialidad: Propiedad que determina que la información no se haga disponible ni sea revelada a individuos (ISO/IEC 27000, 2012).
Continuidad del Negocio: Procedimientos y/o procesos para asegurar la continuidad de las operaciones del negocio (ISO/IEC 27000, 2012).

Control: Medios de gestión del riesgo, incluidas las políticas, procedimientos, directrices,
prácticas y estructuras organizativas, que pueden ser de carácter administrativo, técnico,
de gestión o jurídico (ISO/IEC 27000, 2012).
Copia de seguridad: Copiar los datos para proteger los originales de pérdidas de integridad o disponibilidad (Axelos Limited, 2011).
Disponibilidad: Propiedad de ser accesible y utilizable sobre demanda por los usuarios autorizados (ISO/IEC 27000, 2012).
Evento de seguridad de la información: La ocurrencia de un estado del sistema, servicio o red que indica un posible incumplimiento de la política de seguridad de la información o un fallo de las salvaguardias, o una situación previamente desconocida que puede ser relevante para la seguridad (ISO/IEC 27000, 2012).
Gestión de accesos: Proceso responsable de permitir a los usuarios hacer uso de los servicios de TI, datos u otros activos (Axelos Limited, 2011).
Gestión de activos: Es una actividad genérica o proceso responsable del seguimiento y la notificación del valor y la propiedad de los activos a lo largo de su ciclo de vida (Axelos
Limited, 2011).
Gestión de cambios: Proceso responsable del control del ciclo de vida de los cambios, permitiendo la ejecución de los cambios beneficiosos minimizando el impacto en los
servicios de TI (Axelos Limited, 2011).
Incidente de seguridad: Evento único o serie de eventos de seguridad de la información inesperada o no deseado que poseen una probabilidad significativa de comprometer las
operaciones del negocio y amenazar la seguridad de la información (ISO/IEC 27000,2012).
Infraestructura de TI: Todo el hardware, software, redes, instalaciones, etc. requeridas
para desarrollar, probar, proveer, monitorizar, controlar o soportar aplicaciones y servicios
de TI (Axelos Limited, 2011).
Información: En relación con la seguridad de la información, se refiere a cualquier información o elemento relacionado con el tratamiento de la misma (sistemas, soportes, edificios, personas…) que tenga valor para la organización (ISO/IEC 27000, 2012).
Integridad: Propiedad de exactitud y completitud de la información (ISO/IEC 27000, 2012).

Internet: El sistema único, interconectado, mundial de redes informáticas, comerciales,
gubernamentales, educativas y de otro tipo que comparten (a) el conjunto de protocolos especificado por Internet Architecture Board (IAB) y (b) los espacios de nombres y direcciones administradas por Internet Corporation para Nombres y Números Asignados – ICANN (CSRC, NIST).

Monitoreo: Verificación, supervisión, observación crítica o determinación continúa del
estado, con el fin de identificar cambios respecto al nivel de desempeño exigido o esperado
(ISO/IEC 27000, 2012).

Parte interesada: Persona u organización que puede afectar, verse afectada o percibirse
afectada por una decisión o actividad (ISO/IEC 27000, 2012).
Política: Intención y dirección generales expresadas formalmente por la Dirección
(ISO/IEC 27000, 2012).
Procedimiento: Manera especificada de llevar a cabo una actividad o un proceso (ISO/IEC
27000, 2012).
Prueba: Una actividad que verifica que un elemento de configuración, servicio de TI,
proceso, etc. cumple con sus especificaciones o requerimientos acordados (Axelos
Limited, 2011).
Revisión: Actividad emprendida para determinar la idoneidad, adecuación y efectividad de
la materia para alcanzar los objetivos establecidos (ISO/IEC 27000, 2012).
Riesgo: Efecto de la incertidumbre sobre los objetivos (ISO/IEC 27000, 2012).
Servidor: Ordenador que está conectado a la red y que provee funciones de software que
son usadas por otros ordenadores (Axelos Limited, 2011).
Seguridad de la información: Preservación de confidencialidad, integridad y
disponibilidad de la información (ISO/IEC 27000, 2012).
SSL – Secure Sockets Layer: En español, capa de sockets seguros, mecanismo
criptográfico para la seguridad en la capa de transporte.
Vulnerabilidad: Debilidad de un activo o control que puede ser explotado por una o más
amenazas (ISO/IEC 27000, 2012)

4. POLÍTICAS PARA LA SEGURIDAD DE LA INFORMACIÓN
A continuación, se definen las políticas de seguridad de la información que deben de cumplir
todos los Colaboradores de SIESA como parte del compromiso con el Sistema de Gestión de
Seguridad de la Información.
Este documento está compuesto por varios lineamientos o políticas específicas aplicables de
acuerdo con la organización de la seguridad; y es construido por temas y dominios propios de
la gestión de la seguridad enfocados a la norma ISO27001:2013.
Este documento está bajo la responsabilidad del Oficial de Seguridad de la Información –
CISO y se determina que debe ser revisada una vez al año por el Comité de Seguridad de la
Información.
El CISO es el encargado de gestionar y velar porque esta revisión se lleve a cabo en la
periodicidad establecida. Durante la revisión deben tenerse en cuenta aspectos como las
oportunidades de mejora, necesidades de cambio, cambios organizacionales, tecnológicos,
políticos, de negocio y de estrategia.
Todo incumplimiento por parte de los colaboradores y contratistas de cualquiera de las
políticas establecidas en este documento acarreará las sanciones a las que haya lugar, según
el Reglamento Interno de Trabajo.
Toda excepción a las políticas de este documento debe tramitarse por medio del Jefe Inmediato
quien gestionará las aprobaciones por parte del áreas correspondientes y el CISO, estas deben
quedar documentadas.

4.1. ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
Los roles y responsabilidades del Sistema de Gestión de Seguridad de la Información – SGSI, SIESA
S.A. los definió en el M-IQA-001- Manual de Roles y Responsabilidades de SGSI.
● La organización debe establecer un Comité de Seguridad de la información asignando roles y
responsabilidades para el cumplimiento de las funciones dentro del marco de seguridad.
● El área de Recursos Humanos deberá documentar, actualizar y divulgar los roles y las
responsabilidades frente al SGSI de cada cargo según su clasificación haciendo cumplir las políticas
de seguridad vigentes.
● Los roles existentes en la compañía deben hacer cumplir la segregación de funciones.

4.2. POLÍTICA PARA DISPOSITIVOS MÓVILES
Dando cumplimiento al numeral A.6.2.1 de la Norma NTC-ISO-IEC 27001:2013, el cual nos
indica que se debe adoptar una política y unas medidas de seguridad de soporte, para
gestionar los riesgos introducidos por el uso de dispositivos móviles.
A continuación, se despliegan las políticas establecidas por SIESA para dispositivos móviles.
a. En SIESA se permite el ingreso de dispositivos móviles personales al interior de las
instalaciones, sin embargo, existen unas reglas para el uso de los mismos, de modo
que se minimice el riesgo de comprometer la información.
b. Existen tres tipos de dispositivos móviles que pueden ingresar a SIESA:
○ Cualquier dispositivo electrónico móvil personal [Dispositivo + Plan de datos
Personal].
○ Dispositivos móviles híbridos [Dispositivo personal + Plan de datos Corporativo].
○ Dispositivos móviles corporativos [Celulares asignados por la compañía para los
cuales tanto el equipo como el plan de datos es corporativo].
c. No está permitido el acceso, en ningún dispositivo móvil, a los sistemas y aplicaciones
corporativos excepto al correo electrónico el cual debe ser utilizado acorde con las
políticas de uso de correo electrónico.
d. Cuando se conversan temas laborales mediante dispositivos móviles, los
Colaboradores deben tener precaución de no ser víctimas de escuchas intrusivas.
e. Está prohibido el uso de dispositivos móviles como medio de almacenamiento,
grabación y captura de imágenes dentro de las instalaciones de SIESA.
f. No está permitido el uso de dispositivos móviles, en las redes internas de SIESA,
únicamente pueden conectarse a las redes que se encuentren identificadas como
“invitados”.
g. La red inalámbrica de “invitados”, solo debe ser usada por usuarios externos a SIESA,la cual permite el acceso a Internet con las restricciones que establece la Entidad. No
se debe permitir la conexión de usuarios externos a las redes corporativas de SIESA.
h. Los dispositivos móviles con líneas y datos de SIESA no deben dejarse desatendidos.
i. En el momento de la entrega del cargo se debe tener en cuenta la asignación/entrega
de equipo y/o plan de datos al personal que por sus funciones así lo requiera y comunicarle las políticas y demás directrices que debe conocer para proteger la
información.
j. Bajo ninguna circunstancia se deben prestar los dispositivos móviles a personal ajeno
a SIESA.
k. No se deben utilizar las líneas ni los datos de SIESA para comunicados con contenidos
obscenos, fraudulentos, comunicaciones con contenido que afecte la integridad de las
personas o viole los derechos de las mismas, tampoco se deben utilizar las líneas ni
los datos de SIESA para hacer bromas o acciones de burla a las personas.
l. Existe un acuerdo con los Colaboradores para que suministren su equipo para el uso
de los datos y línea corporativos, en ese sentido los Colaboradores pueden realizar
llamadas, enviar mensajes personales e instalar cualquier aplicación para su uso
personal.
m. No se permite la descarga de software/aplicaciones fraudulentas, que no cumplan con
derechos de autor o que violen las leyes nacionales como las aplicaciones de grabación
de llamadas.
n. Los responsables de áreas y procesos definirán los parámetros técnicos que deben
cumplir los dispositivos que serán autorizados como BYOD aplicando los controles
definidos en el SGSI de SIESA.
o. Los responsables de áreas y procesos deben administrar los controles de seguridad de
los diferentes dispositivos BYOD de modo que se preserve la seguridad de la
información tanto de SIESA como aquella que se ha considerado Confidencial de las
partes interesadas. Lo anterior siempre respetando el derecho fundamental a la
Intimidad del propietario del dispositivo.
p. El propietario del dispositivo debe aplicar todas las medidas de seguridad razonables
que estén a su alcance para preservar la seguridad de la información.
q. Todos los Colaboradores y contratistas de SIESA son responsables de reportar a la
mayor brevedad posible la pérdida o hurto de los equipos y dispositivos móviles usados
para Teletrabajo y que se encuentren bajo su responsabilidad.
r. Los responsables de áreas y procesos deben coordinar y gestionar la instalación de
controles de seguridad en los equipos y dispositivos.

5.9.1. REVISIÓN INDEPENDIENTE DE LA SEGURIDAD DE LA INFORMACIÓN

El Sistema de Gestión de Seguridad de la Información que comprende políticas, procesos, procedimientos, formatos, controles, etc, deberá ser revisado como mínimo cada 12 meses o cuando surjan actualizaciones de mejoramiento o cambios significativos.

EL objetivo de la revisión es garantizar que la seguridad de la información se implemente y opere de acuerdo con las políticas y los procedimientos organizacionales, y se deberá tener como precedente los riesgos asociados, los controles del riesgo, métricas asociadas.

s. SIESA se reserva el derecho de monitorear y revisar el cumplimiento de la política para
dispositivos móviles conectados a las redes inalámbricas de la Entidad, cuando lo
estime conveniente.
t. Los Colaboradores de SIESA, los proveedores o terceros responsables de la prestación
de servicios a SIESA, deben cumplir con las políticas de seguridad de la información
definidas por SIESA

4.3. POLÍTICA DE TRABAJO EN CASA
Dando cumplimiento al numeral A.6.2.2 de la Norma ISO 27001, la cual nos indica que se
debe implementar una política y unas medidas de seguridad de soporte, para protegerá
información a la que se tiene acceso, que es procesada o almacenada en los lugares en los
que se realiza teletrabajo.

A continuación, se despliegan lineamientos establecidos por SIESA para teletrabajo:
a. Teniendo en cuenta la ley 1221 del 2008 “Por la cual se establecen las normas para
promover y regular el teletrabajo y se dictan otras disposiciones”, así como los demás
requisitos que la modifican, se tiene establecido que en SIESA se permite el Teletrabajo
de tipo MÓVIL, a continuación se puede visualizar el concepto extraído de la ley:
“Móviles son aquellos teletrabajadores que no tienen un lugar de trabajo establecido y
cuyas herramientas primordiales para desarrollar sus actividades profesionales son las
Tecnologías de la Información y la comunicación, en dispositivos móviles”.
b. Hasta el momento, en SIESA el Teletrabajo ha sido considerado por las necesidades de
la organización debido a que en algunos procesos misionales se requiere realizar turnos
de soporte y monitoreo que por ser recurrentes clasifican como Teletrabajo/Trabajo en
Casa.
c. Desde el punto de vista tecnológico y de seguridad de la información, toda sesión de
teletrabajo requerida por un usuario que previamente sea autorizado, se realiza a través
de una VPN (Red Privad Virtual) o cualquier solución definida por el área de IT que debe
proveer conexión segura con la Entidad. La VPN o solución definida por el área de IT
debe solicitarse siguiendo el procedimiento establecido para ello.
d. En los casos donde el acceso y procesamiento de la información de SIESA sea mediante
la modalidad de teletrabajo, los responsables de estas actividades deben dar cumplimiento a las condiciones y restricciones definidas con el entorno a la seguridad
de la información, tales como:
○ Tener configurado el cifrado de disco duro.
○ Toda sesión de teletrabajo debe realizarse con un equipo de propiedad de
SIESA.
e. SIESA prohíbe cualquier otro tipo de acceso remoto y el uso de sistemas de información
que no estén autorizados por el área de Tecnología.
f. Siempre que se vaya a considerar a un colaborador como elegible para procesos de
soporte y/o monitoreo a través del teletrabajo, debe ser autorizado por el responsable
del proceso al que pertenece el colaborador y por el área de Recursos Humanos,
considerando las evaluaciones de riesgos de seguridad de la información.
g. Se debe autorizar el acceso únicamente a la información, instalaciones de
procesamiento de información, servicios y sistemas de información necesarios para la
ejecución de las actividades a cargo del colaborador que solicita el acceso al teletrabajo.
h. Cualquier dispositivo que se emplee para las actividades de teletrabajo deberá cumplir
con los requisitos y controles de seguridad establecidos por SIESA a través del SGSI.
i. Las conexiones a servicios de teletrabajo en SIESA deben permanecer cifradas.
j. Los responsables de áreas y procesos deben coordinar y gestionar la instalación de
controles de seguridad en los equipos y dispositivos móviles utilizados para Teletrabajo,
según se encuentre establecido en el SGSI de SIESA.
k. El colaborador se hace responsable de darle un buen uso a los equipos de cómputo
designados para desempeñar el teletrabajo

4.4. POLÍTICA DE CONTROL DE ACCESO
En SIESA se protegen los accesos tanto físicos como lógicos con el fin de asegurar la
confidencialidad, integridad y disponibilidad de los activos de información acorde con los
criterios de clasificación establecidos y los lineamientos para gestionar los accesos tanto a los
activos de información (físicos y lógicos) como a los activos tipo instalaciones de
procesamiento de información (físicos y lógicos) y periféricos.

4.4.1. GESTIÓN DE ACCESO DE USUARIOS
Cuando se asignan y utilizan claves de usuarios, se deben respetar las siguientes reglas:
a. Todos los usuarios deben mantener sus claves en forma confidencial, como se
establece en este documento.
b. Las cuentas de usuarios, contraseñas o cualquier otro mecanismo de autenticación a
los sistemas de información, deben ser tratadas como información confidencial de
SIESA, por lo cual no se deben divulgar, publicar ni compartir con ninguna persona.
c. Las claves utilizadas tanto para el primer acceso a los sistemas como para los
subsiguientes deben ser exclusivas y seguras.
d. Las claves de primer acceso se comunican al usuario a través de su correo corporativo
o a través de medios alternativos que la compañía determine como necesarios y
seguros.
e. El tiempo para cambiar las claves y demás características de seguridad como
extensión, tipos de caracteres etcétera se establecerán para cada activo tipo instalación
de procesamiento de información que requiera credenciales para poder ser accedido.
f. El sistema de gestión de claves debe requerir que el usuario modifique la clave de
primer acceso cuando ingrese al sistema por primera vez.
g. El sistema de gestión de claves debe requerir que el usuario escoja contraseñas
seguras.
h. Si el usuario solicita una nueva clave, el sistema de gestión de claves debe determinar
la identidad del usuario

i. La contraseña no debe ser visible en la pantalla durante el inicio de sesión.
j. Si un usuario ingresa una clave incorrecta cinco veces consecutivas, el sistema debe
bloquear la respectiva cuenta de usuario.
k. Las claves creadas por el fabricante del software o hardware deben ser cambiadas
durante la instalación inicial.
l. Las cuentas de usuario deben ser asignadas a las personas de acuerdo al rol
desempeñado en SIESA y según las necesidades. Solo se concede acceso a la
información específica al personal autorizado.
m. Toda transacción y actividad realizada con la cuenta de usuario asignada a los sistemas
de información de SIESA, es responsabilidad del propietario de dicha cuenta. La
trazabilidad se analiza teniendo en cuenta aquellos sistemas de información y
aplicativos que así lo permitan.
n. Las contraseñas o cualquier otro método de autenticación deben mantenerse bajo
reserva y ser entregadas de forma personal o a través de un medio que asegure su
confidencialidad.
o. Las credenciales creadas para los diferentes sistemas de procesamiento de
información deben ser deshabilitadas para los Colaboradores y proveedores cuando se
interrumpan las funciones en SIESA o cuando sean trasladados a otros procesos. En
este último caso se debe revisar el perfilamiento y los accesos con el fin de cumplir con
el principio de LESS PRIVILEGE.
p. Los perfiles que brinden todos los privilegios deben estar controlados por los jefes
directos del proceso.
q. Las carpetas creadas para almacenar información (file server) de los Colaboradores,
deben ser administradas teniendo en cuenta la siguiente información:
○ El acceso a las carpetas debe estar limitado al proceso al cual pertenece el
usuario.
○ Los permisos para crear, eliminar, ejecutar, leer y modificar se deben limitar de
acuerdo al cargo desempeñado.
r. Todas las aplicaciones de SIESA tienen sus propias credenciales de autenticación,
salvo algunas aplicaciones para las cuales el logueo se hace directo contra el directorio
activo

s. Semestralmente se debe revisar y actualizar la matriz de accesos y componentes de
SIESA Facturación Electrónica en el registro llamado “Matriz de perfiles de usuarios Vs
Aplicación”.

4.4.2.USO DE INFORMACIÓN DE AUTENTICACIÓN SECRETA
(RESPONSABILIDAD DE LOS USUARIOS)

a. Cada usuario es responsable de salvaguardar la contraseña de ingreso a los diferentes
activos de información a los cuales esté autorizado.
b. No está permitido guardar o escribir las contraseñas en papeles físicos ni documentos
de texto como bloc de notas, Word o notas de Windows.
c. SIESA, establece el cambio obligatorio de las contraseñas de acceso a todos los
sistemas de información según la periodicidad establecida.
d. La contraseña escogida para el acceso a cada uno de los sistemas de información de
SIESA debe:
○ Ser diferente para cada aplicación o sistema de información con excepción de
aquellos sistemas que se autentiquen contra el directorio activo.
○ Omitir datos personales o de familiares tales como: nombres, apellidos, fechas
de cumpleaños, números de identificación o alguna otra fecha importante.
○ Estructurarse teniendo en cuenta los siguientes parámetros: uso de mayúsculas,
minúsculas, números, caracteres especiales y longitud entre ocho (8) y doce (12)
dígitos.
○ No utilizar repetición de las claves y/o historial de contraseñas como mínimo de
12 veces.
○ Ser cambiadas periódicamente: Para ello, las contraseñas en las aplicaciones y
sistemas de información controladas mediante el directorio activo de SIESA
Cloud y FE se cambia cada 45 días y este exige el cambio automático de las
mismas

4.4.3.USO DE CONTRASEÑAS
a. Todos los usuarios de los sistemas deben estar conscientes de sus responsabilidades
en el uso de contraseñas, así como de las siguientes prácticas para protegerlas:
○ La contraseña es información confidencial y queda prohibido compartirla con
otras personas.
○ La contraseña no deberá ser escrita en ningún papel a menos que sea
resguardado adecuadamente.
○ Las cuentas de usuarios nunca deben estar marcadas con “Password Never
Expires” a excepción de las de servicio.
○ Cambiar la contraseña después de sospechar que alguien más la conoce.
b. El campo de contraseña debe estar parametrizado teniendo en cuenta los siguientes
aspectos por cada tipo de activo tipo instalación de procesamiento de información y tipo
SW:
○ La longitud mínima.
○ Tiempo para el cambio.
○ Opción de cambio de contraseña.
○ Caracteres alfanuméricos simbólicos que debe contener la contraseña.
○ Repetición de las claves.
○ Se deben cambiar las claves en el primer ingreso al sistema.
○ Las claves no deben ser almacenadas en un sistema de registro automatizado.
c. La persona que use indebidamente su contraseña será considerada como falta
disciplinaria haciéndose acreedor a las sanciones correspondientes.

4.4.4. ELIMINACIÓN DE ACCESO LÓGICO
a. Cuando un usuario se retira definitivamente de la empresa, el área de Recursos
Humanos deberá aplicar el procedimiento establecido para que sean retirados todos
los accesos antes de que la persona se retire de la empresa. Esto con el fin de que no
pueda acceder a los activos tipo instalaciones de procesamiento de información en
forma remota.
b. El técnico asignado ante la solicitud de baja deberá deshabilitar y suspender todos
aquellos accesos otorgados, confirmando con el solicitante el nombre completo de
usuario, nombre del usuario, email, la fecha de baja del empleado, con el objeto de que,
a partir de dicha fecha, se revoque todo permiso de acceso.

4.4.5. ELIMINACIÓN DE ACCESO FÍSICO
Para llevar a cabo la eliminación de accesos físicos es la siguiente:
a. El colaborador que deja voluntariamente a SIESA deberá informar a su jefe inmediato
y a Recursos Humanos. En el caso de que el colaborador sea despedido, el encargado
debe notificar la baja del colaborador a Gestión Humana y al jefe de Tecnología de
inmediato.
b. El proceso de Recursos Humanos solicita al colaborador la credencial que se le
proporciona para el acceso a las instalaciones.
c. El personal de Recursos Humanos se encargará de notificar al personal de
Administrativa y Financiera acerca de las personas que dejan de laborar en la empresa
ya sean internas o externas, con el fin de restringir su acceso a la empresa.

4.4.6. REVISIÓN DE LOS DERECHOS DE ACCESO
a. De igual forma, el área responsable de la administración de usuarios de SIESA deberá
realizar una revisión semestral de privilegios y derechos de los usuarios, a fin de
identificar cambios o cancelación de estos. Cualquier cambio en las funciones de una
persona que acceda a información de la entidad, deberá verse reflejado en sus
privilegios de acceso.
b. Los lineamientos que deberá cumplir esta actividad son:
○ Revisar los derechos de acceso en intervalos regulares no mayor a seis meses.
○ Revisar los derechos de acceso después de cualquier cambio mayor en la
organización.
○ Los privilegios especiales deberán ser revisados en intervalos no mayores a 6
meses.
○ Involucrar al dueño del sistema y de la información para validar los resultados
de la revisión.

4.4.7.REVISIÓN DE LA ENTIDAD PARA EL CONTROL DE ACCESO
a. Todos los Colaboradores que laboran en SIESA, incluso terceros, deberán tener
acceso sólo a la información que necesitan para el desarrollo legítimo de sus funciones
y actividades dentro de la organización.

b. El acceso otorgado a terceros debe ocurrir sólo como resultado de una clara solicitud
sustentable de negocios y nunca antes de haberse firmado un acuerdo de
confidencialidad. Las cuentas de acceso a terceros deben tener especificado un tiempo
de expiración.
c. SIESA se reserva el derecho a suspender o cancelar las facultades de acceso a
cualquier persona que represente riesgo en la confidencialidad, integridad o
disponibilidad de la información.
d. Cualquier intento de acceso no autorizado a los equipos, sistemas e información de
SIESA será considerado un incidente grave, por lo que debe reportarse de inmediato a
la Gerencia de Cloud Services y FE y Jefe de Cloud Services.

4.4.8.ACCESO REMOTO
En caso de conexiones de tipo remoto deben existir mecanismos robustos de
autenticación y transmisión segura de datos. Este servicio debe ser restringido solo a
usuarios autorizados, específicamente a los recursos que requieran para el
cumplimiento de los requerimientos del negocio, aplicando el principio de “mínimo
privilegio”.
Todas las conexiones remotas que requieren acceso a la red interna de SIESA deben
pasar forzosamente por un firewall, el cual proporciona a las redes internas un nivel de
seguridad acorde a la sensibilidad de los sistemas, aplicaciones e información
disponible en ella.

4.4.8.ACCESO REMOTO
En caso de conexiones de tipo remoto deben existir mecanismos robustos de
autenticación y transmisión segura de datos. Este servicio debe ser restringido solo a
usuarios autorizados, específicamente a los recursos que requieran para el
cumplimiento de los requerimientos del negocio, aplicando el principio de “mínimo
privilegio”.
Todas las conexiones remotas que requieren acceso a la red interna de SIESA deben
pasar forzosamente por un firewall, el cual proporciona a las redes internas un nivel de
seguridad acorde a la sensibilidad de los sistemas, aplicaciones e información
disponible en ella.

4.4.10. CONTROL DE ACCESO A CODIGO FUENTE DE PROGRAMAS
Se debe restringir el acceso al código fuente de las aplicaciones de Software.

4.5. POLÍTICA SOBRE EL USO DE CONTROLES CRIPTOGRÁFICOS
a. Acorde con la estrategia de SIESA y en línea con la Política General de Seguridad de
la Información, se debe proteger la información Confidencial del negocio relacionado a
la Facturación Electrónica. Teniendo en cuenta los principios mencionados en el control
A 10.1.1 se debe proteger la confidencialidad, autenticidad e integridad de la
información a través del uso de controles criptográficos.
b. SIESA debe determinar los algoritmos criptográficos y protocolos autorizados para su
uso en la organización y configurar los sistemas para permitir únicamente aquellos
seleccionados, teniendo en cuenta la información de los grupos de interés con el fin de
descartar algoritmos de cifradas débiles tales como DES, RC3, RC4 y protocolos
débiles tales como SSLv2 y SSLv3. Se debería considerar en su lugar el uso de
algoritmos tales como AES (cifrado simétrico), RSA (cifrado asimétrico) y los protocolos
SSL/TLS 1.2 o 1.3 y tamaños de cifrado de 128 o 256 bits (cifrado simétrico) y 2048
bits (cifrado asimétrico) preferiblemente o en su defecto 128 bits (cifrado simétrico) y
1280 o 1536 bits (cifrado asimétrico).
4.6. POLÍTICA DE GESTIÓN DE LLAVES
a. La administración de llaves criptográficas y certificados digitales estará a cargo de cada
uno de los Colaboradores o contratistas a quienes les fueron asignados para el
desempeño de sus labores sean tokens, firmas digitales o información de autenticación
o validación.
b. Las llaves criptográficas serán cambiadas periódicamente, de acuerdo a lo definido por
el responsable o cada vez que se sospeche que han perdido su confidencialidad.
c. La administración de llaves criptográficas y certificados digitales estará a cargo de
acuerdo a lo definido por SIESA. Sin embargo, la administración de tokens, firmas
digitales o información de autenticación o validación estarán a cargo de cada uno de
los colaboradores o contratistas a quienes les fueron asignados para el desempeño de
sus labores

4.7. POLÍTICA DE ESCRITORIO LIMPIO Y PANTALLA LIMPIA
Todas las personas que trabajan en SIESA Cloud y Facturación Electrónica están
obligadas a cumplir con las siguientes normas de seguridad:
a. Retirar de escritorios o lugares visibles la información Confidencial que haya sido
utilizada, sin importar el medio en que se encuentre (papel, discos, medios magnéticos)
y resguardarla en lugares con acceso controlado.
b. No dejar documentos con información de Uso Interno o Confidencial sobre impresoras,
copiadoras. Por lo tanto, los dispositivos de impresión y digitalización deben
permanecer limpios de documentos.
c. No utilizar información impresa que sea confidencial o de uso reservado para reciclaje.
d. Mantener la pantalla de su computador limpia y libre de documentación para evitar el
espionaje de información Confidencial a través de este medio.
e. No se deben tener fotos, carteleras y/o información personal sobre los escritorios de la
compañía a menos que estos cumplan con los lineamientos corporativos.
f. Si la persona autorizada no se encuentra en su puesto de trabajo, todos los documentos
impresos, como también los soportes de almacenamiento de datos, etiquetados como
confidenciales, deben ser retirados del escritorio o de otros lugares para evitar el acceso
no autorizado a los mismos. Este tipo de documentos y soportes deben ser archivados
de forma segura.
g. Si la persona autorizada no se encuentra en su puesto de trabajo, se debe retirar toda
la información Confidencial del escritorio, y se debe denegar el acceso a todos los
sistemas para los cuales la persona tiene autorización.
h. Todos los usuarios de equipos de cómputo deberán cerrar las sesiones de los sistemas
y activar el protector de pantalla con contraseña cuando el equipo vaya a ser
desatendido. Cada terminal debe de tener como tiempo máximo de inactividad cinco
(5) minutos después de lo cual se bloqueará automáticamente el escritorio pidiendo
nuevamente la contraseña y usuario de acceso.
i. Los puestos de trabajo deben permanecer limpios y ordenado a fin de reducir el daño
causado en equipos de cómputo por prácticas inadecuadas (consumo de alimentos y/o
bebidas, obstrucción de ventilación, ubicación inadecuada, entre otros).

j. El colaborador debe asegurarse que los cables de conexión no sean pisados o
pinchados al colocar otros objetos encima o contra ellos en caso de que no se cumpla
solicitar un reacomodo de cables.
k. Cuando se requiera realizar cambios múltiples del equipo de cómputo derivado de
reubicación de lugares físicos de trabajo, éstos deberán ser coordinados y notificados
por parte del Gerente de Cloud services y FE y Jefe de Cloud services

4.8. POLÍTICA DE RESPALDO DE LA INFORMACIÓN
a. SIESA, debe realizar copias de respaldo de la información y pruebas de estas, de
acuerdo con el Procedimiento de Backup nubes y locales.
b. Toda la información de tipo institucional que utilicen los Colaboradores de SIESA debe
ser almacenada en los repositorios de la nube autorizados para este fin.
c. Los discos duros de los equipos de cómputo de escritorio y portátiles no deben contener
información institucional, ya que a éstos no se les realiza copias de respaldo.
d. SIESA no es responsable del respaldo de la información personal almacenada en los
equipos de cómputo de escritorio o portátiles en caso de pérdida.
e. Se debe conservar el registro de la ejecución de las copias de respaldo realizadas a los
servidores de producción (archivos, sistemas operativos, bases de datos, aplicaciones,
unidades de almacenamiento presentadas a los servidores) empleando el software
destinado para tal fin.
f. Se debe realizar seguimiento a la ejecución de las copias de respaldo, registrando las
fallas presentadas, con el fin de asegurar el correcto funcionamiento de las mismas en
caso de restauración.
g. Las copias de respaldo se deben probar semestralmente, con el fin de asegurar que se
puede depender de ellas en caso de contingencia.
h. Las restauraciones de copias de respaldo solicitadas se deben realizar de acuerdo al
Procedimiento de backup nubes y locales y se podrán documentar como pruebas.
i. La restauración de la información respaldada se debe realizar en medios de prueba
dedicados, no sobrescribiendo el medio original, para evitar que en caso de que el
proceso de elaboración de copias de respaldo o de restauración falle, cause daño o
pérdida de datos.

j. Las copias de respaldo se guardan únicamente con el objetivo de restaurar información
en caso de situaciones como borrado de datos, incidentes de seguridad de la
información, defectos en los discos de almacenamiento, problemas de los servidores o
equipos de cómputo, o que, por requisitos legales, sea necesario recuperarla.
k. Los Colaboradores son los responsables de almacenar la información que requiera
copias de respaldo en el destino o recurso asignado por el área de IT, o solicitar
formalmente la ejecución de copias de seguridad de la información almacenadas por
fuera de estas.

4.9. POLÍTICA DE TRANSFERENCIA DE INFORMACIÓN
a. Los Colaboradores de SIESA que requieran transferir externamente información de uso
interno e información confidencial, deben contar con un acuerdo de confidencialidad
firmado y adicionalmente, se debe contar con la autorización previa del Jefe Inmediato.
Dicha información a transferir debe ser almacenada en los medios aprobados por
SIESA para tal fin.
b. Los Colaboradores deben seguir las indicaciones del Procedimiento de Transferencia
de Información, el cual contiene las directrices a tener en cuenta al momento de
intercambiar información clasificada como de uso interno y confidencial.
c. La transferencia o intercambio de información con entes de control y autoridades de
supervisión, se rige por las directrices y mecanismos que dispongan dichos entes de
control.
d. Las herramientas de cifrado de información son definidas por el área de IT y el área de
soporte.
e. Las herramientas autorizadas para gestionar comunicación de equipos de trabajo y
transferencia de información son las estrictamente autorizadas por SIESA.

4.10. POLÍTICA DE DESARROLLO SEGURO
Las siguientes políticas aplican como requisitos que deben cumplir el personal interno o
externo para requerimientos de desarrollo realizadas por SIESA.
a. SIESA debe implantar los controles necesarios para asegurar que las migraciones entre
los ambientes de desarrollo, pruebas y producción han sido aprobadas, de acuerdo con
el procedimiento de control de cambios, cuando sea necesario.
b. SIESA debe contar con sistemas de control de versiones para administrar los cambios
de los desarrollos.
c. SIESA debe asegurarse que los desarrollos contratados externamente o desarrollados
por terceros, cuenten con un acuerdo de licenciamiento el cual debe especificar las
condiciones de uso del software y los derechos de propiedad intelectual.
d. SIESA o el tercero encargado del desarrollo debe usar metodologías para la realización
de pruebas al software desarrollado, que contengan pautas para la selección de
escenarios, niveles, tipos, datos de pruebas y sugerencias de documentación.
e. SIESA en conjunto con las áreas pertinentes, deben aprobar las migraciones entre los
ambientes de desarrollo y pruebas de los desarrollos nuevos y/o de cambios o nuevas
funcionalidades.
f. Se deben aprobar las migraciones entre los ambientes de pruebas y producción de los
desarrollos nuevos y/o de cambios o nuevas funcionalidades.
g. SIESA, debe garantizar que la información entregada a los desarrolladores en el
ambiente de desarrollo será enmascarada y no revelará información confidencial de los
ambientes de producción.
h. Los desarrolladores de SIESA y proveedores de software deben construir los
aplicativos de tal manera que efectúen las validaciones de datos de entrada y la
generación de los datos de salida de manera confiable, utilizando rutinas de validación
centralizadas y estandarizadas.
i. Los desarrolladores de SIESA y proveedores de software deben asegurar que los
desarrollos construidos validen la información suministrada por los usuarios antes de
procesarla, teniendo en cuenta aspectos como: tipos de datos, rangos válidos, longitud,
listas de caracteres aceptados, caracteres considerados peligrosos y caracteres de
alteración de rutas, entre otros.

j. Los desarrolladores de SIESA y proveedores de software, deben asegurar que los
desarrollos construidos no puedan cambiar la estructura de la base de datos desde el
código fuente de dicha aplicación.
k. Se deben suministrar opciones de desconexión o cierre de sesión de los aplicativos,
que permitan terminar completamente con la sesión o conexión asociada, las cuales
deben encontrarse disponibles en todas las páginas protegidas por autenticación.
l. Se deben remover todas las funcionalidades y archivos que no sean necesarios para
los aplicativos, previo a la puesta en producción.
m. Se debe garantizar el cierre de la conexión a las bases de datos desde los aplicativos
tan pronto como estas no sean requeridas.
n. Se deben desarrollar los controles necesarios para la transferencia de archivos, como
exigir autenticación, vigilar los tipos de archivos a transmitir, almacenar los archivos
transferidos en repositorios destinados para este fin o en bases de datos, eliminar
privilegios de ejecución a los archivos transferidos y asegurar que dichos archivos sólo
tengan privilegios de lectura.
o. Se debe proteger el código fuente de los aplicativos construidos, de tal forma de que
no pueda ser descargado ni modificado por los usuarios.
p. SIESA debe garantizar que en el desarrollo de todos sus productos se da
cumplimiento a las diferentes normativas y requerimientos de ley vigentes, como por
ejemplo privacidad por diseño y por defecto.

4.11.POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN PARA LAS RELACIONES CON
PROVEEDORES
SIESA define mecanismos de control en las relaciones con sus proveedores o contratistas,
con el fin de asegurar el acceso por parte de ellos a la información y a los servicios
tecnológicos suministrados para el desarrollo y cumplimiento de sus actividades.
a. Los proveedores, contratistas o terceros vinculados SIESA deben garantizar que el
intercambio de información desde y hacia SIESA cumpla con las exigencias
institucionales definidas con base en las leyes y regulaciones vigentes, así como
también las disposiciones de la presente política

b. Los proveedores o contratistas deberán informar inmediatamente SIESA de cualquier
incidente que afecte la confidencialidad, integridad y disponibilidad de los activos de
información que ponga en riesgo la operación de SIESA.
c. Los proveedores y contratistas vinculados SIESA que tengan acceso a la información
de Uso Interno o Confidencial de SIESA, deben firmar un acuerdo de confidencialidad
o debe incluirse una cláusula de confidencialidad al correspondiente contrato con el fin
de proteger dicha información.
d. En el contrato de servicios se debe incluir una cláusula de confidencialidad y niveles de
servicios en seguridad de la información, que detalle sus compromisos en el cuidado
de la misma y las medidas a las que estaría sujeto el Proveedor o Contratista en caso
de incumplirlos. El cumplimiento de los acuerdos mencionados anteriormente debe ser
verificado periódicamente teniendo en cuenta los Acuerdos de Nivel de Servicio -ANS
pertinentes a seguridad de la información.
e. Los proveedores o terceros que en la prestación de sus servicios a SIESA gestionen,
transformen o transmitan información de SIESA deben conocer, aceptar y cumplir las
políticas de seguridad de la información definidas por el Sistema de Gestión de
Seguridad de la Información. En caso de conflicto entre las políticas de seguridad de la
Información de SIESA y las políticas de seguridad de los proveedores o terceros se
acordarán políticas comunes de seguridad de la información y estas se formalizarán
mediante un documento formal suscrito por un representante de ambas partes, que
permitan cumplir los requisitos necesarios para garantizar la protección de la
confidencialidad, integridad y disponibilidad de la información.
f. Para el acceso a cualquier tipo de información o sistema de información, los
proveedores y terceros que presten sus servicios a SIESA deberán suscribir acuerdos
de confidencialidad y de transferencia de información con el fin reducir los riesgos de
divulgación de información con carácter de uso interno y/o confidencial.
g. Los Proveedores y terceros solo deben tener acceso a la información, sistemas de
información o instalaciones que son indispensables para el cumplimiento de sus objetos
contractuales.
h. Al finalizar sus contratos los proveedores o terceros que presten sus servicios a SIESA
deben efectuar la devolución de información o activos de información propiedad de
SIESA que estuvieron bajo su responsabilidad y procurar la destrucción o borrado
seguro de información de uso interno y/o confidencial conocida en razón de su actividad

i. Los proveedores y terceros deben cumplir con la reglamentación en materia de
derechos de autor y propiedad intelectual, incluido, pero no limitado al uso de
información y software.
j. Los proveedores y terceros no están autorizados para utilizar los recursos de
información y tecnología de SIESA para propósitos diferentes a los necesarios para el
cumplimiento del objeto contractual suscrito.
k. No está autorizada la utilización de equipos informáticos dentro de las redes de
comunicaciones de SIESA que no cumplan con los controles de seguridad
especificados por SIESA para preservar la seguridad de la información.
l. No está autorizada la ejecución de cambios sobre la infraestructura de información,
comunicaciones o cualquier otro activo tipo instalación de procesamiento de
información sin contar con la autorización formal y expresa del responsable del área,
proceso y/o administrador del activo tipo instalación de procesamiento de información.
m. No está autorizada la modificación o desactivación de los controles de seguridad
instalados en los componentes de información y tecnología de SIESA sin contar con
autorización del responsable del área, proceso y/o administrador del activo tipo
instalación de procesamiento de información.
n. Las claves de acceso a los sistemas de información de SIESA son personales e
intransferibles, cada tercero debe responder por las actividades que se lleven a cabo
con sus datos de identificación.
o. Todo proveedor y/o tercero que tenga acceso a los activos de información y preste
servicios a SIESA debe contar con políticas, normas y/o estándares de Seguridad de
la Información al interior de su organización; las cuales deben desarrollarse y
mantenerse actualizadas acorde con los riesgos a los que se ve enfrentada su
organización.
p. Los accesos a los sistemas de información y equipos de cómputo requeridos por
terceros deben ser solicitados de manera formal únicamente por el líder del área o
proceso quienes se encargaran de su aprobación.
q. Los mensajes y la información contenida en los buzones de correo asignados a terceros
son propiedad de SIESA y cada usuario, como responsable de su buzón, debe dar uso
en relación al negocio.

r. Todos los mensajes enviados desde correos electrónicos asignados a terceros, deben
respetar el estándar de formato e imagen corporativa definido por SIESA y deben
conservar en todos los casos el mensaje legal corporativo de confidencialidad.
s. Con respecto a los buzones de correo electrónico asignados a terceros, no están
permitidos las siguientes actividades:
○ Enviar cadenas de correo con contenido que no obedezca a las actividades
contratadas,
○ Utilizar la dirección de correo corporativo como usuario de cualquier red social.
○ Enviar masivamente mensajes publicitarios corporativos, si un tercero debe, por
alguna circunstancia, realizar envío de correo masivo, de manera frecuente, este
debe ser enviado a través de una cuenta de correo electrónico a nombre de la
empresa y/o servicio habilitado para tal fin y no a través de cuentas de correo
electrónico asignadas a un usuario particular.
t. Cualquier tercero que requiera acceso remoto a la red y a la infraestructura de
procesamiento de información de SIESA, sea por Internet o por otro medio, siempre
debe estar autenticado y sus conexiones deberán utilizar cifrado de datos.
u. Los terceros que requiera tener acceso a los sistemas de información de SIESA deben
estar debidamente autorizados y deben acceder a dichos sistemas haciendo uso como
mínimo de un usuario y contraseña asignado por la organización.
v. Los terceros son responsables del buen uso de las credenciales de acceso asignadas.
w. Los terceros no deben utilizar ninguna estructura o característica de contraseña
genérica o de fácil deducción, incluyendo entre otras las palabras de diccionario,
derivados de los identificadores de usuario, secuencias de caracteres comunes,
detalles personales, entre otros.
x. Los terceros están en el deber de informar a SIESA cualquier fuga, pérdida o alteración
de información de propiedad de SIESA, sus clientes y/o usuarios y la correspondiente
medida de mitigación.
y. Toda violación de estas políticas se deberá notificar inmediatamente, de modo que se
pueda resolver en el menor tiempo posible. Con esto se busca asegurar que todos
comprendan y respeten las políticas, con el fin de reducir al mínimo el riesgo,
protegiendo a usuarios, Colaboradores, clientes, terceros, así como a la Compañía.

5. POLÍTICAS COMPLEMENTARIAS
5.1. ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
5.1.1. ROLES Y RESPONSABILIDADES
a. Todo el que acceda a la información de SIESA, es responsable de contribuir a la
seguridad de su información, entre ellos están: Colaboradores, contratistas,
proveedores, clientes y visitantes.
b. El Oficial de Seguridad de la Informacion de SIESA asumirá la responsabilidad por el
desarrollo e implementación de la seguridad de la información, comprobará el
cumplimiento de las políticas, en caso de requerirse, prestará asesoría a todo aquel
que maneje información de SIESA, coordinará las actividades de la gestión de riesgos
de la seguridad de la información, apoyará la identificación de controles y además,
pondrá en contexto al Comité Estratégico en lo que se refiere a seguridad de la
información.
c. En la documentación (manuales, procedimientos e instructivos) del SGSI están
definidas las responsabilidades específicas de los colaboradores y contratistas que
están directamente relacionados con la seguridad de la información.

5.1.2.SEPARACION DE FUNCIONES
a. Todo aquel con permisos para acceder a la información de SIESA, deberá tener
claramente definidos sus deberes, con el fin de reducir el uso no autorizado, abuso de
derechos y privilegios de acceso.
b. Los sistemas deben contar con un súper administrador o root, con el fin de monitorear
las tareas desarrolladas por el administrador y demás usuarios.
c. Todos los sistemas de información de la organización y aplicativos deberán
implementar reglas de acceso, de tal forma que haya segregación de funciones entre
quien administre, mantenga y audite o tenga la posibilidad de acceder a los sistemas
de información, así como entre quien otorga el privilegio y quien lo utiliza

5.1.3. CONTACTO CON LAS AUTORIDADES
SIESA establece y mantiene contacto actualizado de las autoridades competentes para
el cumplimiento de la ley, organismos de control y autoridades de supervisión
correspondientes a la seguridad de la información.
5.1.4.CONTACTO CON GRUPOS DE INTERES
SIESA establece y mantiene contacto con grupos de interés especial, foros y
asociaciones profesionales en el campo de la seguridad de la información y expertos
en seguridad de las plataformas implementadas en la organización. Lo anterior con el
fin de estar al día con las últimas tendencias de protección de la información, recibir
advertencias de actualizaciones, ataques, vulnerabilidades, acceder a asesoría
especializada, compartir e intercambiar información acerca de seguridad de la
información.
5.1.5. SEGURIDAD DE LA INFORMACIÓN EN LA GESTIÓN DE PROYECTOS
a. Independientemente del proyecto que SIESA esté planificando y ejecutando, deberá
integrar la seguridad de la información, para tratar como parte del proyecto los riesgos
de seguridad de la información implícitos en el mismo, independientemente de su
naturaleza. Así mismo, la seguridad de la información será parte de todas las fases de
la metodología del proyecto aplicada. Por lo tanto, es responsabilidad de los Líderes
que se sigan las siguientes directrices:
○ Incluir objetivos o requisitos de seguridad de la información en la planeación del
proyecto.
○ Realizar identificación y valoración de los riesgos de seguridad de la información
en la planeación y ejecución del proyecto.
○ Realizar seguimiento a los riesgos de seguridad de la información identificados
y a los controles aplicados para tratar los mismos, durante las diferentes etapas
del proyecto.
○ Evaluar y medir el cumplimiento de la seguridad de la información respecto a sus
objetivos o requisitos definidos

5.1.6.SEGURIDAD DE LOS RECURSOS HUMANOS
SIESA establece controles antes, durante y después de la terminación o cambio de
empleo, de tal forma que se preserven los criterios de seguridad de la información de
la Compañía y de sus partes interesadas.
5.1.7.ANTES DE ASUMIR EL EMPLEO
Toda vinculación laboral realizada por SIESA se rige por las leyes de Colombia y por lo
dispuesto por Recursos Humanos.
5.1.8.TERMINOS Y CONDICIONES DEL EMPLEO O CONTRATO
a. Todos los Colaboradores, contratistas y terceros que presten sus servicios a SIESA
deben tomar conciencia de la seguridad de la información.
b. Todos los Colaboradores deben mejorar continuamente sus competencias en
seguridad de la información y para ellos SIESA establecerá un cronograma de
transferencias de conocimiento.
c. Tanto los contratistas como los terceros están obligados a fortalecer sus competencias
para poder realizar sus actividades acordes con lo que la compañía requiera en materia
de seguridad de la información.
d. Todos los Colaboradores, contratistas y terceros, están en la obligación de leer
periódicamente las políticas de seguridad de la información (mínimo cada 12 meses o
cada vez que se informe que han sido actualizadas).
e. Todo el recurso humano que tenga la responsabilidad de obedecer y/o aplicar los
controles que SIESA establezca para proteger la seguridad de la información debe
tomar conciencia de la importancia que tiene su contribución con la protección de la
información y debe tener claro que debe implementar los controles incluso cuando no
lo estén viendo o vigilando.
f. Todos los Colaboradores, Contratistas y Terceros de SIESA, se deberán acoger a las
políticas y procedimientos de seguridad de la información establecidos, así como la ostérminos de uso adecuado de los activos de información que le son entregados, previo
a la entrega de éstos y teniendo en cuenta que estos términos y responsabilidades son
extensibles fuera de la organización.
g. Todos los Colaboradores, Contratistas y Terceros que tengan acceso a la información
e infraestructura Confidencial de SIESA, deberán firmar previo a la entrega del acceso,
un acuerdo o compromiso de seguridad de la información, en la cual se especifica el
período por el cual se debe mantener el compromiso y las acciones que se toman
cuando se incumpla este requisito.
5.1.9.DURANTE LA EJECUCIÓN DEL EMPLEO O CONTRATO
a. SIESA a través del proceso de recursos humanos asegura que todos los Colaboradores
y Contratistas que tengan definidas responsabilidades en el área de seguridad de la
información sean competentes para desempeñar sus funciones y que cuentan con los
programas de capacitación y entrenamiento requeridos para tal fin.
b. Asimismo, todos los Colaboradores, Contratistas y Terceros con acceso a los activos
de información, tendrán un proceso formal de concientización, a través del cual se
socializarán las políticas de seguridad de la información y los riesgos conocidos a los
que se pueden ver expuestos.
c. Los procesos disciplinarios serán adelantados por Recursos Humanos.
5.1.10. TERMINACIÓN O CAMBIO DE ROL
a. Recursos Humanos es responsable de informar oportunamente al jefe del colaborador
y al encargado del retiro de los accesos en todas las instalaciones de procesamiento
de información, el trámite de devolución de activos de información y eliminación de los
accesos físicos y lógicos. En caso de que un Colaborador tenga un cambio de
funciones, se deberá asegurar la entrega de activos, el retiro de los accesos físicos y
lógicos, la transferencia de conocimiento y la posterior entrega de los mismos de
acuerdo a su nuevo rol.
b. Sin excepción, tanto para antes de la ejecución del empleo, como durante y después
del cambio y/o terminación se deben seguir los procedimientos y demás lineamientos
establecidos por Recursos Humanos y por la Gerencia General para preservar la
seguridad de la información.

c. Cuando un Colaborador, Contratista y/o Tercero se retire de SIESA se debe diligenciar
el formato de retiro y tener en cuenta la rigurosidad necesaria para poder evidenciar la
entrega de todos los activos de información y dejar el compromiso de borrado de esta
información de los activos tipo instalaciones de procesamiento de información que
pertenecen al colaborador, contratista y/o tercero.
d. Todos los Colaboradores, contratistas y/o terceros están en la obligación de preservar
la confidencialidad sobre la información de SIESA, de manera vitalicia y nunca se deben
realizar comentarios y/o referencias que vayan en detrimento de la reputación de la
compañía.
5.2. GESTIÓN DE ACTIVOS
SIESA ha establecido políticas para gestionar la seguridad en la gestión de activos como
lineamientos generales de los cuales se deben derivar los procedimientos de gestión de
activos para garantizar la seguridad de la información en la gestión de los mismos.
A continuación, se despliegan las políticas establecidas por SIESA para el dominio A8
Seguridad en la Gestión de Activos:
5.2.1. INVENTARIO DE ACTIVOS
Los propietarios de los activos de información que en el caso de SIESA son los líderes de
proceso, anualmente deben actualizar y documentar los activos de información de los cuales
son responsables, siguiendo la Metodología de Gestión de Activos de Información, establecida
en el Sistema de Gestión de Seguridad de la Información (SGSI), con el acompañamiento del
analista de Seguridad de la Información en caso que se requiera.
5.2.2. USO ACEPTABLE DE LOS ACTIVOS
a. Los activos de información de SIESA solamente pueden ser utilizados a fines de
satisfacer necesidades de la Entidad, con el objetivo de ejecutar tareas vinculadas a
las labores asignadas.
b. Los activos de información de SIESA deben estar salvaguardados según su nivel de
criticidad.
c. Los activos de información tales como: información (física y digital), software, servicios
y hardware propiedad de SIESA, son proporcionados a los Colaboradores, para el
desarrollo de sus actividades laborales en la Entidad. Es responsabilidad del propietario
y custodio de los activos de información, dar uso adecuado a los mismos

d. Todos los Colaboradores son responsables de etiquetar la información, y darle un
manejo adecuado, siguiendo las directrices de la Metodología de Gestión de Activos de
Información.
e. Los Colaboradores de SIESA, deben reportar los eventos de seguridad de la
información identificados en los activos de información, de acuerdo con el
Procedimiento de Gestión de Incidentes establecido por la Entidad.
f. Los dueños o propietarios de los activos de información deben mantener y actualizar (1
vez cada 12 meses o cada vez que se produzca un cambio en el sistema de gestión de
seguridad de la información y/o en la entidad) el inventario de sus activos de
información e instalaciones de procesamiento de información, indicando para cada uno
su clasificación correspondiente.
g. Los activos de información solamente pueden ser utilizados a fines de satisfacer
necesidades de negocios con el objetivo de ejecutar tareas vinculadas con la organización.
5.2.3. USO DE EQUIPOS DE COMPUTO PERSONAL DE ESCRITORIO Y
PORTATILES
a. El área de IT, es la encargada de dar de baja cualquier elemento de hardware propiedad
de SIESA, de acuerdo con los criterios y protocolos de seguridad previamente
definidos, con el fin de garantizar que se han eliminado los riesgos de confidencialidad
de la información.
b. Debe respetarse y no modificarse la configuración de hardware y software establecido
por el área de IT. Si se presenta algún requerimiento de cambio de configuración se
debe informar a través de las herramientas de gestión FreshDesk y/o SGD, con previa
autorización del Jefe Inmediato.
c. Se prohíbe el uso de medios extraíbles (USB, celulares, discos externos, CD, DVD,
entre otros) para almacenamiento de información institucional, con excepción de
aquellos Colaboradores que, por sus funciones, sean autorizados, de forma temporal o
permanente.
d. Toda actividad informática (escaneos de seguridad, ataques de autenticación o de
denegación de servicio, etc.) no autorizada que afecte tanto las redes corporativas
como los sistemas de información de SIESA, está prohibida y dará lugar a los procesos
disciplinarios o legales según corresponda e. Es responsabilidad de todos los Colaboradores de SIESA, apagar o hibernar los
equipos que no estén prestando servicio al finalizar la jornada laboral.
f. Los equipos de cómputo de escritorio, servidores, teléfonos IP y equipos de
comunicaciones, deben conectarse a los puntos de corriente eléctrica identificados
como regulados (toma de color naranja) a excepción de las impresoras que pueden
conectarse a las tomas blancas.
g. La conexión eléctrica de equipos de cómputo personales debe hacerse a través de lospuntos eléctricos no regulados. SIESA no se responsabiliza por daños que puedan sufrir estos dispositivos.
h. La seguridad física e integridad de los equipos de cómputo que ingresen a las
instalaciones de SIESA y que no son propiedad de la Entidad, son responsabilidad
única y exclusiva de sus propietarios. SIESA, no es responsable por estos equipos en ningún caso.
5.2.4. POLITICAS DE NAVEGACION SEGURA
a. Sólo se puede acceder a la Internet a través de la red local de la organización, con la
infraestructura y protección de cortafuegos adecuadas.. El servicio de la intranet y de
Internet es exclusivo para el desarrollo de sus funciones.
b. SIESA puede bloquear el acceso a determinadas páginas de Internet para usuarios
individuales, grupos de usuarios o para todos los empleados de la organización. Si es
necesario a algunas páginas Web bloqueadas, el usuario puede elevar una petición a
través del Sistema de gestión de incidentes solicitando autorización para acceder a
dichas páginas, previamente evaluando que no este en contra de las políticas de
navegación. El usuario no debe intentar eludir por su cuenta esa restricción.
c. El usuario debe considerar como no confiable la información recibida a través de sitios
web no seguros. Ese tipo de información puede ser utilizado con fines comerciales
solamente después de haber verificado su autenticidad y veracidad.
d. El área de IT debe implementar las herramientas tecnológicas y los controles
necesarios para mitigar los riesgos de la navegación en internet. Asimismo, debe
promover entre los “usuarios internos”, el uso responsable del servicio de navegación
en Internet, mediante actividades de sensibilización desarrolladas con el apoyo de las áreas encargadas

e. En SIESA, está prohibido el uso de la infraestructura tecnológica para fines
comerciales, o algún tipo de acoso, difamación o calumnia.
f. Está prohibido, ejecutar cualquier herramienta para realizar el monitoreo de puertos o
análisis de tráfico de red, por personas diferentes al área de SIESA Cloud y/o
proveedores externos contratados y autorizados por la empresa para ejecutar dicha
labor.
g. Está prohibido conectar módems o cualquier dispositivo móvil (en modo Access Point)
para acceder a internet, dentro de la red de SIESA.
h. El área de IT y/o proveedores externos contratados y autorizados por SIESA, pueden
monitorear la infraestructura (Software y Hardware) con el fin de preservar la seguridad
informática de la empresa.
i. A nivel del endpoint se tienen restricción a sitios web restringidos, las cuales son las siguientes categorías:
5.2.5. USO DEL CORREO ELECTRONICO
a. SIESA provee a todos los Colaboradores un correo electrónico institucional en el dominio siesa.com para el ejercicio de sus labores.
b. La cuenta de correo electrónico institucional es personal e intransferible y, por ende,
los Colaboradores son completamente responsables de todas las actividades
realizadas con sus credenciales de acceso y el buzón asociado al correo de SIESA.
c. El correo electrónico institucional se debe utilizar estrictamente como herramienta de
comunicación de SIESA, es decir, que debe ser usado para transmitir información
relacionada única y exclusivamente con el desarrollo de las funciones misionales y de apoyo asignadas.
d. Teniendo en cuenta que el correo electrónico institucional es una herramienta para el intercambio de información necesaria para el cumplimiento de las funciones propias de cada cargo y no una herramienta de difusión masiva de información, no debe ser utilizada como servicio personal de mensajes o cadenas a familiares o amigos,
esquemas piramidales, terrorismo, pornografía, programas piratas, proselitismo político, religioso o racial, amenazas, estafas, virus o código malicioso.

e. Toda información enviada o publicada a través del intene o el sitio web de SIESA, debe
llevar un texto que prevenga sobre la posibilidad de ser información confidencial y al
tratamiento permitido cuando es recibida por alguien que no es su destinatario.
f. Los correos electrónicos sospechosos deben tratarse con extremo cuidado, debido a
los riesgos de seguridad de la información inherentes. Por lo tanto, no está permitido
abrir sus archivos adjuntos y se debe reportar el evento de acuerdo con el
Procedimiento de Gestión de Incidentes.
5.2.6. DEVOLUCIÓN DE ACTIVOS
a. La devolución de los activos se realiza de manera conjunta entre las áreas de IT y Recursos Humanos.
b. El proceso de retiro de activos debe tener asignado un proceso de autorización para aquellos activos que no son del custodio oficial según el inventario de activos de información.
c. Los equipos que han sido asignados a los colaboradores de SIESA Cloud y FE y que están relacionados en el inventario de activos tipo Hardware, no requieren autorización.
5.2.7. CLASIFICACIÓN DE LA INFORMACIÓN
SIESA clasifica, etiqueta y maneja la información y sus activos asociados de acuerdo a la Metodología de Gestión de Activos de Información. La informacion digital es la que se etiqueta en su carpeta principal
5.2.8. GESTIÓN DE MEDIOS REMOVIBLES (UNIDADES DE ALMACENAMIENTO)
a. En SIESA no se permite el uso de medios removibles excepto los medios que contienen firma y/o certificados digitales, los cuales son resguardados en cajilla de seguridad bajo llave principalmente por la Dirección de Facturación Electrónica y como backup el Gerente de Cloud services.
b. Los activos tipo instalaciones de procesamiento de información como dispositivos móviles, medios removibles y computadores pueden ser llevados fuera de las instalaciones solamente con autorización

c. Las unidades de medios removibles de las estaciones de trabajo y equipos de cómputo
portátiles pertenecientes a SIESA, están bloqueadas para booteo, desde la BIOS (hace
referencia a la utilidad que se ejecuta al momento de encender el equipo de cómputo)
y el acceso a esta funcionalidad requiere contraseña.
d. Los medios removibles en los que se almacene información catalogada como
información de uso interno e información confidencial deben estar cifrada.

5.2.9. TRANSFERENCIA DE MEDIOS FÍSICOS
Para el alcance del sistema de Gestión de Seguridad de la Información, SIESA no realiza
transporte, ni transferencia de medios físicos a través de servicios de mensajería y de
compañías de seguridad, ni tampoco está permitido el transporte a otras locaciones de los
medios removibles que contienen firma, ni certificados digitales.

5.3. SEGURIDAD FÍSICA Y DEL ENTORNO
5.3.1. PERÍMETRO DE SEGURIDAD FÍSICA
a. Los perímetros de seguridad se deben encontrar definidos al igual que sus controles de acceso físico

b. El perímetro de la oficina de SIESA Cloud y FE debe contener todos los recursos
necesarios para tratar la información ofreciéndole cierta solidez física. Todos los muros
externos de la zona deben ser sólidos y todas las puertas exteriores deben ser
protegidas contra accesos que no estén autorizados por la organización, por ejemplo,
se pueden utilizar mecanismos de control, alarmas, rejas, cierres, etc. las puertas y las
ventanas tiene que estar cerradas con llave cuando se encuentren desatendidas.
c. Se tiene que realizar la instalación de un área de recepción manual y otros medios de
control de acceso físico a las instalaciones. El acceso se puede restringir sólo al personal
que esté autorizado.
d. Las barreras físicas se pueden extender, si fuera necesario, desde el suelo real al techo
real evitando que se realicen entradas no autorizadas.
e. Se puede instalar Sistemas de Gestión de Seguridad de la Información adecuado a
la detección de intrusos de acuerdo a los estándares regionales, nacionales o
internacionales.
f. Las visitas de las áreas seguras se deben supervisar, menos que el acceso haya sido
aprobado de forma previa y se tiene que realizar un registro de la fecha de entrada y salida. Las visitas solo tienen acceso para propósitos muy específicos y se autorizan
proporcionalmente generando instrucciones sobre todos los requisitos de seguridad del área y los procedimientos ante emergencias.
g. Se puede controlar al personal autorizado el acceso a la información Confidencial de la organización. Se pueden utilizar diferentes controles de autentificación, por ejemplo,
tarjeas personales, etc. Tiene que quedar un registro de entradas y salidas.
h. Se pueden exigir a todo el personal de la organización que porte la identificación de forma visible y deben saber que puede ser solicitada a las personas extrañas que no estén acompañadas y a cualquiera que no lleve la identificación visible.
i. Se tiene que garantizar el acceso restringido de terceras personas hacia las áreas de seguridad o los recursos de los procesos de información Confidencial. El acceso debe
ser autorizado y monitorizado por la persona responsable.
j. Se debe revisar y actualizar de forma regular los derechos de acceso a las áreas de seguridad.

5.3.2. ACCESO FÍSICO A LAS ÁREAS SEGURAS
Todas las áreas destinadas al procesamiento o almacenamiento de información
confidencial y de uso interno, así como aquellas en las que se encuentren los equipos y
demás infraestructura de soporte a los sistemas de información y comunicaciones, se
consideran áreas de acceso restringido (incluido los activos albergados en los
Proveedores). En consecuencia, deben contar con medidas de control de acceso físico en
el perímetro tales que puedan ser auditadas, así como con procedimientos de seguridad
operacionales que permitan proteger la información, el software y el hardware de daños
intencionales o accidentales.
a. Los controles para prevenir el acceso físico no autorizado a las instalaciones de SIESA,
son descritos en el Procedimiento de Trabajo en Áreas Seguras.
b. El acceso de visitantes a las áreas restringidas, como son Datacenter, cuartos de
control, de cableado, de comunicaciones, telefónicos etc., debe contar con un
procedimiento o protocolo de acceso físico aprobado por SIESA, independientemente
de su ubicación física, ya sea en las instalaciones de la Entidad o en las instalaciones
del proveedor.
c. El acceso a áreas seguras se deberá conceder únicamente por motivos específicos y autorizados. d. SIESA debe asegurar que las áreas de acceso restringido como son Datacenter,
cuartos de control, de cableado, de comunicaciones, telefónicos etc., cuenten con el
equipamiento mínimo requerido para asegurar el cumplimiento de los requisitos y
prevención de amenazas externas, a nivel ambiental, físico y de energía necesarios
para soportar su operación. Independientemente de la ubicación física, ya sea en las
instalaciones de la Entidad o en las instalaciones del proveedor.
e. Los accesos de tipo permanente deben ser asignados por el responsable de accesos
a aquel personal que así lo requiera en base a requisitos basados en su función dentro
de SIESA Cloud y FE.
f. Los accesos de tipo temporal, por ejemplo, para el caso de proveedores externos y
contratistas, deben ser solicitados al responsable de accesos y autorizados por el
responsable de seguridad de la información y se debe proveer al menos la siguiente
información: nombre, apellido, documento de identidad, empresa, fecha de inicio de
acceso temporal, fecha fin de acceso temporal, motivo. Los visitantes temporales que
requieran acceso a áreas seguras o centros de datos deberán permanecer
acompañados de personal con permisos de acceso y portar una identificación visible.
En el caso del centro de datos, se debe registrar la visita en una bitácora de ingresos a
éste que deberá contener al menos la siguiente información: fecha, nombre, apellido, cédula de identidad, empresa, hora de entrada, hora de salida, nombre y apellido del empleado que lo acompaña.
5.3.3.PROTECCIÓN CONTRA AMENAZAS EXTERNAS E INTERNAS
a. Se debiera asignar y aplicar protección física contra daño por fuego, inundación,
terremoto, explosión, revuelta civil y otras formas de desastres naturales o causados por el hombre.
b. Se debiera prestar consideración a cualquier amenaza contra la seguridad presentada por locales vecinos; por ejemplo, un fuego en un edificio vecino, escape de agua en el
techo o pisos en sótano o una explosión en la calle.
c. Se deben preveer las fallas de energía y otras interrupciones causadas por fallas de
suministro.

5.4. SEGURIDAD DE LAS OPERACIONES
SIESA debe asegurar mediante la documentación de las operaciones su correcto
funcionamiento y procesamiento.
5.4.1. POLÍTICA DE GESTIÓN DE CAMBIOS
a. Establecer, coordinar, controlar y documentar los cambios realizados en los activos de
información tecnológicos y los recursos informáticos, asegurando que los cambios
efectuados sobre la plataforma tecnológica hayan sido debidamente autorizados por
las áreas correspondientes.
b. SIESA Cloud y FE TI, deben garantizar que todo cambio realizado sobre la plataforma
tecnológica quedará formalmente documentado desde su solicitud hasta su
implantación cumpliendo con el procedimiento correspondiente.
5.4.2.POLÍTICA DE GESTIÓN DE LA CAPACIDAD
SIESA Cloud y FE deben asegurar que los servicios y recursos de TI se vean respaldados
por una capacidad de procesamiento y almacenamiento suficiente y correctamente
dimensionada, que garantice que los clientes y usuarios de los servicios puedan
desempeñar de una manera eficiente sus tareas.
5.4.3.POLÍTICA DE PROTECCIÓN CONTRA CÓDIGO MALICIOSO
a. Definir las medidas de prevención, detección y corrección frente a las amenazas
causadas por códigos maliciosos
b. Toda la infraestructura de procesamiento de información de SIESA Cloud y FE cuenta
con un sistema de detección y prevención de intrusos, herramienta de Anti-Spam y
sistemas de control de navegación, con el fin de asegurar que no se ejecuten virus o
códigos maliciosos.
c. Se debe restringir la ejecución de aplicaciones y mantener instalado y actualizado el
antivirus, en todas las estaciones de trabajo y servidores de SIESA Cloud y FE

d. Se debe restringir la ejecución de código móvil, aplicando políticas a nivel de sistemas
operativos, navegadores y servicio de control de navegación.
e. Todos los funcionarios, Colaboradores y Terceros que hacen uso de los servicios de
tecnología de la información y comunicaciones de SIESA Cloud y FE son responsables
del manejo del antivirus para analizar, verificar y (si es posible) eliminar virus o código
malicioso de la red, el computador, los dispositivos de almacenamiento fijos,
removibles, archivos, correo electrónico que estén utilizando para el desempeño de sus
funciones laborales.
f. Se debe mantener actualizado a sus últimas versiones funcionales las herramientas de
seguridad, incluido, motores de detección, bases de datos de firmas, software de gestión del lado cliente y del servidor, etc.

5.4.4. SEPARACIÓN DE LOS ENTORNOS
Para todos los sistemas que constituyan la infraestructura tecnológica que soportan los
procesos críticos de negocio:
a. Contar con ambientes separados para desarrollo, pruebas y producción.
b. Definir, en el marco de la política de gestión de cambios, un procedimiento formal para
la gestión de los mismos.
c. Los pasajes a producción deben estar alineados con la política y procedimiento de
gestión de cambios.
d. Los cambios siempre deben ser probados y aceptados.
e. Los ambientes deben contar con los mismos sistemas o herramientas provistas por
terceras partes y ser homólogos al menos en ambiente de pruebas y producción, para
que se puedan realizar los controles pertinentes antes de cualquier instalación,
actualización y aplicación de cambios.
f. El ambiente de pruebas debe estar adecuadamente identificado de forma tal de
diferenciarlo del ambiente de producción.
g. El personal que realiza las pruebas debe utilizar cuentas de usuario diferentes a las que
posee en producción para la realización de éstas

5.4.5. POLÍTICA DE REGISTRO Y SEGUIMIENTO DE EVENTOS
a. Siesa Cloud y FE debe elaborar, preservar y revisar los registros de actividades (logs)
de los usuarios de los sistemas.
b. Los colaboradores no están facultados para modificar, borrar o desactivar registros
(logs) de sus actividades propias, ni de los usuarios de los sistemas de información y
telecomunicaciones, de igual forma se deben realizar las configuraciones de seguridad
necesarias para evitar la eliminación o cambios no autorizados a los registros de
información.
c. El acceso a los registros (logs) es restringido, por lo cual su consulta por usuarios se
debe realizar con previa autorización.
d. SIESA Cloud y FE, debe implementar la sincronización de relojes de los sistemas de
información a un único servidor NTP (Nertwork Time Protocol – protocolo de tiempo en
la red).
e. Los eventos que se presentan en SIESA Cloud y FE, cuya implicación pueda afectar la
seguridad de la información, son registrados en la herramienta de Gestion de Incidentes
para ser evaluado por el Gestor de Incidentes y asignar a los especialistas a resolver..
5.4.6. INSTALACIÓN DE SOFTWARE EN SISTEMAS OPERATIVOS
a. SIESA controla la instalación de software en sistemas operativos por medio del
Procedimiento de Instalación de Software en Sistemas Operativos.
b. Todo software debe contar con un soporte técnico para garantizar su funcionamiento
de manera eficiente con una solución disponible y en un tiempo aceptable, de tal
manera que no afecte la operación de SIESA.
c. Se debe proporcionar capacitación adecuada a los usuarios y al personal técnico en
los aspectos de operación y funcionalidad de los nuevos sistemas de información o
mejoras a sistemas de información existentes, antes de su puesta en marcha.
d. Todos los sistemas nuevos y mejorados deben estar completamente soportados por
una documentación suficientemente amplia y actualizada, y no deben ser puestos en
el ambiente de producción sin contar con la documentación disponible.

5.4.7.GESTIÓN DE LA VULNERABILIDAD TÉCNICA
a. SIESA debe generar y ejecutar por lo menos una vez al año un plan de análisis de
vulnerabilidades y/o hacking ético para sus plataformas críticas, cuya viabilidad técnica
y de administración lo permita.
b. Los correctivos que requieran ser aplicados en las plataformas tecnológicas, derivados
de la identificación de vulnerabilidades técnicas, son responsabilidad de SIESA.
Cuando se requiera realizar un cambio en las plataformas tecnológicas a fin de corregir
dichas vulnerabilidades, se debe seguir las directrices del Procedimiento de Gestión de
Cambios.
5.4.8.POLÍTICA DE AUDITORÍA DE SISTEMAS DE INFORMACIÓN
Se debe definir un procedimiento que tenga los requisitos y actividades de auditoría que
involucren la verificación de los sistemas de informacion, además se debe planear y
acordar cuidadosamente para minimizar la interrupciones en los procesos del negocio e
identificar mejoramiento continuo.
5.5. SEGURIDAD DE LAS COMUNICACIONES
5.5.1.GESTIÓN DE LA SEGURIDAD DE LAS REDES
SIESA debe establecer los controles necesarios para proteger la información transportada
desde la red interna.
a. Se deben establecer los controles lógicos para el acceso a los diferentes recursos
informáticos, con el fin de mantener los niveles de seguridad apropiados.
b. SIESA debe proporcionar a los funcionarios, Colaboradores y Terceros todos los
recursos tecnológicos de conectividad necesarios para que puedan desempeñar las
funciones y actividades laborales, por lo cual no es permitido conectar a las estaciones
de trabajo o a los puntos de acceso de la red corporativa, elementos de red (tales como switches, enrutadores, módems, etc.) que no sean autorizados

5.5.1.1. RED CABLEADA
a. En SIESA se deben instalar y mantener, con personal calificado y debidamente
autorizado, la red de voz y datos, con el fin de garantizar la operación, seguridad e
integridad de la misma.
b. Cualquier equipo o elemento activo o pasivo de la red que no se utilice debe ser
desactivado y controlado. No está autorizada la instalación de ningún equipo de red,
diferente a los equipos que pertenecen a SIESA.
c. No está permitido realizar seguimiento o monitoreo de puertos o tráfico de red, por parte
de personas diferentes a las autorizadas por SIESA.
d. El cableado de energía eléctrica y de telecomunicaciones que porta datos o brinda
soporte a los servicios de informacion se debe proteger contra interceptación,
interferencia o daño.
5.5.1.2. SEPARACIÓN DE LAS REDES
a. Se debe establecer un esquema de segregación de redes, con el fin de controlar el
acceso a los diferentes segmentos de red y garantizar la confidencialidad, integridad y
disponibilidad de la información.
b. Se deben definir y seguir los procedimientos de acceso o retiro de componentes
tecnológicos para la solicitud de servicios de red.
c. Se deben establecer parámetros técnicos para la conexión segura de la red con los
servicios de red.
d. Se deben establecer mecanismos de autenticación seguros para el acceso a la red.
e. Se deben separar las redes inalámbricas de las redes internas, para garantizar los
principios de la seguridad de la información.

5.6. ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS
a. Los requerimientos de seguridad de la información deben ser identificados y acordados
por los responsables de los procesos y/o el usuario antes del desarrollo o la adquisición
de los sistemas de información. Estos requisitos analizados deben documentarse para
generar evidencia.
b. Los responsables de los procesos junto con los administradores de sistemas de
información son los encargados de la adquisición de software o del desarrollo de este,
teniendo en cuenta las necesidades expresas.
c. Los responsables de áreas y procesos junto con los administradores de sistemas de
información deben seleccionar metodologías para adquisición y desarrollo de software
que consideren mínimo los siguientes aspectos de seguridad y control: Control de
acceso a la información, definición y autenticación de usuarios, mecanismos de
detección de intrusos, definición de mecanismos de cifrado de datos, administración de
la información, gestión de roles y perfiles entre otros aspectos que permitan controlar
la seguridad de la información.
d. Los responsables de áreas y procesos junto con los administradores de sistemas de
información deben considerar en el desarrollo y adquisición de aplicaciones, los
controles respectivos para la validación de datos de entrada, procesamiento,
almacenamiento, hasta la salida de dichos datos, se deben considerar los controles
apropiados que permitan el seguimiento de auditoría y el registro de actividades en el
software. Así mismo deberá considerar en dicho desarrollo la gestión adecuada de
derechos de autor, propiedad intelectual, confidencialidad y normas especiales
aplicables al desarrollo de software y a nivel internacional cuando se trate de
contratistas extranjeros.
e. Se debe realizar mantenimiento periódicamente a los sistemas de información con el
fin de garantizar el correcto funcionamiento de los mismos.
5.7. GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN
a. Cualquier colaborador, contratista, tercero puede reportar incidentes de seguridad de
la información que afecten a SIESA.
b. Cada responsable de área o proceso debe identificar los eventos y/o incidentes de
seguridad de la información a través de supervisión proactiva de los sistemas de información y tecnología de SIESA.

c. Cualquier incidente de seguridad de la información se debe registrar y se debe realizar
tratamiento del mismo empleando el procedimiento de gestión de incidentes de
seguridad de la información de SIESA.
d. Cualquier dispositivo de uso personal como teléfonos inteligentes, computadores
portátiles, tabletas, u otros dispositivos de cómputo que estén implicados en incidentes
de seguridad de la información de SIESA pueden ser sometidos a cadena de custodia
o protección para fines de investigación o evidencia ante procesos administrativos o
legales, previa coordinación del procedimiento con el propietario del equipo.
e. Para prevenir la ocurrencia de incidentes de seguridad de la información SIESA aplicará
los procedimientos de su sistema de gestión de seguridad de la información para llevar
a cabo actividades de prevención de incidentes, supervisión y filtrado de anomalías que
puedan afectar a la seguridad de la información, instalaciones de procesamiento de
información y/o periféricos.
f. En caso de ser requerido por autoridad competente o grupos especializados en el
tratamiento de incidentes de seguridad de la información, SIESA puede suministrar el
plan de respuesta o remediación específico para un incidente para que se evalúe su
efectividad, solicitar apoyo, demostrar debida diligencia u otros propósitos definidos por
SIESA.
g. Un colaborador, cliente, contratista y/o tercero que evidencie la materialización de un
incidente de seguridad dentro de los escenarios mencionados en el cuadro anterior,
debe notificarlo inmediatamente a su superior y/o administrador de contrato, utilizando
los canales definidos para el reporte en el procedimiento vigente de gestión de
incidentes o al grupo de IT de SIESA cloud debido a su criticidad, el cual es un canal
en el que se podrá reportar cualquier evento relacionado dentro de las anteriores
categorías y que pueda ser generado debido a un incidente de seguridad de la
información. Estos eventos serán tratados con la debida reserva y confidencialidad
notificando solamente al personal involucrado en la gestión para solventar el incidente.
5.8. ASPECTOS DE SEGURIDAD DE LA INFORMACIÓN DE LA GESTIÓN DE CONTINUIDAD DE NEGOCIO
a. SIESA asegura la continuidad de la seguridad de la información en la planificación e
implementación de la continuidad del servicio de facturación electrónica, donde tiene
en cuenta recursos tecnológicos, activos de información, talento humano, proveedores
y procesos críticos que respaldan la Facturación Electrónica.

b. Asimismo, SIESA establecerá, documentará, implementará y mantendrá procesos,
procedimientos y controles que propendan por un nivel de continuidad requerido para
la seguridad de la información durante una situación de contingencia.
c. Con el fin de asegurar si los controles de continuidad de la seguridad de la información
son válidos, SIESA verifica a intervalos regulares estos controles establecidos e
implementados.
d. Para asegurar la disponibilidad y redundancia de las instalaciones de procesamiento
de información que soporta la Facturación Electrónica, SIESA establece e implementa
un Plan de Recuperación de Desastres. Así mismo, realizará pruebas periódicas a éste
plan, con el fin de verificar que los controles tecnológicos implementados son válidos y
eficaces durante situaciones adversas.
5.9. CUMPLIMIENTO
a. SIESA vela por el cumplimiento de la presente política y la legislación aplicable vigente
por los entes de control.
b. La Gerencia General, la Dirección de la Nube y la Gerencia de Cloud Services y FE ,
mediante la identificación de requisitos de seguridad de la información que sean de
cumplimiento obligatorio y emitidos por entes gubernamentales o privados y cualquier
disposición colombiana vigente, definen e implementan los controles necesarios para
dar cumplimiento y protección a los activos de información.
c. SIESA se reserva el derecho de monitorear los computadores que sean de su
propiedad y estén conectados o no a la red de SIESA. En caso de presentarse
incidentes que afecten la seguridad de la información de SIESA, siempre con el
seguimiento del debido proceso y el derecho a la intimidad de sus empleados,
contratistas y/o terceros.
d. Aquellos documentos que estén bajo lineamientos legales o regulatorios deben ser
resguardados bajo las medidas de seguridad adecuadas para garantizar su integridad
y en general el cumplimiento con las disposiciones legales y regulatorias.
e. El responsable de TI debe revisar periódicamente los acuerdos de licencias de
hardware y software instalado a fin de verificar el cumplimiento de los mismos por parte de SIESA.

f. Los contratistas y terceras partes deben cumplir con las disposiciones establecidas por
la Legislación Colombiana vigente asociados a la de protección de datos personales,
propiedad intelectual y seguridad de la información.
g. La omisión por parte del personal involucrado en las obligaciones y responsabilidades
definidas en esta política es considerada falta grave y, por ende, conlleva a la
implementación de las medidas pertinentes por parte de SIESA.
h. Desde el punto de vista de cumplimiento normativo el SIESA debe tener presente la
Ley 1581 de 2012 de Protección de Datos Personales, así como los requisitos, normas
y regulaciones como ISO 27001:2013, además de las políticas definidas por SIESA. De
la misma forma se debe cumplir con el requisito legal y reglamentario de los PST de
Facturación Electrónica el cual corresponde con el Decreto 2242 de la DIAN.
i. El estudio de la normatividad publicada por organismos del estado inherente a
Seguridad de la Información es una actividad permanente en conjunto con el área
Jurídica, con el fin de garantizar su aplicación adecuada y oportuna para SIESA.
j. El área Jurídica y el responsable de TI deben publicar y actualizar la normatividad con
inherencia para la Seguridad de la Información, generar los acuerdos de
confidencialidad, cláusulas y contratos que estén acordes con el cumplimiento de los
requisitos del SGSI.
k. Todos los procesos y operaciones de SIESA deben regirse por la legislación
colombiana vigente respecto a seguridad de la información.
l. Programar revisiones, cada seis meses, de cumplimiento de las políticas, normas y
directrices.
m. Programar revisión cada 12 meses de las políticas de Seguridad de la Información por
parte de la Gerencia General.
n. Generar informes que evidencien las revisiones de cumplimiento.
o. Generar los planes de acción con las correcciones y acciones correctivas necesarias
como resultado de las revisiones de cumplimiento.
p. Implementar las mejoras necesarias con base en los resultados de las revisiones de cumplimiento.

5.9.1.REVISIÓN INDEPENDIENTE DE LA SEGURIDAD DE LA INFORMACIÓN
El Sistema de Gestión de Seguridad de la Información que comprende políticas, procesos,
procedimientos, formatos, controles, etc, deberá ser revisado como mínimo cada 12 meses
o cuando surjan actualizaciones de mejoramiento o cambios significativos.
EL objetivo de la revisión es garantizar que la seguridad de la información se implemente
y opere de acuerdo con las políticas y los procedimientos organizacionales, y se deberá
tener como precedente los riesgos asociados, los controles del riesgo, métricas asociadas.

6. CONTROL DE CAMBIOS

FECHA DE

ACTUALIZACIÓN

VERSIÓNDESCRIPCIÓN DEL CAMBIO
02/01/2020001Creación del documento
18/09/2020002

*Se cambia la palabra Sensible por Confidencial, se corrige el valor de 168 por 128.

*Actualizaciones a políticas existentes: Numeral 4.6 literales J y K / Numeral 5.2.6. literales B y C / Numeral

5.3.2. literales C, D,E y F / Numeral 5.5.1 literales A y B/ Numeral 5.5.1.1. literales D / Numeral 5.9 Literal J,L,M / ,

*Nuevas políticas: Numerales 4.3.9./ 4.3.10/ 5.3.1/ 5.3.3/ 5.4/ 5.4.1/ 5.4.2/ 5.4.3/ 5.4.4./ 5.4.5/ 5.4.8/ 5.5.1.2/ 5.9.1.

26/03/2021003

*Se revisar la Ortografía y gramática del documento

*Se cambia el cargo que actualiza el presente documento.

*En el numeral 4.2 se incorpora el termino de trabajo en casa o remoto.

*En el numeral 4.8. se incorpora el literal e.

*En el numeral 5.1.1. se cambia al rol de Oficial de Seguridad de la Información y se incorpora el literal c.

*En el numeral 5.1.2. se incorpora el literal c.

*En el numeral 5.1.5. se incorpora la palabra requisitos y el literal final.

*En el numeral 5.2.4. se aclara el cargo autorizador.

25/06/2021004

Se cambia los cargos que hacen la gestión de actualización, revisión y aprobación, retirando los nombres

y dejando solo cargos

10/06/2022005Cambio de formato
30/06/2023006Cambio de Logo, colores institucionales.