<hidden>
===== POLITICA PARA LA SEGURIDAD DE LA INFORMACION =====

</hidden>

|logo*/   ^POLITICA PARA LA SEGURIDAD DE LA INFORMACION |AREA ADMINISTRATIVO  |
| ::: | ::: |CODIGO:GAD P   |
| ::: | ::: |VERSION 1 |
| ::: | ::: |VIGENCIA: 17/02/2025  |


==== Propósito ====

Establecer los lineamientos bajo los cuales se debe desarrollar la protección de los sistemas de información de acuerdo con lo establecido en ISO 27001 y la ley 1581 de 2012, propendiendo por reducir el robo, daño y/o abuso de estos, así como indicar los parámetros por los usuarios dentro del marco de la seguridad de la información.

==== Alcance ====

Aplica en toda la organización y sus correspondientes filiales, así como incluye a cada uno de los usuarios de los sistemas de información.

==== Lineamientos ====

**1.**	La información de la organización debe ser clasificada de acuerdo con la estimación de confidencialidad, integridad, disponibilidad y requerimientos legales que la misma pueda tener (Ver Anexo ____ Clasificación de la Información).

**2.**	Cada año se deberá elegir al Oficial y/o líder en seguridad de la información para la organización.

**3.**	Es responsabilidad de gerencia gestionar los controles de acceso de los usuarios, propendiendo por reducir el fraude, robo de información, uso mal intencionado de la misma y el error humano.

**4.**	Los accesos otorgados a los colaboradores deben partir tanto de la clasificación de la información, como de la gestión que deben realizar desde el cargo y rol desempeñado en la organización.

**5.**	Es responsabilidad de todos los colaboradores según su cargo y responsabilidades, administrar y gestionar la información a la cual tiene acceso para el desarrollo de su trabajo, según su clasificación. 

**6.**	Los empleados deben informar inmediatamente cualquier actividad sospechosa o violación de la seguridad al oficial de protección de datos personales. 

**7.**	Es responsabilidad de gerencia diseñar los controles orientados a prevenir los accesos físicos no autorizados, la seguridad ambiental y el acceso a dispositivos móviles.

**8.**	Cada año se realizarán pruebas de acceso para la información con mayor nivel de criticidad, validando los controles implementados, por expertos externos.

**9.**	Es responsabilidad de gerencia realizar la divulgación de la presente política a nivel interno, dado que cualquier violación frente a la seguridad de la información por parte de los usuarios puede causar una sanción externa por parte de los entes de control y/o de los dueños de esta. 

**10.**	Los colaboradores deben usar los recursos de la empresa de manera responsable y exclusivamente para fines empresariales.

**11.**	Las contraseñas utilizadas deben ser robustas, mantenerse en secreto y cambiarse regularmente. 

**12.**	Los terceros que accedan a la RED de la organización deben suscribir un acuerdo de aceptación tanto de la presenten política como de los procedimientos que regulan la seguridad de la información, así como cualquier incumplimiento de estos puede tener efectos legales en el desarrollo de contratos y/o convenios.

**13.**	Anualmente, se debe considerar un entrenamiento a los colaboradores sobre la seguridad de la información, que incluya tanto las políticas y procedimientos, así como la regulación externa, entre otros. 

**14.**	Cualquier cambio en los sistemas de información, debe considerar el riesgo de seguridad que los mismos pueden presentar y por tanto siempre deberá desarrollarse un plan para gestionar tanto el riesgo de seguridad, como de cumplimiento legal.  

**15.**	El plan de continuidad de la organización debe incluir dentro de su plan la gestión y seguridad de la información.

**16.**	El retiro temporal o permanente de un usuario son causal de la suspensión temporal y/o permanente según corresponda de los accesos otorgados a los usuarios. 

**17.**	Los equipos de uso para los colaboradores tanto fijos como móviles que contengan información, deberán contar con un procedimiento para retirar su información, una vez el colaborador es retirado y/o trasladado del área.

**18.**	Toda información sensible y software critico de la empresa residente en los recursos informáticos, se le debe hacer backup con la frecuencia necesaria soportada por el procedimiento de las copias de respaldo. Se deben hacer pruebas periódicas para garantizar el buen estado de la información almacenada.

**19.**	El incumplimiento de la presente política por parte de los colaboradores es causal para iniciar un proceso disciplinario, que puede inclusive terminar en el despido con justa causa.

**20.**	Los trabajadores deben racionalizar el uso del internet para fines personales no-laborales, se prohíbe el uso del internet en ecosistema no seguros. 

**21.**	Con el fin de proteger la seguridad, los equipos de computo deben quedar apagados cada vez que no haya presencia de funcionarios en la oficina durante la noche. 

**22.**	Cualquier incidente con el manejo de la información que un usuario identifique y/o observe en el desarrollo de su trabajo debe reportarlo a gerencia@rfsinergia.com o al número 316 875 72 55.

**23.**	Cualquier duda de interpretación de la presente política debe ser resuelta por la gerencia.


==== Anexo - Clasificación de la Información ====


^  Clasificación  ^  Definición                                          ^  Tipo de información                                                                 ^
|  Confidencial   |  Acceso solo a miembros específicos según su rol     |  Información personal (salud, datos de contacto, datos bancarios, financieros)       |
| :::             | :::                                                  | :::                                                                                  |
| :::             | :::                                                  |                                                                                  ::: |
| :::             | :::                                                  | :::                                                                                  |
| :::             | :::                                                  | :::                                                                                  |
| :::             | :::                                                  | :::                                                                                  |
| :::             | :::                                                  | :::                                                                                  |
|  Restringido    |  Acceso solo a miembros específicos según su rol     |  Información estratégica financiera, formulas, base de clientes, datos de contacto.  |
| :::             | :::                                                  |                                                                                  ::: |
| :::             | :::                                                  | :::                                                                                  |
| :::             | :::                                                  | :::                                                                                  |
| :::             | :::                                                  | :::                                                                                  |
| :::             | :::                                                  | :::                                                                                  |
| :::             | :::                                                  | :::                                                                                  |
| :::             | :::                                                  | :::                                                                                  |
|  Uso Interno    |  Acceso a todos los miembros de un área y/o proceso  |  Correspondencia interna, documentos de los Comité.                                  |
| :::             | :::                                                  |                                                                                  ::: |
| :::             | :::                                                  | :::                                                                                  |
| :::             | :::                                                  | :::                                                                                  |
| :::             | :::                                                  | :::                                                                                  |
| :::             | :::                                                  | :::                                                                                  |
| :::             | :::                                                  | :::                                                                                  |
|  Publica        |  Acceso a todo el público                            |  Reglamentos, normas, página web                                                     |
| :::             | :::                                                  |                                                                                  ::: |
| :::             | :::                                                  | :::                                                                                  |
| :::             | :::                                                  | :::                                                                                  |
| :::             | :::                                                  | :::                                                                                  |
| :::             | :::                                                  | :::                                                                                  |
| :::             | :::                                                  | :::                                                                                  |