Skip to main content

PO-SDI-001 - Política de Seguridad de la Información (1)

Page 1

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE INFORMACIÓN

POLÍTICA

GENERAL DE SEGURIDAD DE LA INFORMACIÓN

UX TECHNOLOGY S.A.S

VERSIÓN: 7

CÓDIGO: PO-SDI-001

FECHA EMISIÓN: 13/03/2024

FECHA ACTUALIZACIÓN: 12/02/2026

PROCESO: SEGURIDAD DE LA INFORMACIÓN Y CIBERSEGURIDAD

1. INTRODUCCIÓN

GENERAL DE SEGURIDAD DE LA INFORMACIÓN

Versión 6

Fecha Emisión 13/03/2024

Fecha Actualización 12/02/2026

Página Página 3 de 11

En UX TECHNOLOGY S.A.S, reconocemos la importancia crítica de la seguridad de la información para nuestras operaciones y la confianza de nuestros clientes y socios. Esta política establece las bases para nuestro SGSI, alineado con las mejores prácticas y normativas internacionales.

2. OBJETIVO

Establecer el compromiso, los principios y directrices para la gestión adecuada de la seguridad de la información, la gestión de riesgos, la gestión de amenazas e incidentes de seguridad en UX TECHNOLOGY S.A.S., asegurando la confidencialidad, integridad y disponibilidad de los activos, y de la información gestionada y procesada en nuestras plataformas y servicios tecnológicos, y el cumplimiento de los requisitos legales aplicables y normativas vigentes.

3. OBJETIVOS DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN

• Asegurar la confidencialidad, integridad y disponibilidad de los recursos clave mediante la implementación de controles y medidas de protección en todos los niveles, garantizando así la adecuada protección de los activos de información.

• Identificar, evaluar y tratar proactivamente las amenazas y vulnerabilidades, estableciendo controles y políticas que minimicen los riesgos asociados a la seguridad de la información, asegurando una correcta gestión de riesgos.

• Garantizar una respuesta oportuna y efectiva ante eventos de seguridad, permitiendo una rápida recuperación y asegurando la trazabilidad y continuidad operativa mediante una adecuada gestión de incidentes de seguridad de la información.

• Fomentar una cultura de seguridad a través de la formación y sensibilización continua del personal, promoviendo que todos actúen de manera alineada con las políticas y procedimientos establecidos, fortaleciendo así la concientización organizacional.

• Asegurar que el Sistema de Gestión de Seguridad de la Información (SGSI) cumpla con todas las normativas y leyes aplicables, manteniendo la credibilidad organizacional y mitigando posibles sanciones a través del correcto cumplimiento de los requisitos legales.

GENERAL DE SEGURIDAD DE LA INFORMACIÓN

4. ALCANCE

Versión 6

Fecha Emisión 13/03/2024

Fecha Actualización 12/02/2026

Página Página 4 de 11

Abarca todas las actividades, procesos y activos de información relacionados con la prestación de servicios de infraestructura tecnológica para el diseño, desarrollo, implementación, soporte y mantenimiento de soluciones de software. Esto incluye, pero no se limita a, la protección de datos de clientes, código fuente, documentación técnica, infraestructura de servidores y redes, información financiera y de recursos humanos, así como cualquier otro activo de información que sea utilizado o generado en el desarrollo de nuestras actividades misionales. Esta política se aplica a todos los empleados, contratistas y terceros que tengan acceso a los activos de información de la empresa, y es de cumplimiento obligatorio en todas las instalaciones y ubicaciones donde se realicen actividades relacionadas con el alcance definido.

5. NORMATIVIDAD APLICABLE

• ISO/IEC 27001:2022: Estándar internacional que establece los requisitos para la implementación, mantenimiento y mejora continua de un Sistema de Gestión de la Seguridad de la Información.

• ISO/IEC 27001:2022/AMD 1:2024: Introduce modificaciones y mejoras significativas con respecto al cambio climático, reflejando la problemática actual de los recursos ambientales y los desafíos que se presentan en este ámbito en torno a la seguridad de la información.

6. TÉRMINOS Y DEFINICIONES

ACTIVO

ACTIVO DE INFORMACIÓN

ACTIVO PRIMARIO

ACTIVO DE SOPORTE

ACTOR DE AMENAZA

Cualquier cosa que tenga valor para la organización, incluyendo información, equipos, instalaciones, personal y otros recursos.

Información que tiene valor para la organización y que debe ser protegida.

Activo que es esencial para la operación continua de la organización.

Activo que no es esencial para la operación continua de la organización, pero cuya pérdida o deterioro afectaría significativamente la operación.

Cualquier entidad que pueda causar daño a la organización o a sus activos.

AMENAZA

CAMBIO CLIMÁTICO

CIBERSEGURIDAD

CONFIDENCIALIDAD

DISPONIBILIDAD

INCIDENTE DE SEGURIDAD

INTEGRIDAD

MEDIO AMBIENTE

NO REPUDIO

SGSI (SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN

SEGURIDAD DE LA INFORMACIÓN

VULNERABILIDAD

GENERAL DE SEGURIDAD DE LA INFORMACIÓN

Versión 6

Fecha Emisión 13/03/2024

Fecha Actualización 12/02/2026

Página Página 5 de 11

Cualquier evento o acción que puede causar daño a la organización o a sus activos.

Cambio a largo plazo en las temperaturas y patrones climáticos de la Tierra, generalmente atribuido a actividades humanas.

Protección de sistemas, redes y datos contra ataques, daños o acceso no autorizado.

Asegurar que la información solo esté accesible a quienes tienen autorización.

Asegurar que la información y los recursos estén accesibles a quienes los necesiten.

Evento que compromete la seguridad de la información.

Salvaguardar la exactitud y completitud de la información.

Conjunto de condiciones físicas, químicas, biológicas y sociales que afectan a un organismo o a una población.

Garantía de que alguien no puede negar la validez de su firma o de un mensaje que ha enviado.

Conjunto de políticas y procedimientos que una organización implementa para gestionar y proteger su información.

Protección de la información contra el uso no autorizado, acceso, divulgación, interrupción, modificación o destrucción.

Falta de protección que puede ser explotada por una amenaza para causar daño a la organización o a sus activos.

7. POLÍTICA GENERAL

Establecer los principios y directrices fundamentales para gestionar de manera integral la seguridad de la información en UX TECHNOLOGY S.A.S. Comprometernos a proteger tanto los activos tecnológicos como los activos de información, en todas sus formas, y asegurar la confidencialidad, integridad y disponibilidad de los datos gestionados y procesados en nuestras plataformas y servicios, cumplir esta y demás políticas, lineamientos y procedimientos de Seguridad de la Información y Ciberseguridad. Garantizar operaciones seguras, confiables y resilientes frente a amenazas internas y externas. Gestionar los riesgos eventos e incidentes de seguridad de manera proactiva respondiendo a ellos de manera eficiente, y fomentar la concientización continua de todos los colaboradores y partes

GENERAL DE SEGURIDAD DE LA INFORMACIÓN

Versión 6

Fecha Emisión 13/03/2024

Fecha Actualización 12/02/2026

Página Página 6 de 11

interesadas. Cumplir las leyes, normativas y regulaciones vigentes, promover una cultura de seguridad que impulse la mejora continua del SGSI y de nuestros procesos.

8. LINEAMIENTOS GENERALES

A través de políticas o procedimientos se debe garantizar:

8.1. Protección de Información y Datos Personales

Implementar medidas de cifrado y control de acceso para proteger los datos personales de colaboradores, clientes y socios. Gestionar los accesos privilegiados de manera adecuada y procurar el principio de mínimo privilegio en el acceso a los recursos de la organización

Instaurar medidas para prevenir la fuga de información

8.2. Gestión de Acceso

Gestionar las credenciales de acceso y contraseñas de manera adecuada implementando políticas y lineamientos que garanticen su uso adecuado

8.3. Gestión de Incidentes de Seguridad

Establecer un plan de respuesta a incidentes que incluya procedimientos para la detección, reporte, y manejo de incidentes de seguridad.

8.4. Gestión de Inteligencia de Amenazas

Implementar un sistema de monitoreo continuo para identificar y avaluar amenazas emergentes.

8.5. Gestión de Proyectos

Integrar controles de seguridad desde la planificación hasta la ejecución y cierre del proyecto.

8.6. Continuidad de Negocio y Seguridad Durante la Interrupción

Desarrollar y mantener planes de continuidad que aseguren la disponibilidad de los servicios críticos

8.7. Desarrollo de Software

Establecer una política que delinee los principios de desarrollo seguro y las mejoras prácticas que permitan producir un software de alta calidad en el menor tiempo posible.

8.8. Acceso a la Red

Establecer una política que permita una navegación segura, controlada a través de perfiles que garantice el acceso a los recursos que el colaborador necesita sin que entorpezca su labor.

GENERAL DE SEGURIDAD DE LA INFORMACIÓN

8.9. Uso Aceptable y Gestión de Activos

Versión 6

Fecha Emisión 13/03/2024

Fecha Actualización 12/02/2026

Página Página 7 de 11

Establecer un inventario actualizado de todos los activos de información, asegurando su correcta gestión, control y protección incluyendo su mantenimiento.

8.10. Escritorio y Pantalla Limpia

Implementar una política de escritorio y pantalla limpia para proteger la información sensible y evitar accesos no autorizados.

8.11. Seguridad para Proveedores (Terceros)

Garantizar que todos los proveedores cumplan con los estándares de seguridad establecidos, incluyendo la firma de acuerdos de confidencialidad

8.12. Gestión del Cambio

Implementar procedimientos que aseguren una transición ordenada y controlada durante los cambios organizacionales (Instalaciones de procesamiento de Información y los sistemas de Información), minimizando el impacto en las operaciones y garantizando la continuidad de negocio.

8.13. Respaldo de la Información

Utilizar los medios de almacenamiento autorizados por UX TECHNOLOGY S.A.S para el almacenamiento y respaldo de información, evitando el almacenamiento local para minimizar riesgos de seguridad, como pérdida de datos o accesos no autorizados.

8.14. Auditorías y Evaluaciones

Realizar auditorías internas y externas periódicas para evaluar la efectividad de los controles de seguridad implementados.

8.15. Cumplimiento Normativo

Asegurar el cumplimiento continuo con todas las normativas legales y regulaciones aplicables a la seguridad de la información y las políticas y procedimientos internos

8.16. Innovación y Mejora Continua

Promover la adopción de nuevas tecnologías y prácticas para mejorar la seguridad de la información y el SGSI. Uso responsable y con seguridad de herramientas de inteligencia artificial IA generativa basada en modelos de lenguaje (LLM – Large Language Models)

8.17. Medio Ambiente y Cambio Climático

Reconocer la importancia de proteger el medio ambiente y promover la sostenibilidad en todas nuestras operaciones. Integrar prácticas sostenibles en nuestro Sistema de Gestión de Seguridad de la Información (SGSI), asegurando que nuestras actividades no solo cumplan con los requisitos de seguridad de la información, sino que también minimicen el impacto

GENERAL DE SEGURIDAD DE LA INFORMACIÓN

Versión 6

Fecha Emisión 13/03/2024

Fecha Actualización 12/02/2026

Página Página 8 de 11

ambiental. Esto incluye la implementación de tecnologías eficientes en el uso de energía, la reducción de residuos y la promoción de una cultura de sostenibilidad entre nuestros empleados y partes interesadas. Nos esforzamos por cumplir con las normativas ambientales aplicables y mejorar continuamente nuestros procesos para contribuir a un futuro más sostenible.

8.18. Concienciación y Formación

Realizar capacitaciones periódicas, difundir boletines informativos, implementar campañas de concienciación y evaluar el conocimiento de los empleados para asegurar que todos comprendan y apliquen las mejores prácticas de seguridad de la información.

9. POLÍTICAS ESPECÍFICAS

Dominio: Organización

• PO-SDI-001 - Política de Seguridad de la Información

• DC-SDI-002 - Manual del Sistema de Gestión de Seguridad de la Información. * Documento.

• PO-SDI-007 - Política de Clasificación de Información.

• PO-SDI-008 - Política de Eliminación y Destrucción de Activos de Información.

• PO-SDI-020 - Política de Tratamiento de Datos Personales.

Dominio: Talento Humano

• PO-SDI-005 - Política de Uso Aceptable de los Activos.

• PO-SDI-009 - Política de Gestión de Activos.

• PO-SDI-018 - Política de Control y Seguimiento a Planes de Acción Internos y Externos.

• PO-SDI-019 - Política de Trabajo Remoto.

Dominio: Seguridad Física

• PO-SDI-002 - Política de Control de Acceso.

• PO-SDI-003 - Política de Escritorio y Pantalla Limpia

• PO-SDI-006 - Política de Seguridad para Proveedores.

• PO-SDI-011 - Política de Acceso a la Red.

• PO-SDI-013 - Política de Renovación de Equipos.

Dominio: Tecnología

Código

PO-SDI-001 POLÍTICA Versión 6

GENERAL DE SEGURIDAD DE LA INFORMACIÓN

• PO-SDI-004 - Política de Respaldo de la Información.

• PO-SDI-010 - Política de Desarrollo Seguro.

• PO-SDI-012 - Política de Manejo de Código Fuente.

Fecha Emisión 13/03/2024

Fecha Actualización 12/02/2026

Página Página 9 de 11

• PO-SDI-014 - Política de Transferencia de la Información.

• PO-SDI-015 - Política de Gestión de Registros de Sistemas de Información.

• PO-SDI-016 - Política de Uso Controles Criptográficos.

• PO-SDI-017 - Política de Dispositivos Móviles.

10. ROLES

• Dirección de Seguridad de la Información y Ciberseguridad: Supervisar y gestionar el SGSI.

• Funcionarios y Terceros: Cumplir con todas las políticas de seguridad y reportar incidentes.

• Propietarios o Dueños de la Información: Gestionar y clasificar adecuadamente la información que está bajo su control.

11. CUMPLIMIENTO

Todos los colaboradores y terceros que accedan a los sistemas de información de UX TECHNOLOGY S.A.S deben cumplir con esta política y las políticas específicas establecidas. El incumplimiento puede resultar en medidas disciplinarias y/o acciones legales.

12.

EXCEPCIONES A LAS DIRECTRICES DE LAS POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN

Debido al cumplimiento de los objetivos laborales se pueden presentar actividades que por su naturaleza se deban realizar como excepciones a las diferentes Políticas de Seguridad de la Información; para ser llevadas a cabo y dependiendo de su naturaleza y alcance se deberán cumplir los siguientes lineamientos:

• Quien requiera una excepción, genera la solicitud formal a la Mesa de Servicio mediante la herramienta de Gestión de Casos donde se explique de manera clara y precisa del por qué se debe llevar a cabo la acción o permiso solicitado.

GENERAL DE SEGURIDAD DE LA INFORMACIÓN

Versión 6

Fecha Emisión 13/03/2024

Fecha Actualización 12/02/2026

Página Página 10 de 11

• La Mesa de Servicio escala el caso al área de Seguridad de la información y Ciberseguridad quien evalúa dicha solicitud y registra la solicitud en FR-SDI-002 - Formato Registro de Excepciones de Seguridad de la Información. Dependiendo de la criticidad de esta se escala el caso al Comité de Cambios y/o Comité Primario.

• Una vez se tenga el aval se escala el caso al área de Seguridad de Plataformas, quienes proceden a realizar la acción solicitada y se procede al cierre del caso.

• Si es caso, se elaborará un documento en el cual se consoliden los acuerdos bajo los cuales se realizará la excepción y el asumir las responsabilidades que la misma conlleva.

13. NOTIFICACIÓN DE INCIDENTES

Todos los incidentes de seguridad deben ser reportados inmediatamente al equipo de Ciberseguridad y/o Seguridad de la Información y Seguridad de Plataformas a través de los canales establecidos. El equipo de seguridad evaluará el incidente y tomará las acciones correctivas necesarias.

14. CONTROL DE CAMBIOS

VERSIÓN DESCRIPCIÓN DE LA ACTUALIZACIÓN FECHA DE APLICACIÓN

NOMBRE Y CARGO DE QUIÉN REALIZA LA ACTUALIZACIÓN

0 Versión Inicial, aprobación y socialización del documento 13/03/2024 Giovanni Roncancio Rodríguez / Analista de Ciberseguridad Senior

1 Se modifican el punto objetivo del SGSI y se mapean dichos objetivos según lo definido en el documento DC-SDI-002 MANUAL DEL SGSI en su punto 3 Objetivos del SGSI.

23/10/2024 Jose Acevedo / Analista Seguridad de la Información

GENERAL DE SEGURIDAD DE LA INFORMACIÓN

2 Cambio del alcance por “Esta política tiene como alcance la seguridad de la información para el diseño, desarrollo, implementación y mantenimiento de soluciones de software, prestación de servicios de infraestructura tecnológica y gestión de operaciones informáticas”.Reestructuraciónpunto7.Política General.

3 Se adecua el alcance y los objetivos de la Política del Sistema de Gestión de Seguridad de la Información (SGSI).

4 Se adicionan las políticas PO-SDI-016 y PO-SDI-017. Numeral 9.

5 Cambio y adición en el objetivo de la política, objetivos del SGSI y la política general.

6 Adición de los logos de ICONTEC e IQNET. Adición en lineamientos generales un apartado referido a: Compromiso profesional con la protección de activos Inclusión de campo “Fecha actualización” en encabezado y cambio de etiqueta “Fecha” por “Fecha de emisión en encabezado”.

7

Adición del texto: Uso responsable y con seguridad de herramientas de inteligencia artificial IA generativa basada en modelos de lenguaje (LLM – Large Language Models) al punto 8.16 Innovación tecnológica.

Versión 6

Fecha Emisión 13/03/2024

Fecha Actualización 12/02/2026

Página Página 11 de 11

19/12/2024

07/02/2025

12/02/2025

Giovanni Roncancio Rodríguez/ Analista de Ciberseguridad Senior

Giovanni Roncancio Rodríguez/ Analista de Ciberseguridad Senior

Giovanni Roncancio Rodríguez/ Analista de Ciberseguridad Senior

20/03/2025 Giovanni Roncancio Rodríguez/ Analista de Ciberseguridad Senior

12/06/2025

12/02/2026

Giovanni Roncancio Rodríguez/ Analista de Ciberseguridad Senior

Giovanni Roncancio Rodríguez/ Analista de Ciberseguridad Senior

Elaborado por Revisado por Aprobado por

Nombre: GIOVANNI RONCANCIO RODRÍGUEZ

Cargo: Analista de Ciberseguridad Senior

Fecha: 13/03/2024

Nombre: SERGIO ANDRÉS PÉREZ

Cargo: Director de Seguridad de la Información y Ciberseguridad

Fecha: 13/03/2024

Nombre: SERGIO ANDRÉS PÉREZ Gerente General

Fecha: 15/02/2026

Turn static files into dynamic content formats.

Create a flipbook
Issuu converts static files into: and more. Sign up and create your flipbook.