Pol铆ticas

De Seguridad y Privacidad

INTRODUCCI脫N

La Corporaci贸n Programa de Desarrollo para La Paz 鈥揚rodepaz, consciente de la importancia de definir controles para preservar la confidencialidad, integridad y disponibilidad de la informaci贸n que se gestiona en los procesos y a trav茅s de los procedimientos, debe aplicar pol铆ticas de seguridad que minimicen los riesgos que amenacen y vulneren la informaci贸n de la corporaci贸n.

En este documento, se plantean pol铆ticas que, alineadas con los objetivos misionales de la Entidad, permitir谩n dar lineamientos que protejan y resguarden la informaci贸n que tiene la corporaci贸n, donde colaboradores, contratistas, proveedores y terceros juegan un papel importante y vital en la conservaci贸n.

De acuerdo a lo anterior, para la Direcci贸n Ejecutiva de la Corporaci贸n Prodepaz, es importante establecer un marco de confianza en el ejercicio de sus deberes con el Estado y los ciudadanos, todo enmarcado en el estricto cumplimiento de las leyes y en concordancia con la misi贸n y visi贸n de la corporaci贸n; para ello, se ha planteado la necesidad de construir un Manual de Pol铆tica de Seguridad y Privacidad de la Informaci贸n, que est茅 adaptada a las condiciones espec铆ficas y particulares de la Entidad, seg煤n corresponda, para que sea aprobada y guiada por la Direcci贸n Ejecutiva.

De esta forma, una buena pol铆tica es concisa, f谩cil de leer y comprender, flexible y f谩cil de hacer cumplir para todos aquellos dentro del alcance sin excepci贸n. Son cortas, y enmarcan los principios que gu铆an las actividades dentro de la corporaci贸n.

CAPITULO I. DISPOSICIONES GENERALES

Art铆culo 1潞 Objeto. El presente manual tiene como objeto adoptar la Pol铆tica de Seguridad y Privacidad de la Informaci贸n de la Corporaci贸n Programa de Desarrollo para la Paz (Prodepaz), las Pol铆ticas Generales de Manejo, busca definir los lineamientos frente a su uso y manejo.

Art铆culo 2潞 Pol铆tica de Seguridad y Privacidad de la Informaci贸n. La Corporaci贸n Prodepaz, protege, preserva y administra la integridad, confidencialidad, disponibilidad y autenticidad de la informaci贸n, en cumplimiento de los requisitos legales y reglamentarios. La entidad previene incidentes, mediante la gesti贸n de riesgos integrales en seguridad y privacidad de la informaci贸n, con la implementaci贸n de controles de seguridad f铆sicos y digitales, orientados a la mejora continua en la gesti贸n y el alto desempe帽o del Sistema de Gesti贸n de Seguridad de la Informaci贸n, con la finalidad de prestar servicios con calidad y transparencia a las comunidades colombianas en donde tiene incidencia la corporaci贸n.

Art铆culo 3潞 脕mbito de Aplicaci贸n. La Pol铆tica de Seguridad y Privacidad de la Informaci贸n, y las Pol铆ticas Generales de Manejo aplica d贸nde la Corporaci贸n Prodepaz tenga presencia o desarrolle su acompa帽amiento a trav茅s de la recolecci贸n, procesamiento, almacenamiento, recuperaci贸n, intercambio y consulta de informaci贸n, en el desarrollo de la misi贸n institucional y cumplimiento de sus objetivos estrat茅gicos.

Art铆culo 4潞 Objetivos. La Pol铆tica de Seguridad y Privacidad de la Informaci贸n, tendr谩 los siguientes objetivos:

  1. Brindar mecanismos de aseguramiento para el cumplimiento de la confidencialidad, integridad, disponibilidad, legalidad y confiabilidad de la informaci贸n de la Corporaci贸n Prodepaz.
  2. Mitigar los incidentes de Seguridad en la Corporaci贸n Prodepaz.
  3. Gestionar los riesgos de seguridad y privacidad de la informaci贸n de la Corporaci贸n Prodepaz.
  4. Establecer los lineamientos necesarios para el manejo de la informaci贸n y los recursos tecnol贸gicos de la Corporaci贸n Prodepaz.

CAP脥TULO II POL脥TICAS GENERALES DE MANEJO DE INFORMACI脫N

Art铆culo 5潞 Privacidad y Tratamiento de la Informaci贸n. Para el tratamiento de la informaci贸n de las comunidades a las cuales se les presta el acompa帽amiento por parte de la Corporaci贸n Prodepaz, as铆 como la informaci贸n de los colaboradores, contratistas y practicantes que participan en el desarrollo de las funciones, la Corporaci贸n Prodepaz se cuenta con el 芦Manual de Pol铆tica de Tratamiento de Datos Personales禄, dando cumplimiento con lo dispuesto en la Ley 1581 de 2012, reglamentada por el Cap铆tulo 25 del T铆tulo 2 de la Parte 2 del Libro 2 del Decreto 1074 de 2015, y las dem谩s normas externas que los modifiquen, adicionen o complementen.

Art铆culo 6. Pol铆tica de Seguridad de los Recursos Humanos. Prodepaz, a trav茅s de la Direcci贸n Ejecutiva, debe propender para que los colaboradores, contratistas y terceros que contraten con la Entidad, entiendan sus responsabilidades frente a la seguridad de la informaci贸n con el fin de reducir el riesgo de robo, fraude, mal uso de las instalaciones y medios, asegurando la confidencialidad, disponibilidad e integridad de informaci贸n.

Par谩grafo. Prodepaz tiene incluido en las minutas de los contratos, cualquiera que sea su modalidad, las cl谩usulas u obligaciones correspondientes al eje de Seguridad de la Informaci贸n, con el fin de reducir el riesgo de robo, fraude, mal uso de las instalaciones y medios, asegurando la confidencialidad, disponibilidad e integridad de informaci贸n.

Art铆culo 7. Pol铆tica de Gesti贸n de Activos de Informaci贸n. Prodepaz, a trav茅s del proceso de Gesti贸n del Conocimiento, establecer谩 y divulgar谩 los lineamientos espec铆ficos para la identificaci贸n, clasificaci贸n y buen uso de los activos de informaci贸n, con el objetivo de garantizar su protecci贸n.

a.聽聽聽 Inventario de Activos de Informaci贸n. Los activos informaci贸n de Prodepaz deben ser identificados, clasificados y controlados para garantizar su uso adecuado, protecci贸n y la recuperaci贸n ante desastres. Por tal motivo, se debe llevar el inventario de los activos de informaci贸n de propiedad de la organizaci贸n.

Con el objetivo de establecer los controles de seguridad f铆sicos y digitales, el proceso corporativo que tiene la custodia de la informaci贸n generada en el marco de su funci贸n se encargar谩 de proteger la informaci贸n, mantener y actualizar el inventario de activos de informaci贸n relacionado con聽 sus servicios (informaci贸n, software, hardware y recurso humano).

b.聽聽 Archivos de Gesti贸n Documental. La Direcci贸n Ejecutiva a trav茅s del proceso de Gesti贸n del Conocimiento, deber谩 implementar los controles necesarios para que los archivos de gesti贸n documental cuenten con los mecanismos de seguridad, con el fin de proteger y conservar la confidencialidad, integridad y disponibilidad de la informaci贸n de Prodepaz.

Art铆culo 8. Responsabilidades de los empleados, colaboradores, contratistas y terceros frente al uso de los Recursos Tecnol贸gicos. Todo colaborador, contratista y tercero que haga uso de los activos de informaci贸n de Prodepaz, tienen la responsabilidad de cumplir las pol铆ticas establecidas para su uso aceptable, entendiendo que el uso no adecuado de los recursos, pone en riesgo el cumplimiento del objeto misional.

a.聽聽聽 Del uso del correo electr贸nico. El servicio de correo electr贸nico institucional es una herramienta de apoyo a las funciones y responsabilidades de los colaboradores, contratistas y terceros de Prodepaz, con los siguientes lineamientos:

1.聽聽聽 El servicio de correo electr贸nico institucional debe ser empleado 煤nicamente para enviar y recibir mensajes de car谩cter institucional. En consecuencia, no puede ser utilizado con fines personales, econ贸micos, comerciales y/o cualquier otro, ajeno a los prop贸sitos de la Entidad.

2.聽聽聽 En cumplimiento de la iniciativa institucional del uso aceptable del papel y la eficiencia administrativa, se debe preferir el uso del correo electr贸nico al env铆o de documentos f铆sicos, siempre que la ley lo permita.

3.聽聽聽 Los mensajes de correo est谩n respaldados por la Ley 527 de 1999, la cual establece la legalidad de los mensajes de datos y las implicaciones legales que conlleva el mal uso de estos.

4.聽聽聽 El proceso de Gesti贸n del Conocimiento deber谩 implementar herramientas tecnol贸gicas que prevengan la p茅rdida o fuga de informaci贸n de car谩cter reservada o clasificada.

5.聽聽聽 Est谩 prohibido el env铆o de correos masivos (m谩s de 150 destinatarios), salvo a trav茅s de la Direcci贸n Ejecutiva, proceso de Comunicaciones y proceso de Gesti贸n Humana.

6.聽聽聽 Todo mensaje sospechoso respecto de su remitente o contenido, debe ser inmediatamente reportado a la Direcci贸n Ejecutiva, a trav茅s del proceso de Gesti贸n del Conocimiento, como incidente de seguridad, seg煤n procedimiento establecido y proceder de acuerdo a las indicaciones de dicha direcci贸n; lo anterior, debido a que puede ser contenido de virus, en especial si contiene archivos adjuntos con extensiones. Exe., bat, pif o tenga explicitas referencias no relacionadas con la misi贸n de la Entidad (como, por ejemplo: contenidos er贸ticos, alusiones a personajes famosos).

7.聽聽聽 La cuenta de correo institucional no debe ser revelada en p谩ginas o sitios publicitarios, de comercio electr贸nico, deportivos, agencias matrimoniales, casinos, o cualquier otra ajena a los fines de la entidad.

8.聽聽聽 Est谩 expresamente prohibido el uso del correo para la transferencia de contenidos insultantes, ofensivos, injuriosos, obscenos, violatorios de los derechos de autor y/o que atenten contra la integridad moral de las personas o instituciones.

9.聽聽聽 Est谩 expresamente prohibido distribuir informaci贸n de Prodepaz, a otras entidades o ciudadanos sin la debida autorizaci贸n del Director Ejecutivo, previa revisi贸n del proceso de Gesti贸n del Conocimiento en caso de comunicados.

10. El cifrado de los mensajes de correo electr贸nico institucional ser谩 necesario siempre que la informaci贸n transmitida est茅 catalogada como clasificada o reservada en el inventario de activos de informaci贸n o en el marco de la Ley Colombiana Vigente.

11. Est谩 expresamente prohibido distribuir, copiar, reenviar informaci贸n de Prodepaz a trav茅s de correos personales o sitios web diferentes a los autorizados en el marco de sus funciones u obligaciones contractuales.

12. El 煤nico servicio de correo electr贸nico autorizado para el manejo o transmisi贸n de la informaci贸n institucional en la Entidad es el asignado por el proceso de sistemas y que cuenta con el dominio @prodepaz.org, el cual cumple con todos los requerimientos t茅cnicos y de seguridad, evitando ataques de virus.

13. Prodepaz se reserva el derecho de monitorear los accesos y el uso de los buzones de correo institucional, de todos sus colaboradores, contratistas y terceros, adem谩s podr谩 realizar copias de seguridad en cualquier momento sin previo aviso, as铆 como limitar el acceso temporal o definitivo, por solicitud expresa de la Direcci贸n Ejecutiva, as铆 como a todos los servicios y acceso a sistemas de informaci贸n de la Entidad o de terceros.

b.聽聽聽 Del uso de Internet. La Direcci贸n Ejecutiva, a trav茅s del asesor de sistemas, establecer谩 pol铆ticas de navegaci贸n basadas en categor铆as y niveles de usuario por jerarqu铆a y funciones, las cuales deber谩n ser implementadas por colaboradores, contratistas y terceros que contraten con Prodepaz. Adem谩s, tendr谩n como responsabilidad, entre otras, las siguientes:

1.聽聽聽 El uso del servicio de internet est谩 limitado exclusivamente para prop贸sitos laborales, contractuales e institucionales.

2.聽聽聽 Los servicios a los que un determinado usuario pueda acceder en internet depender谩n del rol, obligaciones contractuales o funciones que desempe帽a en Prodepaz y para las cuales est茅 formal y expresamente autorizado.

3.聽聽聽 Todo usuario es responsable de informar al Proceso de sistemas, los contenidos o acceso a servicios que no le est茅n autorizados y/o no corresponden a sus funciones u obligaciones dentro de Prodepaz.

4.聽聽聽 Est谩 expresamente prohibido el env铆o, descarga y visualizaci贸n de p谩ginas con contenido insultante, ofensivo, injurioso, obsceno, violatorio de los derechos de autor y/o que atenten contra la integridad moral de las personas o instituciones.

5.聽聽聽 Est谩 expresamente prohibido el acceso a p谩ginas web, portales, sitios web y aplicaciones web que no hayan sido autorizadas por Prodepaz, a trav茅s de la pol铆tica de navegaci贸n.

6.聽聽聽 Est谩 expresamente prohibido el env铆o y descarga de cualquier tipo de software o archivos de fuentes externas, y de procedencia desconocida.

7.聽聽聽 Esta expresamente prohibida la propagaci贸n de virus o cualquier tipo de c贸digo malicioso.

8.聽聽聽 Prodepaz se reserva el derecho de monitorear los accesos y el uso del servicio de internet de todos sus empleados, colaboradores, contratistas y terceros, adem谩s de limitar el acceso a determinadas p谩ginas de internet, los honorarios de conexi贸n, los servicios ofrecidos por la red, la descarga de archivos y cualquier otro ajeno a los fines de Prodepaz.

C.聽聽聽 Del Uso de los Recursos Tecnol贸gicos. Los recursos tecnol贸gicos de Prodepaz, son herramientas de apoyo a las labores, obligaciones y responsabilidades de colaboradores, contratistas y terceros; por ello, su uso est谩 sujeto a las siguientes directrices:

1.聽聽聽 Los bienes de computo se emplear谩n de manera exclusiva y bajo la completa responsabilidad por los colaboradores, contratistas y terceros al cual han sido asignados, 煤nicamente para el desempe帽o de las funciones del cargo o las obligaciones contractuales pactadas.

2.聽聽聽 En caso de que los colaboradores, contratistas y terceros deban hacer uso de equipos ajenos a Prodepaz, estos deber谩n cumplir con la legalidad del software instalado, antivirus licenciado, actualizado y solo podr谩 conectarse a la red de Prodepaz, una vez est茅 avalado por el proceso de sistemas.

3.聽聽聽 Es responsabilidad de los colaboradores, contratistas y terceros mantener copias de seguridad de la informaci贸n contenida en sus estaciones de trabajo y entregarlas a Prodepaz en custodia al finalizar la vinculaci贸n con la Entidad.

4.聽聽聽 Los usuarios no deben mantener almacenados en los discos duros de computadores de escritorio, port谩tiles o discos virtuales de red, archivos de video, m煤sica y fotos que no sean de car谩cter institucional o que atenten con los derechos de autor o propiedad intelectual de los mismos.

5.聽聽聽 No est谩 permitido fumar, ingerir alimentos o bebidas en el 谩rea de trabajo donde se encuentren elementos tecnol贸gicos o informaci贸n f铆sica que pueda estar expuesta a su da帽o parcial o total y, por ende, a la p茅rdida de la integridad de esta.

6.聽聽聽 No est谩 permitido realizar conexiones o derivaciones el茅ctricas que pongan en riesgo los elementos tecnol贸gicos por fallas en el suministro el茅ctrico a los equipos de c贸mputo, salvo en aquellos casos que sean autorizados por la Direcci贸n Ejecutiva o quien haga sus veces.

7.聽聽聽 Las 煤nicas personas autorizadas para hacer modificaciones o actualizaciones en los elementos y recursos tecnol贸gicos, como destapar, agregar, desconectar, retirar, revisar y/o reparar sus componentes, son los designados por la Direcci贸n Ejecutiva para tal labor.

8.聽聽聽 La Direcci贸n Ejecutiva, a trav茅s del proceso de sistemas, realizar谩 monitoreo sobre los dispositivos de almacenamientos externos como USB, CD-ROM, DVD, Discos Duros externos, entre otros, con el fin de prevenir o detectar fuga de informaci贸n.

9.聽聽聽 La p茅rdida o da帽o de elementos o recursos tecnol贸gicos, o de alguno de sus componentes, deber谩 ser informada de inmediato al proceso de sistemas por el colaborador o contratista a quien se le hubiera asignado.

10. La p茅rdida de informaci贸n deber谩 ser informada con detalle al proceso de sistemas como incidente de seguridad.

11. Todo incidente de seguridad que comprometa la disponibilidad, integridad o confidencialidad de informaci贸n f铆sica o digital deber谩 ser reportado a la mayor brevedad posible.

12. El proceso de sistemas es la 煤nica dependencia autorizada para la administraci贸n del software, el cual no deber谩 ser copiado, suministrado a terceros ni utilizado para fines personales.

13. Todo acceso a la red de Prodepaz mediante elementos o recursos tecnol贸gicos no institucionales deber谩 ser informado, autorizado y controlado por el proceso de sistemas.

14. La conexi贸n a la red wifi institucional para colaboradores, contratistas y terceros deber谩 ser administrada desde el proceso de sistemas, mediante un SSID (Service Set Identifier) 煤nico a nivel nacional, la autenticaci贸n deber谩 ser con usuario y contrase帽a de directorio activo.

15. La conexi贸n a la red institucional para visitantes deber谩 tener un SSID y contrase帽as diferentes a la de la sede administrativa, administrada por el proceso de sistemas o quien haga sus veces.

16. Los equipos deben quedar apagados cada vez que el colaborador, contratista o tercero, no se encuentre en el proceso o durante la noche, esto, con el fin de proteger la seguridad y distribuir bien los recursos de la Entidad, siempre y cuando no vaya a realizar actividades v铆a remota.

17. Todo dispositivo m贸vil institucional, que transmita y/o almacene informaci贸n sensible de la Entidad, debe ser monitoreado por el proceso de sistemas.

18. Todo dispositivo m贸vil personal que requiera acceder a los servicios tecnol贸gicos de la entidad, y que trasmita y/o almacene informaci贸n sensible, debe ser monitoreado por el proceso de sistemas.

d. Del Uso de los Sistemas o Herramientas de Informaci贸n: Todos los colaboradores o contratistas de Prodepaz, son responsables de la protecci贸n de la informaci贸n que acceden y/o procesan, as铆 como de evitar su p茅rdida, alteraci贸n, destrucci贸n y uso indebido, para lo cual se dictan los siguientes lineamientos:

1.聽聽聽 Las credenciales de acceso a la red y a los recursos inform谩ticos (Usuario y Clave) son de car谩cter estrictamente personal e intransferible; colaboradores y contratistas no deben revelarlas a terceros ni utilizar claves ajenas.

2.聽聽聽 Todo colaborador y contratista es responsable del cambio de clave de acceso a los sistemas de informaci贸n o recursos inform谩ticos peri贸dicamente.

3.聽聽聽 Todo colaborador y contratista es responsable de los registros y modificaciones de informaci贸n que se hagan a nombre de su cuenta de usuario.

4.聽聽聽 Cuando colaborador y contratista cesa en sus funciones o culmina la ejecuci贸n de contrato de Prodepaz, todos los privilegios sobre los recursos inform谩ticos otorgados le ser谩n suspendidos inmediatamente; la informaci贸n del empleado y/o contratista ser谩n almacenados en un repositorio de la Entidad.

5.聽聽聽 Cuando un colaborador y contratista cesa en sus funciones o culmina la ejecuci贸n de contrato con Prodepaz, el supervisor o jefe inmediato es el encargado de la custodia de los recursos de informaci贸n, incluyendo la cesi贸n de derechos de propiedad intelectual de acuerdo con la normativa vigente.

6.聽聽聽 Todos los colaboradores y contratistas de Prodepaz deben dar estricto cumplimiento a lo estipulado en la Ley 23 de 1982 芦Sobre derechos de autor禄, as铆 como cualquier otra que adicione, modifique o reglamente la materia.

Art铆culo Noveno. Pol铆tica de Control de Acceso. Los propietarios de los activos de informaci贸n deben establecer medidas de control de acceso a nivel de red, sistema operativo, sistemas de informaci贸n, servicios de tecnolog铆as de la informaci贸n e infraestructura f铆sica, con el fin de mitigar riesgos asociados al acceso a la informaci贸n y servicios de infraestructura tecnol贸gica de personal no autorizado, salvaguardando la integridad, disponibilidad y confidencialidad de la informaci贸n de Prodepaz.

Art铆culo D茅cimo. Pol铆tica De Criptograf铆a. El Asesor de sistemas deber谩 contar con controles en el uso adecuado y efectivo de la criptograf铆a para proteger la confidencialidad, integridad y disponibilidad de la informaci贸n.

Art铆culo D茅cimo Primero. Pol铆tica De Seguridad F铆sica y del Entorno. Prodepaz debe contar con controles para la protecci贸n del per铆metro de seguridad de las instalaciones f铆sicas, controlar el acceso del personal y la permanencia en las oficinas e instalaciones, as铆 como controlar el acceso a 谩reas restringidas (谩reas destinadas al procesamiento o almacenamiento de informaci贸n sensible, as铆 como aquellas en las que se encuentren los equipos y dem谩s infraestructura de soporte a los sistemas de informaci贸n y comunicaciones), adem谩s mitigar los riesgos y amenazas externas y ambientales, con el fin de evitar afectaci贸n a la confidencialidad disponibilidad e integridad de la informaci贸n de la Entidad.

Par谩grafo 1. Todos los colaboradores, contratistas y visitantes que se encuentren en las instalaciones f铆sicas de Prodepaz deben estar debidamente identificados, con un documento que acredite su tipo de vinculaci贸n, el cual deber谩 portarse en un lugar visible.

Par谩grafo 2. Los visitantes de Prodepaz siempre deben permanecer acompa帽ados por un empleado o contratista debidamente identificado.

Art铆culo D茅cimo Segundo. Pol铆tica de Seguridad de las Operaciones. El Asesor de sistemas, ser谩 el encargado de la operaci贸n y administraci贸n de los recursos tecnol贸gicos que soportan la operaci贸n de Prodepaz. As铆 mismo, velar谩 por la eficiencia de los controles asociados a los recursos tecnol贸gicos protegiendo la confidencialidad, integridad y disponibilidad de la informaci贸n, as铆 como la de asegurar que los cambios efectuados sobre los recursos tecnol贸gicos, sean controlados y debidamente autorizados. De igual manera, deber谩 proveer la capacidad de procesamiento requerida en los recursos tecnol贸gicos y los sistemas de informaci贸n de Prodepaz efectuando proyecciones de crecimiento y provisiones en la plataforma tecnol贸gica de acuerdo con el crecimiento de la Entidad.

El Asesor de Sistemas, deber谩 realizar y mantener copias de seguridad de la informaci贸n de la Entidad en medio digital, siempre que 茅sta sea reportada por el responsable de la misma, con el objetivo de recuperarla en caso de cualquier tipo de falla, ya sea de hardware, software, o de procedimientos operativos al interior de la Entidad.

Se efectuar谩 la copia respectiva de acuerdo con el esquema definido previamente en el documento Procedimiento Gesti贸n Copias de Seguridad de la Entidad, el cual deber谩 ser dise帽ado por el proceso de Gesti贸n del Conocimiento, en conjunto con los l铆deres de procesos.

Art铆culo D茅cimo Tercero. Pol铆tica de Seguridad de las Comunicaciones. El Asesor de Sistemas, establecer谩 los mecanismos necesarios para proveer la disponibilidad de las redes y de los servicios que dependen de ellas, as铆 mismo, dispondr谩 y monitorear谩 los mecanismos necesarios de seguridad para proteger la integridad y la confidencialidad de la informaci贸n de Prodepaz.

Par谩grafo 1. Como parte de sus t茅rminos y condiciones iniciales de trabajo los colaboradores, contratistas y terceros, cualquiera sea su nivel jer谩rquico dentro de la entidad, firmar谩n un Compromiso de Confidencialidad y no divulgaci贸n, en lo que respecta al tratamiento de la informaci贸n de la Entidad, y de igual manera la Autorizaci贸n de tratamiento de datos personales, en los t茅rminos de la Ley 1581 de 2012, as铆 como el cap铆tulo 25 del Decreto 1074 de 2015 y la Ley 1712 de 2014 reglamentada por el cap铆tulo 2 del Decreto 1081 de 2015 y las dem谩s normas que las adicionen, modifiquen, reglamenten o complementen. Dicho compromiso y autorizaci贸n (documento original) deber谩 ser retenido en forma segura por el proceso de Gesti贸n del Conocimiento.

As铆 mismo, mediante el Compromiso de Confidencialidad, el empleado, colaborador o contratista declarar谩 conocer y aceptar la existencia de determinadas actividades que pueden ser objeto de control y monitoreo. Estas actividades deben ser detalladas a fin de no violar el derecho a la privacidad ni los derechos del empleado, colaborador o contratista.

Par谩grafo 2. Para el caso del personal que ejecute tareas propias de Prodepaz y haya sido contratado en el marco de un contrato o convenio con la organizaci贸n, debe reposar en la carpeta de ejecuci贸n del contrato un compromiso de confidencialidad debidamente suscrito por el Representante Legal de Prodepaz o con la cual se realiza el convenio.

Art铆culo D茅cimo Cuarto. Pol铆tica de Seguridad para la Adquisici贸n, Desarrollo y Mantenimiento de Sistemas. El proceso de Gesti贸n del Conocimiento, velar谩 porque el desarrollo interno o externo de los sistemas de informaci贸n cumpla con los requerimientos de seguridad adecuados, para la protecci贸n de la informaci贸n de Prodepaz.

El proceso de sistemas ser谩 la 煤nica dependencia de la Entidad con la capacidad de adquirir, desarrollar o avalar la adquisici贸n y recepci贸n de software de cualquier tipo, conforme a los requerimientos de la Direcci贸n Ejecutiva o Coordinadores de procesos, con el fin de garantizar la conveniencia, soporte, mantenimiento y seguridad de la informaci贸n de los sistemas que operan en Prodepaz.

En consecuencia, cualquier software que opere en Prodepaz y no haya sido entregado al asesor de sistemas, no ser谩n responsabilidad de la misma, no se le brindar谩 soporte y no se le salvaguardar谩 la informaci贸n.

Art铆culo D茅cimo Quinto. Pol铆tica de Seguridad para Relaci贸n con Proveedores. Prodepaz establecer谩 mecanismos de control en relaciones con sus proveedores, teniendo en cuenta que se debe asegurar la informaci贸n a la que tengan acceso, supervisando el cumplimiento de lo establecido en el eje de seguridad de la informaci贸n. Los Supervisores de los contratos o convenios en conjunto con el proceso de Gesti贸n del Conocimiento, tendr谩n la responsabilidad de la divulgaci贸n y revisi贸n del cumplimiento de las pol铆ticas y procedimientos de la seguridad de la informaci贸n.

Art铆culo D茅cimo Sexto. Pol铆tica de Gesti贸n de Incidentes de Seguridad de la Informaci贸n. Prodepaz promover谩 entre los colaboradores y contratistas el reporte de incidentes relacionados con la seguridad de la informaci贸n y sus medios, reporte y seguimiento. As铆 mismo, asignar谩 responsables para el tratamiento de los incidentes de seguridad de la informaci贸n, quienes tendr谩n la responsabilidad de investigar y solucionar los incidentes reportados, de acuerdo con su criticidad. El Director Ejecutivo o a quien 茅ste delegue, son los 煤nicos autorizados para reportar incidentes de seguridad ante las autoridades; as铆 mismo, son los 煤nicos canales de comunicaci贸n autorizados para hacer pronunciamientos oficiales ante entidades externas, medios de comunicaci贸n o la ciudadan铆a.

Art铆culo D茅cimo S茅ptimo. Pol铆tica de Cumplimiento. Prodepaz velar谩 por la identificaci贸n, documentaci贸n y cumplimiento de los requisitos legales enmarcados en la seguridad de la informaci贸n, entre ella la referente a derechos de autor y propiedad intelectual, protecci贸n de datos personales, ley de transparencia y del derecho de acceso a la informaci贸n p煤blica.

CAP脥TULO III. REVISI脫N Y VIGENCIA

Art铆culo D茅cimo Octavo. Revisi贸n. La Pol铆tica de Seguridad y Privacidad de la Informaci贸n, ser谩 revisada anualmente, o antes si existiesen modificaciones que as铆 lo requieran, para que se mantenga oportuna, suficiente y eficaz. Esta revisi贸n ser谩 liderada por el proceso de Gesti贸n del Conocimiento.

Art铆culo D茅cimo noveno. Vigencia. El presente manual de pol铆tica de seguridad y privacidad de la informaci贸n rige a partir de la fecha de su expedici贸n.

Carrito de compra
0
Scroll al inicio
 
No hay ning煤n producto en la lista de comparaci贸n
Ir al contenido