RIT ENTERPRISE SOLUTIONS S.A.S. establece la presente Política de Seguridad de la Información y Ciberseguridad con el propósito de proteger la confidencialidad, integridad, disponibilidad y trazabilidad de la información, los sistemas tecnológicos y todos los activos digitales de la organización, así como la información de sus clientes, mediante la implementación de controles que permitan prevenir, detectar, responder y mitigar incidentes de seguridad informática, garantizando la continuidad del negocio y el cumplimiento de la legislación colombiana vigente.
Esta política aplica a todos los trabajadores, contratistas, proveedores, aliados y terceros que tengan acceso a los sistemas de información o a los activos tecnológicos de la empresa, incluyendo equipos de cómputo, servidores, redes, plataformas en la nube, dispositivos móviles, bases de datos e infraestructura tecnológica en general, independientemente del medio o formato en que la información se encuentre.
RIT ENTERPRISE SOLUTIONS S.A.S. reconoce la importancia de la seguridad de la información y adopta como principios fundamentales la confidencialidad, asegurando que la información solo sea accesible por personal autorizado; la integridad, garantizando que la información no sea alterada sin autorización; la disponibilidad, asegurando que los sistemas y datos estén accesibles cuando se requieran; el cumplimiento legal, en concordancia con la normatividad colombiana vigente; y la prevención, mediante la implementación de medidas técnicas, administrativas y organizacionales que reduzcan los riesgos asociados a amenazas informáticas y digitales.
Esta política se fundamenta en la Ley 1581 de 2012 sobre protección de datos personales, el Decreto 1377 de 2013, el Decreto 1074 de 2015, la Ley 1273 de 2009 sobre delitos informáticos, los lineamientos de seguridad digital establecidos en Colombia y las buenas prácticas internacionales como la norma ISO/IEC 27001, garantizando el adecuado tratamiento, protección y control de la información.
RIT ENTERPRISE SOLUTIONS S.A.S. se compromete a implementar controles que permitan proteger los sistemas tecnológicos y la información, incluyendo el uso de mecanismos de autenticación segura, control de accesos basado en roles y principio de mínimo privilegio, protección mediante antivirus, antimalware y firewall, actualización permanente de software y sistemas operativos, monitoreo de la infraestructura tecnológica, protección de la información mediante mecanismos de cifrado cuando aplique, y la realización de copias de seguridad periódicas de la información crítica, asegurando su almacenamiento seguro y disponibilidad en caso de incidentes, fallas o desastres.
La organización implementará procedimientos para la gestión de incidentes de seguridad de la información, que incluyan su identificación, reporte, análisis, control, mitigación y seguimiento, con el fin de prevenir su recurrencia y minimizar su impacto. Asimismo, promoverá una cultura organizacional basada en la seguridad digital mediante procesos de capacitación, sensibilización y fortalecimiento de buenas prácticas en el uso de tecnologías de la información.
Todos los trabajadores, contratistas y terceros tienen la responsabilidad de proteger la información y los recursos tecnológicos asignados, hacer uso adecuado de los sistemas, mantener la confidencialidad de sus credenciales de acceso, abstenerse de compartir contraseñas o instalar software no autorizado, y reportar de manera inmediata cualquier incidente, sospecha de vulnerabilidad o evento que pueda comprometer la seguridad de la información.
RIT ENTERPRISE SOLUTIONS S.A.S. garantizará la protección de los datos personales de empleados, clientes, proveedores y demás partes interesadas, asegurando su tratamiento conforme a la legislación colombiana vigente, evitando el acceso no autorizado, la pérdida, alteración o divulgación indebida de la información.
El incumplimiento de esta política podrá dar lugar a la aplicación de medidas disciplinarias conforme a la normatividad interna de la empresa y la legislación colombiana vigente, sin perjuicio de las acciones legales correspondientes.
La presente política será revisada y actualizada periódicamente, o cuando se presenten cambios tecnológicos, organizacionales o normativos que lo requieran, garantizando su mejora continua y efectividad.
Esta política entra en vigor a partir de la fecha de su aprobación y será de obligatorio cumplimiento para todo el personal de RIT ENTERPRISE SOLUTIONS S.A.S.
Anexo
Procedimientos Específicos de Seguridad de la Informacion y Ciberseguridad
RIT ENTERPRISE SOLUTIONS
- 1.Gestión de Contraseñas
-Longitud mínima de 12 caracteres, incluyendo mayúsculas, minúsculas, números ysímbolos.
-Cambio obligatorio cada 90 días.
-Prohibido reutilizar contraseñas anteriores.
-Uso obligatorio de gestores de contraseñas aprobados por RIT. - 2.Uso de Dispositivos Móviles
-Todos los dispositivos deben estar protegidos con PIN, huella o reconocimiento facial.
-Instalación obligatoria de software de gestión de dispositivos móviles (MDM).
-Prohibido almacenar información sensible sin cifrado.
-Reporte inmediato en caso de pérdida o robo. - 3.Seguridad en la Nube
-Acceso únicamente mediante cuentas corporativas con autenticación multifactor.
-Clasificación previa de la información antes de subirla a la nube.
-Copias de seguridad automáticas en servidores internos.
-Monitoreo continuo de accesos y actividades sospechosas.
- 4.Gestión de Incidentes
-Canal único de reporte: info@ritenterprise.com.co
-Tiempo máximo de respuesta inicial: 2 horas.
-Registro detallado de cada incidente en la bitácora oficial.
-Simulacros semestrales de respuesta a incidentes. - 5.Relación con Proveedores
-Todos los contratos deben incluir cláusulas de confidencialidad y protección de datos.
-Evaluación de seguridad previa a la contratación de proveedores tecnológicos.
-Auditorías periódicas para verificar cumplimiento de estándares. - 6.Formación y Concienciación
– Capacitación obligatoria anual en ciberseguridad para todo el personal.
– Campañas trimestrales de simulación de phishing.
– Difusión de boletines internos con alertas y buenas prácticas.