Política de Seguridad y Privacidad
de la Información
SOMOS NETWORKS COLOMBIA S.A.S. - 2025
La información generada, almacenada y administrada por Somos Networks Colombia S.A.S.
(en lo sucesivo, “Somos”) es uno de los insumos claves de gestión del negocio. Debido a esto,
es indispensable contar con políticas claras, robustas y contundentes para la recolección,
almacenamiento, administración y entrega de la información. Somos asume el compromiso de
realizar el mejor esfuerzo en aras de contar con una adecuada gestión de la seguridad de la
información.
Asimismo, los recursos tecnológicos son una herramienta indispensable para una correcta
gestión de dicha información, los cuales se desarrollan, expanden y evolucionan de manera
constante, lo cual demanda establecer lineamientos y directrices de seguridad que minimicen la
alteración, fuga o indisponibilidad de la información durante la operación del negocio. Debido a
esto, ésta política de seguridad de la información pretende: i) definir lineamientos, controles,
roles, perfiles y responsabilidades para la gestión de la información, ii) gestionar al máximo los
riesgos y amenazas contra los sistemas de información, control y gestión y iii) limitar la
capacidad de cualquier tercera parte malintencionada para comprometer y/o dar un uso
inadecuado a la información.
Bajo este contexto, Somos consolida en el presente documento las políticas de seguridad de la
información para soportar y velar por la confidencialidad, integridad, disponibilidad, no repudio y
cumplimiento de las obligaciones contractuales y legales vigentes bajo la normativa actual y el
adecuado uso de los recursos tecnológicos puestos a disposición de los empleados y clientes.
Este documento debe formar parte de un Sistema de Gestión de Seguridad de la Información,
complementando los procedimientos y guías vigentes de los procesos internos de Somos como
instrumento para orientar la implementación de esta política y sensibilizar a los empleados
sobre la importancia del adecuado manejo de la información.
Las siguientes definiciones se aplican a ésta política y a todos los procedimientos asociados
con la misma de manera transversal a Somos.
● Activo. Cualquier información o elemento relacionado con el tratamiento de la misma
(e.g., sistemas, soportes, edificios, personas, etc.) que tenga valor para Somos.
● Activo de información. Recurso o elemento que contiene información con valor para
Somos debido a su utilización en algún proceso u operación que tiene relación directa o
indirecta con las funciones de Somos, bien sean físicos (e.g., software, hardware,
personas -roles-, instalaciones físicas, áreas de almacenamiento de expedientes y
documentos, centros de procesamiento de datos, etc.) o intangibles (e.g., imágen y
reputación).
● Amenaza. Causa potencial de un incidente no deseado, el cual puede ocasionar daño a
un sistema o a una organización.
● Confidencialidad. Propiedad de la información que la hace no disponible o sea
divulgada a individuos, entidades o procesos no autorizados.
● Control. Medida que modifica un riesgo. Incluyen cualquier proceso, política,
dispositivo, práctica, u otras acciones que modifiquen un riesgo.
● Disponibilidad. El ser accesible y utilizable a demanda por una entidad autorizada.
● Evento. Ocurrencia o cambio de un conjunto particular de circunstancias.
● Evento de seguridad de la información. Ocurrencia detectada en el estado de un
sistema, servicio o red que indica una posible violación de la política de seguridad de la
información, una falla en los controles o una situación previa desconocida hasta el
momento y que puede ser relevante para la seguridad.
● Incidente. Evento único o serie de eventos de seguridad de la información, inesperados
o no deseados, que tienen una probabilidad significativa de comprometer las
operaciones del negocio y de amenazar la seguridad de la información.
● Integridad. Propiedad de exactitud y completitud.
● Objetivo de control. Declaración que describe lo que se pretende lograr como
resultado de la implementación de controles.
● Parte interesada. Persona u organización que puede afectar, estar afectada o percibir
que está afectada por una decisión o actividad.
● Política. Intenciones y dirección de una organización, como las expresa formalmente su
alta dirección.
● Proceso. Conjunto de actividades interrelacionadas o que interactúan, que transforma
entradas en salidas.
● Riesgo. La posibilidad de que una amenaza concreta pueda explotar una vulnerabilidad
para causar una pérdida o daño de un activo de información. Se considera como una
combinación de la probabilidad de un evento y sus consideraciones.
● Seguridad de la información. Preservación de la confidencialidad, la integridad y la
disponibilidad de la información.
● Sistema de Gestión de Seguridad de la Información (SGSI). Conjunto de políticas y
procedimientos de seguridad de la información que pretenden componer un sistema de
organización y gestión, diseñado para implantar, mantener y mejorar dichas políticas en
un intento por asegurar la confidencialidad, integridad y disponibilidad de los activos de
información, minimizando a su vez los riesgos de seguridad de la información
analizados dentro de los procesos de negocio de Somos, cuya base es la presente
política.
● Vulnerabilidad. Debilidad de un activo o de un control que puede ser explotada por una
o más amenazas.
Salvo que se disponga expresamente lo contrario en cualquier apartado de la presente Política,
las definiciones en singular incluyen el plural y viceversa.
La presente política tiene por objeto establecer los principio básicos y las reglas generales que
faciliten a Somos desarrollar las estrategias, procedimientos y estándares de seguridad de la
información a seguir para mantener un robusto Sistema de Gestión de Seguridad de la
Información con el fin de proteger los activos de información, minimizando los riesgos a los que
están expuestos, de manera que se les permite efectuar su función para empleados, clientes y
cualquier otro grupo de interés, reaccionando diligentemente a cualquier potencial incidente,
soportando la continuidad del negocio. Objetivos específicos
a) Mejorar continuamente las habilidades y capacidades necesarias de los empleados
para identificar, reportar y gestionar los riesgos de seguridad de la información mediante
acciones de sensibilización y capacitación.
b) Implementar, mantener y mejorar continuamente el conjunto de controles de seguridad
de la información adoptados por Somos mediante un modelo de seguridad y privacidad
de la información cuyo objeto sea mantener niveles aceptables de los riesgos residuales
de seguridad de la información.
c) Fortalecer continuamente la operación de Somos mediante la implementación, difusión
y mejora continua del modelo de seguridad y privacidad de la información con el fin de
incrementar la confianza de las partes interesadas en el compromiso de Somos de
preservar adecuadamente la confidencialidad, integridad y disponibilidad de toda
información bajo la responsabilidad de Somos.
Esta política es aplicable a toda la organización de Somos, así como a proveedores y clientes
que presten servicios o se relacionen com Somos, que procesan y/o manipulan información de
la organización, incluidas las operaciones de recopilación, análisis, procesamiento,
disponibilidad, custodia, conservación y recuperación de la misma. Esta política se proyectará también, en lo que proceda, a cualquier unión temporal de
empresas, joint ventures y otras asociaciones equivalentes, ya sean nacionales o extranjeras,
cuando Somos tenga el control de su gestión y siempre dentro de los límites establecidos por el
marco legal vigente a la fecha.
Somos entiende la seguridad de la información como un elemento fundamental para proteger
los activos de negocio, considerándola como un proceso integral basado en gestión y control
de riesgos con el fin de lograr sus objetivos y cumplir con su misión. Con esto en mente, Somos
se compromete a dotar a las diferentes áreas de la organización de todos los recursos técnicos,
humanos, materiales, financieros y organizativos necesarios para fomentar una adecuada
gestión de la seguridad de los activos de información de Somos.
Se establecerán procedimientos puntuales y específicos para que los empleados de Somos
conozcan, comprendan y cumplan con la política y toda su normativa de desarrollo. En
conformidad, todos los empleados de Somos deberán respetar y guiar su actuación con base
en los siguientes principios: a) Proceso integral basado en la gestión y control de riesgos. Somos llevará a cabo
una gestión de la seguridad de la información fundamentada en principios de gestión y
control de riesgos:
● Identificación y evaluación de riesgos
● Definición de los niveles aceptables de riesgo
● Establecimiento de mecanismos de control y mitigación
● Fortalecimiento de la toma de decisiones
● Monitorización y revisión continua
b) Definición, desarrollo y mantenimiento. Somos impulsará el desarrollo de un Sistema
de Gestión de Seguridad de la Información alineado con sus objetivos, valores, misión,
estrategia y compromisos asumidos, integrado por los controles técnicos, legales,
normativos y de gestión de la seguridad de la información necesarios para garantizar en
todo momento el cumplimiento de los requisitos legales, reglamentarios y contractuales
en la materia que le sean aplicables.
c) Promoción de una cultura de seguridad de la información. Somos se compromete a
promover de forma activa una cultura de seguridad de la información entre todos sus
empleados, clientes y proveedores. d) Gestión continua. Somos asume el compromiso de proteger la seguridad de la
información diseñando e implementando medidas de seguridad robustas, alineadas con
las necesidades de las diferentes partes interesadas, así como de la normativa vigente
aplicable en la materia, para lo cual Somos aprobará las políticas y procedimientos
específicos por materia que desarrollarán los principios y requisitos fundamentales de
seguridad de la información establecidos en la presente política.
e) Protección proactiva. Somos incurrirá en la aplicación de controles internos que
pretendan salvaguardar proactivamente los niveles establecidos de confidencialidad,
autenticidad, trazabilidad, disponibilidad e integridad de sus activos de información y
asegurar la resiliencia operacional digital de Somos.
f) Mejora continua. Somos buscará mejorar continuamente su gestión, entendiendo a la
seguridad de la información como un pilar fundamental integrado en todas las áreas y
procesos de negocio, pretendiendo lograr un progreso ininterrumpido de todos los
procesos vinculados al Sistema de Gestión de Seguridad de la Información de tal forma
que contribuya a la resiliencia operacional digital de Somos.
La política de seguridad de la información es de aplicación obligatoria para todo el personal de
Somos, cualquiera sea su calidad jurídica, el área a la cual pertenezca y cualquiera sea el nivel
de las tareas que desempeñe. Con esto en mente, se determinan los diferentes roles y
responsabilidades en materia de la seguridad de la información.
Alta dirección
● A través de la presente política y, en su caso, de otras normas corporativas en
desarrollo de la misma, el establecimiento de la estrategia y directrices de gestión con
proyección sobre Somos en materia de seguridad de la información.
● Es competencia de la alta dirección a través de su función de supervisión y control, velar
por la adecuada implementación y desarrollo de la presente política y de las medidas
necesarias adoptadas en la aplicación de la misma, así como de revisar y proponer la
actualización de la política.
● Corresponde a la alta dirección la supervisión de la eficacia del Sistema de Gestión de
Seguridad de la Información de Somos.
Director de Seguridad de la Información (HIS) ● Revisar la presente política, asegurando que cumple con la normativa aplicable a
Somos, así como con las mejores prácticas de la industria. En este sentido, cuando lo
considere conveniente, podrá presentar propuestas de modificación de la presente
política a la alta dirección para su evaluación.
● Revisar y promover la mejora continua del Sistema de Gestión de Seguridad de la
Información.
● Coordinar planes de continuidad de los sistemas de información de las diferentes áreas
de Somos para promover una actuación efectiva en el caso que deban ser activados.
● Informar regularmente a la alta dirección de Somos en relación con las medidas de
seguridad y control adoptadas, recomendando posibles actuaciones al respecto.
● Coordinar y monitorear el desempeño de los procesos de gestión de incidentes de
seguridad.
● Promover y coordinar procesos de auditoría periódicos para verificar el cumplimiento de
la normativa aplicable.
● Promover la formación y el desarrollo de habilidades relacionadas con la seguridad de la
información en Somos.
● Aprobar procedimientos, normas o protocolos internos dirigidos al desarrollo e
implementación de la presente política en Somos.
● Apoyar a los diferentes procesos institucionales en la adopción del Sistema de Gestión
de Seguridad de la Información.
● Mantener contacto con las autoridades en materia de seguridad de la información (e.g.,
SIC, ColCert), para conocer de primera mano indicios o alertas en materia y recibir
apoyo de los grupos de respuesta ante incidentes.
● Mantener contacto con grupos de interés especial en materia de seguridad de la
información para asegurar que la comprensión del entorno de ésta sea actual y completa. Compartir e intercambiar información acerca de nuevas tecnologías,
productos, amenazas o vulnerabilidades.
● Establecer y fomentar la seguridad de la información en Somos, además de participar
en la toma de decisiones y estrategias en este campo, asumiendo la responsabilidad de
proporcionar informes periódicos apropiados para los niveles adecuados, sobre los
riesgos asociados a la seguridad de la información, junto con los mecanismos de
mitigación y control aplicables y requeridos.
● Hacer el seguimiento del desarrollo de funciones homólogas por los órganos o
instancias equivalentes de los proveedores y contratistas con la finalidad de supervisar
la implementación de los principios y compromisos que inspiran la presente política,
pudiendo recabar de dichas parte cuanta información considere para el cumplimiento de
esta función de coordinación.
Principios de actuación
Somos, a través del HIS, observará y promoverá en Somos los siguientes principios en relación
con la gobernanza de la seguridad de la información:
● Principio de alineamiento estratégico y visión de futuro
Se considerará la seguridad de la información como una parte más del negocio,
entendiéndose como una herramienta que ayuda a Somos a alcanzar sus objetivos,
alineada con la misión y visión.
En consecuencia, Somos impulsará un enfoque holístico con el fin de que la seguridad
de la información no sea considerada como un obstáculo, sino como parte de un vasto
conjunto necesario para el desarrollo de su negocio.
● Principio de ética y cumplimiento
Deberá guiar el gobierno de la seguridad de la información en Somos, no sólo
enfocándose en el cumplimiento de la normativa establecida, sino también en las
buenas prácticas de seguridad y el uso ético de los recursos de Somos.
Con el propósito de fomentar una acción ética y responsable, Somos impulsará la
colaboración con las mejores prácticas en la materia, tanto dentro de Somos como en
cada uno de los mercados en los que se encuentra y en su interacción con los diversos
grupos de interés.
● Principio de responsabilidad
La seguridad de la información es un campo interdisciplinario y complejo que impacta en
todas las operaciones de Somos. Por lo tanto, es necesario contar con un liderazgo
apropiado y una estructura que, para ser establecida y administrada correctamente,
debe estar conformada por profesionales con la formación y experiencia idóneas.
● Principio de independencia y autonomía
Deberá actuar con total independencia y autonomía en el desempeño de sus funciones,
garantizando así su imparcialidad y objetividad, y dependerá funcionalmente de la alta
dirección.
Equipo técnico de seguridad de la información
● Gestionar operativamente las soluciones a los incidentes de seguridad de la información
que afecten a los activos de información de Somos.
● Monitorizar el avance de cada una de las etapas de la implementación de ésta política
en sus diversos aspectos.
● Cumplir con los procedimientos relativos a los dominios de control de acceso,
adquisición, desarrollo y mantenimiento de los sistemas de información y gestión de los
canales de comunicación y operaciones.
● Gestionar los requerimientos de seguridad de la información establecidos para la
operación, administración y comunicación de los sistemas y recursos tecnológicos de
Somos.
● Gestionar las tareas de desarrollo y mantenimiento de sistemas, siguiendo una
metodología de ciclo de vida de sistemas apropiada que contemple la inclusión de
medidas de seguridad en los sistemas en todas las fases.
● Practicar auditorías periódicas, o cuando lo considere pertinente, sobre los sistemas y
actividades vinculadas con la tecnología de información, debiendo informar sobre el
cumplimiento de las especificaciones y medidas de seguridad de la información
establecidas por ésta política y por las normas, procedimientos y prácticas que se ella
surjan.
● Informar al HIS el resultado de las auditorías realizadas.
● Recomendar acciones de mejora frente a las debilidades encontradas en las auditorías
e informarlas al HIS para su aprobación, gestión y ejecución.
Equipo de tecnologías de información
● Administrar y custodiar los activos de información alojados en los centros de datos.
● Gestionar los servicios de información y tecnología alineados con los objetivos de
Somos para el cumplimiento de sus funciones.
● Custodiar las información almacenada en los sistemas de información, aplicaciones y
bases de datos.
● Disponer de las medidas de seguridad apropiadas para proteger las información digital
de Somos, cumpliendo con los controles establecidos que surjan de ésta política.
● Establecer los lineamientos para la administración de equipos de cómputo, dispositivos
de almacenamiento externo, sistemas de información, aplicaciones e infraestructura
tecnológica.
● Responder por la disponibilidad de los servicios tecnológicos e informar al CTO
cualquier novedad que pueda afectar la normal prestación de los mismos.
● Efectuar el monitoreo y control del software instalado en los equipos de cómputo de
Somos. Si se encuentra instalado software no autorizado, se notificará al jefe inmediato
o supervisor para que se informe el motivo de la irregularidad y se tomen las medidas
del caso.
Equipo de producto
● Cumplir a cabalidad las directrices establecidas en la política interna sobre el uso de
código abierto en relación a cualquier aspecto de ésta relacionado con la seguridad de
la información.
● Seguir las mejores prácticas de desarrollo seguro como una guía fundamental durante
la construcción de cualquier aplicación implementada en Somos para asistir con la
misión y visión de Somos.
● Evaluar las implicaciones de seguridad del uso de componentes desarrollados por
terceros y registrar un inventario de librerías y componentes de software externos
utilizados.
● Aplicar estrictamente los debidos controles de acceso basado en roles a toda
información procesada por las aplicaciones desarrolladas.
● Anonimizar cualquier información manipulada en entornos de desarrollo y pruebas.
● Utilizar adecuadamente los mecanismos criptográficos adecuados, cuando sea
necesario, para proteger cualquier información personal, sensible o confidencial que sea
accedida, almacenada o procesada por cualquier aplicación desarrollada.
● Utilizar los canales de comunicación adecuados para el intercambio de información
confidencial relacionada al funcionamiento interno de las aplicaciones desarrolladas
(e.g., llaves criptográficas, tokens de autenticación y autorización de APIs y credenciales
de acceso a recursos compartidos de desarrollo).
● Implementar las soluciones requeridas para mitigar riesgos de seguridad de la
información asociados con vulnerabilidades identificadas en las aplicaciones
desarrolladas.
● Poner a disposición del equipo técnico de seguridad de la información, cuando así sea
requerido, las aplicaciones y entornos de desarrollo y pruebas con el fin de efectuar
auditorías.
Directores, coordinadores o jefes de área y propietarios de los activos de información
● Clasificar los activos de información de acuerdo con el grado de sensibilidad y criticidad
de los mismos, documentar y mantener actualizada dicha clasificación.
● Definir los privilegios de acceso de los usuarios, de acuerdo con sus funciones y
competencia.
● Entregar orientaciones básicas que se establezcan por parte de la alta dirección y el HIS
en materia de seguridad de la información.
● Ejercer liderazgo y compromiso en la aplicación de la política de seguridad de la
información.
VP de People y Legal
● Cumplir con los procedimientos relativos al tema de seguridad de la información del
talento humano.
● Notificar a todo el talento humano que se incorpora a Somos sus obligaciones respecto
del cumplimiento de la política de seguridad de la información y de todas sus normas,
procedimientos y prácticas que de ella surjan.
● Coordinar con el HIS las tareas de capacitación continua en materia de seguridad de la
información.
● Incorporar al en un plan de capacitación las actividades de sensibilización en seguridad
de la información, aprobadas por el HIS.
● Revisar el contenido de la política de seguridad de la información en materia legal,
ofreciendo observaciones y posibilidades de mejora.
● Velar por el cumplimiento legal de la política de seguridad de la información en Somos.
● Definir, documentar y actualizar a solicitud del área encargada todos los requerimientos
estatutarios, reguladores y contractuales relevantes en materia de seguridad de la
información y establecer el enfoque de Somos para satisfacer esos requerimientos para
cada proceso de negocio en Somos.
● Asesorar en materia legal, asociada a la seguridad de la información, a Somos y
establecer las pautas legales que permitan cumplir con los requerimientos legales
vigentes en esta materia.
Empleados y contratistas
● Conocer, dar a conocer, cumplir y hacer cumplir la política de seguridad de la
información vigente y todas las normas y procedimientos establecidos por Somos en
esta materia.
● Dar un buen uso de los activos de información de Somos que le sean asignados para el
cumplimiento de sus funciones o actividades. La relación de éstos debe encontrarse
registrada en un sistema de inventario de Somos.
● Hacer entrega en buen estado de los activos de información de Somos que le sean
asignados cuando se presente retiro de la entidad, cambio de funciones o culminación
del contrato, según sea el caso.
● Custodiar la información alojada en los activos de información de Somos que le sean
asignados.
● Cumplir las políticas de respaldo, custodia y recuperación de la información definidas
por el CTO, el HIS y sus respectivos personal de apoyo.
● Únicamente utilizar el software autorizado por el equipo de tecnologías de información y
el equipo técnico de seguridad de la información. En caso de requerir la instalación de
software adicional, éste debe ser evaluado y aprobado por los equipos técnicos
pertinentes.
● Permitir, cuando Somos así lo requiera, la revisión de los activos de información de
Somos que le sean asignados a nivel físico, software instalado e información alojada.
Visitantes
● Cumplir las políticas de seguridad de la información de Somos cuando le sean
informadas al momento de que se le autorice el acceso a las instalaciones de Somos.
● Utilizar únicamente los activos de información que le sean autorizados.
● Contar con un empleado responsable por sus actividades dentro de las instalaciones de
Somos.
● Solicitar al responsable de cualquier activo de información la autorización explícita de
acceso a los mismos.
● No interrumpir, deshabilitar o evadir los controles de seguridad de la información
dispuestos por Somos para la protección de sus activos de información.
● Todos los empleados y contratistas deben reportar al equipo técnico de seguridad de la
información cualquier evento que pueda afectar la confidencialidad, disponibilidad o
integridad de cualquier activo de información de Somos.
● Cualquier modificación a los activos de información de Somos que implique una
afectación del servicio debe cumplir con lo definido por el Sistema de Gestión de
Seguridad de la Información, a fin de tener una trazabilidad de los cambios realizados.
● Los empleados y contratistas de Somos no podrán instalar ningúna aplicación
desarrollada en Somos en equipos, estaciones de trabajo o cualquier otro dispositivo de
almacenamiento externo sin autorización expresa de Somos.
● Los empleados y contratistas de Somos no podrán almacenar información personal de
terceros, sensible o confidencial en ningún dispositivo de almacenamiento de uso
personal.
● Toda información personal de terceros, sensible o confidencial de Somos tendrá acceso
controlado y sólo podrá ser utilizada con la expresa autorización de Somos.
● El uso abusivo de cualquier activo de información incurrirá en las sanciones respectivas
tanto internas como legales según lo determine la normatividad vigente.
Las políticas de seguridad de información pretenden fomentar que los empleados comprendan
sus responsabilidades y sean idóneos en los roles asignados respecto a la seguridad de la
información.
Sobre la vinculación y desvinculación de empleados ● Los procesos de selección de empleados vinculados a Somos incluyen la verificación de
antecedentes disciplinarios, fiscales, y judiciales, además de la verificación de
experiencias académicas y laborales.
● Durante su vinculación con Somos, los empleados deben participar en las actividades
de capacitación y sensibilización en materia de seguridad de la información.
● Los empleados aceptan la obligación legal de mantener la reserva de la información
bajo su responsabilidad.
● Todo el personal vinculado a Somos debe aceptar formalmente el cumplimiento de las
políticas de seguridad de la información.
Gestión de contratistas frente a la seguridad de la información
● Si el contrato establece que Somos debe proporcionar algún equipo de cómputo, el
supervisor del contrato debe realizar la solicitud y hacerse responsable de las acciones
del contratista sobre el equipo de cómputo.
● Para contratos con persona jurídica, en el caso que sea necesario, el supervisor del
contrato debe realizar la solicitud de accesos y credenciales relevantes al contrato,
proporcionando la información contractual relevante y de las personas involucradas que
tendrán a cargo dichas credenciales de acceso.
● Al momento de finalizar una relación contractual, el supervisor de contrato deberá
solicitar la eliminación de las credenciales y accesos relevantes al contrato. Si se asignó
un equipo de cómputo, el supervisor de contrato deberá realizar la devolución del
equipo.
● Los contratistas deben aceptar dentro de sus obligaciones la cláusula de
confidencialidad sobre la información a la que tengan acceso y aceptar el cumplimiento
de las políticas de seguridad de la información de Somos. Control de acceso
● Los empleados, contratistas y visitantes deben estar inequívocamente identificados,
portando algún distintivo definido por Somos para tal fin mientras se encuentren en las
instalaciones de Somos.
● El portar un distintivo no correspondiente al asignado será considerado como una
suplantación de identidad e incurrirá en las sanciones correspondientes.
● Los empleados deben registrar el ingreso y salida de áreas restringidas y/o áreas en las
que se genere, adquiera, gestione, procese o almacene información personal de
terceros, sensible o confidencial.
● Somos actuará como responsable del tratamiento de los datos personales de los
empleados, contratistas y visitantes, y hará uso de los mismos únicamente para las
finalidades para las cuales se encuentra facultado, según lo establece la política de
tratamiento de datos personales aprobada por Somos y publicada en la página web.
● Los contratistas que realicen actividades en las instalaciones de Somos de forma
regular en razón a la prestación de servicios, deben utilizar prendas distintivas que
faciliten su identificación. Tal es el caso de las empresas de vigilancia, aseo y
adecuación de infraestructura física, entre otras. IX. Lineamientos de seguridad física Se consideran áreas seguras los sitios donde se gestiona la información personal de terceros,
sensible o confidencial de Somos, cuyo acceso debe ser controlado. Para ello se deben
implementar mecanismos de seguridad física y control de acceso.
● Sólo personal autorizado debe contar con acceso a las áreas seguras, siendo la
responsabilidad del coordinador del área segura designar al personal encargado de
gestionar los accesos.
● Somos debe garantizar la vigencia de los elementos físicos necesarios para
salvaguardar la correcta operación de la plataforma tecnológica ubicada en las
instalaciones.
● Los centros de datos de Somos deben contar con sistemas de control de acceso, de
control de temperatura y humedad, de detección y extinción de incendios, de
alimentación eléctrica ininterrumpida y de vigilancia y monitoreo.
● Somos debe contar con planes y procedimientos de continuidad ante incidentes
asociados a causas externas como incendios o fenómenos naturales.
● No está permitido el ingreso de líquidos, alimentos o material inflamable a los centros de
datos de Somos. Estas áreas deben permanecer limpias y sin elementos que no
correspondan con la operación del área.
● El personal de limpieza debe ser capacitado con respecto a las precauciones mínimas a
seguir dentro de las áreas seguras. Asimismo, está prohibido el ingreso del personal de
limpieza a las áreas seguras con elementos que no sean necesarios para su labor (e.g.,
morrales, maletas, bolsos, etc.) que puedan representar un riesgo para la integridad,
disponibilidad o confidencialidad de la información contenida en el área segura.
● La adquisición y/o generación de medios audiovisuales (i.e., Video o fotografías) dentro
de las áreas seguras con destino a terceras partes debe estar previamente autorizada
por el responsable del área segura y el HIS.
● Somos debe gestionar los mantenimientos preventivos y correctivos de la infraestructura
tecnológica de los centros de datos y equipos de cómputo.
A continuación, se definen las pautas y las reglas generales para la protección de la
información durante su intercambio entre empleados, contratistas o partes interesadas de
Somos o entre Somos y partes externas, preservando las características de confidencialidad,
disponibilidad e integridad.
● Todo usuario es responsable tanto del contenido de las comunicaciones como de
cualquier información que sea enviada desde las redes de datos de Somos o se
obtenga desde internet usando su cuenta de acceso y/o equipo de cómputo asignado.
● Somos puede supervisar el uso y acceso del servicio de Internet para verificar que se
está usando para el cumplimiento de las funciones y prevenir el ingreso a sitios maliciosos. En los procesos de verificación del uso apropiado del servicio de acceso a
Internet se respetan los derechos a la intimidad y privacidad.
● Cuando un empleado, contratista o tercera parte a la que le haya sido autorizada el uso
de una cuenta de servicio de Internet o de acceso a la red local finalice su relación con
Somos, debe seguir los procedimientos definidos para entregar su cuenta de usuario y
accesos a servicios informáticos provistos.
● Es responsabilidad de los empleados y contratistas salvaguardar la información de
Somos, cumpliendo con los criterios de integridad, disponibilidad y confidencialidad. Así
mismo, deben velar porque la información de Somos sea protegida de divulgación no
autorizada.
● La transferencia e intercambio de información para propósitos de interoperabilidad con
terceras partes se realiza conforme con la normatividad vigente.
● Las condiciones técnicas para el intercambio de información deben ser definidas y
aprobadas por el CTO y el HIS.
● Las condiciones administrativas para el intercambio de información deben ser definidas
y aprobadas por el líder del proceso responsable del intercambio de información con la
tercera parte con la cual se compartirá la información.
● Los empleados son responsables de todas las actividades realizadas con la cuenta de
correo asignada por Somos. Toda la información transmitida a través de la cuenta de
correo es responsabilidad del empleado a quien se le designó dicha cuenta.
● Somos establece acuerdos de confidencialidad e intercambio de información con
terceros que manipulen, requieran o provean información física y/o digital de carácter
sensible, personal o confidencial.
● La Dirección Jurídica define los acuerdos de confidencialidad y/o intercambio de
información entre Somos y cualquier tercera parte que requiera información física y/o
digital de carácter sensible, personal o confidencial.
● El acuerdo de confidencialidad debe incluir compromisos adquiridos por Somos y
terceras partes, penalidades de incumplimiento y destrucción de la información
suministrada a los terceros una vez se haya culminado el contrato o convenio.
● El CTO y el HIS son los responsables de proporcionar los lineamientos para el
intercambio de información digital con terceros de manera segura con el fin de proteger
la información de manipulación, modificación y divulgación no autorizada.
● La Dirección Jurídica es responsable de realizar el acompañamiento a las diferentes
áreas de Somos para que se garantice la inclusión de los acuerdos de confidencialidad
en los contratos o convenios que así lo requieran.
● El CTO y el HIS deben establecer los eventos que serán monitorizados de manera
periódica en la infraestructura tecnológica y servicios de información de Somos.
● El CTO establece los mecanismos para monitorear, diagnosticar y resolver problemas
de disponibilidad y rendimiento de la infraestructura tecnológica.
● Para los sistemas de información, aplicaciones y portales, los líderes técnicos de los
servicios de información de Somos establecen y verifican el cumplimiento de los
acuerdos de niveles de servicio.
● El HIS es responsable de establecer los lineamientos de borrado seguro de activos de
información que almacenen información digital.
● Al finalizar la vida útil o determinar que ya no son necesarios para las labores operativas
de Somos, los medios de almacenamiento de equipos de cómputo, medios de
almacenamiento extraíbles u otros medios de almacenamiento que puedan contener
información sensible, personal o confidencial, deben ser sometidos al proceso de
borrado seguro que impida la recuperación de dicha información.
● En el caso de que la destrucción lógica no se realice correctamente por fallo del
dispositivo, éste hecho debe documentarse claramente y utilizar métodos de destrucción
física de dicho almacenamiento, asegurando que se realice de forma respetuosa con el
medio ambiente.
● En caso de imposibilidad tecnológica de aplicar borrado seguro, los medios de
almacenamiento deben ser sometidos a un proceso de destrucción física.
● Es responsabilidad de las áreas que publican o actualizan contenidos en los sitios web
de la entidad, designar los responsables del manejo, mantenimiento, consulta, ingreso,
modificación, eliminación y/o divulgación, de la información almacenada en los sitios
web que les corresponda.
Restricciones establecidas
Para los empleados de Somos, contratistas y visitantes, está terminantemente prohibido:
● Intercambiar información de carácter sensible, personal o confidencial de Somos con
terceras partes sin previa autorización del director de área, supervisor o responsable de
la información.
● Instalar o utilizar software comercial sin la respectiva licencia.
● Descargar, instalar o utilizar software no autorizado.
● El ingreso a páginas relacionadas con violencia, pornografía, drogas, alcohol, web
proxys o cualquier sitio web que pueda implica un compromiso de seguridad de la
información.
● Suministrar los datos de acceso o clave de la cuenta de correo asignada por Somos.
● Utilizar la cuenta de correo asignada por la entidad, para actividades personales.
● Participar en la transmisión de correos spam.
El cumplimiento de esta Política será supervisado por el HIS. Se establecerán mecanismos de
auditoría y revisión periódica para asegurar que el Sistema de Gestión de Seguridad de la
Información cumpla con los estándares establecidos. Seguimiento
En caso de tener algún problema, o detectar un Incidente que pueda afectar al funcionamiento
o seguridad de los activos de información y/o la seguridad de los mismos, éste se deberá
comunicar inmediatamente al HIS a través de los canales habilitados para tales efectos y que
se determinarán en los procedimientos de Sistema de Gestión de Seguridad de la Información.
A modo de métrica, se documentarán mensualmente los resultados del proceso de gestión de
vulnerabilidades, incluyendo el listado de vulnerabilidades gestionadas, así como si han sido
corregidas y, en su caso, las medidas adoptadas.
El incumplimiento de la presente Política puede conllevar responsabilidades legales de diversa
naturaleza según dispone la legislación vigente, dando derecho a Somos, si así se estimara
necesario, a iniciar las acciones legales que procedan.
Interpretación
El órgano de contacto para cualquier duda y/o consulta en relación con la interpretación y
ejecución de la presente Política será el HIS. La comunicación con el HIS se llevará a cabo por
los canales habilitados para tal efecto.
En caso de requerir un peritaje legal, la Dirección Jurídica será involucrada para tal efecto
durante la interpretación y ejecución de la presente política.
Revisión y actualización
La presente política será revisada y, en su caso, actualizada periódicamente para adaptarse a
las necesidades y/o cambios regulatorios, organizativos, técnicos y de procesos de Somos, así
como para incorporar las mejores prácticas identificadas en el Sistema de Gestión de
Seguridad de la Información.
La modificación y/o actualización de la presente política será efectuada por el HIS para ser
aprobada por la alta dirección de Somos.
La presente política se publicará en la página web corporativa de Somos con el consiguiente
conocimiento y asunción de su contenido íntegro por parte de los empleados y usuarios.
Sin perjuicio de ello, Somos llevará a cabo periódicamente acciones de comunicación,
formación y sensibilización para la comprensión y puesta en práctica de esta Política, así como
de sus actualizaciones.
En todo caso, es responsabilidad de todos los usuarios y empleados leer y comprender el
contenido de esta política, así como observar y cumplir sus directrices, principios y procesos en
el desarrollo de su trabajo, en la medida en que el desconocimiento de todo o parte de su
contenido no exime de su cumplimiento. En este sentido, se recomienda acceder de forma periódica al contenido de esta política a través de los canales disponibles para una mejor
comprensión de la misma.
La presente política fue aprobada por la alta dirección de Somos en su reunión de fecha 01 de
julio de 2025, entrando en vigor desde el momento de su publicación en la página web
corporativa de Somos.
Marco de referencia legal y normativa
A continuación, se referencian las normas y leyes colombianas que aplican en el ámbito de
seguridad de la información, si cualquier disposición de estas condiciones pierde validez o
fuerza obligatoria, por cualquier razón, todas las demás disposiciones conservan su fuerza
obligatoria y carácter vinculante.
● Ley 1266 de 2008. Por la cual se dictan las disposiciones generales del hábeas data y
se regula el manejo de la información contenida en bases de datos personales, en
especial la financiera, crediticia, comercial, de servicios y la proveniente de terceros
países y se dictan otras disposiciones.
● Ley 1273 de 2009. Por medio de la cual se modifica el Código Penal, se crea un nuevo
bien jurídico tutelado - denominado "de la protección de la información y de los datos"- y
se preservan integralmente los sistemas que utilicen las tecnologías de la información y
las comunicaciones, entre otras disposiciones.
● Decreto 2952 de 2010. Por el cual se reglamentan los artículos 12 y 13 de la Ley 1266
de 2008.
● Sentencia C-748 de 2011. Por la cual se dictan disposiciones generales para la
protección de datos personales.
● Ley 1581 de 2012. Por la cual se dictan disposiciones generales para la protección de
datos personales.
● Decreto 1377 de 2013. Por el cual se reglamenta parcialmente la Ley 1581 de 2012.
● Decreto 1078 de 2015. Por medio del cual se expide el Decreto Único Reglamentario
del Sector de Tecnologías de la Información y las Comunicaciones.
● Decreto 255 de 2022. Por el cual se adiciona la Sección 7 al Capítulo 25 del Título 2 de
la Parte 2 del Libro 2 del Decreto 1074 de 2015, Decreto Único Reglamentario del
Sector Comercio, Industria y Turismo, sobre normas corporativas vinculantes para la
certificación de buenas prácticas en protección de datos personales y su transferencia a
terceros países.
● NTC-ISO/IEC 27000. Tecnología de la información. Técnicas de seguridad. Sistemas de
gestión de seguridad de la información (SGSI). Visión general y vocabulario.
● NTC-ISO/IEC 27001. Tecnología de la información. Técnicas de seguridad. Sistemas de
gestión de la seguridad de la información. Requisitos.
● GTC-ISO/IEC 27002. Tecnología de la información. Técnicas de seguridad. Código de
práctica para controles de seguridad de la información.
● GTC-ISO/IEC 27003. Tecnología de la información. Técnicas de seguridad. Guía de
implementación de un sistema de gestión de la seguridad de la información.
● GTC-ISO/IEC 27004. Tecnología de la información. Técnicas de seguridad. Gestión de
la seguridad de la información. Monitoreo, medición, análisis y evaluación.
● NTC-ISO/IEC 27005. Tecnología de la información. Técnicas de seguridad. Gestión del
riesgo en la seguridad de la información.
● NTC-ISO/IEC-TS 27008. Tecnología de la información. Técnicas de seguridad.
Directrices para la evaluación de los controles de seguridad de la información.
● END-ISO/IEC 27009. Seguridad de la información, ciberseguridad y protección de la
privacidad. Aplicación sectorial de la NTC-ISO/IEC 27001. Requisitos.
● GTC-ISO/IEC 27017. Tecnología de la información. Técnicas de seguridad. Código de
prácticas para los controles de seguridad de la información basado en ISO/IEC 27002
para servicios en la nube.
● NTC-ISO/IEC 27018. Tecnología de la información. Técnicas de seguridad. Código de
práctica para la protección de la información de identificación personal (IIP) en las nubes
públicas que actúan como procesadores de la IIP.
● GTC-ISO/IEC 27031. Tecnología de la información. Técnicas de seguridad. Directrices
para la preparación de la tecnología de información y las comunicaciones para la
continuidad de negocio.
● GTC-ISO/IEC 27032. Ciberseguridad. Orientaciones para la seguridad en Internet.
● NTC-ISO/IEC 27033-1. Tecnología de la información. Técnicas de seguridad. Seguridad
en la red. Parte 1: Visión general y conceptos.
● NTC-ISO/IEC 27033-2. Tecnología de la información. Técnicas de seguridad. Seguridad
de la red. Parte 2: Directrices para diseño y aplicación de seguridad de red.
● NTC-ISO/IEC 27035-1. Tecnología de la información. Gestión de incidentes de
seguridad de la información. Parte 1: Principios y procesos.
● GTC-ISO/IEC 27035-2. Tecnología de la información. Gestión de incidentes de
seguridad de la información. Parte 2: Directrices para planificar y preparar la respuesta a
incidentes.
● NTC-ISO/IEC TS 27100. Tecnología de la información. Ciberseguridad. Visión general y
conceptos.
● GTC-ISO/IEC TR 27103. Tecnología de la información. Técnicas de seguridad.
Ciberseguridad y normas ISO e IEC.
● GTC-ISO/IEC TS 27110. Tecnología de la información, ciberseguridad y protección de la
privacidad. Directrices para la elaboración del marco de ciberseguridad.
● GTC-ISO/IEC 27557. Seguridad de la información, ciberseguridad y protección de la
privacidad. Aplicación de la NTC-ISO 31000 para la gestión del riesgo de la privacidad
de la organización.
● NTC-ISO/IEC 27701. Técnicas de seguridad. Ampliación de las NTC-ISO/IEC 27001 y
GTC-ISO/IEC 27002 para la gestión de la privacidad de la información. Requisitos y
directrices.
● NTC-ISO 31000. Gestión del riesgo. Directrices.
● NTC-IEC/ISO 31010. Gestión del riesgo. Técnicas de evaluación del riesgo.
● NTC-ISO 31022. Gestión del riesgo. Directrices para la gestión del riesgo legal.
● NTC-ISO 31073. Gestión del riesgo. Vocabulario.
● NIST SP 800-30 Rev. 1. Guide for Conducting Risk Assessments.
● NIST SP 800-34 Rev. 1. Contingency Planning Guide for Federal Information Systems.
● NIST SP 800-35. Guide to Information Technology Security Services.
● NIST SP 800-37 Rev. 2. Risk Management Framework for Information Systems and
Organizations: A System Life Cycle Approach for Security and Privacy.
● NIST SP 800-39. Managing Information Security Risk: Organization, Mission, and
Information System View.
● NIST SP 800-50 Rev. 1. Building a Cybersecurity and Privacy Learning Program.
● NIST SP 800-53A Rev. 5. Assessing Security and Privacy Controls in Information
Systems and Organizations.
● NIST SP 800-55 Vol. 1. Measurement Guide for Information Security: Volume 1 —
Identifying and Selecting Measures.
● NIST SP 800-55 Vol. 2. Measurement Guide for Information Security: Volume 2 —
Developing an Information Security Measurement Program.
● NIST SP 800-61 Rev. 3. Incident Response Recommendations and Considerations for
Cybersecurity Risk Management: A CSF 2.0 Community Profile.
● NIST SP 800-92. Guide to Computer Security Log Management.
● NIST SP 800-94. Guide to Intrusion Detection and Prevention Systems (IDPS).
● NIST SP 800-144. Guidelines on Security and Privacy in Public Cloud Computing.