Upload
others
View
7
Download
0
Embed Size (px)
Citation preview
ESTA DIAPOSITIVA ES
PARA SER USADA COMO
PORTADA
MaestroPolíticas Institucionales
POLÍTICAS INSTITUCIONALES
Las Políticas institucionales parten del reconocimiento del marco
legal que rige para la Entidad y se establecen a través de la
definición de sus procesos, procedimientos, metodologías,
herramientas y guías internas, por cuanto se describen allí las
líneas de acción, objetivos, actividades y controles en cada uno de
los procesos estratégicos, misionales, de apoyo y de evaluación de
Valor+ S.A.S. y los cuales pueden ser consultados a través de la
página web accediendo al linkhttps://valormas.gov.co/transparencia/estructura-organica-y-talento-
humano/ en el apartado procesos y procedimientos institucionales
Sin embargo, como directrices generales para todos los niveles y
cargos se encuentran las siguientes:
1. Política de planeación institucional
2. Política de seguimiento y evaluación al desempeño
institucional
3. Política de transparencia, acceso a la información pública y
lucha contra la corrupción
4. Política de administración del riesgo
5. Política de gestión de control interno
6. Fortalecimiento organizacional y simplificación de procesos
7. Política de talento humano
8. Política de seguridad y salud en el trabajo
9. Política de integridad
10. Política de gestión del conocimiento y la innovación
11. Política de gestión documental
12. Política de gestión presupuestal y eficiencia del gasto público
13. Política de defensa jurídica
14. Política de servicio al ciudadano
15. Política de seguridad digital- Política de acceso a la información
- Política de tratamiento de datos
- Política de tratamiento de información
- Política de confidencialidad tratamiento de datos
- Política de seguridad de información del recurso humano
- Política administración de cambios en sistemas de información
- Política de seguridad de la información interna y externa
- Política de seguridad para los servicios informáticos
- Política de seguridad en recursos informáticos
- Política de seguridad en comunicaciones
- Política de seguridad para usuarios terceros
- Política de software utilizado
- Política de actualización de hardware
- Política de actualización de hardware
- Política de almacenamiento y respaldo de backups
- Política de continuidad y contingencia
- Política de auditoría en seguridad de la información
- Política de seguridad física
- Política de escritorios limpios
- Política de administración de la seguridad
- Política de gestión de impresiones
- Política de seguridad en teletrabajo
- Política de gestión de incidentes y seguridad de la información
16. Política de gobierno de TI
17. Política de comunicaciones
Política de planeación institucional
Plan estratégico institucional:
• VALOR+ S.A.S, a través de la de la Oficina de Planeación, para la
formulación de la planeación estratégica e institucional, cumplirá
con los lineamientos de planeación estratégica e institucional en
cascada, de tal forma que las metas operativas de la Entidad
aporten al cumplimiento de metas estratégicas de la misma.
• Para la formulación del Plan Estratégico Institucional del cuatrienio,
se realizará un diagnóstico de capacidades y entornos, aplicando
metodologías, herramientas o instrumentos que se adecuen a su
capacidad y orientación organizacional. Con base en el diagnóstico
la Entidad realizará el análisis de su capacidad institucional y la
revisión de la misión, visión y objetivos estratégicos para la
elaboración del Plan.
Reporte de información:
• La Oficina de Planeación y el equipo de Control Interno reportarán
la información necesaria del Modelo Integrado de Planeación y
Gestión, a través, del Formulario Único de Reporte y Avance de
Gestión – FURAG de acuerdo a la metodología, periodicidad y
demás condiciones necesarias, establecidas por el Departamento
Administrativo de la Función Pública – DAFP.
• La Oficina de Planeación realizará cuando así lo requiera el
autodiagnóstico de direccionamiento y planeación, de acuerdo con
la herramienta que el Departamento de la Función Pública DAFP
que establezca para ello.
• La Oficina de Planeación establecerá el Plan de Acción
Institucional y definición de indicadores operativos, como el
principal instrumento para la articulación de los procesos de
gestión con el Plan Estratégico Institucional que se formule en la
Entidad.
• La Oficina de Planeación realizará la actualización de las
caracterizaciones de proceso, procedimientos, guías, formatos,
entre otros, cuando así sea requerido.
• La Oficina de Planeación capacitará a los servidores de la Entidad
en el MIPG, y deberá estar actualizado en las directrices que
surjan sobre la implementación de dicho modelo.
Rendición de cuentas
• VALOR + S.A.S, a través de la Oficina de Planeación, formulará la
estrategia para el proceso y mecanismos de Rendición de Cuentas
en el marco de las Políticas de MIPG, con base en la metodología
establecida por la entidad para tal fin.
PLANEACIÓN
Otros
• VALOR + S.A.S a través del Equipo de Comunicaciones, divulgará
las políticas, planes, programas y proyectos, así como los
resultados y logros de la Entidad tanto internamente como
externamente.
• Los líderes de proceso sensibilizarán al interior de sus equipos las
políticas, planes, programas y proyectos así como los resultados y
logros de la Entidad.
• Los líderes de proceso fomentarán al interior de sus procesos la
cultura del autocontrol, autogestión y autorregulación como
mecanismo para la mejora continua.
Política de seguimiento y evaluación al desempeño institucional
• VALOR+ S.A.S, promoverá la responsabilidad y seguimiento a los
resultados, conforme al cumplimiento del plan estratégico
institucional y los elementos que de allí se derivan. Esta política
establece la responsabilidad de la Entidad en realizar el
seguimiento periódico al plan operativo anual (POA), indicadores y
plan de acción institucional, además de su impacto en el ejercicio
de rendición de cuentas.
• La entidad propenderá por promover el aprendizaje, la
retroalimentación y la difusión de conocimientos e información
relacionados a los resultados y lecciones aprendidas en los
procesos de gestión y la rendición de cuentas.
• Se tiene como pilar fundamental y medir el desempeño de los
procesos teniendo presente la gestión basada en resultados (GBR)
que tiene como objetivo mejorar la eficacia de la gestión y la
rendición de cuentas, se tendrán presente en la elaboración de
planes, programas y proyectos, el establecimiento de metas y
resultados, seguimiento periódico de los avances para alcanzar las
metas y resultados previstos, así como los planes de mejora e
informes de retroalimentación sobre el desempeño institucional.
Política de transparencia, acceso a la información pública y lucha
contra la corrupción
VALOR+ S.A.S, dando cumplimiento a la resolución 3564 de 2015
pone a disposición de los ciudadanos, e interesados, a través de la
página web de la entidad, la sección de Transparencia y Acceso a la
Información Pública , donde se busca promover que la información de
la entidad pueda ser consultada de primera mano, de tal manera que
se facilite el acceso a la misma en los términos más amplios posibles
de acuerdo a la naturaleza de la entidad.
PLANEACIÓN
Política de administración del riesgo
• VALOR+ S.A.S establece los principios básicos y el marco general
de actuación para la identificación y documentación de riesgos de
gestión, corrupción y de seguridad digital, para los riesgos
identificados en los programas, proyectos, planes y procesos, el
establecimiento de acciones de control preventivas y detectivas y
la actuación correctiva y oportuna ante la materialización de los
riesgos identificados. Todo esto orientando a la entidad hacia un
nivel de aseguramiento razonable.
• La Gestión del riesgo de Valor Mas, se gestiona mediante la
aplicación del modelo de las tres líneas de defensa:
• Primera Línea de Defensa: Desarrolla e implementa
procesos de control y gestión de riesgos a través de su
identificación, análisis, valoración, monitoreo y acciones de
mejora.
• Segunda Línea de Defensa: Asegura que los controles y
los procesos de gestión de riesgos implementados por la
primera línea de defensa, estén diseñados
apropiadamente y funcionen como se pretende.
• Tercera línea de defensa: Proporciona información sobre
la efectividad del Sistema de Control Interno a través de un
enfoque basado en riesgos, incluida la operación de la
primera y segunda línea de defensa.
• Se establecen los niveles de aceptación del riesgo así:
•
• Se establecen los responsables por línea de defensa así:- Línea Estratégica: Comité Directivo Comité de Gestión y Desempeño
Institucional Comité Institucional de Control Interno
- Primera línea de defensa: Líderes de Proceso Responsable del
proyecto
- Segunda línea de defensa: Dirección de Planeación y PMO
- Tercera línea de defensa: Oficina de Control Interno
(Esta política se amplía en la documentación del proceso de Gestión del Riesgo y
Continuidad)
Zona de Riesgo
Nivel de Aceptación
Riesgos de Gestión (Proceso, Producto y
Proyecto)
Riesgos de Seguridad de la Información
Riesgos de Corrupción
Muy baja y Baja
Se ACEPTARÁ el riesgo y se administra por medio de las actividades propias del proyecto o proceso asociado y se realiza en el reporte MENSUAL de su desempeño.
Se ACEPTARÁ el riesgo, pero se realizará seguimiento periódico CUATRIMESTRAL por parte del responsable y custodio del activo de información, este seguimiento debe quedar documentado.
Valor Mas no acepta el nivel del riesgo
de corrupción en los niveles bajo y muy
bajo, sin embargo, se realiza
seguimiento mensual para evitar a
toda costa su materialización por parte
de los procesos a cargo de los mismos.
Moderado
Se establecen acciones de control preventivas que permitan REDUCIR la probabilidad de ocurrencia del riesgo, se hace seguimiento BIMESTRAL y se registra sus avances.
Se establecerá plan de acción para control preventivo que permitirá MITIGAR la probabilidad de ocurrencia del riesgo. De acuerdo a la periodicidad establecida en las actividades de control, se realiza monitoreo por parte del responsable y custodio del activo de información. Adicional, se realizarán seguimientos de forma BIMESTRAL, registrando los avances en la herramienta dispuesta por Valor + para este tema.
Se establecen acciones de control preventivas que permitan REDUCIR la probabilidad de ocurrencia del riesgo. Periodicidad MENSUAL de seguimiento para evitar a toda costa su materialización por parte de los procesos a cargo de los mismos y se documenta sus avance.
Alta y muy Alta
Se debe incluir el riesgo tanto en el Mapa de riesgo del Proceso como en el Mapa de Riesgo Institucional y se establecen acciones de Control Preventivas que permitan MITIGAR la materialización del riesgo. Se monitorea MENSUAL y se registran sus avances.
Se debe incluir el riesgo tanto en el Mapa de riesgo del Proceso, como en el Mapa de Riesgo Institucional y se establecen acciones de Control Preventivas, con el fin de MITIGAR, TRANSFERIR O EVITAR la materialización del riesgo. Se monitorea de forma MENSUAL, y el equipo de seguridad de la Información de la entidad realiza acompañamiento hasta que la calificación del riesgo sea menor.
Se adoptan medidas para: REDUCIR la probabilidad o el impacto del riesgo, o ambos; esto conlleva a la implementación de controles. EVITAR Se abandonan las actividades que dan lugar al riesgo, decidiendo no iniciar o no continuar con la actividad que causa el riesgo. TRANSFERIR O COMPARTIR una parte del riesgo para reducir la probabilidad o el impacto del mismo. Periodicidad MENSUAL de seguimiento para evitar a toda costa su materialización por parte de los procesos a cargo de los mismos y se documenta sus avances.
PLANEACIÓN
Política de gestión de control interno
VALOR + S.A.S, propende diseñar y mantener la estructura del MECI
a través de sus cinco componentes i) Ambiente de Control; ii)
Evaluación del Riesgo; iii) Actividades de Control; iv) Información y
Comunicación; v) Actividades de Monitoreo; asignando las
responsabilidades en la materia, a cada uno de los servidores, acorde
con el esquema de las líneas de defensa y de acuerdo con la
naturaleza misma de la organización, según el esquema que se
presenta a continuación:
Lo anterior con el propósito de contar con acciones, métodos y
procedimientos de control y de gestión del riesgo, así como
mecanismos para la prevención y evaluación de éste, para lograr
cumplir el objetivo de MIPG consistente en “Desarrollar una cultura
organizacional fundamentada en la información, el control y la
evaluación, para la toma de decisiones y la mejora continua”.
Lo anterior con el propósito de contar con acciones, métodos y
procedimientos de control y de gestión del riesgo, así como
mecanismos para la prevención y evaluación de éste, para lograr
cumplir el objetivo de MIPG consistente en “Desarrollar una cultura
organizacional fundamentada en la información, el control y la
evaluación, para la toma de decisiones y la mejora continua”.
Responsables: Líneas de Defensa
• Línea Estratégica: Alta Dirección, Comité Institucional de
Coordinación de Control Interno y Comité de Gestión y
Desempeño.
• Primera Línea: Lideres de Procesos y equipos de trabajo.
• Segunda Línea: Director de Planeación.
• Tercera Línea: Jefe Oficina de Control Interno
Marco Normativo:
• Constitución Política, artículos 209 y 268
• Ley 87 de 1993
• Decreto 1083 de 2015
• Instrucción Administrativa N° 75 de 2017
CONTROL INTERNO
Fortalecimiento organizacional y simplificación de procesos
• VALOR+ S.A.S mantendrá una gestión de operación por
procesos, buscando de manera permanente la identificación de
optimizaciones a sus procesos, aplicando metodologías,
herramientas o instrumentos que se adecuen a su capacidad y
orientación organizacional. Con base en el diagnóstico permanente
que se realice, la Entidad definirá mejoras y simplificará los
procesos institucionales a los que haya lugar.
• La entidad evaluará periódicamente el estado de los procesos,
cumplimientos, cargas y resultados, con los diferentes equipos de
trabajo y líderes de proceso, con el fin de identificar mejoras y
optimizaciones que pudieran ser aplicadas.
PROCESOS Y CALIDAD
Política de talento humano
VALOR + S.A.S, En Valor+ comprendemos a nuestro capital humano
desde una mirada integral, que nos permita tener una perspectiva
estratégica de sus prácticas y así, mejorar el desempeño de la
organización a través de procesos que legitimen nuestra propuesta de
valor como aceleradores de capacidades tecnológicas.
Es por ello que la entidad se compromete con la protección, el
mejoramiento de la calidad de vida laboral, la administración, gestión
y desarrollo del Talento humano que presta sus servicios en la
Entidad, incorporando siempre las buenas prácticas y los valores del
Código de integridad. Para atender las necesidades de los servidores
de la Entidad, la Coordinación Administrativa y de Talento Humano,
desarrolla anualmente planes estratégicos de mejoramiento, ajustado
a las necesidades, metas, objetivos definidos y demás productos que
tenga la Entidad.
Política de seguridad y salud en el trabajo
VALOR + S.A.S, está comprometida en mantener y mejorar la calidad
de vida, proteger la integridad física y mental, de igual manera seguirá
efectuando el control de las condiciones de trabajo y del entorno
donde se realiza el que hacer de cada una de los servidores y
contratistas.
Esto se logra mediante una acción continua en la identificación,
evaluación y control de los riesgos, siempre a través de una adecuada
planeación, programación e implementación de los programas de
Medicina del Trabajo, Higiene y Seguridad laboral y la destinación de
recursos físicos, humanos y financieros para la misma. La empresa a
través de la Gerencia General, se compromete a destinar recursos
físicos, humanos, financieros y gestiones necesarias para llevar a
cabalidad la ejecución del SG-SST, por lo cual actuará con la
convicción de preservar los recursos naturales y propender la
conservación del medio ambiente.
Es compromiso de todos los niveles de VALOR+ S.A.S, velar por
mantener una cultura de auto cuidado, Seguridad y Salud en el
Trabajo, convirtiéndola en un estilo de vida; a su vez se debe dar
cumplimiento a las normas, disposiciones y procedimientos
establecidos, de acuerdo con las directrices institucionales y la
legislación colombiana vigente, generando de esta forma valor y
competitividad al interior de la misma.
VALOR + S.A.S, mantendrá el liderazgo, el compromiso y la calidad,
para que los colaboradores desde su actividad cuenten con los
recursos, la asesoría oportuna, pertinente y clara para prevenir toda
clase de accidentes y enfermedades laborales.
Así mismo, considera que las acciones preventivas, participativas y el
compromiso individual de todos, como son administrativos,
proveedores, contratistas, usuarios, visitantes o personas que de una
u otra forma se encuentren relacionados con nuestra entidad, son
parte fundamental para el éxito de la cultura de prevención en
Seguridad y Salud en el trabajo, logrando una población sana y capaz
de satisfacer las expectativas de ambas partes.
TALENTO HUMANO Y CONOCIMIENTO
Política de integridad
Valor+ S.A.S se compromete en la búsqueda del mejoramiento
continuo de los servicios que presta la en aras de orientar el
comportamiento y conducta de los servidores públicos en el desarrollo
de sus actividades diarias y generar las directrices para que con el
ejemplo se apliquen y se adopten los valores institucionales.
Lo anterior, a través del establecimiento del código de integridad, el
cual actúa como guía para el desarrollo de estrategias y acciones que
le permitan a las entidades y organismos fortalecer la cultura
organizacional, orientada al servicio, la integridad, la transparencia y
el rechazo a la corrupción, mediante la apropiación de los valores, la
necesidad de redefinir el modelo de intervención de gestión ética
descentralizada e impulsar una política de integridad de la
administración pública con un enfoque pedagógico y preventivo, lo
cual se verá reflejado en la entidad.
Valores institucionales:
Honestidad – Respeto – Compromiso – Diligencia – Justicia
Política de gestión del conocimiento y la innovación
Valor + S.A.S, tiene como propósito adaptarse a los incesantes
cambios de la economía digital, ofreciendo soluciones a la sociedad y
a las nuevas ciudades inteligentes, a través del fomento del recurso
humano capacitado y comprometido, requisito imprescindible para
poder aplicar el cambio de manera eficaz en nuestros servicios de
valor; además, así mismo la constante búsqueda de alianzas
estratégicas del orden departamental y nacional mediante modelos
flexibles y abiertos tanto para los servidores de la entidad como para
la ciudadanía en general.
Valor + S.A.S, velará por que mediante la gestión del conocimiento y
la transferencia de la información se aumente la competitividad, lo que
permita en el corto, mediano y largo plazo desarrollar estrategias para
incrementar los ingresos y fomentar el desarrollo de la entidad, así
como el fortalecimiento y recuperación de su tejido social.
Política de gestión documental
Ver política detallada en el siguiente enlace
https://valormas.gov.co/wp-
content/uploads/2020/10/Politica_Gestion_Documental_y_Archivos.pd
f
TALENTO HUMANO Y CONOCIMIENTO
Política de gestión documental
Ver política detallada en el siguiente enlace
https://valormas.gov.co/wp-
content/uploads/2020/10/Politica_Gestion_Documental_y_Archivos.pd
f
ADMINISTRATIVA
Política de gestión presupuestal y eficiencia del gasto público
La Gestión Financiera integra la planeación, programación, ejecución
y el control de los recursos financieros con los que cuenta la entidad
para cada vigencia fiscal. Estos recursos financieros son ejecutados
de acuerdo con lo aprobado en los Planes Operativos. La asignación
presupuestal para cada una de las dependencias se efectúa en
concordancia con el plan de acción y el plan de desarrollo vigente.
Con el fin de fijar bases de gestión sólidas y contar con elementos de
apoyo para el logro de los objetivos y la misión de VALOR +, se erige
como prioridad el fortalecimiento del uso racional de los recursos
públicos, afianzando la cultura del ahorro, así como la aplicación de
controles y lineamientos que permitan la eficiencia, eficacia y
contribución a la austeridad del gasto. Esto, en procura de una
administración eficiente de la información financiera y con ello apoyar
la toma de decisiones y el cumplimiento de las obligaciones a cargo
de la entidad, controlando la ejecución del presupuesto asignado, la
cancelación de las obligaciones contraídas y la generación oportuna y
confiable de los informes requeridos.
VALOR + debe propender por el uso racional de los recursos
públicos, verificando el cumplimiento normativo interno y externo, en
el marco del Plan de Austeridad y Eficiencia del Gasto Público,
direccionado por el Gobierno Nacional, lo que conlleva a una buena
toma de decisiones. De igual manera, a determinar el comportamiento
del gasto frente a las metas institucionales.
Adoptar lineamientos y estrategias para que el buen uso de los
recursos obedezca a la metodóloga definida por el Ministerio de
Hacienda y Crédito público, y evitar que se creen vulnerabilidades que
impacten la entidad, es el objetivo de VALOR +, puesto que así se
garantiza la eficiencia y transparencia en la administración de los
recursos públicos.
Marco Normativo
• Decreto 26 de 1998: Por el cual se dictan normas de austeridad en
el gasto público.
• Decreto 1737 DE 1998: Por el cual se expiden medidas de
austeridad y eficiencia y se someten a condiciones especiales la
asunción de compromisos por parte de las entidades públicas que
manejan recursos del Tesoro Publico
• Directiva Presidencial 06 de 2014: Plan de Austeridad. Presidente
de la Republica
ADQUISICIÓN DE BIENES Y SERVICIOS
Política:
VALOR + se compromete a incorporar en su gestión nuevas prácticas
administrativas y ambientales que permitan optimizar del uso de los
recursos públicos y la generación de resultados eficientes.
En consecuencia, VALOR + establece las siguientes medidas
atendiendo a circunstancias reales, sin incurrir en gastos suntuarios,
onerosos o excesivos, o que no correspondan al cumplimiento de la
misión institucional.
Los presentes lineamientos permitirán racionalizar, en la medida de lo
posible, el gasto destinado a las actividades misionales y de apoyo de
VALOR +, sin afectar el cumplimiento de su misión.
Estas medidas se adoptan como compromisos institucionales para
racionalizar los gastos de funcionamiento e inversión y para que
VALOR + sea reconocida como una entidad eficiente y fiscalmente
responsable.
Gastos en publicidad y publicación:
• Los gastos de publicidad, tanto en medios escritos como periódicos
y revistas y en otros medios de comunicación como internet, radio y
televisión, se limitarán a la difusión de actividades de competencia
de VALOR +, con el fin de informar a la opinión pública.
• La publicación de cartillas, folletos o boletines de interés general se
realizará preferiblemente en formato electrónico que permitan su
descarga desde la pagina web, reduciendo el número de
ejemplares a imprimir.
• Las publicaciones e impresiones de carácter interno deberán
difundirse preferiblemente en medio magnético a través de la
intranet como herramienta de comunicación interna masiva, y en
donde se publicará la información de interés general clasificada por
dependencia.
• Reducir en un 40% el gasto en impresiones de lujo o policromías,
pendones y stands. Esto incluye racionalizar la impresión de
informes, folletos o textos.
Gastos de viáticos y viajes:
• Cuando se requiera participación para el desarrollo de actividades
propias de su competencia, los funcionarios de VALOR +,
propendiendo por el ahorro en los viajes y viáticos, evaluarán el uso
de las herramientas de tecnologías de la información y
comunicaciones como videoconferencias, con el fin de reducir los
costos de desplazamiento.
• Los gastos por concepto de los viáticos y pasajes nacionales e
internacionales serán estrictamente indispensables para la
consecución de los objetivos y metas de los proyectos de VALOR
+, y deberán ser autorizadas bajo las condiciones y tarifas
establecidas en la normatividad vigente.
• En caso de que viajen varios empleados de la empresa a la misma
comisión, solamente se le generarán viáticos a una persona, la que
ostente el mayor nivel jerárquico en la entidad.
• Los viajes aéreos se llevarán a cabo en las tarifas más económicas
disponibles en el mercado.
• Desarrollar las siguientes acciones tendientes a disminuir los
gastos de viajes y viáticos:- Reducir los desplazamientos de personal, privilegiando el uso de TIC (Por
ejemplo: reuniones virtuales, videoconferencias, entre otros.)
- Programando los desplazamientos con suficiente anticipación para
acceder a mejores tarifas de transporte, en particular las tarifas aéreas.
- Autorizar los viáticos solo si los gastos de desplazamiento, alimentación y
alojamiento no están cubiertos.
ADQUISICIÓN DE BIENES Y SERVICIOS
Gastos de papelería y telefonía:
• VALOR + se compromete a divulgar y desarrollar lineamientos
internos para el uso racional de papel y promover en sus
funcionarios el cumplimiento de las políticas de eficiencia
administrativa y cero papeles definidas por la administración, y
fomentar el sentido de responsabilidad con el medio ambiente y
compromiso con el desarrollo.
• VALOR +, mediante su proceso de adquisición de bienes y
servicios, establecerá los controles correspondientes para la
compra de papelería y la distribución a las distintas dependencias
para su consumo.
• Configurar las impresoras en calidad borrador, blanco y por ambas
caras.
• Promover el uso aplicaciones (APP) soportadas en Internet que
disminuyan consumo de telefonía celular.
• Racionalizar las llamadas internacionales y a celulares.
• Reducir el consumo, reutilizar y reciclar implementos de oficina.
• Uso racional de los procesos de fotocopiado e impresión.
• VALOR + empleará medidas para el uso eficiente y racional de
papel no sólo para dar cumplimiento al Plan de Eficiencia
Administrativa de Cero Papel, sino también para reducir el impacto
ambiental e interiorizar los hábitos del uso racional de este
recurso, la optimización y aprovechamiento de las herramientas
tecnológicas disponibles.
Gastos en servicios públicos:
• Frente al uso racional de los servicios públicos, la dirección de
VALOR + se compromete a desarrollar actividades de
sensibilización frente al uso correcto de estos recursos. Se
implementarán acciones de concientización dirigidas a todo el
personal de Valor +, tendiendo a lograr un consumo racional de los
servicios públicos y, en general, del uso y consumo de todo tipo de
bienes y servicios. Lo anterior, sin dejar de materializar aquellos
gastos que de lo contrario pondrían en riesgo la integridad de las
personas dentro y fuera de las instalaciones de la entidad.
• Instaurar medidas para ahorrar y reducir los niveles de consumo
de agua y energía, tales como: apagar las luces a la salida los
funcionarios, usar sanitarios de bajo consumo, bombillos
ahorradores y sensores para luz.
Gastos de nómina y reducción de contratación de servicios
personales:
• VALOR + se compromete a dar cumplimiento a los lineamientos
nacionales para la administración del talento humano, y a definir y
desarrollar lineamientos internos para no generar gastos
innecesarios de nómina.
• La contratación de servicios profesionales de apoyo a la gestión se
basará en la inexistencia de personal o personal especializado
para desarrollar determinadas actividades necesarias para el
cumplimiento de las funciones de la entidad, y se apegará a la
normatividad vigente y a los lineamientos internos específicos en la
materia, logrando las mejores condiciones de calidad, oportunidad
y transparencia en el proceso contractual.
• Racionalizar las horas extras de todo el personal, ajustándolas a
las estrictamente necesarias.
ADQUISICIÓN DE BIENES Y SERVICIOS
• Como regla general, las vacaciones no serán acumuladas ni
interrumpidas, salvo un motivo legal realmente justificado, y no
podrán ser compensadas en dinero, salvo retiro del funcionario.
• El funcionario encargado de otorgar las vacaciones las reconocerá
de oficio o a través de comunicación interna, si no le son
solicitadas dentro de un termino prudencial una vez que se causen.
• Racionalizar la contratación de servicios personales, de manera
que solo se lleve a cabo durante los periodos necesarios y para
atender tareas específicas.
Procedimientos de adquisición de bienes y servicios
• VALOR + dará cumplimiento formal y efectivo al Manual de
Contratación de la entidad. Para esto se compromete a observar
las disposiciones legales de forma tal que las decisiones para la
celebración de los contratos se tomen exclusivamente realizando
una selección objetiva, basada en los lineamientos normativos
vigentes y en el marco de los principios que rigen el manual de
contratación de la entidad, como son: igualdad, moralidad
administrativa, eficacia, eficiencia, economía, celeridad,
imparcialidad y publicidad.
• VALOR +, de conformidad con el artículo 28 del Manual de
Contratación de la entidad, se compromete a vigilar
permanentemente la correcta ejecución del contratado a través de
un supervisor o un interventor, según corresponda, para ejercer
labores de vigilancia y control para la correcta iniciación, ejecución
y liquidación o cierre del contrato, mediante el seguimiento técnico,
administrativo, financiero, contable y jurídico.
• Se consolidarán necesidades para hacer compras por volumen y
lograr economías de escala.
• Optimizar los espacios locativos y los recursos físicos.
Eventos y capacitaciones
• Realizar convenios interadministrativos para el uso de auditorios o
espacios para capacitaciones o eventos, minimizando los gastos
de alquiler de salones.
• Reducir y limitar los costos de alimentación en reuniones. En
particular, solicitar las cantidades justas y eliminarlos en reuniones
de corta duración y con personal interno.
Estos lineamientos son de carácter general y de cumplimiento
obligatorio para todos los funcionarios de VALOR +; y en observancia
de la cultura del autocontrol, cada gerente de dependencia es
responsable del seguimiento a las medidas de austeridad y eficiencia
en el gasto, así como de promover las buenas prácticas
administrativas y ambientales contempladas en esta política, e incluir
información sobre ellas en las sesiones de formación o
sensibilización.
ADQUISICIÓN DE BIENES Y SERVICIOS
JURÍDICAPolítica de defensa jurídica
VALOR + es una entidad de economía mixta del orden departamental
llamada a implementar mecanismos de prevención de daño
antijurídico; esto último entendido como aquel perjuicio que se
produce como consecuencia de acciones u omisiones de quienes
prestan sus servicios a la entidad, y producto de ello se lesionan
intereses particulares, lo que puede derivar en consecuencias
fiscales, condenas judiciales e indemnizaciones en contra de la
entidad y de sus servidores.
En lo relacionado con el Plan de Acción de Defensa Jurídica, la
entidad ha analizado 6 componentes: (I) Actuaciones Prejudiciales (II)
Defensa judicial (III) Cumplimiento de sentencias y conciliaciones (IV)
Acciones de repetición (V) Prevención del daño antijurídico y (VI)
Sistema de información litigiosa, enfocándose desde las perspectivas
de planeación, ejecución y seguimiento y evaluación.
En este contexto, se analizó el cumplimiento de actividades de
gestión en aras de armonizar la defensa jurídica de la entidad con el
Modelo Integrado de Planeación y Gestión – MIPG y se identificó que
es preciso diseñar y aplicar un documento de defensa jurídica que
recoja los 6 componentes y defina los lineamientos que garantizan
una adecuada defensa jurídica de la entidad.
El proceso de gestión jurídica analizó la historia litigiosa de la entidad
desde su creación y el comportamiento de esta en el año 2020,
evidenciando que cuenta con un (1) proceso en la jurisdicción laboral,
y que en lo corrido de la vigencia 2020 no se activó ninguna demanda
en contra de la entidad.
Así las cosas, dada la baja litigiosidad de la entidad, desde el proceso
de Gestión Jurídica se trabaja en acciones de prevención en la
actuación de los servidores y colaboradores de VALOR +, priorizando
temáticas y definiendo acciones de prevención y precaución,
tendientes a evitar la materialización de riegos jurídicos y mitigar que
su ocurrencia impacte la litigiosidad y condenas para la entidad.
En el presente instrumento se recogen las prácticas y herramientas
de gestión que ha venido adelantando VALOR +, en el marco de la
defensa jurídica de la misma y, de igual forma, se establecen nuevos
lineamientos para este efecto, se plantea la Estrategia de Defensa
Jurídica para el periodo comprendido entre enero y diciembre de
2021, de manera que se encuentre alineada con los requerimientos
establecidos Modelo Integrado de Planeación y Gestión.
JURÍDICAMarco normativo:
• Constitución Política de Colombia: Artículo 90. El Estado
responderá patrimonialmente por los daños antijurídicos que le
sean imputables, causados por la acción o la omisión de las
autoridades públicas. En el evento de ser condenado el Estado a la
reparación patrimonial de uno de tales daños, que haya sido
consecuencia de la conducta dolosa o gravemente culposa de un
agente suyo, aquél deberá repetir contra éste.
• Artículo 209. La función administrativa está al servicio de los
intereses generales y se desarrolla con fundamento en los
principios de igualdad, moralidad, eficacia, economía, celeridad,
imparcialidad y publicidad, mediante la descentralización, la
delegación y la desconcentración de funciones.
• Las autoridades administrativas deben coordinar sus actuaciones
para el adecuado cumplimiento de los fines del Estado. La
administración pública, en todos sus órdenes, tendrá un control
interno que se ejercerá en los términos que señale la ley.
• Ley 446 de1998: Artículo 75 modificado por el artículo 65-B de la
Ley 23 de 1991, señala que: "Artículo 65-B. Las entidades y organismos de
Derecho Público del orden nacional, departamental, distrital y de los municipios
capital de departamento y los Entes Descentralizados de estos mismos niveles,
deberán integrar un comité de conciliación, conformado por los funcionarios del
nivel directivo que se designen y compute las funciones que se le señalen. Las
entidades de derecho público de los demás órdenes tienen la misma facultad. ”
• Circular Externa Nro. 9 del 11 de marzo de 2016 de la Agenda
Nacional de Defensa Jurídica del Estado: Que tiene por asunto:
"Lineamientos sobre prevención del daño antijurídico en materia de
contratación estatal y estrategias generales de defensa jurídica”.
• Decreto 4085 de 2011: Artículo 2° señala como objetivo de la
Agenda Nacional de Defensa Jurídica del Estado: "El diseño de
estrategias, planes y acciones dirigidos a dar cumplimiento a las
políticas de defensa jurídica de la Nación y del Estado definidas
por el Gobierno Nacional; la formulación, evaluación y difusión de
las políticas en materia de prevención de las conductas
antijurídicas por arte de servidores y entidades públicas, del dado
antijurídico y la extensión de sus efectos, y la dirección,
coordinación y ejecución de las acciones que aseguren la
adecuada implementación de las mismas, para la defensa de los
intereses litigiosos de la Nación.“
• Decreto 1069 de 2015: Por medio del cual se expide el Decreto
Único Reglamentario del sector Justicia y del Derecho,
especialmente lo relativo al Capítulo 2 Participación de la Agencia
Nacional de Defensa Jurídica del Estado en la Protección de
Intereses Litigiosos de la Nación".
JURÍDICA• Decreto Nacional 1167 de 2016: "Por el cual se modifican y
suprimen algunas disposiciones del Decreto 1069 de 2015,
Decreto Único Reglamentario del Sector Justicia y del Derecho".
• Ley 1285 de 2009: "Por medio de la cual se reforma la Ley 270 de
1996 Estatutaria de la Administración de Justicia".
• Ley 640 de 2001: Por la cual se modifican normas relativas a la
conciliación y se dictan otras disposiciones”.
Estrategia de defensa jurídica: La Política de defensa jurídica y
prevención del daño antijurídico de los intereses de VALOR + tiene
como alcance todas las Áreas que hacen parte de la entidad, con el
fin de que de forma articulada se pueda evitar la presentación de
algún tipo de deficiencia en los procesos que lleven a la configuración
del daño antijurídico.
También tiene como alcance el desarrollo de una cultura proactiva de
prevención del daño antijurídico al interior de VALOR +, para la
oportuna y adecuada formulación, evaluación e institucionalización de
acciones a adoptar para mitigar los riesgos.
Política:
De acuerdo con la definición establecida en la “Guía para la
generación de política de prevención de daño antijurídico” y en el
“Manual para la elaboración de políticas de prevención del daño
antijurídico”, expedidos por la Agencia Nacional de Defensa Jurídica
del Estado (ANDJE), la política de prevención de daño antijurídico es
la solución a los problemas administrativos que generan litigiosidad e
implica el uso de recursos públicos para reducir los eventos
generadores de daño antijurídico. Esta política se concibió como uno
de los mecanismos para evitar las demandas en contra de las
entidades.
Así las cosas, VALOR + efectuará cada año la formulación e
implementación de la política de prevención del daño antijurídico,
teniendo en cuenta el estudio de litigiosidad del año inmediatamente
anterior, de acuerdo con la Circular No. 6 del 6 de julio de 2016, y
siguiendo los lineamientos establecidos por la Agencia de Defensa
Jurídica del Estado, adelantando los siguientes pasos:
1. La política se elabora por el proceso de Gestión Jurídica, a través del
Secretario General de la entidad, para así estructurar las acciones a
desarrollar cada año a fin de implementar la política.
2. Una vez estructurada y revisada, la política se pone a consideración de
los miembros del Comité de Conciliación para su revisión y aprobación.
3. Posterior a la aprobación por parte del Comité de Conciliación, se remite
a la Agencia de Defensa jurídica del Estado para su aprobación final.
4. Una vez aprobada la política, se divulga en la entidad por los diferentes
canales de comunicación para conocimiento de los funcionarios.
5. Posteriormente, se pone en marcha el plan de acción estructurado para
implementarla.
JURÍDICA
Política de servicio al ciudadano
Desarrollar una cultura de servicio al ciudadano facilitando el acceso
de los ciudadanos a recibir información oportuna, solicitar atención de
peticione, quejas y reclamos a través de los distintos canales que la
entidad haya definido, en lenguaje claro, acorde a los grupos de
interés o de valor; usando los mecanismos de comunicación internos
y externos, haciendo uso de los desarrollos tecnológicos existentes,
ejerciendo buenas y mejores prácticas, basadas en documentos,
procesos y/o procedimientos, generando certeza y confianza en los
ciudadanos.
TIPolítica de seguridad digital
La política de seguridad digital tiene como finalidad proteger la
confidencialidad, disponibilidad, autenticidad e integridad de la
información almacenada, transmitida o intercambiada en VALORMAS,
entre áreas internas o con entidades externas. Ésta política se
compone de las siguientes:
Política de acceso a la información:
Todos los empleados, prestadores de servicios y practicantes que
laboran para VALORMAS, deben tener acceso sólo a la información
necesaria para el desarrollo de sus actividades. En el caso de
personas ajenas a la compañía, deben tener la autorización del
acceso de acuerdo con el trabajo realizado, previa justificación, por
parte de la dirección general, la dirección de TI y todas las demás
direcciones o jefaturas de área responsables de la información.
El otorgamiento de acceso a la información está regulado mediante
las normas y procedimientos definidos en este documento y contratos
con el personal interno y proveedores.
Todos los privilegios para el uso de los sistemas de información y el
acceso a la información de la compañía deben terminar
inmediatamente después de que el trabajador cesa de prestar sus
servicios a VALORMAS.
Los proveedores o terceras personas solamente deben tener
privilegios durante el período de tiempo requerido para llevar a cabo
las funciones aprobadas.
Para dar acceso a la información se tendrá en cuenta la clasificación
dada a la información y debe tener un tratamiento que sea acorde con
la clasificación definida. La clasificación de la información a manejar
en VALORMAS se observa a continuación:
En VALORMAS se manejarán 3 tipos de confidencialidad de la
información a saber:
1. Confidencialidad Mínima – Información Pública.
2. Confidencialidad Media – Información Privada.
3. Confidencialidad Máxima – Información Confidencial.
a. Información pública – confidencialidad mínima: ésta es
información general de VALORMAS, como cierta información técnica
o información utilizada por los empleados, terceros o practicantes de
la compañía, la cual no puede ser conocida por terceros sin la
autorización del responsable de la información. Esta información en
caso de ser conocida, utilizada o modificada por personas, sin la
debida autorización, NO impactaría de manera significativa a los
clientes, sistemas o procesos de la empresa.
Los empleados de la compañía deben determinar cuál de la
información originada y gestionada dentro de sus funciones, es la
información que pertenece a este nivel y registrarla en papel o medio
electrónico.
La información de confidencialidad mínima debe tener las siguientes
características:
TI• Acceso permitido a: empleados, terceros con autorización previa
o practicantes de la empresa, cuyas actividades requieran de esta
información.
• Método de distribución recomendado dentro de la compañía: entre
las dependencias de la empresa la información puede distribuirse
por correo electrónico. La documentación física debe ir en sobre
cerrado y a través del mensajero oficial de la empresa. El correo
electrónico oficial o cualquier método de transmisión electrónico de
archivos a través de los equipos y redes de VALORMAS. debe
exigir una contraseña o clave para acceder a la información y
mantener un registro (bitácora o registro de envío) de los accesos.
• Método de distribución recomendado fuera de la compañía:
servicios de correo convencionales, mensajero oficial de la
empresa o servicios de entrega de paquetes reconocidos, correo
electrónico oficial, o cualquier método de transmisión electrónico
de archivos, cuyo origen o destino sean los equipos y las redes de
la empresa.
• Restricciones en la distribución electrónica: no existe ninguna
restricción, exceptuando que sea enviado o publicado al receptor
correcto. Todos los mensajes de correo electrónico o cubiertas de
fax hacia fuera de la compañía deben incluir la siguiente nota: “Este
mensaje puede contener información confidencial y está destinado únicamente
para el uso del destinatario. Si no es el destinatario de este mensaje, tenga en
cuenta que cualquier divulgación, copia, distribución o uso de los contenidos de
este mensaje está prohibido y puede ser ilegal. Si recibió este mensaje por error,
notifique al remitente y elimine este correo electrónico, incluidos todos los archivos
adjuntos. Cualquier opinión expresada en este mensaje refleja la opinión del
remitente y no de VALORMAS”
• Almacenamiento y archivado: debe hacerse fuera de la vista de
personas no autorizadas. Si la información fue anotada en tableros
o papelógrafos, ésta debe ser borrada. Para protegerla de
pérdidas, esta información debe tener controles de acceso
individual donde sea factible y apropiado llevarlo a cabo. Ejemplos
de controles individuales son las contraseñas o claves de los
sistemas de información o bases de datos y la llave o llaves de
puerta de acceso a la oficina / área o lugares donde se almacena
la información.
• Disposición y/o destrucción: la información desactualizada y que
esté impresa en papel, se romperá el documento que la contiene y
se depositará en las canecas de basura de la compañía; el
personal asignado de la gestión de las basuras debe realizar
apropiado manejo de los desechos. Los datos en medios
electrónicos deben ser borrados de manera confiable (con el
comando de borrado y desocupando la papelera de reciclaje).
Formatee totalmente o destruya físicamente los medios (CDs,
DVDs, Cintas, USBs, etc.) que contienen copias de la información
desactualizada.
TIb. Información privada – confidencialidad media: Es toda la
información financiera, técnica e información utilizada por empleados,
terceros o practicantes de VALORMAS que NO puede ser conocida
por terceros, sin autorización especial del responsable de la
dependencia o proyecto que genera y utiliza dicha información. En
caso de ser conocida, utilizada o modificada por personas sin la
debida autorización, impactaría de forma importante a terceros o a los
sistemas y/o procesos de la compañía.
Los empleados de la compañía deben determinar, de la información
originada y gestionada dentro de sus funciones, cuál es la información
que pertenece a este nivel y registrarla en papel o medio electrónico.
La marcación o etiquetado de los equipos, archivadores, carpetas o
medios (páginas, CDs, DVDs, cintas, etc.) donde reside la
información, queda a discreción del dueño o custodio de esta. Si se va
a etiquetar, es deseable utilizar las palabras “Solo para uso interno
VALORMAS” y escribirse en un lugar visible.
La información de confidencialidad media debe tener las siguientes
características:
• Acceso permitido a: empleados, terceros o practicantes de la
empresa cuyas actividades requieran de esta información y haya
un compromiso firmado de no divulgación de la información.
• Método de distribución recomendado dentro de la compañía:
entre las dependencias de la empresa la información puede
distribuirse por correo electrónico. La documentación física debe ir
en sobre cerrado y a través del mensajero oficial de la empresa. El
correo electrónico oficial o cualquier método de transmisión
electrónico de archivos a través de los equipos y redes de
VALORMAS debe exigir una contraseña o clave para acceder a la
información y mantener un registro (bitácora o registro de envío)
de los accesos.
• Método de distribución recomendado fuera de la compañía:
servicios de correo convencionales, mensajero oficial de la empresa o
servicios de entrega de paquetes reconocidos, correo electrónico
oficial, o cualquier método de transmisión electrónico de archivos,
cuyo origen o destino sean los equipos y las redes de la empresa.
• Restricciones en la distribución electrónica: dentro de las
instalaciones y red de VALORMAS, NO existe ninguna restricción,
exceptuando que sea enviado o publicado al receptor correcto.
Todos los mensajes de correo electrónico o cubiertas de fax hacia
fuera de la compañía deben incluir la siguiente nota: “Este mensaje
puede contener información confidencial y está destinado únicamente para el uso
del destinatario. Si no es el destinatario de este mensaje, tenga en cuenta que
cualquier divulgación, copia, distribución o uso de los contenidos de este mensaje
está prohibido y puede ser ilegal. Si recibió este mensaje por error, notifique al
remitente y elimine este correo electrónico, incluidos todos los archivos adjuntos.
Cualquier opinión expresada en este mensaje refleja la opinión del remitente y no
de VALORMAS”.
TI• Almacenamiento y archivado: debe hacerse fuera de la vista
de personas no autorizadas. Si la información fue anotada en
tableros o papelógrafos, ésta debe ser borrada. Los equipos que
manipulen este tipo de información deben ser administrados con la
seguridad en mente. Para protegerla de perdidas, esta información
debe tener controles de acceso individual donde sea factible y
apropiado llevarlo a cabo. Ejemplos de controles individuales son
las contraseñas o claves de los sistemas de información o bases
de datos y la llave o llaves de puerta de acceso a la oficina/área o
lugares donde se almacena la información.
• Disposición y/o destrucción: la información desactualizada y que
este impresa en papel, se romperá el documento que la contiene y
se depositará en las canecas de basura de la empresa; quien se
encargará por medio del personal encargado de la gestión de las
basuras del apropiado manejo de los desechos. Los datos en
medios electrónicos deben ser borrados de manera confiable (con
el comando de borrado y desocupando la papelera de reciclaje).
Formatee totalmente o destruya físicamente los medios (CDs,
DVDs, Cintas, etc.) que contienen copias de la información
desactualizada.
c. Información confidencial – confidencialidad máxima: Es toda la
información financiera, técnica e información utilizada por empleados,
terceros o practicantes de VALORMAS, que NO puede ser conocida
por terceros sin autorización especial del director general o director de
área, que genera y utiliza dicha información. En caso de ser conocida,
utilizada o modificada por personas sin la debida autorización,
impactaría de forma grave a terceros o a los sistemas y/o procesos de
la Compañía.
La marcación o etiquetado de los equipos, archivadores, carpetas o
medios (páginas, CDs, DVDs, cintas, etc.) donde reside la
información, queda a discreción del dueño o custodio de esta,
teniendo en cuenta la sensibilidad de dicha información para utilizar
los controles adecuados. Si se va a etiquetar, es deseable utilizar las
palabras “Altamente confidencial. Solo para personal autorizado.
VALORMAS” y escribirse en un lugar visible.
La información de confidencialidad máxima debe tener las siguientes
características:
• Acceso permitido a: exclusivamente a aquellas personas
(empleados, terceros o practicantes de la compañía, con un
compromiso firmado de no divulgación de la información) con
autorización para ver esta información.
• Método de distribución recomendado dentro de la compañía:
solo se permite entrega directa, con firma del destinatario,
aceptando haber recibido el documento. La documentación debe ir
en sobre cerrado y si se considera conveniente, con el texto
CONFIDENCIAL escrito en forma visible.
• Método de distribución recomendado fuera de la compañía:
entrega directa y firma de recepción requerida. Si no se puede
hacer entrega directa, se debe recurrir a una empresa de
transporte de valores, al mensajero oficial de la empresa, dándole
recomendaciones especiales o a una empresa de paquetes
reconocida, con servicios cuyas características sean equivalentes
a la empresa de transporte de valores.
TI• Restricciones en la distribución electrónica: dentro de las
instalaciones y red de VALORMAS, No existe ninguna restricción,
exceptuando que sea enviado o publicado al receptor correcto. El
correo y/o la información contenida en el mismo debe ser cifrado y
firmado por el emisor de este. Todos los mensajes de correo
electrónico o cubiertas de fax deben incluir la siguiente nota: “Este
mensaje puede contener información confidencial y está destinado únicamente
para el uso del destinatario. Si no es el destinatario de este mensaje, tenga en
cuenta que cualquier divulgación, copia, distribución o uso de los contenidos de
este mensaje está prohibido y puede ser ilegal. Si recibió este mensaje por error,
notifique al remitente y elimine este correo electrónico, incluidos todos los archivos
adjuntos. Cualquier opinión expresada en este mensaje refleja la opinión del
remitente y no de VALORMAS”
• Almacenamiento y archivado: debe hacerse fuera de la vista de
personas no autorizadas. Si la información fue anotada en tableros
o papelógrafos, ésta debe ser borrada. Los equipos que manipulen
este tipo de información deben ser administrados con la seguridad
en mente. Para protegerla de perdidas, esta información tiene que
estar protegida con controles de acceso individual donde sea
factible y apropiado llevarlo a cabo, además de permanecer
cifrada. Ejemplos de controles individuales son las contraseñas o
claves de los sistemas de información o bases de datos y la llave o
llaves de puerta de acceso a la oficina/área o lugares donde se
almacena la información.
La seguridad física es muy importante para este tipo de información,
así que el equipo donde sea almacenada debe estar asegurado de
manera física y lógica y, solamente, ser usado por las personas
autorizadas para tener acceso a dicha información.
• Disposición y/o destrucción: la información desactualizada que
no se usará en procesos posteriores, y que esté impresa en papel,
se romperá el documento que la contiene y se eliminará por
completo de manera que no quede rastro de ella; los datos en
medios electrónicos deben ser borrados de manera confiable (con
el comando de borrado, desocupando la papelera de reciclaje y
reescribiendo el disco con otro archivo que tenga el mismo nombre
del que fue borrado en el mismo directorio donde estaba ubicado).
Formatee totalmente o destruya físicamente los medios (CDs,
DVDs, Cintas, USBs, etc.) que contienen copias de la información
desactualizada.
Mediante el registro de eventos en los diversos recursos informáticos
de la plataforma tecnológica, se efectuará un seguimiento a los
accesos realizados por los usuarios a la información, con el objeto de
minimizar el riesgo de pérdida de integridad de la información.
Cuando se presenten eventos que pongan en riesgo la integridad,
veracidad y consistencia de la información, se deberá documentar y
realizar las acciones tendientes a su solución, según procedimiento
de Atención de Incidentes de Seguridad.
TIPolítica de tratamiento de datos
VALORMAS se hace responsable del tratamiento de datos personales
que aparezcan registrados en sus bases de datos y archivos de
conformidad con la Ley 1581 de 2012, el Decreto Reglamentario 1377
de 2013, Decreto Único Reglamentario No 1074 de 2015 y las demás
normas que los deroguen, modifiquen o complementen.
Para efectos de alguna solicitud o reclamación relacionada con la
presente política se pone a disposición el correo electrónico
administrado por la Dirección de Tecnología – Junto a TI.
Toda área o colaborador de la compañía que por sus funciones esté
encargado del tratamiento de bases de datos con información
personal debe cumplir con lo dispuesto en la política descrita en el
presente documento.
La compañía debe inscribir en el Registro Nacional de Bases de
Datos las bases que contengan datos personales sujetos a
tratamiento.
Política de tratamiento de información
VALORMAS, cumple estrictamente los requerimientos de ley sobre
Protección de Datos Personales, en especial la Ley 1581 de 2012, el
Decreto Reglamentario 1377 de 2013, Decreto Único Reglamentario
No 1074 de 2015 y las demás normas que los deroguen, modifiquen o
complementen.
• Finalidad: La compañía informa a los titulares la finalidad
específica del tratamiento de sus datos personales, que tendrá
como fin principal realizar la gestión contable, fiscal, administrativa,
comercial, operativa, y de recursos humanos de la compañía; así
como el desarrollo de actividades de bienestar, salud, educación,
cultura, y velar por la seguridad de personas y bienes relacionadas
con la actividad de esta.
La compañía suprime los datos personales recaudados cuando
hayan dejado de ser necesarios o pertinentes para la finalidad para
la cual fueron obtenidos.
• Autorización: La compañía ejercerá el tratamiento de la
información con el consentimiento previo, expreso e informado del
titular, el cual será obtenido a través de cualquier medio que pueda
ser objeto de consulta posterior.
No es necesaria la autorización cuando se trate de: Información que sea requerida por una entidad pública o administrativa en
ejercicio de sus funciones legales o por orden judicial
Datos que sean de naturaleza pública
Casos de urgencia médica o sanitaria
Tratamiento de información autorizada por la ley para fines históricos,
estadísticos o científicos
Datos relacionados con el registro civil de la persona
• Veracidad: La información facilitada por el titular deberá ser veraz,
completa, exacta, comprobable y actualizada. El titular garantiza la
autenticidad de todos aquellos datos que comunique a la
compañía.
TI• Acceso y circulación de la información: En el tratamiento de la
información la compañía se acoge a los límites que se derivan de
la naturaleza de los datos personales, de las disposiciones de la
ley y de la constitución. En este sentido la compañía solo hará
tratamiento de los datos con autorización del titular y en los casos
previstos por la ley. La información estará disponible en internet u
otro medio de comunicación masivo siempre que el acceso esté
controlado de acuerdo con las políticas de VALORMAS y esté
limitado a sus titulares o terceros autorizados para el tratamiento
de la información.
Política de confidencialidad tratamiento de datos
La compañía garantiza la reserva de la información, inclusive después
de finalizadas las labores que comprende el tratamiento.
Los colaboradores de la compañía encargados del tratamiento de la
información personal se comprometen a cumplir con lo dispuesto en
la política y procedimiento del presente documento.
• Datos sensibles: La compañía únicamente puede tratar datos
sensibles cuando:• El titular haya otorgado autorización explícita a dicho tratamiento
• Sea necesario para salvaguardar el interés vital del titular y éste se
encuentre física o jurídicamente incapacitado. En estos eventos se
requiere autorización de los representantes legales.
• Se refiera a datos que sean necesarios para el reconocimiento, ejercicio
o defensa de un derecho en un proceso judicial.
• Tenga una finalidad histórica, estadística o científica, siempre que se
adopten medidas para la supresión de identidad de los titulares.
• Derechos de los titulares: Los titulares de la información tratada por la
compañía tienen los siguientes derechos:
• Conocer, actualizar y rectificar sus datos personales
• Solicitar prueba de autorización otorgada a la compañía, salvo
en los casos que especifica la ley que no requieren
autorización:
• Información requerida por una entidad pública o
administrativa en ejercicio de sus funciones legales
o por orden judicial
• Datos de naturaleza pública
• Urgencia médica o sanitaria
• Tratamiento de información autorizado por la ley
para fines históricos, estadísticos o científicos
• Datos relacionados con el registro civil de las
personas
• Ser informado del uso que se les ha dado a sus
datos personales.
• Presentar ante la Superintendencia de Industria y Comercio
quejas por incumplimiento a la Ley 1581 de 2012, el Decreto
Reglamentario 1377 de 2013, Decreto Único Reglamentario
No 1074 de 2015 y las demás normas que los deroguen,
modifiquen o complementen.
• Revocar la autorización y/o solicitar la supresión de datos
cuando la compañía no respete los principios, derechos y
garantías constitucionales y legales.
• Acceder a sus datos personales objeto de tratamiento por la
compañía.
• El titular de la información puede presentar peticiones,
consultas y reclamos a través del correo
mailto:[email protected]
TIPolítica de seguridad de información del recurso humano
Busca asegurar que los empleados, contratistas y demás
colaboradores de VALORMAS, entiendan sus responsabilidades y las
funciones de sus roles y usuarios, con el fin de reducir el riesgo de
hurto, fraude, filtraciones o uso inadecuado de la información y de las
instalaciones.
• Antes del empleo: Asegurar que los empleados, contratistas y
usuarios de terceras partes entienden sus responsabilidades y
sean aptos para las funciones para las cuales están considerados,
y reducir el riesgo de robo, fraude o uso inadecuado de las
instalaciones.
Los empleados, contratistas y usuarios de terceras partes de los
servicios de procesamiento de información deben firmar un
acuerdo sobre sus funciones y responsabilidades de seguridad
que son manejados desde el área de recursos humanos.
• Durante el empleo: Asegurar que todos los empleados,
contratistas y usuarios de terceras partes conocen y tienen
consciencia de las amenazas y preocupaciones respecto a la
seguridad de la información, conocer sus responsabilidades y
deberes para apoyar la política de seguridad de la organización en
el transcurso de su trabajo normal.
Brindar un nivel adecuado de concientización, educación y
formación en los procedimientos de seguridad y el uso correcto de
los servicios de procesamiento de información a todos los
empleados, contratistas y usuarios de terceras partes para
minimizar los posibles riesgos de seguridad.
Se debe tener internamente un proceso disciplinario formal para el
manejo de las violaciones de seguridad manejado por el área de
recursos humanos.
• Posterior al empleo: Asegurar que los empleados, los contratistas
y los usuarios de terceras partes salen de la organización o
cambian su contrato laboral de forma ordenada y la empresa
ejecuta actividades adecuadas para conservar la información de la
empresa frente a su disponibilidad, integridad y confidencialidad.
Se deben establecer responsabilidades para asegurar la gestión
de la salida de los empleados, contratistas o usuarios de terceras
partes de la organización y que se completa la devolución de los
equipos de trabajo asignados y la cancelación de todos los
derechos de acceso a las aplicaciones de VALORMAS
TIPolítica administración de cambios en sistemas de información
Todo cambio, a los sistemas de información y equipos tecnológicos,
que afecte notoriamente los recursos informáticos, debe ser requerido
por los usuarios de la información y aprobado formalmente por el
responsable de la administración de este, al nivel de jefe inmediato o
a quienes éstos formalmente deleguen. El responsable de la
administración de los accesos tendrá la facultad de aceptar o
rechazar la solicitud.
Para la administración de cambios se efectuará el procedimiento
correspondiente definido por VALORMAS, de acuerdo con el tipo de
cambio solicitado en la plataforma tecnológica.
Cualquier tipo de cambio en la plataforma tecnológica, que afecte toda
la compañía, debe quedar formalmente documentado desde su
solicitud hasta su implantación. Este mecanismo proveerá
herramientas para efectuar seguimiento y garantizar el cumplimiento
de los procedimientos definidos.
Todo cambio a un recurso informático de la plataforma tecnológica,
relacionado con modificación de accesos, mantenimiento de software
o modificación de parámetros, debe realizarse de tal forma que no
disminuya la seguridad existente, excepto cuando el negocio lo
determine y acepte de esa manera.
Política de seguridad de la información interna y externa
Los empleados, prestadores de servicios y practicantes de
VALORMAS son responsables de la información que manejan y
deberán cumplir los lineamientos generales y especiales dados por la
compañía, por la ley para protegerla y evitar pérdidas, accesos no
autorizados, exposición y utilización indebida de la misma.
Los empleados, prestadores de servicios y practicantes no deben
suministrar cualquier información de la compañía ni de nuestros
clientes, a ningún ente externo sin las autorizaciones respectivas.
Todo empleado que utilice los recursos informáticos tiene la
responsabilidad de velar por la integridad, confidencialidad,
disponibilidad y confiabilidad de la información que maneje.
Los empleados, prestadores de servicios y practicantes deben firmar
al ingresar a la compañía, un acuerdo de cumplimiento de la
seguridad de la información, la confidencialidad y el buen manejo de
la información.
Después de que el trabajador deja de prestar sus servicios a la
compañía, se compromete a entregar toda la información respectiva
de su trabajo realizado. Una vez retirado, el empleado, prestador de
servicios y/o practicante de VALORMAS , debe comprometerse a no
utilizar, comercializar o divulgar los servicios, productos o la
información de la compañía o clientes, generada o conocida durante
la gestión en la empresa, directamente o través de terceros; así
mismo, los empleados que detecten el mal uso de la información,
están en la obligación de reportar el hecho a la persona o personas
encargadas de la seguridad de la información en VALORMAS.
TIComo regla general, la información de políticas, normas y
procedimientos de seguridad, se deben revelar únicamente a
empleados y entes externos que lo requieran, de acuerdo con su
competencia y actividades a desarrollar, según el caso
respectivamente.
Los empleados de VALORMAS que tengan a su cargo computadores
portátiles y deban desplazarse a las instalaciones de clientes a
realizar sus funciones, deben tener implementados mecanismos de
control de acceso a las máquinas y a la información sensible fruto de
su labor; estos mecanismos son contraseñas de arranque de la
máquina, cifrado local de la información, contraseñas de acceso a la
información, ubicación de los datos en particiones distintas a la del
sistema, control de acceso de dispositivos USB, etc.
Política de seguridad para los servicios informáticos
• El sistema de correo electrónico, cualquier otro medio de
comunicación como sistema de telefonía fija y móvil, y otras
aplicaciones de comunicación y utilidades asociadas de la
Compañía, debe ser usado únicamente para el ejercicio de las
funciones de competencia de cada funcionario y de las actividades
contratadas, en el caso de los prestadores de servicios y
practicantes.
• No se utilizará ningún servicio para algún propósito que sea ilegal
o esté prohibido por estos términos. No se puede usar ningún
servicio de modo que pudiera dañar, deshabilitar, sobrecargar o
deteriorar algún otro servicio de la compañía o de sus clientes.
• Los empleados, prestadores de servicio y practicantes de
VALORMAS deben abstenerse de intentar obtener acceso no
autorizado a otras cuentas, mediante intrusión, obtención de
contraseñas o por algún otro medio.
• Los miembros de la compañía deben ser cuidadosos cuando
decidan abrir los anexos (archivos adjuntos) colocados en
mensajes de remitentes desconocidos o sospechosos.
• Es responsabilidad de cada usuario tener copias de respaldo
(backups) de los mensajes de sus carpetas de correo y de su
agenda de direcciones electrónicas, así mismo, de sus carpetas
que contienen información importante para su labor.
• Las cuentas de usuario serán monitoreadas y auditadas
constantemente con la finalidad de hacer cumplir las normas;
cualquier anomalía será expresada al jefe inmediato.
• No debe utilizar el servicio de correo electrónico en conexión con
esquemas en pirámide, mensajes encadenados, correo electrónico
no deseado, mensajes molestos o mensajes duplicados o no
solicitados.
• Está prohibido difamar, abusar, acosar, hostigar, amenazar o de
otra forma infringir los derechos legales (tales como los derechos a
la intimidad y a la publicidad) de otros.
TI• Evitar publicar, exponer, cargar, distribuir o diseminar cualquier
tema, nombre, material o información inapropiados, blasfemos,
difamatorios, infractores, obscenos, inmorales o ilegales.
• Abstenerse de cargar archivos que contengan virus, caballos de
Troya, gusanos, bombas de tiempo, sistemas de cancelación de
exposiciones (cancelbots), archivos dañados, o cualquier otro
programa o software similar, que pueda perjudicar el
funcionamiento de los equipos o la propiedad de otros.
• Los empleados, prestadores de servicio y practicantes de
VALORMAS, no deben leer correos ajenos ni generar o enviar
correos electrónicos a nombre de otra persona, sin autorización o
suplantándola.
• No restringir o inhabilitar a otros usuarios para que no utilicen o
disfruten de los servicios de correo o de mensajería instantánea.
• Se prohíben las violaciones de los derechos de cualquier persona
o institución protegidos por derechos de autor, patentes o cualquier
otra forma de propiedad intelectual. Entre otras actividades, se
incluye la distribución o instalación de software sin la licencia
(software "pirata").
• Evitar la creación de identidades falsas con el propósito de
confundir a otros.
• Abstenerse de realizar actividades que contravengan la seguridad
de los sistemas o que generen interrupciones de la red o de los
servicios. Entre las acciones que contravienen la seguridad de la
red, se encuentran (aunque no están limitadas por éstas) acceder
a datos cuyo destinatario no es el mismo usuario, ingresar a una
cuenta de un servidor o de una aplicación para la cual no está
autorizado, excepto si sus funciones le obligan a hacer esto. Para
propósitos de estas políticas la palabra "interrupción" incluye, pero
no está limitada a, capturar tráfico de la red, inundar de pings la
red, realizar spoofing de paquetes, ataques de negación de
servicios o falsificar información de enrutamiento y de
configuración de los equipos, con el objetivo de aprovechar alguna
vulnerabilidad de los sistemas.
• Según la gravedad del evento de abuso de correo, los usuarios
están obligados a reportarlo al Oficial de Seguridad de Información
o a quien ejerza sus funciones equivalentes, al jefe Directo y/o
Gerente General, para evitar que esto vuelva a suceder al mismo o
a otros usuarios.
• La empresa se reserva el derecho de acceder y develar todos los
mensajes enviados por medio del sistema de correo electrónico,
para cualquier propósito. Para este efecto, el empleado o
contratista autorizará a la compañía para realizar las revisiones y/o
auditorias respectivas, directamente o a través de terceros.
•
La propiedad intelectual desarrollada o concebida mientras el
trabajador se encuentre en sitios de trabajo alternos, es propiedad
exclusiva de la compañía. Esta política incluye patentes, derechos
de reproducción, marca registrada y otros derechos de propiedad
intelectual, según lo manifestado en memos, planes, estrategias,
productos, programas de computación, códigos fuentes,
documentación y otros materiales.
TI• En cualquier momento que un trabajador publique un mensaje, en
un grupo de discusión de Internet, en un boletín electrónico, o
cualquier otro sistema de información público, este mensaje debe
ir acompañado de palabras que indiquen claramente que su
contenido no representa la posición de la empresa, excepto
cuando sea explícitamente ordenado por VALORMAS.
• Si los usuarios sospechan que hay infección por un virus, deben
inmediatamente llamar a la Mesa de Servicios, cesar el uso del
computador y desconectarlo de la red.
•
El intercambio electrónico de información se realizará con base en
estándares de documentos electrónicos y mensajes de datos de
dominio público, regidas por organismos idóneos de carácter
nacional e internacional.
•
El área encargada de la Seguridad Informática, en conjunto con el
área de Comunicaciones, deben proveer material para recordar
regularmente a los empleados, prestadores de servicio y
practicantes, acerca de sus obligaciones con respecto a la
seguridad de los recursos informáticos.
Política de seguridad en recursos informáticos
Todos los recursos informáticos deben cumplir como mínimo con lo
siguiente:
• Administración de usuarios: Establece cómo deben ser utilizadas
las claves de ingreso a los recursos informáticos. Establece
parámetros sobre la longitud mínima de las contraseñas, la
frecuencia con la que los usuarios deben cambiar su contraseña y
los períodos de vigencia de estas, entre otras.
• Rol de Usuario: Los sistemas operacionales, bases de datos y
aplicativos deberán contar con roles predefinidos o con un módulo
que permita definir roles, definiendo las acciones permitidas por
cada uno de estos. Deberán permitir la asignación a cada usuario
de posibles y diferentes roles. También deben permitir que un rol
específico de usuario (Administrador) gestione la Administración
de usuarios.
• Plan de auditoría: Hace referencia a las pistas o registros de los
sucesos relativos a la operación.
• Las puertas traseras: Las puertas traseras son entradas no
convencionales a los sistemas operacionales, bases de datos y
aplicativos. Es de suma importancia aceptar la existencia de las
mismas, en la mayoría de los sistemas operacionales, bases de
datos, aplicativos y efectuar las tareas necesarias para
contrarrestar la vulnerabilidad que ellas generan.
• El control de acceso a todos los sistemas de computación de la
empresa debe realizarse por medio de códigos de identificación y
palabras claves o contraseñas únicos para cada usuario.
TI• Las palabras claves o contraseñas de acceso a los recursos
informáticos, que designen los empleados, prestadores de
servicios y practicantes de VALORMAS, son responsabilidad
exclusiva de cada uno de ellos y no deben ser divulgados a
ninguna persona.
• Los usuarios son responsables de todas las actividades llevadas a
cabo con su código de identificación de usuario y sus claves
personales.
• Se prohíbe tener identificaciones de usuario genéricos basados en
sus funciones de trabajo. Las identificaciones de usuario deben
únicamente identificar individuos específicos.
• Todo sistema debe tener definidos los perfiles de usuario de
acuerdo con la función y cargo de los usuarios que acceden a él.
• Toda la información del servidor de base de datos que sea
sensible, crítica o valiosa, debe tener controles de acceso para
garantizar que no sea descubierta, modificada, borrada o no
recuperable por medio de personas no autorizadas.
• Antes de que un nuevo sistema se desarrolle o se adquiera, los
directores, jefes de proyectos, en conjunto con el Área encargada
de seguridad informática, deberán definir las especificaciones y
requerimientos de seguridad necesarios.
• Los ambientes de desarrollo de sistemas, pruebas y producción
deben permanecer separados para su adecuada administración,
operación, control y seguridad y, en cada uno de ellos, se
instalarán las herramientas necesarias para su administración y
operación.
Política de seguridad en comunicaciones
• Las direcciones internas, topologías, configuraciones e información
relacionada con el diseño de los sistemas de comunicación,
seguridad y cómputo de la Compañía, deberán ser consideradas y
tratadas como información de confidencialidad máxima.
• La seguridad en comunicaciones es controlada por personal de
seguridad de información del corporativo.
• Todo intercambio electrónico de información o interacción entre
sistemas de información con empresas externas deberá estar
soportado con un acuerdo o documento de formalización.
• Los computadores de VALORMAS que se conectarán de manera
directa con computadores de empresas externas, conexiones
seguras, deben tener autorización previa del área encargada de la
seguridad informática en la organización.
• Toda información que pertenezca a la Compañía (Interna o de
Clientes) y se transmita por las redes de comunicación de la
Empresa hacia Internet, deberá estar cifrada o en su defecto,
asegurada de que vaya dirigida al destinatario correcto y por el
canal adecuado.
TIPolítica de seguridad para usuarios terceros
• Los dueños de los Recursos Informáticos que no sean propiedad
de la empresa y deban ser ubicados y administrados por ésta,
deben garantizar la legalidad del recurso para su funcionamiento.
Adicionalmente debe definir un documento de acuerdo oficial entre
las partes.
• Cuando se requiera utilizar recursos informáticos u otros
elementos de propiedad de VALORMAS, para el funcionamiento
de recursos que no sean propios de la empresa y que deban
ubicarse en sus instalaciones, los recursos serán administrados
por la Mesa de Servicios de VALORMAS.
• Los usuarios terceros tendrán acceso a los Recursos Informáticos,
que sean estrictamente necesarios para el cumplimiento de su
función, servicios que deben ser aprobados por quien será el jefe
inmediato o coordinador. En todo caso deberán firmar el acuerdo
de buen uso de los recursos informáticos.
• Si se requiere un equipo con módem, este equipo no podrá en
ningún momento estar conectado a la Red interna de VALORMAS
al mismo tiempo.
• La conexión entre sistemas internos de la Compañía y otros de
terceros debe ser aprobada y certificada por el Área encargada de
la Seguridad Informática en la Compañía, con el fin de no
comprometer la seguridad de la información interna de la empresa.
• Los equipos de usuarios terceros que deban estar conectados a la
Red deben cumplir con todas las normas de seguridad informática
vigentes en la Empresa.
• Como requisito para interconectar las redes de la Compañía con
las de terceros, los sistemas de comunicación de terceros deben
cumplir con los requisitos establecidos por la empresa.
VALORMAS se reserva el derecho de monitorear estos sistemas
de terceros sin previo aviso, para evaluar la seguridad de estos. La
empresa se reserva el derecho de cancelar y terminar la conexión
a sistemas de terceros, que no cumplan con los requerimientos
internos establecidos por la Compañía.
Política de software utilizado
Todo software que se utilice en VALORMAS deberá ser adquirido de
acuerdo con las normas vigentes y siguiendo los procedimientos
específicos de la Compañía o reglamentos internos.
Debe existir una cultura informática al interior de VALORMAS, que
garantice el conocimiento por parte de los empleados, prestadores de
servicios y practicantes, de las implicaciones que tiene el instalar
software ilegal en los computadores de la Compañía.
Existirá un inventario de las licencias de software de la Compañía,
que permita su adecuada administración y control, evitando posibles
sanciones por la instalación de software no licenciado.
Deberá existir una reglamentación de uso para los productos de
software instalado en demostración, dentro de los computadores de
VALORMAS
TIPolítica de actualización de hardware
• Cualquier cambio que se requiera realizar en los equipos de
cómputo de la Compañía (cambios de procesador, adición de
memoria o tarjetas), debe tener previamente una evaluación
técnica y autorización del área responsable de acuerdo con el
proceso de gestión de cambios.
• La reparación técnica de los equipos, que implique la apertura de
estos, únicamente puede ser realizada por el personal autorizado
del Centro de Servicios de VALORMAS o por personal externo,
supervisado por miembros del Centro de Servicios.
• Los equipos de microcomputadores (PC, servidores, LAN etc.) no
deben moverse o reubicarse sin la aprobación previa del
administrador, jefe o coordinador del área involucrada y, este
movimiento, lo debe hacer el personal de Soporte Técnico de
VALORMAS.
Política de actualización de hardware
• La información que hace parte de los Sistemas de VALORMAS
deberá ser almacenada y respaldada de acuerdo con las normas
emitidas, de tal forma que se garantice su disponibilidad.
• Diariamente se realizan copias de respaldo de las bases de datos
de producción para el normal funcionamiento de los procesos
informáticos.
• Esta definición está en el documento Proceso Gestión de
Seguridad de Información.docx
• El almacenamiento de la información deberá realizarse interna a la
Compañía, esto de acuerdo con la importancia de la información
para la operación de VALORMAS.
Política de almacenamiento y respaldo de backups
• La información que hace parte de los Sistemas de VALORMAS
deberá ser almacenada y respaldada de acuerdo con las normas
emitidas, de tal forma que se garantice su disponibilidad.
•
Diariamente se realizan copias de respaldo de las bases de datos
de producción para el normal funcionamiento de los procesos
informáticos.
•
• Esta definición está en el documento Proceso Gestión de
Seguridad de Información.docx
•
El almacenamiento de la información deberá realizarse interna a la
Compañía, esto de acuerdo con la importancia de la información
para la operación de VALORMAS.
• Los empleados, prestadores de servicio y practicantes de
VALORMAS son responsables de los respaldos de su información
en los computadores, siguiendo las indicaciones técnicas dictadas
por la Gerencia de Tecnología, dónde ésta será la autorizada para
realizar el seguimiento y control de esta política.
TIPolítica de continuidad y contingencia
El área de Tecnología de la Compañía debe preparar, actualizar
periódicamente y probar en forma regular un plan de contingencia que
permita a las aplicaciones críticas y sistemas de cómputo y
comunicación de la Compañía, estar disponibles en el evento de un
desastre de grandes proporciones como: terremoto, explosión,
terrorismo, inundación, etc.
Política de auditoría en seguridad de la información
El área de Tecnología de la Compañía debe preparar, actualizar
periódicamente y probar en forma regular un plan de contingencia que
permita a las aplicaciones críticas y sistemas de cómputo y
comunicación de la Compañía, estar disponibles en el evento de un
desastre de grandes proporciones como: terremoto, explosión,
terrorismo, inundación, etc.
• Auditoria Informática: Todos los sistemas automáticos que
operen y administren información sensible asociada a las
transaccione, valiosa o crítica para VALORMAS, como bases de
datos y todas las bases de datos registradas en el documento plan
de seguridad y sistemas deben generar pistas (log o registros) de
(adición, modificación, borrado) de auditoría.
Todos los archivos de auditorías deben proporcionar suficiente
información para apoyar el monitoreo, control y auditorías.
Todos los archivos de auditorías en los sistemas core o críticos
para el normal desempeño de los procesos empresariales deben
preservarse por periodos definidos según su criticidad y de
acuerdo con las exigencias legales para cada caso.
Todos los archivos de auditorías deben ser custodiados en forma
segura, para que no puedan ser modificados y para que puedan
ser leídos únicamente por personas autorizadas; los usuarios que
no estén autorizados, deben solicitarlos al área encargada de su
administración y custodia.
Todos los computadores de la Compañía deben estar
sincronizados y tener la fecha y hora exacta, para que el registro
en la auditoría sea correcto.
• Auditoría de Información (Proceso): El área de Sistemas debe
programar al menos dos auditorías internas de calidad al año,
frente al proceso de Seguridad, sus políticas, controles
informáticos, controles definidos para el manejo de datos
personales y demás documentos asociados, asegurando el
conocimiento y uso de éstos
TIPolítica de seguridad física
• VALORMAS deberá contar con los mecanismos de control de
acceso que considere adecuados, en las dependencias que se
definan como crítica.
• Los visitantes de las oficinas de la Compañía deben ser
acompañados durante todo el tiempo por un empleado o
practicante autorizado. Esto significa que se requiere de un escolta
tan pronto como un visitante entra a un área y hasta que este
mismo visitante sale del área controlada. Todos los visitantes
requieren una escolta incluyendo clientes, antiguos empleados,
miembros de la familia del trabajador, etc.
• Siempre que un trabajador se dé cuenta que un visitante no
escoltado se encuentra dentro de áreas de la empresa, el visitante
debe ser inmediatamente cuestionado acerca de su propósito de
encontrarse en dicha área e informar a las responsables de la
seguridad de la Compañía.
• Los centros de cómputo, lugares especiales o áreas que la
Compañía considere críticas, deben ser lugares de acceso
restringido y cualquier persona que ingrese a ellos deberá registrar
el motivo del ingreso y estar acompañada, permanentemente, por
el personal que labora cotidianamente en estos lugares.
• Toda persona que se encuentre dentro de las instalaciones de la
Compañía deberá portar su identificación en lugar visible; esta
identificación en el caso de los empleados está estipulado que sea
el carnet con el logo de VALORMAS, el cual tiene la foto del
empleado, su nombre, su número de identificación (cedula de
ciudadanía, cedula de extranjería o tarjeta de identidad) y su grupo
sanguíneo. Los empleados que extravíen este documento deben
gestionar inmediatamente ante la autoridad competente la
denuncia respectiva y presentar el denuncio ante Talento Humano,
para comenzar los trámites de restitución del documento
extraviado y obtener un certificado por parte de Talento Humano,
que indique que está en proceso de obtener nuevamente su
identificación.
• En los centros de cómputo o áreas que la empresa considere
críticas, deberán existir elementos de control de incendio,
inundación y alarmas.
• Los centros de cómputo o áreas que la empresa considere críticas
deberán estar demarcados con zonas de circulación y zonas
restringidas.
• Las centrales de conexión o centros de cableado deben ser
catalogados como zonas de alto riesgo, con limitación y control de
acceso.
TI• Todos los computadores portátiles, módems y equipos de
comunicación de personas externas a la empresa, deben registrar
su ingreso y salida en la recepción.
• Todos los visitantes deben mostrar identificación con fotografía y
firmar en una planilla definida para tal fin, antes de obtener el
acceso a las áreas restringidas controladas por la empresa.
• Los equipos de microcomputadores (PCs, servidores, equipos de
comunicaciones, entre otros) de VALORMAS, no deben moverse o
reubicarse sin la aprobación previa del personal autorizado, esto
no incluye los computadores portátiles de los usuarios.
• Los particulares en general, entre ellos, los familiares de los
empleados no están autorizados para utilizar los recursos
informáticos de la Compañía
Política de escritorios limpios
Todos los escritorios o mesas de trabajo del personal que labora en
VALORMAS deben permanecer limpios para proteger documentos en
papel y dispositivos de almacenamiento como CDs, USB memory
key, disquetes, etc., con el fin de reducir los riesgos de acceso no
autorizado, robo, perdida y daño de la información durante el horario
normal de trabajo y fuera del mismo.
Política de administración de la seguridad
La evaluación de riesgos de seguridad para los Recursos Informáticos
en producción, se deben ejecutar al menos una vez cada año. Todas
las mejoras, actualizaciones, conversiones y cambios relativos
asociados con estos recursos deben ser precedidos por una
evaluación del riesgo. Esta evaluación del riesgo la debe hacer cada
área con sus respectivos miembros, el Comité de Riesgos, el cual
tiene miembros de cada una de las áreas de VALORMAS.
Cualquier brecha de seguridad o sospecha en la mala utilización en el
Internet, la red corporativa o Intranet, los recursos informáticos de
cualquier nivel (local o corporativo), deberá ser comunicada por el
empleado que la detecta, en forma inmediata y confidencial, al área
encargada de la seguridad informática.
Los empleados, prestadores de servicios y practicantes de
VALORMAS, que realicen las labores de administración del recurso
informático, son responsables por la implementación, permanencia y
administración de los controles sobre los Recursos Computacionales.
La implementación debe ser consistente con las prácticas
establecidas por el Área de Tecnología.
El área encargada de la Seguridad Informática en conjunto con el
área de Comunicaciones Corporativas divulgará las políticas,
estándares y procedimientos en materia de seguridad informática.
Efectuará el seguimiento al cumplimiento de las políticas de seguridad
y reportará a la Presidencia y/o a las Gerencias Generales de las
Unidades de Negocio, los casos de incumplimiento.
TIPolítica de gestión de impresiones
La impresión de documentos de confidencialidad máxima en
cualquiera de las impresoras de la Compañía debe realizarse de
manera segura utilizando hojas de papel limpias (NO reutilizadas) y
teniendo presente que, cuando la impresión salga con defectos o el
documento sea obsoleto se debe hacer un adecuado manejo del
papel impreso, eliminándolo adecuadamente de modo que no pueda
ser reconfigurado físicamente.
Adicionalmente, cuando se va a imprimir cualquier información, el
empleado debe dirigirse inmediatamente a la impresora a recoger los
documentos impresos, después de mandar la orden de impresión. Es
responsabilidad del usuario el uso que se le dé a los documentos de
confidencialidad máxima, después de que da la orden de impresión.
Política de seguridad en teletrabajo
Equipos:
• El área de Tecnología de VALORMAS indica a los empleados, que
para sus labores de Teletrabajo se deben usar los equipos que la
empresa ha suministrado para las actividades asociadas a su rol.
• Por motivos de movilidad y para poder trabajar indistintamente
desde casa, el modelo de teletrabajo actual en la empresa autoriza
el uso de los activos tipo portátiles, tablets, o cualquier otro
dispositivo portable por su facilidad de desplazamiento.
• No obstante, es preciso aclarar que, por el hecho de ser portables,
fáciles de perder, y susceptibles de ser robados, la empresa
autoriza el uso de este tipo de activos sólo para Teletrabajo.
• En caso de que el Teletrabajador requiera usar un equipo personal
para esta labor, debe dirigirse al área de Tecnología para que éste
sea revisado y configurado para tal función.
Comunicaciones:
• Se debe etiquetar en las bases de datos o directorio activo el
usuario que está autorizado para ejercer labores de Teletrabajo.
• No se deben utilizar conexiones poco confiables (conexiones Wi-Fi
abiertas, redes públicas de hoteles, bibliotecas, locutorios, etc.) sin
algún tipo de cifrado punto a punto como puede ser VPN o
conexiones a sitios web protegidos con SSL (los que empiezan por
HTTPS). No basta con que la red tenga contraseña para conectar
ya que los propietarios de la red podrían monitorizar el tráfico, por
lo que se debe aplicar una capa extra de cifrado.
• Los administradores de la red en VALORMAS deben llevar un
seguimiento cercano de las conexiones remotas a los servicios
corporativos de teletrabajo. Especialmente se debe prestar
atención a los intentos de conexión sospechosos.
• Se deben evitar las soluciones de administración remota
gestionadas por terceros como pueden ser TeamViewer ya que se
evaden por completo de cualquier arquitectura de seguridad
implantada, además de delegar el acceso a los sistemas a terceros
externos a la organización.
TIPolítica de gestión de incidentes y seguridad de la información
Incidentes de Seguridad: Se debe asegurar que los eventos y las
debilidades de la seguridad de la información asociados con los
sistemas de información de VALORMAS, se comunican y se registran
de forma tal que permiten tomar las acciones correctivas
oportunamente.
Todos los empleados, contratistas y usuarios de tercera parte deben
tener conciencia y conocimiento de los procedimientos para el reporte
de los diferentes tipos de evento y las debilidades que puedan tener
Impacto en la seguridad de los activos VALORMAS. Se les debería
exigir que reporten todos los eventos de seguridad de la información y
las debilidades tan pronto sea posible al punto de contacto designado.
Algunos Tipos de Incidentes de Seguridad de Información:• Acceso no autorizado a la información.
• Divulgación de información sensible.
• Denegación del servicio.
• Daño de la información.
• Ataques externos o internos.
• Ataques dirigidos y no dirigidos
• Pérdida o robo de la información.
• Modificación no autorizada.
• Información no actualizada.
• Mala gestión del conocimiento.
• Diligenciamiento errado de formatos.
• Perdida o daño de la documentación.
• Daños sobre Activos de información
• Uso indebido de Activos de información
• Uso Indebido de Software
• Uso Indebido de Usuarios
• Suplantación de Identidad
Incidentes de Confidencialidad: Ligado a Recursos Humanos,
procesos disciplinarios
Se debe asegurar que los eventos y las debilidades de la seguridad
de la información asociados a la confidencialidad de la empresa con
los procesos core del negocio, se comunican y se registran de forma
confidencial en la plataforma o herramienta De gestión y son
escalados al área de Recursos Humanos para iniciar los procesos
disciplinarios en caso de requerirse.
Algunos Tipos de Incidentes de Confidencialidad de Información:• Robo de Información crítica del negocio.
• Antecedentes penales no previstos desde el inicio de sus labores.
• Riñas internas causadas por el empleado.
• Divulgación y entrega de información confidencial a terceros.
TIPolítica de gobierno de TI
La Política de Gobierno Digital TIC para la Gestión es la declaración
general que representa la posición de la gestión de Valor+. Con
respecto a la protección de los activos de información (los
funcionarios, contratistas, proveedores, la información, los procesos,
las tecnologías de información incluido el hardware y el software), que
soportan los procesos de la entidad y apoyan la implementación del
Sistema de Gestión de Seguridad de la Información, por medio de la
generación y publicación de sus políticas, procedimientos e
instructivos, así como de la asignación de responsabilidades
generales y específicas para la gestión de dicho sistema.
Valor+ S.A.S, desde el área de TI, Asegurará la Planeación
estratégica de TI y establecerá la compatibilidad de la política y los
objetivos de seguridad de la información y Gobierno Digital TIC para
la Gestión, estos últimos correspondientes a:
• Minimizar el riesgo de los procesos misionales de Valor+.
• Cumplir con las diferentes políticas de seguridad de la información.
• Cumplir con el Plan de seguridad y privacidad de información
• Mantener la confianza de los funcionarios, contratistas y
proveedores.
• Apoyar la innovación e iniciativas tecnológicas.
• Implementar y mejorar continuamente el Sistema de Gestión de
seguridad de la información.
• Proteger los activos de información.
• Establecer las políticas, procedimientos e instructivos en materia
de seguridad de la información y de Gobierno Digital TIC para la
Gestión.
• Fomentar y fortalecer la cultura de seguridad de la información y
de Gobierno Digital TIC para la gestión en los funcionarios,
contratistas y proveedores de Valor+ S.A.S.
• Garantizar la continuidad en la prestación de sus servicios y dar
cumplimiento a la promesa de valor a sus clientes.
COMUNICACIONESPolítica de comunicaciones
La gestión de las comunicaciones en Valor + se fundamenta en un
proceso estratégico y transversal a su misión, de acuerdo con los
procesos que apalanquen su propuesta de valor como acelerador de
capacidades y que, al mismo tiempo, procuren el bienestar de su
comunidad interna.
Con el establecimiento de la Política de Comunicaciones, se busca
garantizar que los flujos mediante los que se comparte y expone
información en los distintos escenarios, sean canales que permitan su
retroalimentación y conocimiento de forma clara, transparente,
oportuna y de cara a los distintos públicos de interés; en especial, al
ciudadano como protagonista de la operación institucional.
Valor+ SAS se encuentra comprometido en el desarrollo de acciones
encaminadas a la construcción de una cultura organizacional, la
consolidación de la identidad institucional y al óptimo
aprovechamiento de las social media para lograr mayor interacción
digital a partir de la difusión de la información pública y de interés.
Se tiene como prioridad la integración de las comunicaciones a la voz
gerencial de la compañía; el apoyo a los distintos proyectos en
ejecución y prácticas internas; la identificación de oportunidades en
los distintos escenarios para posicionar la entidad y buscar minimizar
posibles impactos negativos.
La entidad se acoge a los lineamientos del Modelo Integrado de
Planeación y Gestión -MIPG- designados para la dimensión de
‘Información y Comunicación’, que buscan garantizar la articulación
de la entidad y los distintos públicos, la accesibilidad a los contenidos
y la promoción de una gestión transparente. Es por esto, que desde
la gestión comunicacional se busca fortalecer y establecer una misma
línea institucional en los diferentes canales -externos e internos- y al
mismo tiempo, servir de soporte para la planeación y operación de la
entidad, apalancar su reconocimiento en el medio público-privado y
proyectar su imagen de acuerdo al Plan Estratégico Institucional
vigente.
COMUNICACIONESPolítica de comunicaciones
La gestión de las comunicaciones en Valor + se fundamenta en un
proceso estratégico y transversal a su misión, de acuerdo con los
procesos que apalanquen su propuesta de valor como acelerador de
capacidades y que, al mismo tiempo, procuren el bienestar de su
comunidad interna.
Con el establecimiento de la Política de Comunicaciones, se busca
garantizar que los flujos mediante los que se comparte y expone
información en los distintos escenarios, sean canales que permitan su
retroalimentación y conocimiento de forma clara, transparente,
oportuna y de cara a los distintos públicos de interés; en especial, al
ciudadano como protagonista de la operación institucional.
Valor+ SAS se encuentra comprometido en el desarrollo de acciones
encaminadas a la construcción de una cultura organizacional, la
consolidación de la identidad institucional y al óptimo
aprovechamiento de las social media para lograr mayor interacción
digital a partir de la difusión de la información pública y de interés.
Se tiene como prioridad la integración de las comunicaciones a la voz
gerencial de la compañía; el apoyo a los distintos proyectos en
ejecución y prácticas internas; la identificación de oportunidades en
los distintos escenarios para posicionar la entidad y buscar minimizar
posibles impactos negativos.
La entidad se acoge a los lineamientos del Modelo Integrado de
Planeación y Gestión -MIPG- designados para la dimensión de
‘Información y Comunicación’, que buscan garantizar la articulación
de la entidad y los distintos públicos, la accesibilidad a los contenidos
y la promoción de una gestión transparente. Es por esto, que desde
la gestión comunicacional se busca fortalecer y establecer una misma
línea institucional en los diferentes canales -externos e internos- y al
mismo tiempo, servir de soporte para la planeación y operación de la
entidad, apalancar su reconocimiento en el medio público-privado y
proyectar su imagen de acuerdo al Plan Estratégico Institucional
vigente.
VERSIONAMIENTO
VERSIONAMIENTO Y REVISIÓN DEL DOCUMENTO
Versión
Fecha
modificación
(dd/mm/aaaa)
Modificado por Cambios realizados
1.0 26/01/2021
Política de planeación institucional – Carolina Sierra (Coordinadora grado A de procesos y calidad)
Fortalecimiento organizacional y simplificación de procesos – Carolina Sierra (Coordinadora grado A de procesos y calidad)
Política de servicio al ciudadano – Carolina Sierra (Coordinadora grado A de procesos y calidad)
Política de seguimiento y evaluación al desempeño institucional - Carolina Sierra (Coordinadora grado A de procesos y calidad)
Política de transparencia, acceso a la información pública y lucha contra la corrupción - Carolina Sierra (Coordinadora grado A de procesos y
calidad)
Política de administración del riesgo – Estella Mazo (Líder gestión del riesgo)
Aprobados por Marcela Patiño (Directora de planeación y PMO)
___
Política de gestión presupuestal y eficiencia del gasto público – Elizabeth Restrepo (Tecnólogo especializado)
Política de defensa jurídica – Elizabeth Restrepo (Tecnólogo especializado)
Aprobados por Juan Sebastián Gómez (Secretario general E)
___
Política de talento humano – Martha Menco (Líder de talento humano)
Política de integridad – Martha Menco (Líder de talento humano)
Política de gestión del conocimiento y la innovación - Martha Menco (Líder de talento humano)
Política de seguridad y salud en el trabajo – Viviana Monsalve (Líder de SGSST)
Aprobados por Martha Menco (Líder de talento humano)
___
Política de gestión documental – Salomé Castaño (Líder administrativa)
Aprobados por Salomé Castaño(Líder administrativa)
___
Política de seguridad digital – Paola Ruiz
Aprobados por Anderson Ospina (Director de TI)
___
Política de gestión de control interno – Diana Tobón (Jefe oficina de control interno)
Aprobados por Diana Tobón (Jefe oficina de control interno)
___
Política de comunicaciones – Ana Arcila (Profesional comunicaciones)
Documento revisado y aprobado por el comité de gestión y desempeño institucional mediante acta de comité #xx del 28 de enero de 2021 y
adoptado mediante DE N°xx del xx de enero de 2021.
Elaboración de documento (Todos)
Consolidación del documento (Carolina Sierra)