Política general de seguridad de la información

1. Alcance

Este documento ha sido desarrollado por el área de Seguridad de la Información y ha recibido la aprobación del CEO de COCO INVERSIONES TECNOLÓGICAS S.A.S. Su cumplimiento es obligatorio para todos los miembros del personal de la corporación, así como para terceros, proveedores y contratistas. COCO INVERSIONES TECNOLÓGICAS S.A.S. se dedica a ofrecer servicios especializados en comunicación entre las instituciones de salud y los pacientes a través de herramientas digitales e inteligencia artificial.

2. Definición de términos clave

Confidencialidad: asegura que la información solo será visualizada y accedida por individuos debidamente autorizados (ISO/IEC 27001:2022). Integridad: asegura que la información solo será modificada por individuos debidamente autorizados (ISO/IEC 27001:2013). Disponibilidad: garantiza que la información siempre estará disponible en el momento que se necesite consultar o acceder (ISO/IEC 27001:2022). SGSI: Sistema de Gestión de Seguridad de la Información.

3. Roles y responsabilidades

El Líder de Seguridad de la Información implementa la norma ISO 27001, identifica riesgos y amenazas, diseña estrategias de mitigación y atiende requerimientos relacionados con evidencias y auditorías. El Comité de Seguridad (conformado por CEO, CO-CEO, CMO, CTO, CFO y RSI) revisa, evalúa y aprueba el SGSI, la política vigente y las medidas ante situaciones de amenaza. El personal interno y externo debe aceptar por escrito la adhesión a esta política, cumplir el marco regulatorio del SGSI, asistir a capacitaciones y reportar situaciones que amenacen la seguridad de la información.

4. Políticas y compromiso

Para COCO INVERSIONES TECNOLÓGICAS S.A.S, la información es uno de los pilares más importantes para la prestación de sus servicios. La organización se compromete a protegerla garantizando los principios de Confidencialidad, Integridad y Disponibilidad, cumpliendo con los requisitos legales y controles de seguridad aplicables, y realizando seguimiento continuo al SGSI para mejorar y asegurar su efectividad.

5. Lineamientos generales

Todos los vinculados a COCO (clientes, colaboradores, proveedores, contratistas, socios) deben resguardar la información corporativa a la que tengan acceso y prevenir su pérdida, alteración, destrucción o uso inapropiado. Los activos protegidos incluyen: información, colaboradores, aplicaciones de software, equipos informáticos, instalaciones físicas, redes de comunicación, equipamiento auxiliar, sistemas informáticos, bases de datos de clientes y de pacientes. La organización gestiona y mitiga riesgos, adopta medidas proactivas frente a amenazas de ciberseguridad e implementa un plan de continuidad de negocios. Las políticas específicas (uso aceptable de activos, contraseñas, backups, correo, acceso, trabajo remoto, cifrado, entre otras) son revisadas dos veces al año al finalizar cada semestre o ante cambios significativos.

6. Objetivos del SGSI

Cultura: capacitar y sensibilizar a colaboradores y contratistas en la protección de la información. Incidentes: identificar, analizar y cerrar de forma oportuna los incidentes de seguridad. Riesgos: controlar, mitigar y prevenir los riesgos asociados a la seguridad de la información. Continuidad: asegurar la disponibilidad de los procesos de la organización. Controles de seguridad: evaluar y monitorear los controles y procedimientos del SGSI. Mejora continua: establecer un compromiso organizacional con el seguimiento del sistema de gestión.

7. Responsabilidades, conformidad y vigencia

El área de Seguridad de la Información es responsable de gestionar la implementación, velar por el cumplimiento, realizar revisiones periódicas, actualizar, difundir y capacitar al personal. El incumplimiento de esta política conlleva sanciones establecidas en el reglamento de trabajo. Este documento debe ser revisado y aprobado por la alta dirección de COCO INVERSIONES TECNOLÓGICAS S.A.S. Su vigencia es permanente.