POLÍTICA
SIO SAS se compromete con el aseguramiento de los activos de información del negocio, salvaguardando la confidencialidad, integridad y disponibilidad de la información en la gestión del proceso de facturación electrónica, buscando así la mejora continua en los procesos que hacen parte de nuestro Sistema de Gestión de Seguridad de la Información (SGSI) dando cumplimiento a los requisitos legales y normativos aplicables.
OBJETIVOS DEL SGSI
OB1. Realizar una adecuada gestión de riesgos de seguridad de la información asociados a los activos de información implementando controles que contribuyan a mitigar su probabilidad de materialización.
OB2. Fortalecer la cultura de seguridad de la información en los(as) funcionarios(as), terceros(as), contratistas del proceso de facturación electrónica de SIO SAS. Y las partes interesadas, a través de la capacitación y sensibilización en el SGSI.
OB3. Gestionar de manera adecuada los incidentes de seguridad de la información, generando, documentando y aplicando lecciones aprendidas con el fin de reducir la posibilidad de ocurrencia y/o el impacto de incidentes futuros.
OB4. Gestionar la mejora continua en la implementación, mantenimiento o mejora de los controles y/o lineamientos del SGSI, permitiendo así proteger la información frente a nuevas amenazas y cambios que se produzcan en SIO SAS.
OB5 Garantizar la disponibilidad y continuidad con las partes interesadas a nivel de información e infraestructura del sistema de facturación electrónica de SIO SAS.
Supervisión, Evaluación y Cumplimiento
Esta política se revisa a intervalos planificados a un año o cuando haya cambios que lo ameriten
El no cumplimiento de la presente política o de alguno de los procedimientos relacionados con la misma, se considerará como una violación de seguridad y desacato a la reglamentación interna. Las acciones disciplinarias derivadas de dichos incumplimientos serán tratadas de acuerdo a los procedimientos y políticas definidas por SIO SAS.
Referencias relacionadas
La presente política está gobernada por la legislación externa vigente que aplica a SIO SAS, definidas por las instancias legales de Colombia. Además, se subordina a las normas laborales y administrativas, internas y externas, que rigen a SIO SAS.
A continuación, se listan algunas de las leyes o normativas vigentes relacionadas con la presente política:
- ISO-IEC 27001:2013
Atentamente:
JESUS H. MONTERO S.
Gerente General
Soluciones Integrales de Oficina SIO S.A.S.
Alcance
Teniendo en cuenta los aspectos de nuestro contexto de la organización y partes interesadas se establece el siguiente alcance:
En SIO, la gestión de la seguridad de la información busca establecer y mantener programas, controles y políticas para conservar la confidencialidad, integridad y disponibilidad de la información sobre el proceso de facturación electrónica y soporte de mesa de servicio para todo el cumplimiento normativo y de regulación interpuesto por la DIAN para los proveedores tecnológicos autorizados por esta entidad.
SIO SAS, implementa el sistema de gestión de seguridad de la información – SGSI sobre el alcance anteriormente mencionado buscando garantizar y mejorar la seguridad de la información, para lo cual evalúa riesgos e implementa controles alineados al estándar ISO 27001:2013, cumplimientos regulatorios de entes externos aplicado a funcionarios, contratistas y demás partes interesadas que intervienen en el proceso de facturación electrónica.
Este alcance aplica para la sede principal carrera 100 # 14 -96 de la ciudad de Cali.
De acuerdo con la declaración de aplicabilidad vigente, la organización declara que no le aplican los siguientes controles del anexo A de la norma ISO/IEC 27001:2013:
Control
A8.3.3 Transferencias de medios físicos
A10.1.2 Gestión de llaves
A11.1.6 Áreas de despacho y carga
A14.2.3 Revisión técnica de las aplicaciones después de cambios en la plataforma de operación
A14.2.7 Desarrollo contratado externamente
| Servicios | Contexto interno y externo (DOFA) | Partes interesadas |
| Facturación Electrónica | · Usar la tecnología más la normatividad para poder llegar a empresas de servicios públicos, contado con el respaldo del datacenter de Oracle. Comunicación de las mejoras continúas en samansoft y la compañía. A medida que haya ampliación en el mercado se amplía la planta de personal Realizar seguimiento del datacenter en actualizaciones de seguridad. ·Aprovechar que el desarrollo es propio para obtener mayor eficiencia en cuanto a los cambios normativos y legales. Contar con la certificación para disminuir ataques cibernéticos y ampliar la confianza en los clientes. Garantizar a los clientes nuestras fortalezas y beneficios como proveedores tecnológicos certificados. Fortalecer la disponibilidad y mejoras o funcionalidades del servicio con miras a ampliar el mercado. Aprovechar la ampliación del mercado para ampliar la planta de personal y sus conocimientos. Fortalecer la formación sobre aspectos tributarios y SI, culturizar al personal. Generar campañas de fidelización hacia los clientes. Fortalecer la disponibilidad y mejoras o funcionalidades del servicio con miras a ampliar el mercado. | Clientes Socios Comerciales Reguladores y Entidades Gubernamentales Accionistas e Inversionistas Empleados Ente certificador Público en General Competidores Proveedores |
| Mesa de Servicios |
INTERFACES Y DEPENDENCIAS
Procesos estratégicos
Gestión de la dirección: Directrices organizacionales, estrategias para una excelente prestación del servicio de samansoft
Gestión Financiera: Administración de recursos financieros.
Gestión del talento humano: Permite seleccionar y contratar al personal que trabaja y aporta a los procesos misionales de la compañía, así mismo, realiza actividades de gestión del personal que permite la operación y mejora continua de los procesos para la óptima prestación de los servicios.
Procesos de apoyo
Suministro de infraestructura y soporte: Se garantiza una buena infraestructura y soporte cuando sea requerido durante el desarrollo o ejecución de los servicios de facturación electrónica.
Apoyo y evaluación a la gestión: definen los procesos de calidad y de seguridad de la información que se deben cumplir con la finalidad de garantizar la confidencialidad e integridad de la información, participando desde las etapas tempranas de la formulación de los procesos, así como el cumplimiento de las políticas establecidas del sistema.
Apoyo tecnológico: Información es aquel que configura los equipos de cómputo y realiza los mantenimientos a los mismos para que los procesos misionales puedan ejecutar sus funciones, así mismo, es quien mantiene operativo el servicio tecnológico que apoyan los procesos misionales de la compañía, en SIO se tienen aplicaciones como Visual studio code, samansoft, sonarlint, Intellij community, postgreSQL, java 11, maven, vue.js y Oracle cloud Infrastructure (OCI)
Procesos misionales
Gestión comercial: Apoyo en la consecución de más clientes para el servicio de facturación electrónica.
Planificación de proyectos: Una buena estructura para la planificación de nuevas mejoras y desarrollos en facturación electrónica.