Skip to content
  • No hay sugerencias porque el campo de búsqueda está vacío.

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

 

Cinco Sentidos Agencia de Publicidad S.A.S.
NIT 901860424-7

 

1. Declaración corporativa

En Cinco Sentidos Agencia de Publicidad S.A.S. reconocemos la Seguridad de la Información como un componente estratégico del gobierno corporativo y de la gestión integral del riesgo operativo. Esta política establece los principios, responsabilidades y lineamientos que rigen la protección de la información propia, de nuestros clientes, aliados y terceros.

La Alta Dirección respalda, aprueba y promueve el cumplimiento de esta política como parte del Sistema de Administración de Riesgo Operativo (SARO) y del compromiso de la organización con la confidencialidad, integridad y disponibilidad de la información.

2. Alcance

Esta política aplica a:

  • Toda la información, en cualquier formato (digital, físico o verbal).

  • Sistemas de información, aplicaciones, plataformas tecnológicas y servicios en la nube.

  • Infraestructura tecnológica y física.

  • Colaboradores, contratistas, proveedores y terceros que tengan acceso a información o activos de la organización.

3. Gobierno de la Seguridad de la Información

La organización cuenta con un modelo de gobierno que incluye:

  • Un Oficial de Seguridad de la Información, designado formalmente, con competencias técnicas y dependencia de un nivel directivo.

  • Un Comité de Seguridad de la Información, encargado de revisar riesgos, incidentes, planes de tratamiento y acciones de mejora.

Este esquema garantiza una gestión estructurada, supervisada y alineada con los objetivos del negocio.

4. Responsabilidad de los colaboradores

Todos los colaboradores y terceros son responsables de:

  • Proteger la información a la que tengan acceso.

  • Cumplir esta política y las normas internas asociadas.

  • Utilizar los sistemas únicamente para fines autorizados.

  • Reportar oportunamente incidentes o debilidades de seguridad.

La seguridad de la información es una responsabilidad compartida en toda la organización.

5. Clasificación y control de la información

La información es clasificada de acuerdo con su nivel de sensibilidad, y los controles de acceso se definen bajo el principio de mínimo privilegio, garantizando que cada usuario acceda únicamente a la información necesaria para el desempeño de sus funciones.

6. Control de accesos

La organización implementa controles para la gestión de accesos lógicos y físicos, que contemplan:

  • Creación, modificación y eliminación de accesos de acuerdo con el rol del usuario.

  • Revocación inmediata de accesos ante el retiro del personal.

  • Revisión periódica de accesos:

    • Mensual para usuarios críticos.

    • Semestral para todos los usuarios.

Estos controles permiten prevenir accesos no autorizados y asegurar el uso adecuado de los sistemas de información.

7. Gestión de usuarios y contraseñas

Los accesos son personales e intransferibles. Se establecen lineamientos para el uso de contraseñas robustas, autenticación multifactor cuando aplica y prohibición expresa del uso compartido de credenciales.

8. Gestión de incidentes de seguridad

La organización cuenta con un proceso formal para la gestión de incidentes de seguridad de la información, que contempla:

  • Identificación y reporte.

  • Contención y mitigación.

  • Análisis de causa raíz.

  • Registro y seguimiento del incidente.

9. Continuidad del negocio y recuperación ante desastres

Se implementan medidas orientadas a asegurar la continuidad de las operaciones, minimizar el impacto de eventos disruptivos y proteger la información crítica mediante planes de contingencia y respaldos de información.

10. Copias de seguridad y recuperación

La información crítica es respaldada de forma periódica, protegida contra accesos no autorizados y sujeta a controles que permiten su recuperación en caso de incidentes.

11. Gestión de registros (logs)

Se mantienen registros de acceso y actividad sobre sistemas críticos, los cuales son conservados por periodos definidos y revisados cuando se presentan eventos relevantes de seguridad.

12. Seguridad física

La organización controla el acceso a sus instalaciones y áreas críticas, protegiendo la información física y los activos tecnológicos frente a accesos no autorizados, pérdida o daño.

13. Control de cambios

Los cambios relevantes en sistemas, configuraciones o plataformas tecnológicas deben ser evaluados, autorizados y documentados previamente, con el fin de reducir riesgos operativos y de seguridad.

14. Destrucción segura de la información

La información que deja de ser necesaria es destruida de forma segura, garantizando que no pueda ser recuperada o utilizada por terceros no autorizados.

15. Gestión de vulnerabilidades y aseguramiento de la infraestructura

La organización realiza revisiones periódicas de seguridad, identifica vulnerabilidades y aplica acciones correctivas. Asimismo, utiliza proveedores tecnológicos confiables y aplica controles de seguridad en infraestructuras y servicios en la nube.

16. Uso de servicios en la nube

La gestión de servicios computacionales en la nube se rige bajo un modelo de responsabilidad compartida, considerando:

  • Tipo de nube y servicios contratados.

  • Localización y procesamiento de la información.

  • Controles de seguridad para ambientes virtualizados.

  • Protección de aplicaciones e integraciones.

17. Acciones disciplinarias

El incumplimiento de esta política podrá dar lugar a medidas disciplinarias, sanciones contractuales o acciones legales, de acuerdo con la gravedad del evento y la normatividad aplicable.

18. Revisión y vigencia

La presente Política de Seguridad de la Información es revisada mínimo una vez al año o cuando se presenten cambios relevantes en la operación, tecnología o riesgos de la organización.
Entra en vigencia a partir de su publicación.