Política de Seguridad, Ciberseguridad y Continuidad del Servicio

POL-TI-SEC-01: Política de Ciberseguridad y Continuidad del Servicio

Política Corporativa de Seguridad de la Información, Ciberseguridad y Continuidad del Servicio.

Fecha de elaboración: 2026/05/22


InterServicios S.A.S.

Código: POL-TI-SEC-01

Versión: 1.0

1. Objetivo de la Política

Establecer las directrices, lineamientos y controles formales destinados a proteger los activos de información, plataformas de software y la infraestructura tecnológica administrada por INTERSERVICIOS S.A.S., garantizando de forma estricta los principios de confidencialidad, integridad y disponibilidad de la información, así como la resiliencia y continuidad de los servicios prestados ante contingencias o incidentes de ciberseguridad.

2. Alcance

Esta política es de cumplimiento obligatorio y aplica a todas las soluciones de software desarrolladas, contratadas o alojadas por la organización, las plataformas tecnológicas en producción, los servicios dedicados, así como al personal técnico, administrativo y proveedores externos de infraestructura involucrados en la cadena de entrega del servicio a nuestros clientes.

3. Marco Institucional de Infraestructura (Capa Data Center)

INTERSERVICIOS S.A.S. delega el alojamiento físico y de conectividad perimetral de sus servidores dedicados en un proveedor global de primer nivel, el cual cuenta con la certificación internacional Type 2 SOC 2 con cumplimiento HIPAA/HITECH. Los controles mínimos exigidos y validados en esta capa comprenden:

4. Controles Técnicos, Administrativos y Operativos (Capa Servidor y Aplicación)

Como administradores del software e infraestructura lógica, el área de TI de INTERSERVICIOS S.A.S. implementa de forma permanente los siguientes controles de seguridad:

4.1 Control de Acceso Lógico y Administrativo

Todo acceso a los entornos de gestión y bases de datos está restringido bajo el principio de privilegio mínimo y la segregación de funciones. El acceso al servidor está estrictamente limitado a personal autorizado vía llaves SSH cifradas y restringido explícitamente por direccionamiento IP.

4.2 Gestión de Parches y Vulnerabilidades

Se mantiene un ciclo de actualización y remediación proactiva que incluye la aplicación periódica de parches críticos de seguridad sobre los sistemas operativos y dependencias de software. Anualmente se programan escaneos de vulnerabilidades y pruebas de penetración (pentesting) con firmas de auditoría externas autorizadas. El software del servidor cuenta con la protección activa de CSF (ConfigServer Security & Firewall).

4.3 Gestión Humana y Confidencialidad

Todo el personal técnico con acceso a datos o código firma acuerdos estrictos de confidencialidad y no divulgación (NDA), complementados con rigurosas validaciones de antecedentes previas a la contratación laboral.

5. Prevención, Detección y Respuesta a Incidentes de Ciberseguridad

La organización mantiene una postura de monitoreo continuo para identificar anomalías operativas de manera temprana:

6. Continuidad de Negocio y Recuperación ante Desastres (BCP / DRP)

En concordancia con el Plan de Continuidad del Negocio institucional, INTERSERVICIOS S.A.S. fundamenta su gobernanza TIC bajo las buenas prácticas internacionales de las normas ISO 22301 e ISO 27001.

6.1 Estrategia de Copias de Seguridad (Backups)

Para asegurar la integridad de la información histórica y transaccional, se definen las siguientes directrices obligatorias:

6.2 Métricas Objetivas de Resiliencia (RTO y RPO)

Ante un evento de contingencia o desastre crítico que afecte el funcionamiento del software, la organización se compromete a mantener los servicios dentro de los siguientes umbrales tolerables:

6.3 Gobernanza, Pruebas del Plan y Emisión

La gestión de crisis tecnológicas está a cargo del Comité de Desastres TIC, coliderado por la Gerencia de Proyectos (Dirección de Continuidad) y el Líder de TI. Este comité tiene la responsabilidad de coordinar ejercicios de entrenamiento y simulacros de restauración de datos como mínimo una (1) vez al año para certificar la efectividad de las copias de respaldo.

La presente política será revisada de forma anual por el Área de TI para garantizar su alineación frente a nuevas amenazas. Para constancia de su obligatoriedad y entrada en vigencia formal.

Elaborado por: Karen Cano

Revisado por: Diego Tobón

Aprobado por: Jorge Tobón

Fecha de elaboración: 2026/05/22

Fecha Revisión: 2026/05/22

Fecha Aprobación: 2026/05/25