1. ALCANCE
Este documento ha sido desarrollado por el área de Seguridad de la Información y ha recibido la aprobación del CEO de COCO INVERSIONES TECNOLÓGICAS S.A.S. El cumplimiento es obligatorio para todos los miembros del personal de la corporación, así como para terceros, proveedores y contratistas. Este documento establece directrices generales que deben seguirse para asegurar la seguridad de la información, en relación con los principios fundamentales de confidencialidad, integridad y disponibilidad que ya han sido definidos.

COCO INVERSIONES TECNOLÓGICAS S.A.S. se dedica a ofrecer servicios especializados en comunicación entre en las instituciones de salud y los pacientes a través de herramientas digitales e inteligencia artificial.

2. DEFINICIÓN DE TÉRMINOS
Para efectos del presente documento, se definen los siguientes términos:
a) Confidencialidad
En conformidad con la norma ISO/IEC 27001:2022, la confidencialidad se define como la cualidad que asegura que la información, presente en cualquier medio, solo será visualizada y accedida por individuos debidamente autorizados.
b) Integridad
Según lo establecido por la norma ISO/IEC 27001:2013, la integridad se define como la característica que asegura que la información, independientemente del medio en el que se encuentre, solo será modificada por individuos debidamente autorizados.
c) Disponibilidad
De acuerdo con la norma ISO/IEC 27001:2022, es aquella característica que permite asegurar que la información en cualquier medio siempre estará disponible en el momento que se necesite consultar o acceder.
d) Comité de Seguridad de la Información
Encargado de revisar y proponer la actual política, así como de estructurar, recomendar, dar seguimiento y mejorar el Sistema de Gestión de Seguridad de la Información.
e) Control
Según lo establecido por la NTP-ISO/IEC 17999:2007, se trata de una herramienta de gestión del riesgo que abarca normativas, procedimientos, estándares y estructuras organizacionales, de índole administrativa, técnica, gerencial o legal.
f) Información
Se define como un conjunto organizado de datos en diversas formas, que incluye textos, números, gráficos, entre otros, y que puede encontrarse en diversos medios, como soportes magnéticos, documentos impresos, pantallas de computadora, entre otros formatos. 
g) SGSI
Sistema de Gestión de Seguridad de la Información.
h) Activos
Los activos de una compañía son todos los recursos y propiedades que posee la empresa y que tienen un valor económico.

3. ROLES Y RESPONSABILIDADES

3.1. LÍDER DE SEGURIDAD DE LA INFORMACIÓN.
a) Implementar la norma ISO 27001 – Sistema de Gestión de la Seguridad de la Información (SGSI)
b) Identificar riesgos y amenazas de seguridad de la información y ciberseguridad
c) Diseñar y desarrollar estrategias de mitigación y la ejecución
d) Atender requerimientos de clientes, relacionados con evidencias, registros, auditorías y avance del sistema de gestión de seguridad de la información
e) Apoyar a las diferentes líneas de negocio de incidentes de seguridad de la información que afecten la infraestructura y activos de la organización.

3.2.COMITÉ DE SEGURIDAD DE INFORMACIÓN.

a) Revisar, evaluar y aprobar el alcance vigente de SGSI de COCO INVERSIONES TECNOLÓGICAS S.A.S.
b) Revisar, evaluar y aprobar la versión vigente de la Política de Seguridad de la Información de COCO INVERSIONES TECNOLÓGICAS S.A.S.
c) Revisar, evaluar y aprobar el conjunto de metodologías, normas, estándares y procedimientos que constituyen el marco regulatorio que da soporte a la presente Política de Seguridad de Información.
d) Revisar, evaluar y aprobar las medidas a ejecutarse en situaciones que amenacen la Seguridad de COCO INVERSIONES TECNOLÓGICAS S.A.S.
3.2.1. INTEGRANTES COMITÉ DE SEGURIDAD DE LA INFORMACIÓN

• CEO
• CO – CEO
• CMO – Líder Comercial
• CTO – Líder Desarrollo
• CFO – Líder Administrativa
• RSI – Responsable de seguridad de la información

3.3.PERSONAL INTERNO

a) Aceptar por escrito la adhesión a la presente política y su marco regulatorio de soporte.
b) Cumplir con lo estipulado en el marco regulatorio del SGSI de COCO INVERSIONES TECNOLÓGICAS S.A.S.
c) Asistir a las charlas de concientización y capacitación a las que sea convocado.
d) Reportar al Líder de Seguridad de la Información situaciones que amenacen la
e) Seguridad de la Información de COCO INVERSIONES TECNOLÓGICAS S.A.S.
f) Participar de las reuniones de trabajo a las que sea convocado.

3.4. PERSONAL EXTERNO
a) Aceptar por escrito la adhesión a la presente política y su marco regulatorio de soporte. b) Cumplir con lo estipulado en el marco regulatorio del SGSI de COCO INVERSIONES TECNOLÓGICAS S.A.S. en lo que respecta a su relación con terceros.

4. POLÍTICAS
Para COCO INVERSIONES TECNOLÓGICAS S.A.S, la información es uno de los pilares más importantes para la prestación de servicios especializados en comunicación entre las instituciones de salud y los pacientes a través de herramientas digitales e inteligencia artificial. Debido a esta razón, es prioridad que todos nuestros clientes, colaboradores, proveedores, contratistas, socios y personas de interés en general conozcan y acepten nuestro compromiso como organización en la protección de la información, cumpliendo los principios de Confidencialidad, Integridad y Disponibilidad. COCO INVERSIONES TECNOLÓGICAS S.A.S se compromete a cumplir con los requisitos legales y controles en seguridad de la información aplicables a la compañía, así como a realizar un seguimiento continuo al Sistema de Gestión de Seguridad de la Información (SGSI) para mejorar y asegurar su efectividad.

5. LINEAMIENTOS GENERALES DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN
Es fundamental que todos aquellos vinculados a COCO INVERSIONES TECNOLÓGICAS S.A.S ya sean clientes, colaboradores, proveedores, contratistas, socios o personas de interés, asuman la responsabilidad de resguardar la información corporativa a la que tengan acceso o que procesen.
Su compromiso radica en prevenir la pérdida, alteración, destrucción o uso inapropiado de dicha información.
1. Para COCO INVERSIONES TECNOLÓGICAS S.A.S es indispensable asegurar la disponibilidad,
integridad, confidencialidad de cada uno de los activos de la compañía, entre ellos:
• Información
• Colaboradores
• Aplicaciones de software
• Equipos informáticos
• Instalaciones físicas
• Redes de comunicación
• Equipamiento auxiliar
• Sistemas informáticos
• Bases de datos Clientes
• Bases de datos Pacientes

2. COCO INVERSIONES TECNOLÓGICAS S.A.S se compromete a gestionar, mitigar y tratar cualquiera de los riesgos que se presenten en la organización.
3. Frente a las Amenazas, como los cambios regulatorios y los riesgos de ciberseguridad, adoptaremos medidas proactivas para mitigar los riesgos y asegurar la seguridad y confianza de nuestros clientes.
4. Con el fin de asegurar la continuidad de los servicios COCO INVERSIONES TECNOLÓGICAS implementa un plan de continuidad de negocios.
5. Con el fin de asegurar la continuidad de los servicios COCO INVERSIONES TECNOLÓGICAS implementa un plan de continuidad de negocios.
6. Con el fin de asegurar la seguridad de la información, se debe dar cumplimiento a las políticas específicas enunciadas a continuación:
POLÍTICA GENERAL DE SEGURIDAD DE LA INFORMACIÓN
POLÍTICA DE USO ACEPTABLE DE ACTIVOS
POLÍTICA DE ESCRITORIO Y EQUIPO CORPORATIVO
POLÍTICA SARLAFT
POLÍTICA DE GESTIÓN DE INCIDENTES Y EVENTOS DE S-I
POLÍTICA DE CONTRASEÑA
POLÍTICA DE BACKUPS
POLÍTICA DE CARNÉ
POLÍTICA DE CORREO ELECTRÓNICO E INTERNET
POLÍTICA DE USO DE SOFTWARE
POLÍTICA PARA EL CONTROL DE ACCESO
POLÍTICA DE TRABAJO REMOTO
POLÍTICA DE TELETRABAJO
POLÍTICA DE SEGURIDAD EN LA GESTIÓN DE PROYECTOS. POLÍTICA DE ETIQUETADO Y CLASIFICACIÓN DE LA INFORMACIÓN POLÍTICA DE TRANSFERENCIA E INTERCAMBIO DE LA INFORMACIÓN POLÍTICA DERECHOS DE PROPIEDAD INTELECTUAL
POLÍTICA DE GESTIÓN DE LOGS Y REGISTROS DE AUDITORÍA POLÍTICA DE SATURACIÓN DEL SISTEMA
POLÍTICA DE CIFRADO
7. Finalmente, con el fin de asegurar la información, se debe dar cumplimiento a la presente política general de seguridad de la información y a las políticas específicas establecidas por COCO INVERSIONES TECNOLÓGICAS que serán revisadas 2 veces al año al finalizar cada semestre o cuando ocurran cambios significativos en las mismas.

6. OBJETIVOS
CULTURA: Capacitar y sensibilizar a todos nuestros colaboradores y contratistas, en la importancia de la protección de la información que se maneja en la COCO INVERSIONES TECNOLÓGICAS garantizando la integridad, disponibilidad y confidencialidad.
INCIDENTES: Identificar, analizar y cerrar de forma oportuna los incidentes de Seguridad de la Información que se presenten en la empresa.
RIESGOS: Controlar, mitigar y prevenir los riesgos asociados a la seguridad de la información, identificando las vulnerabilidades y amenazas que enfrentan los activos de mayor relevancia para la compañía.
CONTINUIDAD: Asegurar la continuidad y disponibilidad de los procesos de la organización.
CONTROLES DE SEGURIDAD: Evaluar y monitorear los controles, políticas y procedimientos implementados del SGSI para asegurar su correcto funcionamiento y la integridad del sistema.
MEJORA CONTINUA:
Establecer un compromiso por parte de toda la organización, con el fin realizar un seguimiento a todo el sistema de gestión de seguridad de la información.

7. RESPONSABILIDADES
El área de Seguridad de la Información es responsable de gestionar la implementación y velar por el cumplimiento de la presente política, también es encargado de realizar revisión periódica, actualización, difusión, concientización y capacitación del personal cumplimiento. El incumplimiento a la presente política conlleva sanciones y/o llamados de atención establecidos previamente por la organización en su reglamento de trabajo y/o documentos pertinentes.

8. CONFORMIDAD
Este documento tendrá que ser revisado y posteriormente aprobado por la alta dirección de COCO INVERSIONES TECNOLÓGICAS S.A.S.

9. VIGENCIA
Permanente.

10. CONTROL DE CAMBIOS