La Política de Seguridad y Privacidad de la Información es la declaración general que representa la posición de la administración de Nuvola Business Consulting SAS (en adelante nBC), con respecto a la protección de los activos de información (los funcionarios, contratistas, terceros, la información, los procesos, las tecnologías de información incluido el hardware y el software), que soportan los procesos de la Entidad y apoyan la implementación del Sistema de Gestión de Seguridad de la Información, por medio de la generación y publicación de sus políticas, procedimientos e instructivos, así como de la asignación de responsabilidades generales y específicas para la gestión de la seguridad de la información.

nBC, para asegurar la dirección estratégica de la compañía, establece la compatibilidad de la política de seguridad de la información y los objetivos de seguridad de la información, estos últimos correspondientes a:

• Minimizar el riesgo de los procesos misionales de la compañía.
• Cumplir con los principios de seguridad de la información.
• Cumplir con los principios de la función administrativa.
• Mantener la confianza de los funcionarios, contratistas y terceros.
• Apoyar la innovación tecnológica.
• Implementar el sistema de gestión de seguridad de la información.
• Proteger los activos de información.
• Establecer las políticas, procedimientos e instructivos en materia de seguridad de la información.
• Fortalecer la cultura de seguridad de la información en los funcionarios, terceros, aprendices, practicantes y clientes de
• Garantizar la continuidad del negocio frente a incidentes.

Alcance/Aplicabilidad

• Esta política aplica a toda la entidad, sus funcionarios, contratistas y terceros de nBC.

Nivel de cumplimiento

Todas las personas cubiertas por el alcance y aplicabilidad deberán dar cumplimiento un 100% de la política.

Políticas:

1. Política de Seguridad:
   1. nBC debe definir los mecanismos para proteger la información, su uso, procesamiento, almacenamiento, difusión; y, es su deber, mantener actualizada la presente política, así como los demás componentes del Sistema de Gestión de la Seguridad de la Información que deben estar alineados con los demás sistemas de gestión de la compañía.
   2. nBC debe evaluar el costo/beneficio de los mecanismos de seguridad y recuperación de la información, así como los recursos tecnológicos involucrados.
   3. Todos los usuarios de los recursos TIC deben proteger, respaldar y evitar accesos de la información a personas no autorizadas; es decir son responsables de cuidar todos los activos digitales de información sean o no propiedad de
   4. Todos los funcionarios de nBC deben seguir los procedimientos de respaldo de la información y llevar una bitácora de respaldos. Que para la compañía consiste en mantener todos los documentos e información sensible en una carpeta de One Drive asociada al correo electrónico corporativo.
   5. Todo usuario de TIC es responsable de la protección de la información a su cargo y no debe compartir, publicar o dejar a la vista, datos sensitivos como Usuario y Password, Direcciones IP entre otros.
   6. Todo usuario de TIC debe bloquear la sesión de trabajo de su computador al alejarse, aunque sea por poco tiempo, minimizando el tiempo que la estación quede sin protección en su ausencia.
   7. Toda información que provenga de un archivo externo de nBC o que deba ser restaurado tiene que ser analizado con el antivirus institucional vigente.
   8. Ningún usuario de los recursos TIC debe generar, compilar, copiar, almacenar, replicar o ejecutar código de computador malicioso con la intención de causar daño, afectar e interferir con los servicios de cualquier recurso TIC.
   9. Todo usuario de los recursos TIC no debe visitar sitios restringidos por nBC de manera explícita o implícita, o sitios que afecten la productividad en la compañía; como el acceso desde nBC a sitios relacionados con la pornografía, juegos, ocio etc.
   10. Está prohibido descargar software de uso malicioso o documentos que brinden información que atente contra la seguridad de la información de nBC.
   11. Ningún funcionario debe brindar información no autorizada en ningún sitio ya sea interno o externo de nBC.
   12. Ningún usuario, debe descargar y/o utilizar información, archivos, imagen, sonido u otros que estén protegidos por derechos de autor de terceros sin la previa autorización de estos.
   13. Se documentarán y divulgarán los controles que se deben aplicar para el uso adecuado de la información que se maneja en las oficinas desde el punto de vista laboral.
   14. Los usuarios no deben descargar software de Internet en ninguna circunstancia y en caso de requerirlo debe informar al líder.

2. Organización de la Información:
   1. nBC debe tener el control de su información previa organización y administración conforme la definición de su marco gerencial (funciones y responsabilidades).
   2. Cada área debe determinar cuál es su información sensible y su disponibilidad.
   3. Todos los usuarios de los recursos TIC de la compañía deben ubicar la información que necesita ser respaldada en los lugares previamente constituidos para ello (carpeta en OneDrive 365, cuenta empresarial); en caso contrario son responsables de sus actos y consecuencias.

El incumplimiento a la política de Seguridad y Privacidad de la Información traerá consigo, las consecuencias legales que apliquen a la normativa de la Entidad, incluyendo lo establecido en las normas que competen al Gobierno nacional y territorial en cuanto a Seguridad y Privacidad de la Información se refiere.