POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

Dar a conocer las directrices que deben cumplirse por parte de los colaboradores y terceros la Organización, para garantizar la integridad, confidencialidad y disponibilidad de la información y los recursos de tecnología.

 

Esta Política es de aplicación para todos los colaboradores y terceros la Organización y empresas asociadas, que requieren del uso de activos de información y de los recursos informáticos corporativos.

 

Esta política de Seguridad de la Información es responsabilidad de todos los colaboradores de la Organización Y empresas asociadas, de Terceros y Accionistas y su cumplimiento es obligatorio. 

 

La política de seguridad de la información la Organización y empresas asociadas, busca promover a través de una gestión de riesgos, la adopción de controles, por parte de todos los colaboradores y terceros, sobre las fuentes de información operativas, tácticas y/o estratégicas que se utilicen para el logro de los objetivos del negocio, con el propósito de preservar las ventajas competitivas de la Organización. 

 

Esta política pretende preservar la confidencialidad, integridad y disponibilidad de la información mediante lineamientos y controles adoptados según los requisitos exigidos por las buenas prácticas y que, con su adopción desde la Alta Dirección, se establece el cumplimiento de éstas para garantizar razonablemente la seguridad y privacidad de los activos de información, minimizando posibles impactos no deseados que comprometan los principios esenciales de la Seguridad de la Información.

 

• El Comité de Seguridad de la Información de Procaps, será el responsable del mantenimiento, revisión y mejora del Sistema de Gestión de Seguridad de la Información para la Organización.

• Todo colaborador de la Organización debe asegurar los activos de información bajo su gestión. 

• Todo usuario es responsable de aplicar los controles de gobierno de información a los datos generados de forma manual y/o automática, para preservar la confidencialidad, integridad y disponibilidad. 

• Los colaboradores de la Organización y/o contratistas serán los directamente responsables de proteger la información a la cual accedan y procesen, para evitar su pérdida, alteración, destrucción o uso indebido.

• Está restringido el acceso a personal no autorizado a la información y a los medios para su procesamiento manual o automatizado.

• Tecnología de la Información apoyará la gestión de aseguramiento de la información durante todo su ciclo de vida utilizando herramientas tecnológicas especializadas en el tema.

• Es requerido definir acuerdos de interacción con terceros para preservar la confidencialidad, integridad y disponibilidad de la información compartida y/o transmitida. 

• Los colaboradores de la Organización y contratistas de la empresa deben reportar con diligencia, prontitud y responsabilidad, presuntas violaciones de seguridad, eventos sospechosos y el mal uso de los recursos de información o comunicaciones.

• Tecnología de la Información debe mantener actualizada la respuesta a incidentes y el plan de continuidad del negocio ante la ocurrencia de eventos no previstos o desastres naturales, incorporando lecciones aprendidas. 

• Todo usuario debe reportar cualquier situación que se pueda considerar como un Evento y/o incidente de Seguridad y que comprometa la preservación de la confidencialidad, disponibilidad y/o integridad de la información.

• En caso de que se materialice un incidente de seguridad de la información y se categorice como medio-alto o alto, el equipo responsable de analizar el incidente debe seguir la Metodología para la valoración de la materialidad de incidentes de Ciberseguridad, para definir si el incidente es material o potencialmente material para PROCAPS. En caso positivo, se debe diligenciar el formato SEC 6-K y enviarse al Comité de Revelaciones para su evaluación, y en caso de que sea necesario, divulgación a la SEC.

• la Organización, solo permitirá el uso de software autorizado que haya sido adquirido legalmente por la compañía o autorizado explícitamente por el área de Tecnología de la Información.

• Se mantendrá acceso controlado y restringido a los cuartos de servidores principales y a los cuartos de comunicaciones.

• Todos los colaboradores de la Organización, cualquiera que sea su situación contractual, independiente del área a la cual pertenezca y las tareas o funciones que desempeñe, deben firmar un acuerdo de confidencialidad. 

• Se deben implementar lineamientos de desarrollo seguro para las aplicaciones que hacen parte o que interactúan con la infraestructura critica de TI.

• Se deben tener documentadas e implementadas las líneas base de seguridad de los activos de información que hacen parte de la infraestructura crítica. 

• Se debe contar con un inventario de la infraestructura crítica de la Organización.   

• Se debe contar con un inventario de los sistemas de información (aplicaciones) relacionados con infraestructura crítica y gestionados por tecnología de la información de la Organización.   

• El incumpliendo o violación de la Política de Seguridad de la Información será sancionado según el reglamento interno de trabajo de la Organización y/o sus empresas asociadas.

• Anualmente se debe actualizar la matriz integral de riesgos, con los riesgos y/o controles asociados a seguridad de la información.

• Se debe realizar análisis de vulnerabilidad y/o Ethical Hacking anualmente a la infraestructura crítica de la Organización para mitigar los riesgos asociados. 

• Todo acceso remoto de un colaborador y/o contratista a la infraestructura de la Organización debe ser debidamente autorizado para asegurar la confidencialidad de la información, teniendo en cuenta los principios de mínimo privilegio y la segregación de funciones. 

• Se debe contar con segmentación de redes para minimizar los riesgos de seguridad de la información. 

• Se debe mantener un programa de concientización de seguridad de la información para todos los colaboradores de la Organización y sus empresas asociadas.

• Se deben mantener prácticas de mejora continua para la gestión de seguridad de la información.

• Todo sistema de información crítico debe contar con gestión de accesos, incorporando el principio de menor privilegio. 

• Todo equipo corporativo debe contar con un antivirus debidamente instalado y actualizado.

• Se debe reportar con diligencia, prontitud y responsabilidad presuntas violaciones a la privacidad de datos personales al director Corporativo de cumplimiento Legal. 

• Las redes sociales de la Organización son manejadas por el área corporativa de Comunicaciones. 

 

 

 

Los bienes y recursos TIC de la Organización, son herramientas de apoyo a las labores y a las responsabilidades de los colaboradores, por ello, sin perjuicio de la responsabilidad penal, administrativa o disciplinaria a que haya lugar, los usuarios al utilizar los equipos de cómputo, deben cumplir las siguientes directrices de uso:

 

• Los bienes y recursos TIC corporativos se emplearán de manera exclusiva por el usuario al cual han sido asignados y únicamente para el correcto desempeño de su cargo o función, por lo tanto, no deben ser utilizados con fines personales o por terceros no autorizados.

• Durante la jornada laboral y en todo tiempo de uso, corresponde al usuario prestar la debida custodia y cuidado a los equipos de cómputo asignados, así como impedir su sustracción, destrucción, ocultamiento o utilización indebida.

• Las credenciales de acceso a los servicios TIC (nombre de usuario y contraseña) son de carácter estrictamente personal e intransferible, por lo tanto, los usuarios no deben revelarlas a terceros ni utilizar credenciales ajenas a las asignadas.

• Todo usuario debe verificar que los equipos de cómputo asignados se encuentren debidamente conectados a fuentes de corriente reguladas. 

• Los usuarios deben bloquear su computador cuando no están utilizando el equipo o no está presente en su puesto de trabajo. Se recomienda usar la siguiente combinación de teclas WIN + L, de lo contrario se expone la información a acceso de terceros, daño, alteración o uso indebido, así como a la suplantación del usuario original.

• Los únicos autorizados para realizar modificaciones a la configuración original de los equipos, así como para destapar, agregar, desconectar, retirar, revisar y/o reparar sus componentes, son los funcionarios de Tecnología de la Información y/o las personas por ellos autorizadas.

• No está permitido introducir en los equipos de cómputo elementos ajenos a su naturaleza o funcionalidad, así como ningún tipo de unidad de almacenamiento de información portátil personal como memorias USB o discos duros portátiles, a excepción de aquellos que explícitamente hayan sido autorizados por Tecnología de la Información. 

• Los únicos autorizados para trasladar los equipos de cómputo de un puesto a otro son los funcionarios de Tecnología de la Información y/o las personas por ellos autorizadas. Lo anterior, con el fin de llevar el control de los inventarios. En virtud de lo anterior, toda reasignación de equipos deberá ajustarse a los procedimientos establecidos para tal fin.

• Toda pérdida de equipos de cómputo o de alguno de sus componentes debe ser informada de inmediato a la mesa de servicios tecnológicos o a su área de TI Local según los procedimientos establecidos.

• Todos los equipos de cómputo se deben apagar correctamente en ausencias prolongadas y en lo posible al final de la jornada laboral. No se debe dejar hibernando el equipo por un periodo prolongado de tiempo, se debe reiniciar para que se realicen las actualizaciones de seguridad.  

• Los recursos TIC son asignados al cargo no a los usuarios, por lo cual cuando se presenten traslados de cargos nacionales o internacionales, el usuario deberá devolver a la mesa de servicios tecnológicos o a su área de TI local los elementos TIC asignados.

• Todo problema de orden técnico con los equipos de cómputo o con el software que en ellos se ejecuta, debe ser reportado a la mesa de servicios tecnológicos o área de TI local a la mayor brevedad posible a través de los medios disponibles.

 

La información contenida en los equipos de cómputo es considerada un activo valioso para la Organización; por ello, sin perjuicio de la responsabilidad penal, administrativa o disciplinaria a que haya lugar, los usuarios al utilizar los equipos de cómputo, deben cumplir y respetar las siguientes directrices respecto al acceso a la información contenida en los mismos:

 

• Mantendrán en reserva la documentación e información que, por razón de su cargo o función, conserven bajo su cuidado o a la cual tengan acceso. Evitarán su sustracción, destrucción, ocultamiento o utilización indebida;  se abstendrán de alterarla, falsificarla, ocultarla o borrarla e impedirán que terceros no autorizados ejecuten tales acciones sobre la misma.

• Tecnología de la Información realiza copias de seguridad sobre los datos que se encuentran alojados en los repositorios centralizados (buzones de correo, bases de datos, servidores, etc.) para evitar pérdida de información. La información en los computadores corporativos debe almacenarse en las carpetas que están sincronizadas con servicios de nube (OneDrive, SharePoint) o en un directorio compartido del servidor de archivos para garantizar su gestión y respaldo. 

• En los sitios de almacenamiento centralizado (SharePoint – OneDrive, servidores), únicamente debe almacenarse información de orden corporativa vigente y/o necesaria para el correcto desempeño del cargo o función del usuario respectivo. No está permitido guardar información personal en los equipos corporativos. 

• Todo usuario es responsable de los registros y/o modificaciones de información que se hagan con sus credenciales de acceso a los servicios TIC, toda vez que estas son de carácter personal e intransferible y no pueden ser divulgadas a terceros.

• No se debe compartir archivos ni directorios en las unidades de red de la Organización. En caso de ser necesario intercambiar información con otros usuarios, se dispone de un servicio para almacenamiento centralizado de archivos los cuales pueden ser compartidos de manera segura (SharePoint – OneDrive, servidores)

• La información que no sea estrictamente necesaria para el desarrollo de las tareas del usuario no debe almacenarse en los equipos corporativos. Si se accede a la información desde varios dispositivos, esta tiene que estar sincronizada para evitar duplicidades y errores en las versiones. 

 

 

El uso, instalación y desinstalación de software y hardware en los bienes y recursos TIC de la Organización, representa riesgos asociados a penas y/o multas por el incumplimiento de leyes relacionadas con los derechos de autor y propiedad intelectual, pérdidas económicas por daños de los equipos de cómputo, entre otros, por ello, sin perjuicio de la responsabilidad penal, administrativa o disciplinaria a que haya lugar, los usuarios al utilizar los bienes y recursos TIC, deben cumplir las siguientes directrices respecto al uso, instalación y desinstalación de software y hardware:

 

• Solamente está permitido el uso de software licenciado que sea autorizado expresamente por Tecnología de la Información.

• Los únicos autorizados para instalar o desinstalar software y hardware en los equipos de cómputo de la Organización son los agentes de la mesa de servicios tecnológicos o el área de TI Local. 

• Está prohibido en los equipos de cómputo que se conecten a la red corporativa de voz y/o datos de la Organización, instalar, guardar, ejecutar y/o utilizar programas, herramientas de software, archivos o hardware que:

a) Adivinen las contraseñas de usuarios de equipos locales o remotos, de programas, correo corporativo, etc.

b) Monitoreen la actividad de los sistemas informáticos de equipos locales o remotos. Se excluye de esta prohibición las herramientas de software y hardware que utilice Tecnología de la Información con el único propósito de administrar la funcionalidad y la seguridad de los recursos TIC corporativos.

c) Rastreen vulnerabilidades en sistemas de cómputo (hardware o software). Se excluye de esta prohibición las herramientas que utilice Tecnología de la Información con el único propósito de evaluar la seguridad de los recursos TIC corporativos.

d) Exploten alguna vulnerabilidad de un sistema informático para acceder así a privilegios que no han sido explícitamente otorgados por el administrador de la red o de un recurso informático en particular.

e) Tengan un carácter de contenido inapropiado de acuerdo con las responsabilidades y cargo de los usuarios como son juegos, pornografía, maliciosos, entre otros.

f) Permitan el intercambio de información entre equipos, tales como uTorrent, BitTorrent, Kazaa, Emule, We transfer, entre otros.

g) Permitan evadir los controles definidos por la empresa para el acceso al contenido en internet (Proxy Avoid), modificación de direcciones de red, captura de información en la red, etc.

h) Está prohibido realizar impresiones de libros o documentos de carácter personal.

i) Es requerido el uso de un usuario y contraseña para imprimir, escanear o fotocopiar documentos

• El software y hardware instalado en los equipos de cómputo de la Organización no debe ser utilizado con propósitos ilegales, no autorizados, personales o ajenos a la misión de la Organización.

• Dentro de las instalaciones de la Organización, no se deben utilizar dispositivos que puedan interferir con las redes de datos y/o voz corporativa, que incluyen, pero no se limitan a: puntos de acceso inalámbricos, enrutadores de todo tipo, teléfonos celulares con capacidad de servir como puntos de acceso, etc. De igual manera, no se deben conectar los equipos de cómputo, a estos dispositivos dentro de las instalaciones.

• Tecnología de la Información es la única dependencia autorizada para realizar copia de seguridad del software licenciado por la organización, el cual no debe ser copiado o suministrado a terceros, salvo en aquellos casos en que sea estrictamente necesario para la prestación de los servicios TIC.

 

El servicio de correo electrónico corporativo es una herramienta de apoyo a las funciones y responsabilidades de los usuarios de la Organización y en tal virtud, sin perjuicio de la responsabilidad penal, administrativa o disciplinaria a que haya lugar, deben cumplir las siguientes directrices:

 

• El servicio de correo electrónico de la Organización debe ser empleado únicamente para enviar y recibir mensajes de orden corporativo y relacionado con las funciones y responsabilidades del cargo del remitente. En consecuencia, no puede ser utilizado con fines personales, económicos, comerciales y/o cualquier otro ajeno a los propósitos de la organización, pues por ley un correo electrónico puede llegar a tener la misma validez de un documento físico.

• El contenido de los mensajes debe corresponderse con el Reglamento Interno de Trabajo de Procaps y cada una de las empresas del Grupo, y por las normas y comportamientos que rigen la moral y la ética de la compañía, por lo tanto, no debe ser insultante, ofensivo, amenazante, injurioso u obsceno.

• Al redactar mensajes de correo electrónico se deben respetar los derechos de terceros, evitar caer en el sarcasmo o la ironía y nunca comprometer la imagen, valores y/o principios corporativos.

• El envío de mensajes de correo electrónico debe hacerse únicamente a los destinatarios a los cuales el contenido le sea de su interés y sea necesario recibirlos.

• No se deben enviar mensajes de correo electrónico a todos los colaboradores o a grupos de estos, salvo que sea un asunto de interés general, que involucre a toda la organización o parte de esta. El único autorizado para enviar comunicados oficiales a toda la organización a través del correo electrónico es la Vicepresidencia de Asuntos Corporativos a través del área de comunicaciones.

• Para optimizar la capacidad de almacenamiento del buzón de correo, el usuario debe realizar una depuración de los correos realmente necesarios y no guardar información obsoleta o que no esté relacionada con sus responsabilidades y funciones en la Organización.

• Todo mensaje de correo electrónico sospechoso debe notificarse a la Mesa de Servicios tecnológicos, por los medios disponibles, para que se revise la procedencia del mensaje y en caso de confirmarse que es malicioso, realizar las acciones correspondientes (eliminación de correo, bloqueo de destinatario y/o IP de procedencia en caso de que aplique, etc.).

• La Cuenta de Correo Corporativa no debe ser revelada a páginas o sitios publicitarios o a cualquier otra página ajena a los fines de la Organización.

• El reenvío de mensajes sólo debe realizarse en casos estrictamente necesarios.

• Sólo deben imprimirse los mensajes importantes que así lo requieran, ya que una de las ventajas y fines del servicio de correo electrónico corporativo es la transmisión de información con ahorro de papel.

• La cuenta de correo no debe utilizarse para enviar o recibir música, programas, material pornográfico, fotos, videos o cualquier otro ajeno a los fines de la Organización.

• Se prohíbe el envío y/o reenvío de mensajes en cadena.

• Todo mensaje de correo, con información clasificada como restringida o confidencial deberá protegerse a través de la herramienta provista por Tecnología de la Información.  

 

NOTA: Al crear las cuentas de correo electrónico corporativo, Tecnología de la Información establecerá criterios de restricción, de acuerdo con las funciones o perfil del usuario, a efectos de racionalizar la capacidad del buzón, delimitar la posibilidad de enviar mensajes colectivos o a distintos grupos, orígenes o destinatarios, entre otras medidas.

 

El servicio de Internet es una herramienta de apoyo a las funciones y responsabilidades de los usuarios de la Organización, por tanto, sin perjuicio de la responsabilidad penal, administrativa o disciplinaria a que haya lugar, éstos deben ser utilizados  cumpliendo  las siguientes directrices:

• El servicio de Internet Corporativo únicamente puede ser utilizado para el desarrollo de actividades directamente relacionadas con el cumplimiento de la misión de las empresas de la Organización y las funciones asignadas a sus colaboradores.

• No está permitido descargar música o videos que no estén relacionados con el trabajo.

• Este servicio no debe ser utilizado para:

a) Visitar, enviar o recibir archivos de video, audio, texto, fotos, etc., con contenidos insultantes, ofensivos, injuriosos, obscenos o violatorios de los derechos de autor.

b) Enviar o bajar archivos de video, audio, texto, fotos, etc., no propios del cumplimiento de los propósitos institucionales o de las funciones laborales.

c) Bajar, instalar o ejecutar archivos o software de procedencia desconocida.

d) Los sitios de almacenamiento virtual como Dropbox, Google Drive, etc., no deben ser utilizados para guardar archivos o compartir información.

• Se restringe a todos los niveles el acceso a sitios clasificados con el siguiente contenido: pornografía, desnudez, juegos en línea, racismo, violencia, sitios con potencial de infección (Spyware, Malware, etc.), tráfico de armas, drogas o cualquier comercio ilícito a través de Deep WEB o cualquier plataforma.

• La capacidad y posibilidad de conectarse a una dirección de Internet no implica en sí que esté autorizado para visitar ese sitio o utilizarlo usando recursos TIC de la Organización.

 

NOTA: Tecnología de la Información, podrá limitar el acceso a determinadas páginas de Internet, los horarios de conexión, los servicios ofrecidos por la red, la descarga de archivos y cualquier otro aspecto ajeno a los fines corporativos. El acceso a internet es permitido de acuerdo con las funciones de cada cargo.

 

El servicio telefónico es una herramienta de trabajo que facilita la comunicación entre los empleados y contratistas de la Organización, con los clientes, proveedores, socios comerciales, entidades de control y otros grupos de interés. Se debe garantizar que sea utilizado de manera adecuada y racional para las funciones propias del negocio, respetando los principios de confidencialidad, disponibilidad e integridad. Las llamadas a números internacionales y a celulares estarán restringidas y solo serán asignadas a aquellas personas que así lo requieran. Si recibe llamadas telefónicas que usted considera pueden ser intimidatorias, extorsivas, etc., debe informarlo a la Jefatura de Seguridad Física.

 

Todo ingreso a las instalaciones de las empresas que conforman la Organización (plantas, sedes administrativas, muelles, etc.) de equipos de cómputo que no sean propiedad de la Organización, deberán seguir el procedimiento estipulado para tal fin. Cuando se trate de contratistas, cada interventor de contrato que tenga bajo su responsabilidad servicios suministrados por terceras partes será el encargado de gestionar los ingresos de recursos TIC de los contratistas a través de la mesa de servicios tecnológicos o su área de TI Local solo si requiere tener acceso a recursos de la red corporativa. Todo equipo de contratista que se le habilite el acceso a la red corporativa debe tener un antivirus instalado.

 

Los visitantes podrán ingresar los equipos de cómputo de su propiedad, previo registro en la recepción de la compañía, sin embargo, el responsable de la visita deberá acompañar en todo momento al visitante garantizando que se cumpla esta norma de seguridad en todo momento. 

 

Los dispositivos móviles corporativos (teléfonos inteligentes, tablets, portátiles), son herramientas de trabajo que se deben utilizar únicamente para el desarrollo de sus funciones. Con el fin de minimizar los riesgos de seguridad de la información que implica el uso de estos dispositivos se debe controlar la conexión de dispositivos móviles tales como Smartphone, tablets y computadores personales de los contratistas y/o colaboradores a la red corporativa, solo deben tener acceso a la red de visitantes con sus restricciones. 

 

• En presentaciones, documentos, informes, entre otros, que utilicen los colaboradores o contratistas para las labores de su cargo, asegúrese de mencionar la fuente de donde se extrajo la información, cuando así se requiera.

• Absténgase de reproducir copias parciales o totales de libros, artículos y otros documentos, que no estén permitidos por la ley de derecho de autor.

• La información la Organización es propiedad de esta Empresa y su uso es exclusivo para la ejecución de las labores correspondientes a su cargo. No puede ser usada como fuente de información para temas comerciales, entre otros.

 

 

 

la Organización reconoce la importancia y el potencial transformador que la inteligencia artificial (IA) puede generar en la organización, asimismo, es consciente de los riesgos y desafíos inherentes a su uso. A continuación, los lineamientos y directrices que permitirán garantizar un uso seguro, responsable y ético de las herramientas de IA en la organización, velando por la confidencialidad y protección de la información relevante para la compañía.

 

Es importante establecer las bases y valores fundamentales que guiarán las decisiones y acciones relacionadas con la implementación y uso de IA en la organización. A continuación, se describen los principios que nos permiten asegurar que el uso de IA sea seguro, ético, responsable y alineado con los objetivos y valores organizacionales.

Transparencia: Comunicar claramente el uso de IA en los procesos, garantizando que todas las partes interesadas estén informadas sobre su implementación y finalidad.

Privacidad y Protección de Datos: Implementar medidas de seguridad robustas para proteger los datos organizacionales utilizados en cualquier plataforma de IA. Queda prohibido cargar información y/o documentos con información restringida o confidencial de la compañía en herramientas de IA no autorizadas o aprobadas por el área de seguridad de la información TIC y el dueño del proceso.  Asimismo, respetaremos la confidencialidad y los derechos de privacidad de las personas tomando medidas de seguridad robustas para proteger los datos personales.
 

No Discriminación: Las herramientas de IA que se desarrollen o implementen deben estar debidamente validadas para evitar o fomentar discriminaciones injustificadas basadas en raza, género, orientación sexual, religión, discapacidad u otras características que puedan vulnerar los derechos básicos de cualquier grupo de interés.

Precisión y Verificación: Establecer controles para evitar la propagación de información incorrecta o engañosa generada por IA.

Supervisión Humana: Mantener supervisión humana en los procesos clave en los que se utilice IA, asegurando que las decisiones finales sean revisadas y aprobadas por personas.

Cumplimiento Normativo: Los sistemas de IA deben cumplir con todas las leyes, regulaciones y estándares éticos aplicables en todas las jurisdicciones en las que operan, garantizando el respeto de los derechos humanos y los principios éticos fundamentales.
 

Seguridad: Los sistemas de IA deben ser seguros y confiables, protegiendo contra posibles vulnerabilidades y asegurando que los resultados sean precisos y consistentes en una variedad de situaciones.

 

Para garantizar la correcta implementación y aplicación de los principios establecidos, se describe a continuación, las directrices que guiarán el marco operativo en el que todos los miembros de la Organización podrán operar de manera consistente el uso de la IA, alineados con los valores y objetivos de la política. 
 

Capacitación Proveer el entrenamiento adecuado al personal relacionado e impactado con la IA en el uso ético y responsable de estas herramientas, enfatizando la protección de la información restringida y/o confidencial en plataformas no aprobadas por TIC. Asegurar que todos los empleados comprendan las mejores prácticas y los riesgos asociados con el uso de IA, promoviendo un uso seguro y ético.
 

Realizar evaluaciones de riesgos e impacto antes de implementar nuevas tecnologías de IA para identificar y mitigar posibles riesgos para la seguridad y la privacidad. Prevenir problemas potenciales y asegurar que las tecnologías de IA no comprometan la integridad de la empresa i la privacidad de los datos.

Derechos de Autor y Propiedad Intelectual

Respetar estrictamente los derechos de autor y de propiedad intelectual al utilizar contenido generado por IA. Proteger la propiedad intelectual y evitar infracciones legales relacionadas con el uso de tecnologías de IA.

Identificación del Uso de IA Indicar claramente cuándo se ha utilizado IA en la creación o modificación de contenido o en procesos operativos. Mantener la transparencia y permitir a los usuarios y partes interesadas saber cuándo están interactuando con contenido o decisiones generadas por IA.

Proveedores Alineados Utilizar únicamente proveedores de tecnología de IA que sean éticos y confiables, asegurando que operen de acuerdo con nuestros valores y principios. Garantizar la calidad y la integridad de las tecnologías de IA utilizadas por la empresa, alineándolas con los estándares éticos de la organización.

Supervisión del Comité de Seguridad de la Información Supervisar de parte de un comité interdisciplinario la aplicación de esta política. Proveer una supervisión continua y especializada para abordar cuestiones en el uso de IA.

 

 

A continuación, se definen los roles y responsabilidades que nos permitirán asegurar una estructura clara de gobernanza y en la que todas las partes involucradas comprendan sus deberes y los alcances de su responsabilidad.

 

Comité de Seguridad de la Información Grupo interdisciplinario encargado de revisar y aprobar los proyectos de IA, asegurando que cumplan con los controles mínimos de ciberseguridad establecidos. • Asegurar que los proyectos de IA cumplan con los principios éticos establecidos.

• Supervisar la aplicación de la política de IA.

• Asegurar que cumplan con los controles mínimos de ciberseguridad.

Responsable de IA Supervisa el desarrollo, implementación y evaluación de los sistemas de IA, garantizando su conformidad con los estándares de calidad y seguridad. • Garantizar que los sistemas de IA cumplan con los estándares de calidad y seguridad.

• Coordinar con otros departamentos para asegurar una integración adecuada de la IA.

• Monitorear y evaluar el desempeño y el impacto de los sistemas de IA.

Equipo de Desarrollo de IA Grupo de profesionales técnicos encargados de diseñar, construir y probar los sistemas de IA, siguiendo las mejores prácticas y estándares técnicos. • Seguir las mejores prácticas y estándares técnicos en el desarrollo de IA.

• Implementar medidas para garantizar la seguridad y precisión de los sistemas de IA.

• Realizar pruebas exhaustivas para identificar y mitigar posibles fallos y vulnerabilidades.

Usuarios de IA Empleados que utilizan los sistemas de IA de manera responsable y ética, cumpliendo con las políticas y procedimientos establecidos. • Utilizar los sistemas de IA de manera ética y responsable.

• Adherirse a las políticas y procedimientos establecidos para el uso de IA.

• Reportar cualquier problema o preocupación relacionada con el uso de IA a los responsables adecuados.

Auditoría Interna Departamento encargado de realizar auditorías periódicas para evaluar el cumplimiento de la política de IA y recomendar mejoras cuando sea necesario. • Identificar áreas de mejora y recomendar acciones correctivas.

 

Todos los empleados, proveedores y socios comerciales que utilicen herramientas de IA en nombre de la Organización deberán adherirse estrictamente a esta política. Cualquier incumplimiento será abordado de acuerdo con los procedimientos disciplinarios definidos en Capital Humano.