Embedded Files
AIONIS S.A.S.
NIT: 901.882.982-1
Dirección: Calle 173 No. 18 - 60, Bogotá D.C., Colombia
Correo: info@aionis.net
Representante Legal: Lizeth Lorena Godoy Correa
Representante Legal: 320 6324759
CONTROL DE VERSIONES
Versión: 1.2
Fecha de aprobación: 27 de enero de 2026
Fecha de entrada en vigor: 28 de enero de 2026
Próxima revisión programada: 28 de enero de 2027
RESPONSABLE DE LA POLÍTICA
Nombre: Lizeth Lorena Godoy Correa
Cargo: Representante Legal y Oficial de Seguridad de la Información
Correo: info@aionis.net
Teléfono: 320 6324759
APROBACIÓN
Lizeth Lorena Godoy Correa
Representante Legal – AIONIS S.A.S.
Fecha: 27 de enero de 2026
Firma: Lizeth Lorena Godoy Correa
1. Introducción
1. Introducción
AIONIS S.A.S. establece la presente Política de Seguridad de la Información en alineación con el requisito 5.2 (Política) de la Norma ISO/IEC 27001:2022 y con la Guía No. 2 del MinTIC (“Elaboración de la política general de seguridad y privacidad de la información”), con el fin de proteger la información y reducir los riesgos que puedan afectar la operación, la confianza de clientes y el cumplimiento normativo y contractual.
2. Objetivo
2. Objetivo
Definir lineamientos y compromisos para proteger la información, garantizando la confidencialidad, integridad, disponibilidad y privacidad, y estableciendo el marco para objetivos de seguridad y mejora continua.
3. Alcance
3. Alcance
Esta política aplica a:
- Empleados, contratistas, proveedores y terceros que accedan o traten información de AIONIS S.A.S.;
- Información en formato físico y digital;
- Infraestructura tecnológica, redes, sistemas, dispositivos, servicios en la nube y comunicaciones.
3.1 Alcance del Sistema de Gestión de Seguridad de la Información (SGSI)
El Sistema de Gestión de Seguridad de la Información (SGSI) de AIONIS S.A.S. abarca:
Procesos misionales incluidos:
- Desarrollo de software y soluciones tecnológicas para el sector educativo.
- Implementación y configuración de plataformas tecnológicas educativas
- Soporte técnico y mantenimiento de soluciones implementadas
- Gestión de operaciones tecnológicas y servicios cloud
Activos de información críticos:
- Bases de datos de estudiantes, resultados académicos y evaluaciones
- Código fuente, desarrollos propios y propiedad intelectual
- Información contractual y comercial de clientes institucionales
- Datos de empleados, proveedores y colaboradores
- Documentación técnica y procedimientos operativos
Infraestructura tecnológica:
- Servidores físicos y virtuales (on-premise y cloud)
- Servicios de computación en la nube (AWS, Azure, Google Cloud, según aplique)
- Bases de datos y sistemas de almacenamiento
- Estaciones de trabajo, dispositivos móviles y equipos de comunicación
- Redes, conexiones VPN y sistemas de comunicación
- Sistemas de respaldo y recuperación
Ubicaciones físicas:
- Oficina principal: Calle 173 No. 18-60, Bogotá D.C., Colombia
- Operaciones remotas de personal autorizado
- Centros de datos de proveedores de servicios cloud contratados
Personal incluido:
- Empleados directos de AIONIS S.A.S.
- Contratistas y colaboradores externos
- Proveedores con acceso a información sensible
- Personal temporal o en período de prueba
Límites del SGSI:
Se excluyen del alcance del SGSI:
- Procesos administrativos generales que no involucran información sensible o crítica para las operaciones
- Información pública disponible en sitios web corporativos
- Sistemas y servicios de terceros sobre los cuales AIONIS S.A.S. no tiene control ni responsabilidad directa
4. Principios
4. Principios
AIONIS S.A.S. adopta:
Confidencialidad: acceso solo por personal autorizado.
Integridad: información exacta, completa y protegida contra alteración no autorizada.
Disponibilidad: accesible cuando se requiera para la operación.
Privacidad: tratamiento de datos personales conforme Ley 1581/2012 y Decreto 1074/2015.
Legalidad y cumplimiento: observancia de requisitos legales, contractuales y regulatorios aplicables.
Gestión del riesgo: decisiones basadas en identificación y tratamiento de riesgos.
5. Compromiso de la Alta Dirección (ISO 27001:2022 – 5.2)
5. Compromiso de la Alta Dirección (ISO 27001:2022 – 5.2)
La Alta Dirección se compromete a:
Mantener esta política apropiada al propósito y contexto de AIONIS S.A.S.
Proveer un marco para establecer objetivos de seguridad de la información.
Cumplir requisitos legales, contractuales y regulatorios aplicables.
Promover la mejora continua del sistema de seguridad de la información.
Garantizar que la política sea comunicada, entendida y aplicada, y esté disponible para partes interesadas cuando corresponda.
5.1 Designación del Líder de Seguridad de la Información
5.1 Designación del Líder de Seguridad de la Información
AIONIS S.A.S. designa formalmente como Líder de Seguridad de la Información a:
Nombre: Lizeth Lorena Godoy Correa
Cargo: Representante Legal y Oficial de Seguridad de la Información
Correo electrónico: info@aionis.net
Teléfono: 320 6324759
Dirección: Calle 173 No. 18 - 60, Bogotá D.C., Colombia
Responsabilidades del Líder de Seguridad:
1. Supervisar la implementación y mantenimiento del Sistema de Gestión de Seguridad de la Información (SGSI)
2. Coordinar la respuesta ante incidentes de seguridad de la información
3. Reportar periódicamente a la Alta Dirección sobre el estado de la seguridad de la información y los riesgos identificados
4. Aprobar cambios en políticas, procedimientos y controles de seguridad
5. Gestionar relaciones con clientes, proveedores y terceros en materia de seguridad de la información
6. Promover la cultura de seguridad en toda la organización
7. Asegurar el cumplimiento de requisitos legales, contractuales y regulatorios relacionados con seguridad de la información
8. Supervisar auditorías internas y externas de seguridad
9. Gestionar el proceso de mejora continua del SGSI
5.2 Gestión de Riesgos de Seguridad de la Información
5.2 Gestión de Riesgos de Seguridad de la Información
AIONIS S.A.S. adopta un enfoque basado en riesgos para la seguridad de la información, alineado con los principios de la Norma ISO/IEC 27001:2022 y la Guía para la Administración del Riesgo y Diseño de Controles del Ministerio de Tecnologías de la Información y las Comunicaciones (MinTIC).
5.2.1 Principios de la gestión de riesgos
La gestión de riesgos de seguridad de la información en AIONIS S.A.S. se fundamenta en los siguientes principios:
a) Evaluación sistemática: Identificación y análisis metódico de riesgos que puedan afectar la confidencialidad, integridad y disponibilidad de la información.
b) Tratamiento basado en decisiones informadas: Selección de opciones de tratamiento de riesgos basada en análisis de probabilidad, impacto y costo-beneficio.
c) Monitoreo continuo: Seguimiento permanente de riesgos identificados, controles implementados y nuevas amenazas emergentes.
5.2.2 Referencia a la Guía MinTIC para Administración del Riesgo
El proceso de gestión de riesgos de AIONIS S.A.S. se fundamenta en la "Guía para la Administración del Riesgo y Diseño de Controles en Entidades Públicas" del MinTIC, adaptada al contexto específico de la organización como empresa privada del sector tecnológico educativo.
5.2.3 Criterios para aceptación, mitigación, transferencia o evitación de riesgos
AIONIS S.A.S. aplica los siguientes criterios de decisión para el tratamiento de riesgos de seguridad de la información:
ACEPTAR el riesgo:
Aplicable a: Riesgos de impacto BAJO y probabilidad BAJA
Decisión: Aceptar el riesgo residual sin implementar controles adicionales
Acción: Monitorear periódicamente sin inversión adicional en controles
MITIGAR el riesgo:
Aplicable a: Riesgos de impacto MEDIO o probabilidad MEDIA/ALTA
Decisión: Reducir la probabilidad de ocurrencia o el impacto mediante controles
Acción: Implementar controles técnicos, administrativos o físicos para reducir el riesgo a niveles aceptables
TRANSFERIR el riesgo:
Aplicable a: Riesgos de impacto ALTO que pueden ser asegurados o compartidos con terceros
Decisión: Compartir el riesgo con otra entidad (aseguradora, proveedor)
Acción: Contratar pólizas de seguro cibernético, establecer cláusulas contractuales de responsabilidad compartida, externalizar servicios con garantías
EVITAR el riesgo:
Aplicable a: Riesgos de impacto CRÍTICO y probabilidad ALTA que exceden el apetito de riesgo de la organización
Decisión: Eliminar el riesgo por completo
Acción: No realizar la actividad, discontinuar el proceso o cambiar fundamentalmente el modelo operativo
5.2.4 Proceso de gestión de riesgos
AIONIS S.A.S. sigue un proceso estructurado de gestión de riesgos que comprende las siguientes etapas:
1. Identificación de activos de información: Inventario y clasificación de activos críticos para la operación
2. Identificación de amenazas y vulnerabilidades: Análisis de amenazas internas y externas, y vulnerabilidades de los activos
3. Evaluación de probabilidad e impacto: Determinación de la probabilidad de materialización y el impacto potencial de cada riesgo
4. Determinación del nivel de riesgo: Cálculo del nivel de riesgo utilizando matriz de riesgo (5x5: Muy Bajo, Bajo, Medio, Alto, Crítico)
5. Selección de tratamiento: Decisión de aceptar, mitigar, transferir o evitar cada riesgo conforme a los criterios establecidos
6. Implementación de controles: Despliegue de controles seleccionados para mitigar riesgos
7. Monitoreo y revisión: Seguimiento periódico (semestral) de riesgos, efectividad de controles y aparición de nuevos riesgos
El resultado del proceso de gestión de riesgos se documenta en el Registro de Riesgos y el Plan de Tratamiento de Riesgos, que son revisados y actualizados semestralmente o ante cambios significativos en el entorno operativo o tecnológico.
6. Controles de Seguridad de la Información
6. Controles de Seguridad de la Información
AIONIS S.A.S. implementa controles de seguridad organizados en tres categorías principales, seleccionados en función de los riesgos identificados y alineados con el Anexo A de la Norma ISO/IEC 27001:2022.
6.1 Controles Administrativos
Controles relacionados con políticas, procedimientos, estructura organizacional y gestión de personas:
Políticas y procedimientos documentados: Políticas de seguridad, privacidad, uso aceptable, clasificación de información, entre otras
Clasificación de información: Esquema de clasificación (Pública, Interna, Confidencial, Restringida) con controles diferenciados según nivel
Gestión de proveedores y terceros:** Evaluación de seguridad, acuerdos de confidencialidad, cláusulas contractuales de protección de datos
Programas de capacitación y concienciación: Formación periódica obligatoria en seguridad de la información y protección de datos personales
Acuerdos de confidencialidad y no divulgación: Suscritos por empleados, contratistas y terceros con acceso a información sensible
Gestión de recursos humanos: Verificación de antecedentes en contratación, definición de roles y responsabilidades, procesos de desvinculación segura
Gestión documental: Procedimientos para creación, almacenamiento, circulación y destrucción segura de documentos
6.2 Controles Técnicos
Controles implementados mediante tecnología para proteger sistemas, redes y datos:
Gestión de accesos lógicos: Principio de mínimo privilegio, procesos de alta/baja de usuarios, revisiones periódicas de privilegios
Autenticación reforzada (MFA): Autenticación multifactor para acceso a sistemas críticos y acceso remoto
Cifrado en tránsito: Protocolos TLS/SSL para comunicaciones, VPN para acceso remoto
Cifrado en reposo: Cifrado de información sensible almacenada en bases de datos, discos y dispositivos móviles (cuando aplique según clasificación)
Gestión de vulnerabilidades: Procesos de identificación, evaluación, priorización y remediación de vulnerabilidades técnicas
Gestión de parches y actualizaciones: Actualización periódica de sistemas operativos, aplicaciones y firmware
Copias de seguridad (backups): Respaldos automatizados con periodicidad definida según criticidad, almacenamiento en ubicación separada, pruebas de restauración periódicas
Registro y monitoreo (logging): Registro de eventos de seguridad relevantes, monitoreo en tiempo real, alertamiento de eventos críticos
Protección contra malware: Antivirus/antimalware en endpoints, actualización automática de firmas, análisis programados
Seguridad de configuración: Hardening de servidores, desactivación de servicios innecesarios, configuraciones seguras por defecto
Seguridad perimetral: Firewalls, sistemas de detección/prevención de intrusiones (IDS/IPS), segmentación de red
6.3 Controles Físicos
Controles para proteger instalaciones, equipos y medios físicos:
Control de acceso físico a instalaciones: Restricción de acceso a áreas con información o equipos críticos, registro de visitantes
Protección de equipos y dispositivos: Ubicación segura de servidores y equipos críticos, protección contra condiciones ambientales adversas
Gestión segura de medios de almacenamiento: Procedimientos para manejo, transporte y eliminación segura de medios físicos (discos, USB, documentos)
Disposición segura de equipos y documentos: Destrucción certificada de discos duros, trituración de documentos confidenciales antes de descarte
Protección de cableado y comunicaciones: Seguridad física del cableado de red y telecomunicaciones
Continuidad de servicios: Sistemas de alimentación ininterrumpida (UPS), generadores de respaldo (según criticidad de las operaciones)
Los controles específicos aplicables a cada sistema, proceso o activo de información se determinan mediante el proceso de gestión de riesgos y se documentan en el Plan de Tratamiento de Riesgos y en procedimientos operativos específicos.
7. Clasificación y manejo de la información
7. Clasificación y manejo de la información
La información será clasificada y manejada según su criticidad (por ejemplo: Pública, Interna, Confidencial, Restringida). Cada nivel definirá controles mínimos de acceso, almacenamiento, transmisión y retención.
8. Gestión de incidentes
8. Gestión de incidentes
AIONIS S.A.S. mantendrá un proceso para:
detección, registro, contención, análisis, recuperación y aprendizaje.
reporte interno por canales definidos.
Como guía operativa:
incidentes críticos se escalarán de forma prioritaria,
se documentarán acciones y evidencias,
se aplicarán acciones correctivas y preventivas.
Cuando el incidente involucre datos personales tratados por cuenta de un Responsable (AIONIS como Encargado), AIONIS informará al Responsable sin dilación indebida conforme a los acuerdos aplicables.
8-A. Roles y Responsabilidades en Seguridad de la Información
8-A. Roles y Responsabilidades en Seguridad de la Información
La seguridad de la información es responsabilidad de todos los miembros de AIONIS S.A.S. Esta sección define roles y responsabilidades específicas para garantizar el cumplimiento de esta política.
8-A.1 Alta Dirección (Representante Legal)
Responsabilidades:
- Aprobar la Política de Seguridad de la Información y sus actualizaciones
- Asignar recursos suficientes para implementación y mantenimiento del SGSI
- Revisar indicadores de seguridad y desempeño del SGSI trimestralmente
- Tomar decisiones sobre riesgos críticos que excedan la autoridad del Líder de Seguridad
- Rendir cuentas ante clientes, socios y autoridades sobre seguridad de la información
- Promover la cultura de seguridad en toda la organización
8-A.2 Oficial de Seguridad de la Información
8-A.2 Oficial de Seguridad de la Información
Responsabilidades:
Coordinar la implementación, operación y mantenimiento del SGSI
Gestionar el proceso de evaluación y tratamiento de riesgos
Coordinar la respuesta ante incidentes de seguridad de la información
Reportar periódicamente a la Alta Dirección sobre estado de la seguridad
Supervisar el cumplimiento de políticas y procedimientos de seguridad
Gestionar auditorías internas y externas de seguridad
Mantener relaciones con clientes, proveedores y autoridades en temas de seguridad
Aprobar cambios en controles de seguridad y procedimientos operativos
Liderar programas de capacitación y concienciación en seguridad
La Representante Legal podrá asumir simultáneamente las funciones de Oficial de Privacidad y Oficial de Seguridad de la Información, o designar a personas distintas para cada rol mediante designación interna formal.
8-A.3 Empleados y Colaboradores
8-A.3 Empleados y Colaboradores
Responsabilidades:
Cumplir con las políticas, procedimientos y controles de seguridad establecidos
Reportar de manera inmediata cualquier incidente de seguridad o sospecha del mismo
Proteger sus credenciales de acceso y no compartirlas con terceros
Participar activamente en programas de capacitación en seguridad de la información
Firmar acuerdos de confidencialidad y cumplir con sus obligaciones
Utilizar los activos de información de la organización únicamente para fines laborales autorizados
Clasificar adecuadamente la información que crean o manejan
Reportar pérdida, robo o compromiso de dispositivos o información
8-A.4 Proveedores y Terceros
8-A.4 Proveedores y Terceros
Responsabilidades:
Cumplir con los requisitos de seguridad establecidos en contratos y acuerdos
Reportar inmediatamente incidentes de seguridad que afecten o puedan afectar a AIONIS S.A.S.
Permitir auditorías de seguridad cuando se requiera contractualmente
Mantener la confidencialidad de la información de AIONIS S.A.S. a la que tengan acceso
Implementar controles de seguridad acordados contractualmente
Notificar cambios en sus prácticas de seguridad que puedan afectar a AIONIS S.A.S.
8-A.5 Responsabilidades Específicas en Gestión de Incidentes
8-A.5 Responsabilidades Específicas en Gestión de Incidentes
Para garantizar una respuesta rápida y efectiva ante incidentes de seguridad, se establecen las siguientes responsabilidades y tiempos de respuesta:
Detección y reporte inicial: Cualquier persona (empleado, contratista, proveedor)
Plazo: Inmediato (en cuanto se detecte o sospeche)
Canal: info@aionis.net o Líder de Seguridad directamente
Contención inicial: Líder de Seguridad de la Información
Plazo: Máximo 2 horas desde la notificación
Acción: Aislar sistemas afectados, prevenir propagación
Análisis y evaluación: Líder de Seguridad + equipo técnico
Plazo: Máximo 24 horas desde detección
Acción: Determinar causa raíz, alcance del incidente, datos/sistemas afectados
Notificación a clientes afectados: Alta Dirección
Plazo: Sin dilación indebida, conforme a obligaciones contractuales y legales
Acción: Comunicación formal del incidente y medidas adoptadas
Recuperación y normalización: Equipo técnico coordinado por Líder de Seguridad
Plazo: Según plan de continuidad y criticidad del sistema
Acción: Restaurar operaciones normales con controles reforzados
Lecciones aprendidas: Líder de Seguridad (con participación de involucrados)
Plazo: Máximo 7 días posteriores a la resolución del incidente
Acción: Documentar causas, respuesta, mejoras requeridas; actualizar controles y procedimientos
9. Continuidad del negocio
AIONIS S.A.S. definirá medidas para continuidad y recuperación ante eventos que afecten disponibilidad e integridad de los servicios, incluyendo:
respaldos,
planes de contingencia,
pruebas periódicas según criticidad.
10. Capacitación y concienciación
10. Capacitación y concienciación
AIONIS S.A.S. promoverá programas periódicos de concienciación y capacitación para fortalecer prácticas seguras en el manejo de información y ciberseguridad.
10.1 Mecanismos de Evaluación de Efectividad de Capacitaciones
10.1 Mecanismos de Evaluación de Efectividad de Capacitaciones
Para garantizar que los programas de capacitación y concienciación logran su objetivo de fortalecer la cultura de seguridad, AIONIS S.A.S. implementa los siguientes mecanismos de evaluación:
a) Evaluaciones de conocimiento (pre y post capacitación)
- Aplicación de pruebas antes y después de cada capacitación
- Comparación de resultados para medir incremento en conocimiento
- Meta organizacional: Mínimo 80% de aprobación en evaluaciones post-capacitación
b) Simulacros de phishing y ingeniería social
- Envío periódico de correos simulados de phishing
- Medición de tasa de clics en enlaces maliciosos y reporte de correos sospechosos
- Meta organizacional: Menos del 10% de tasa de clics en enlaces maliciosos
c) Métricas de incidentes causados por error humano
- Seguimiento de incidentes de seguridad atribuibles a errores de usuarios
- Análisis de tendencias y áreas de mejora en capacitación
- Meta organizacional: Reducción anual del 20% en incidentes por error humano
d) Encuestas de percepción de cultura de seguridad
- Aplicación trimestral o semestral de encuestas anónimas
- Medición de percepción, comprensión y valoración de la seguridad de la información
- Meta organizacional: Mínimo 75% de percepción positiva sobre cultura de seguridad
Los resultados de estas evaluaciones son consolidados y reportados trimestralmente al Líder de Seguridad de la Información y a la Alta Dirección, y se utilizan para ajustar y mejorar los programas de capacitación.
11. Cumplimiento, auditoría y revisión
11. Cumplimiento, auditoría y revisión
11.1 Periodicidad de Revisión de esta Política
11.1 Periodicidad de Revisión de esta Política
Esta Política de Seguridad de la Información será revisada según la siguiente programación:
a) Revisión anual programada:
- Frecuencia: Una vez al año
- Período: Mes de enero de cada año
- Responsable: Líder de Seguridad de la Información
- Próxima revisión programada: Enero de 2027
b) Revisión ante cambios significativos:
La política será revisada extraordinariamente cuando ocurran:
- Cambios en requisitos legales, normativos o regulatorios aplicables a la organización
- Incidentes de seguridad mayores que evidencien necesidad de ajustes en la política
- Cambios significativos en la infraestructura tecnológica o modelo operativo
- Cambios en el modelo de negocio, servicios ofrecidos o mercados atendidos
- Nuevos riesgos identificados que no estén adecuadamente cubiertos por la política actual
- Resultados de auditorías que recomienden actualizaciones
c) Revisión post-auditoría:
- Plazo: Dentro de los 30 días posteriores a la finalización de auditorías internas o externas de seguridad
- Responsable: Líder de Seguridad, con aprobación de Alta Dirección
11.2 Auditoría Interna y Mejora Continua
AIONIS S.A.S. implementa un programa de auditoría interna y mejora continua del SGSI que incluye:
Auditorías internas de cumplimiento:
- Frecuencia: Semestrales
- Alcance: Verificación de cumplimiento de políticas, procedimientos y controles
- Responsable: Líder de Seguridad o auditor interno/externo designado
Revisiones de efectividad de controles:
- Frecuencia: Trimestrales
- Alcance: Evaluación de la efectividad operativa de controles de seguridad implementados
- Método: Pruebas de controles, revisión de logs, análisis de indicadores
Pruebas técnicas de seguridad:
- Frecuencia: Anuales (mínimo)
- Alcance: Análisis de vulnerabilidades, pruebas de penetración, revisión de configuraciones
- Ejecutor: Equipo interno o proveedor especializado externo
Simulacros de respuesta a incidentes:
- Frecuencia: Semestrales
- Alcance: Pruebas de efectividad del plan de respuesta a incidentes y recuperación ante desastres
- Participantes: Personal clave en gestión de incidentes
Acciones de mejora:
Los hallazgos de auditorías y revisiones serán:
- Registrados formalmente en el Registro de Hallazgos y Acciones de Mejora
- Priorizados según su criticidad y riesgo asociado
- Ejecutados conforme a plan de acción con responsables y fechas límite definidas
- Monitoreados hasta su cierre efectivo
11.3 Cumplimiento Legal y Contractual
AIONIS S.A.S. mantiene un proceso de monitoreo continuo de:
- Cambios en legislación aplicable (protección de datos, ciberseguridad, propiedad intelectual)
- Requisitos contractuales de clientes relacionados con seguridad de la información
- Estándares y mejores prácticas de la industria (ISO 27001, guías MinTIC, NIST, etc.)
El Líder de Seguridad es responsable de identificar cambios relevantes y proponer ajustes a políticas, procedimientos y controles para mantener el cumplimiento.
12. Publicación y disponibilidad
12. Publicación y disponibilidad
Esta política se comunica a las partes interesadas internas y estará disponible para consulta de terceros cuando sea requerido en el marco contractual o legal.
13. Vigencia
13. Vigencia
La presente política rige a partir de la fecha de su publicación y permanecerá vigente hasta que sea modificada. Publicada en sitio web de AIONIS S.A.S
Versión: 1.2
Fecha de aprobación: 27 de enero de 2026
Fecha de entrada en vigor: 28 de enero de 2026
Próxima revisión: 28 de enero de 2027
Lizeth Lorena Godoy Correa
Representante Legal y Oficial de Seguridad de la Información
AIONIS S.A.S.
Fecha: 27 de enero de 2026
Firma: Lizeth Lorena Godoy Correa
Page updated
Report abuse