Políticas SIG
nuestra entidad procesos
Política del SIG
La política del SIG, ha sido formulada por el Comité del Sistema Integrado de Gestión, liderado por la Directora General, considerando la integración de los modelos, el marco estratégico institucional y las necesidades de fortalecimiento interno. Esta se presenta a continuación:
“La UGPP comprometida con el mejoramiento continuo ha establecido su Sistema Integrado de Gestión, el cual armoniza la estrategia, los procesos y la cultura organizacional, para generar servicios que responden con confianza a los requerimientos de los ciudadanos y demás partes interesadas. Por consiguiente la UGPP establece:
Todas las actividades que se realizan en la UGPP deben:
- Estar alineadas con el marco estratégico y objetivos de los procesos, con una orientación permanente al logro de resultados esperados.
- Ser realizadas con la mayor confiabilidad y en el tiempo requerido, cumpliendo los compromisos con nuestro cliente interno, con los ciudadanos y con la ley.
- Ser realizadas por personas idóneas y comprometidas, cuya labor y resultados puedan ser reconocidos, contribuyendo al desarrollo de un buen ambiente de trabajo.
Todos los funcionarios y contratistas deben:
- Actuar siempre en el marco de los principios de transparencia, respeto, honestidad y lealtad y demostrando los valores de orientación al ciudadano, orientación al resultado, confiabilidad, objetividad, simplicidad y trabajo en equipo.
- Cumplir con los lineamientos, políticas y estándares establecidos por la organización para la ejecución de los procesos.
- Contar con información permanente que le permita monitorear y analizar el desempeño de su actividad o proceso y tomar o proponer acciones oportunas y acertadas requeridas para corregir desviaciones o generar mejoras.
- Identificar oportunidades de mejora a partir de ideas innovadoras buscando siempre soluciones prácticas, efectivas y oportunas que generen impacto positivo a la organización y al ciudadano.
- Identificar, controlar y gestionar los riesgos y garantizar la ejecución de procesos eficientes, efectivos, eficaces y blindados contra la corrupción.
- Demostrar compromiso, colaboración, garantizando la interacción, coordinación y comunicación entre áreas y procesos con el propósito de cumplir con las metas y objetivos establecidos.
- Hacer un uso racional de los recursos, contribuyendo a prevenir la contaminación y a minimizar los impactos significativos en el medio ambiente”
Política del SGR
Política general para la administación de riesgos
La Unidad declara su compromiso de prevención y control de riesgos emergentes, estratégicos, operativos, de corrupción y seguridad de la información, basando la toma de decisiones para la planeación estratégica institucional y el ciclo de mejora y ejecución de los procesos, en la identificación, análisis, evaluación, tratamiento, seguimiento y comunicación de dichos riesgos.
Para ello cuenta con la participación activa de sus colaboradores en la adecuada ejecución de las líneas de defensa en procesos, gestión de riesgos y auditoría, y se fomenta una cultura de la gestión integral del riesgo en todos los niveles de la Unidad lo cual incluye a los proveedores que soporten procesos en la Unidad.
Políticas específicas
Política gobierno de riesgos
- El Equipo Directivo asume el compromiso de establecer una adecuada estructura organizacional en la Unidad que soporte el sistema de gestión integral de riesgos y validar los avances en el aseguramiento y nivel de madurez del mismo.
- El Equipo Directivo define el nivel de apetito al riesgo como “Bajo” y de cero tolerancia a los riesgos de corrupción, lineamiento con el cual se regirán todos los procesos, los cuales deberán garantizar un adecuado tratamiento de los riesgos residuales que se encuentren en niveles no admisibles.
- El Equipo Directivo establece que todos los funcionarios de la UGPP hacen parte esencial en la gestión de los riesgos corporativos y que la responsabilidad puntual por la administración, tratamiento, indicadores y materializaciones de riesgos, recae sobre los Directores Técnicos (dueños de proceso, en línea con el Equipo de Gestión de Riesgos y el apoyo de los Gestores de Riesgo).
- La gestión de riesgos está asegurada por tres líneas de defensa avaladas por la Dirección General de la Unidad y las cuales están conformadas así:
- Primera Línea de Defensa: Directores Técnicos de las áreas, Subdirectores técnicos de las áreas, Coordinadores, líderes y ejecutores del proceso que ejercen autocontrol.
- Segunda Línea de Defensa: Equipo de Gestión de Riesgos (Grupo Interno de Trabajo) y la Oficina de Seguridad de la información adscritos a la Dirección de Seguimiento y Mejoramiento de Procesos.
- Tercera Línea de Defensa: Oficina de Control Interno
- El Equipo Temático de Gestión de Riesgos y Calidad del Comité Institucional de Gestión y Desempeño y el Equipo de Gestión de Riesgos de la Dirección de Seguimiento y Mejoramiento de Procesos asumen en conjunto la responsabilidad delegada por el Equipo Directivo para la evaluación y seguimiento de la evolución de la gestión integral del riesgo en cuanto al nivel de apetito y tolerancia, efectividad de los controles, acciones de tratamiento y toma de decisiones basadas en los niveles de alerta de los KRIs. Estos a su vez deberán informar periódicamente al Consejo Directivo sobre el estado y evolución de la gestión de riesgos para obtener direccionamiento y lineamientos para la toma de medidas preventivas y correctivas de ser estas necesarias.
Política cultura de riesgos
- La Dirección General genera las directrices y dispone de los recursos necesarios para el impulso, fortalecimiento y mantenimiento de la cultura de gestión de riesgos al interior de todos los procesos de la Unidad, dando los lineamientos para establecer las herramientas que deben ser implementadas para la identificación, análisis, evaluación, tratamiento, monitoreo y comunicación de los diferentes tipos de riesgos a los que está expuesta.
- El Equipo de Gestión de Riesgos impulsa la gestión unificada de los diferentes tipos de riesgos a nivel de toda la Unidad y promueve las directrices, herramientas y metodologías para la articulación de los diferentes elementos de administración de riesgos en la cultura corporativa propendiendo por el aseguramiento y control de los procesos.
- En concordancia con el fortalecimiento de la cultura de riesgos todos los funcionarios de la Unidad podrán ser evaluados periódicamente según el grado de cumplimiento de los elementos de gestión de riesgos en los procesos, por medio de indicadores vinculados directamente a los compromisos individuales. En este sentido, en los “Acuerdos de Gestión” que se fijen con el Equipo Directivo y en los “Compromisos Laborales y Comportamentales” que se definan con los demás funcionarios, se pueden establecer compromisos medibles y alcanzables relacionados con la gestión de riesgos.
Política de cumplimiento de normatividad interna y externa relacionadas con la administración de riesgos
- La Dirección General y el Equipo Temático de Gestión de Riesgos y Calidad establecen las políticas, normas, lineamientos y directrices para la adecuada administración de los riesgos, para el aseguramiento de los procesos y la consecución de los objetivos estratégicos y de procesos tomando como referencia los diferentes marcos y estándares normativos que enmarcan a los sistemas de administración de riesgos entre estos: Estatuto anticorrupción ley 1474 de 2011, COSO ERM, Modelo Estándar de Planeación y Gestión, MECI y Código de Ética de la UGPP.
- Lo dictaminado en materia de riesgos es de obligatorio cumplimiento por parte de todos los funcionarios, contratistas y proveedores de la UGPP; su incumplimiento acarreará sanciones disciplinarias para los primeros de acuerdo a lo definido por Control Disciplinario y terminación de contrato o pago de indemnizaciones para los segundos.
Política de continuidad y contingencia de negocio
Para La Unidad es prioritario mantener un plan de continuidad y contingencia actualizado y probado donde estén consignados los protocolos y medidas preventivas y correctivas para el tratamiento y respuesta frente a los riesgos y amenazas a partir de vulnerabilidades internas y externas que puedan generar interrupciones parciales o totales que afecten la continuidad de los procesos críticos y de atención al ciudadano.
Será de obligatorio cumplimiento por parte de los funcionarios, contratistas y proveedores que trabajan en las instalaciones de la Unidad los lineamientos expuestos en este plan, así como la participación en los simulacros de continuidad cuando sean requeridos.
Política anticorrupción
La UGPP es una entidad totalmente alineada con el Gobierno Nacional frente a la lucha contra la corrupción. Por tanto, sus servidores públicos, contratistas y proveedores debemos ser personas íntegras en nuestro actuar y proceder, honestas y transparentes, nuestra posición debe ser abiertamente en contra de cualquier conducta irregular, y nuestra actitud, la de denunciar ante las autoridades correspondientes cuando se evidencie alguna de ellas.
Política de seguridad de la información
Ver la política corporativa de Seguridad de la Información.
Política de conflicto de interés
Los funcionarios de la UGPP deberán declararse impedidos para actuar en un asunto cuando se tenga interés particular y directo en su regulación, gestión, control o decisión, o lo tuviere su cónyuge, compañero o compañera permanente, o algunos de sus parientes dentro del cuarto grado de consanguinidad, segundo de afinidad o primero civil.
Igualmente deberá declararse impedido cuando el interés general, propio de la función pública, entre en conflicto con su interés particular y directo.
La política de conflicto de interés se encuentra alineada con nuestro Código de Ética, el cual contiene las directrices comportamentales aplicables a todos los funcionarios de la entidad.
Política del SI
Política general
1. La UGPP tiene definido un proceso de gestión de Seguridad de la Información, en el que se encuentran plasmadas las actividades para definir, implementar, operar y mejorar de forma continua el Sistema de Gestión de Seguridad de la Información, garantizando que éste se soporta en lineamientos claros, alineados a las necesidades del negocio y a los requerimientos regulatorios que le aplican a su naturaleza.
2. La UGPP define las responsabilidades frente a la seguridad de la información a través del Manual de Gestión de Seguridad de la Información; dichas responsabilidades son socializadas y publicadas al interior de la entidad.
3. La UGPP demuestra su responsabilidad frente a la gestión de datos personales de los titulares, mediante la adopción de políticas, procesos y subprocesos tendientes al cumplimiento de la normatividad legal vigente respecto a la protección de los datos personales.
4. La UGPP define una metodología para proteger la información generada, procesada o resguardada por los procesos y los activos de información que hacen parte de los mismos.
5. La UGPP propende por la protección de la información sensible creada, procesada, transmitida o resguardada por sus procesos de negocio, con el fin de minimizar impactos financieros, operativos o legales debido al incorrecto uso de la misma. Para ello establece controles sobre el tratamiento de la información de su propiedad o en su custodia.
6. La UGPP protege su información de las amenazas originadas por agentes internos y externos, identificándolas de acuerdo a la metodología definida en el documento AP-SUB-014 Caracterización Subproceso Gestión de Riesgos de Seguridad de la Información.
7. La UGPP protege las instalaciones de procesamiento y la infraestructura tecnológica que soporta sus procesos críticos.
8. La UGPP controla la operación de sus procesos de negocio garantizando la seguridad en todos los recursos que soporten y administren la operación.
9. La UGPP implementa mecanismos de control de acceso a la información, sistemas y recursos de red.
10. La UGPP propende porque la seguridad sea parte integral del ciclo de vida de los sistemas de información.
11. La UGPP buscar preservar, a través de una adecuada gestión de los eventos de seguridad y las debilidades asociadas con los sistemas de información, una mejora efectiva de su modelo de seguridad.
12. La UGPP busca preservar la disponibilidad de sus procesos de negocio y la continuidad de su operación con base en el impacto que pueden generar los eventos de seguridad de la información.
13. La UGPP busca preservar el cumplimiento de las obligaciones legales, regulatorias y contractuales establecidas.
Las anteriores directrices se encuentran soportadas en políticas específicas, que detallan los lineamientos a tener en cuenta para su pleno cumplimiento. Estas políticas específicas han sido formalizadas y se encuentran divulgadas en el site del SIG y se listan a continuación:
- AP-PIT-001 Política Específica de Gestión de Acceso Lógico
- AP-PIT-002 Política Específica de Seguridad en el Desarrollo y/o Adquisición de Sistemas de información
- AP-PIT-003 Política Específica de Gestión de Eventos e Incidentes de Seguridad de la Información
- AP-PIT-004 Política Específica de Escritorios y Pantallas Limpias
- AP-PIT-005 Política Específica de Seguridad de la Información para proveedores, contratistas y terceros
- AP-PIT-006 Política Específica para el uso aceptable y seguro de activos de información
- AP-PIT-007 Política Específica para la gestión de logs de seguridad de la información
- AP-PIT-008 Política Específica de Seguridad para el tratamiento y protección de información clasificada
- AP-PIT-009 Política Específica para la implementación y uso de controles criptográficos
- AP-PIT-010 Política Específica para el tratamiento de datos personales