3.1. La responsabilidad por la seguridad de la información no es únicamente de la coordinación de sistemas, es un deber de cada funcionario.

​

3.2. Los mecanismos de acceso que les sean otorgados a los funcionarios (clave de red y correo) son responsabilidad exclusiva de cada uno de ellos y no deben ser divulgados a ninguna persona.

​

3.3. Los usuarios son responsables de todas las actividades llevadas a cabo con su código de identificación de usuario y sus claves personales.

​

3.4. Los usuarios deben informar inmediatamente al área de sistemas toda vulnerabilidad física y lógica encontrada en los sistemas, aparición de virus, programas sospechosos e intentos de intromisión o el mal funcionamiento del equipo y no deben distribuir este tipo de información interna o externamente.

​

3.5. Los usuarios no deben instalar software en sus computadores sin la debida autorización de la coordinación de sistemas.

​

3.6. Los usuarios no deben intentar sobrepasar los controles de los sistemas, examinar los computadores y redes de la organización en busca de archivos de otros sin su autorización.

​

3.7. No deben introducir intencionalmente software diseñado para causar daño o impedir el normal funcionamiento de los sistemas, en caso que esto ocurra la alta gerencia tomará las medidas necesarias y correspondientes de acuerdo a lo establecido entre los contratos laborales y legislación existente.

​

3.8. Los funcionarios no deben suministrar  información de la organización a ningún ente externo sin las autorizaciones respectivas esto incluye los controles del sistema de información y su respectiva implementación.

​

3.9.  Los funcionarios no deben destruir, copiar o distribuir los archivos de la organización sin los permisos respectivos.

​

3.10. Todo funcionario que utilice los recursos de los Sistemas, tiene la responsabilidad de velar por la integridad, confidencialidad, disponibilidad y confiabilidad de la información que maneje, toda la información deberá ser tomada como critica lo cual implica la NO divulgación a entes externos.

​

3.11. Los computadores, sistemas y otros equipos deben usarse solamente para las actividades propias de la organización, por lo tanto los usuarios no deben usar sus equipos para asuntos personales a menos que exista una autorización respectiva que evalúe el riesgo informático de tal labor.

​

3.12. Todos los datos de propiedad de la organización se deben clasificar dentro de las siguientes categorías para los datos sensibles: SECRETO, CONFIDENCIAL, PRIVADO, y para los datos no sensibles la categoría es PÚBLICO.

​

3.13. Cualquier tipo de información interna de la organización no debe ser vendida, transferida o intercambiada con terceros para ningún propósito diferente al del negocio y se debe cumplir con los procedimientos de autorización internos para los casos en que se requiera, en caso tal que ocurra lo anteriormente mencionado acarreará las respectivas sanciones de acuerdo al contrato laboral y a leyes de protección de datos vigentes según la legislación colombiana.

​

3.14. Todos los errores cometidos por los empleados de la organización y que son detectados, deben cumplir con un proceso de investigación de acuerdo con los procedimientos y tiempos establecido de acuerdo al contrato y reglamento interno.

​

3.15. Los equipos de cómputo de la organización no deben ser alterados ni mejorados (cambios de procesador, adición de memoria o tarjetas) sin el consentimiento, evaluación técnica y autorización del coordinador de sistemas.

​

3.16.  Los empleados deben reportar al coordinador de sistemas, sobre daños o pérdida del equipo que tengan a su cuidado y sea propiedad de la organización.

​

3.17.  Al terminar la jornada laboral, los escritorios y áreas de trabajo deben quedar desprovistos de documentos sensibles que puedan comprometer los intereses de la organización. Estos deben quedar bajo llave en archivadores, cajas fuertes o demás medios de almacenamiento físico seguros.