Establece el compromiso de Aerovías del Continente Americano SA. Avianca, Avianca Ecuador S.A., Avianca Costa Rica S.A., Aviateca S.A., Regional Express Américas S.A.S. y Taca International Airlines S.A., con la gestión de la seguridad de la información, a través de:

• La implementación de estándares internacionales, requisitos legales y de la organización, y controles de seguridad de la información que permiten gestionar los riesgos que puedan afectar la confidencialidad, integridad, disponibilidad y privacidad de la información, y el cumplimiento de los objetivos de seguridad de la información.
• Promover en los colaboradores (directos o subcontratados) y terceros vinculados (proveedores o contratistas) la cultura y mejora continua de la seguridad de la información.

A continuación, se detallan los objetivos del Sistema de Gestión de Seguridad de la Información:

• Protección de la información: Fortalecer la protección de la información de la compañía considerando los riesgos, seguridad, cumplimiento y continuidad sobre los procesos y tecnología.
• Gestión de identidades y accesos: Optimizar los tiempos de gestión de los accesos a los sistemas críticos.
• Continuidad del negocio: Fortalecer el programa de continuidad del negocio y el plan de recuperación de desastres en la compañía.
• Gestión de vulnerabilidades: Asegurar el cumplimiento de la política de vulnerabilidades para asegurar los sistemas de la organización.

1. Objetivo y alcance

1.1  Objetivo

Esta política tiene como objetivo establecer los lineamientos de seguridad de la información y ciberseguridad requeridos para la protección de la información de Investment Vehicle 1 Limited (“la Compañía”) y de cualquiera de sus subsidiarias (la “Organización”), frente a situaciones que puedan afectar la Confidencialidad, Integridad y Disponibilidad (como se definen a continuación) de la información de la Organización y que puedan causar impacto financiero, legal, competitivo y/o reputacional en la Organización.

1.2  Alcance

El alcance incluye toda la información y recursos de valor (Tecnologías de información y de las comunicaciones -TICs-, Instalaciones, y Tecnologías operacionales -OTs-) asociados o que pertenezcan a la Organización o que sean gestionados por Terceros (proveedores y contratistas), independiente del formato, medio, en todas sus formas (digital, manuscrita, hablada, impresa), presentación y/o lugar en el que esta se encuentre ubicada, incluido el ciberespacio.

2. Responsabilidades

La Dirección de Riesgos y Cumplimiento de la Información, es el área responsable de formular la Política, divulgarla, revisarla mínimo una vez al año y de mantenerla actualizada; monitorear que se cumpla, en concordancia con la misión y visión de la Organización, y el cumplimiento de las regulaciones aplicables a la Organización, reportando al Comité de Auditoría de la Compañía (el “Comité de Auditoría”) los asuntos relevantes sobre Seguridad de la Información y Ciberseguridad.

En el gobierno de Seguridad de la Información y Ciberseguridad participan distintas instancias en todas las compañías descritas en el alcance, las cuales tiene las siguientes responsabilidades: 

2.1.  Aprobación de política

El Comité de Auditoría es el responsable de ratificar la presente política y sus actualizaciones, hacer seguimiento al perfil de riesgos de la información, promover la cultura de seguridad de la Información y Ciberseguridad, fomentar el cumplimiento de sus lineamientos, asignar los recursos para el cumplimiento, así como hacer seguimiento general al cumplimiento de la presente Política.

La Dirección de Riesgos y Cumplimiento de la Información tiene autoridad para gestionar la revisión de la Política y su presentación al Comité de Auditoría para su ratificación.

2.2. Funciones de la Dirección de Riesgos y Cumplimiento de la Información

• Definir el alcance del programa de Seguridad de la Información y Ciberseguridad para proteger la confidencialidad, integridad y disponibilidad de la información de la compañía, asegurando el cumplimiento normativo e implementando buenas prácticas y metodologías de reconocido valor técnico aplicables a la industria.
• Propender por la gestión efectiva de los riesgos cibernéticos y de seguridad de la Información, a través de la identificación, análisis, evaluación y tratamiento de estos.
• Definir procesos para la actualización permanente de las novedades de los marcos normativos relacionados con la Seguridad de la Información y Ciberseguridad.
• Soportar en la atención y respuesta a incidentes de seguridad de la información y ciberseguridad identificados por los colaboradores, terceros vinculados y derivado del monitoreo hecho a través de las plataformas de gestión de seguridad de la información que afecten los procesos, recursos tecnológicos y sistemas de la Organización.
• Definir un programa de gestión de la recuperación tecnológica con el fin de garantizar la disponibilidad y continuidad de las funciones de negocio críticas, ante eventuales interrupciones.
• Con el apoyo de la Dirección Jurídica, hacer seguimiento al nivel de cumplimiento de las leyes y normatividad aplicable sobre la Seguridad de la Información y Ciberseguridad.
• Monitorear que se cumpla el programa de Seguridad de la Información y Ciberseguridad, en concordancia con la misión y visión de la Organización, y el cumplimiento de las regulaciones aplicables a cada una de sus compañías.
• A través de la Dirección Jurídica, establecer y mantener contactos con las autoridades, grupos especiales o de interés pertinentes a la seguridad de la información de seguridad y ciberseguridad.
• Soportar a la Organización en las acciones para la implementación de medidas o controles para el cumplimiento de la presente política.

2.3. La Organización, sus funcionarios, directores, empleados (directos o subcontratados) y terceros vinculados (proveedores y contratistas) que tengan acceso a la información de la organización, ya sea de manera habitual u ocasional, en el desarrollo de sus funciones, son responsables de:

• El conocimiento y cumplimiento de la Política.
• La implementación de la Política junto con cualquier manual, procedimiento o instructivo establecidos para la aplicación de esta.
• Asumir la gestión del riesgo del manejo de la información de la Organización y la implementación de las acciones pertinentes para su mitigación.
• Considerar los requisitos de Seguridad de la Información y Ciberseguridad en sus procesos, iniciativas, proyectos y contrataciones.
• Identificar y reportar a la Dirección de Riesgos y Cumplimiento de la Información los eventos potenciales o incidentes que amenacen o puedan poner en riesgo el cumplimiento de las políticas y/o procedimientos de seguridad de la información.
• Hacer seguimiento al nivel de cumplimiento de las leyes y normatividad aplicable sobre la Seguridad de la información y Ciberseguridad.
• Usar los recursos de información de la organización, de forma responsable y únicamente para propósitos autorizados.
• Identificar y alertar a la Dirección de Riesgos y Cumplimiento de la Información las ciber amenazas y ciber riesgos actuales y emergentes que puedan afectar a la organización.
• Cumplir con las prácticas de la Organización para el uso de información de autenticación secreta (contraseñas, código de accesos, MFA) y asignación de mínimos privilegios para el acceso a la información en sus diferentes medios.
• Los líderes de los procesos deben garantizar que estos cumplan con el principio de segregación de funciones, con el fin de minimizar el riesgo de concentrar las responsabilidades críticas en una sola persona.

3. Aspectos generales y específicos de la política.

3.1. La Organización reconoce que la información es un insumo indispensable para la ejecución de los procesos, la toma de decisiones en el desarrollo de los objetivos del negocio y para el diseño y definición de los productos y servicios que constituyen el factor diferenciador de lo que somos frente a nuestros clientes, colaboradores y asociados. Reconoce también la importancia de prevenir los riesgos de seguridad de la información y ciberseguridad durante todo su ciclo de vida; tal protección está enmarcada por 3 propiedades:

• Confidencialidad: La información no debe ponerse a disposición o ser revelada a individuos, entidades o en procesos no autorizados.
• Integridad: Se debe preservar la exactitud, confiabilidad y completitud de la información.
• Disponibilidad: La información debe ser accesible y utilizable cuando sea solicitada por un individuo, área o proceso autorizado y en el momento que se requiera.
  
  

3.2. Se debe identificar la información y los recursos de valor asociados a la información que la Organización utilice para el desarrollo de sus objetivos de negocio; la información y demás recursos asociados deben tener asignado un responsable, quien debe tomar las decisiones que son pertinentes para su protección, de acuerdo con los requerimientos internos y regulaciones aplicables a cada compañía.

3.3. Toda la información, independientemente del medio en el que se encuentre o ubicación de donde se acceda, debe estar clasificada para establecer su sensibilidad (el nivel de reserva que se debe mantener sobre su contenido) y su criticidad (el nivel de disponibilidad requerido para que no se interrumpan las operaciones del negocio). Es responsabilidad de todos los miembros de la Organización conocer la clasificación de la información que utilizan para el desarrollo de sus actividades; y de los responsables de los procesos de definir los controles para proteger la información de acuerdo con la clasificación que maneje cada Compañía que hace parte de la Organización.

3.4. La Organización identifica como información confidencial o privilegiada, la siguiente información, entre otras, dado que la definición de información confidencial debe hacerse caso por caso:  

• Acciones en la bolsa de valores, información estratégica y financiera, información sobre alianzas estratégicas, reportes sobre proyecciones, resultados y/o revelaciones financieras.
• Información relativa a clientes, colaboradores, accionistas, terceros vinculados, contratistas, proveedores, viajeros, usuarios, inversionistas.
• Información privilegiada por acontecimientos importantes y confidenciales de la empresa.
• Información no pública material. Estos son algunos ejemplos, Información de fusión, proyectos estratégicos, enajenación, cambio en política de dividendos, información de socios comerciales, información sobre accionistas, entre otros.
• Información de negocios que la Organización está obligada a proteger, patentes, invenciones, acuerdos comerciales, contratos, código fuente de desarrollo de software u otra que tenga el potencial para proporcionar ventaja competitiva.
• Las prácticas para optimizar los ingresos, precios, tarifas netas.
• Información de la operación y sus procesos asociados.
• Informes de seguridad, riesgos, cumplimiento, auditoría interna y externa, incidentes operacionales, incidentes de seguridad de la información y ciberseguridad, investigaciones y asuntos legales relacionados con cualquiera de los anteriores.
• Informes de o para organismos reguladores que incluya información confidencial.
• Claves o contraseñas.
• Información sujeta a leyes de protección de datos personales (incluye dato de tarjetas de pago) en las distintas jurisdicciones en las que la Organización está ubicada o desarrolla su actividad.  

La información mencionada anteriormente, y cualquier otra que por su clasificación sea considerada como información confidencial o privilegiada no podrá ser utilizada en beneficio personal de ningún administrador, colaborador o tercero que tenga acceso a la misma, ni para fines distintos de los inicialmente previstos para dicha información.

3.5. Es deber de todos los responsables de los procesos, líderes de proyectos o iniciativas y administradores de contratos, asegurar que los riesgos de la información sean identificados, analizados, evaluados, tratados y monitoreados, de acuerdo con los procedimientos de la Dirección de Riesgos y Cumplimiento de la Información, asegurando que los correspondientes riesgos se mantengan dentro de los niveles de riesgo aceptable por la Organización conforme a lo estipulado en el Manual de gestión de riesgos de la información (MA_AVSG04_054).

3.6. Los recursos de información como:  equipos, aplicaciones de negocio, servicios de Internet, Intranet, herramientas colaborativas (correo electrónico, chat, almacenamiento en la nube), entre otros; son provistos a todos los empleados de la Organización para uso exclusivo de la Organización. El acceso y uso de estos, debe ser autorizado por el responsable de cada uno de los recursos y de acuerdo con las responsabilidades de su función.

3.7. La Organización debe garantizar que sus empleados, cualquier funcionario, gerente o cualquier persona apliquen medidas de seguridad de la información tales como, y sin limitarse a: verificaciones e investigaciones sobre referencias personales, laborales, experiencia laboral, pruebas complementarias, estudio de seguridad, examen de aptitud y conocimientos, de tal manera que apoyen las políticas de seguridad y en cumplimiento de las regulaciones locales.

3.8. Todos los empleados y terceros vinculados se entienden obligados al manejo de la confidencialidad de la información de la Organización independiente que tengan o no firmado un acuerdo de confidencialidad en el momento en que ingresan a la Organización; y son responsables de la reserva de la información inclusive después de finalizada su relación con la Organización.

3.9. La Organización deberá contar con un programa de cultura permanente en Seguridad de la Información y ciberseguridad que permita mantener a todo su personal informado acerca de las políticas, las responsabilidades de seguridad de la información y las continuas amenazas que ponen en riesgo la información que administra y/o procesa.

3.10. Los responsables de los contratos y de la contratación, deben garantizar que las responsabilidades de seguridad de la información de los terceros que tengan acceso procesen, almacenen o distribuyan información de valor para la Organización, se encuentren documentadas en los contratos u otros acuerdos de prestación de servicios y deben supervisar su cumplimiento durante toda la vigencia de la relación contractual.

3.11. Es deber de toda La Organización y terceros vinculados reportar cualquier sospecha, condición anormal o violación a las políticas, responsabilidades y procedimientos de Seguridad de la Información y Ciberseguridad que atenten contra la Confidencialidad, Integridad y Disponibilidad de la información de La Organización de manera inmediata a través de los canales establecidos por la Organización.

En el caso de que las situaciones descritas anteriormente, afecten o tengan la posibilidad de afectar  o tener algún impacto económico, material, de reputación, legal u operacional para la Organización, deberán ser reportados inmediatamente a la Dirección de Riesgos y Cumplimiento de la Información a través de los canales establecidos por esta.

La Dirección de Riesgos y Cumplimiento de la Información deberá evaluar los reportes de incidentes y determinar si los mismos cumplen con el criterio de materialidad, caso en el cual deberá informar a la Dirección de Relaciones con el Inversionista para que dé cumplimiento a la Política de Revelación de Información Relevante Financiera y No Financiera para los Accionistas, Mercado, Grupos de Interés y Terceros Interesados. 

3.12. La Organización tiene la responsabilidad de implementar medidas técnicas para la protección de la información que se almacena, procesa o transmite; de acuerdo con su clasificación y considerando, pero sin limitarse a:

• Gestión de Riesgos de la Información.
• Identificación y clasificación de activos de información.
• Controles para el almacenamiento y transferencia segura de datos.
• Protección contra amenazas, como software malicioso y/o posibles ataques informáticos.
• Control de acceso a la información, las aplicaciones, infraestructura y redes.
• Gestión de seguridad en dispositivos móviles/portátiles propios o personales al servicio de la Organización.
• Uso adecuado de los recursos asignados por la organización (internet, computadores).
• Seguridad en redes y telecomunicaciones.
• Seguridad en la adquisición, desarrollo y mantenimiento de recursos tecnológicos (incluyendo sistemas y ambientes de procesamiento).
• Gestión de medios de almacenamiento removible.
• Seguridad en el personal interno y terceros.
• Gestión de vulnerabilidades técnicas.
• Seguridad en la nube.
• Gestión de logs, eventos e incidentes de seguridad.
• Seguridad física y ambiental en centros de procesamiento de datos.
• Controles para la instalación de software.
• Respaldo de información y recuperación de las plataformas tecnológicas en caso de desastres.

 3.13. La Dirección de Riesgos y Cumplimiento de la Información, podrá realizar actividades de monitoreo en cualquier compañía de la Organización, de manera exclusiva, para determinar el nivel de cumplimiento de los lineamientos establecidos en esta política.

Regulación legal vigente aplicable a la política.

3.14. La Organización, su Junta Directiva y su grupo ejecutivo deben comprometerse con el cumplimiento de los requisitos de seguridad de la información establecidos en sus políticas internas de seguridad, así como los solicitados por las leyes y regulaciones aplicables, tales como y sin limitarse a: SOX (Sarbanes-Oxley Act), PCI DSS (Payment Card Industry Data Security Standards), leyes internacionales de protección de datos personales, regulaciones del sector aeronáutico, acuerdos de industria o contractuales, licenciamiento, propiedad intelectual y demás referentes a la Seguridad de la Información y Ciberseguridad.

3.15. En caso de incumplimiento a la Política y/o procedimientos de seguridad establecidos o subsecuentes, la Organización adelantará las acciones legales, administrativas y/o disciplinarias que sean procedentes; de acuerdo con lo previsto en el Reglamento interno de cada una de sus compañías y/o las leyes y regulaciones de seguridad de la información, ciberseguridad y protección de datos personales internacionales y/o locales aplicables. 

Fecha de efectividad de la política.

3.16. Esta política entra en vigor a partir del momento de su publicación y se entiende vigente de manera indefinida a menos que se modifique para actualizarla de acuerdo con los cambios en el entorno organizacional, las circunstancias del negocio y/o las condiciones legales. En lo que respecta a terceros, la política entrará a regir cuando se obtengan las autorizaciones correspondientes (firmas de contratos).

3.17. En caso de conflicto entre los protocolos de la Junta Directiva, el acuerdo de los Inversionistas y la presente Política, el orden de precedencia de los documentos será el siguiente, (i) el acuerdo de los inversionistas, (ii) los protocolos de la Junta Directiva, (iii) la presente Política.