MINESA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

Transcripción

1 Invitación La protección de la información de MINESA es fundamental para el éxito y la sostenibilidad del negocio. La información es un activo que tiene un valor significativo para la organización y requiere protección contra el acceso no autorizado, modificación, divulgación o destrucción. El no asegurar adecuadamente la información aumenta el riesgo de pérdidas financieras y de reputación. MINESA tiene una obligación con los accionistas, empleados, clientes, proveedores y otros terceros con quienes MINESA sostiene una relación y debe así asegurarse de proteger y gestionar adecuadamente la información. Esta Política de Seguridad de la Información establece los requisitos para asegurar la confidencialidad, integridad y disponibilidad de la información, y establece las pautas para implementar controles y prácticas líderes para el mejoramiento del negocio. Es responsabilidad de todo el personal de MINESA proteger los sistemas de información que procesan, almacenan y trasmiten información del negocio. MINESA ha adoptado esta Política como parte de su compromiso con la integridad, la transparencia y el funcionamiento de una manera ética y compatible en todos los aspectos de sus operaciones. Firma Nombre Cargo Elaboró: Nombre Cargo Revisó: Nombre Cargo Aprobó: Nombre Cargo

2 Tabla de Contenido Objetivo... 3 Definiciones... 3 Lineamientos Generales Responsabilidades... 4 Requerimientos de la Política Aplicación de la Política Requisitos de la Política Principales Roles y Responsabilidades Gerente de Tecnología Analista de TI Propietarios de la información Usuarios de la Información Requerimientos de la Política Gobierno de la Seguridad de la Información Gestión de Riesgos de Seguridad de la Información Seguridad del Capital Humano Seguridad de terceros Concientización y comunicación sobre la seguridad de la información Administración de activos informáticos Ambiente y Seguridad Física Sistemas de Información para Desarrollo, Pruebas y Productivo Administración de Accesos Administración de los Sistemas de Información: Gestión de incidentes en los Sistemas de Información Gestión continua de los Sistemas de Información Consecuencias de la violación Reporte de violaciones Preguntas y respuestas Políticas Relacionadas Aclaraciones Página 2 de 14

3 1. Responsable de la política Dónde buscar ayuda? Objetivo Es una responsabilidad colectiva entender la información que se tiene, conocer cuándo se puede compartir, a quien, e implementar prácticas de seguridad para proteger la información a través de su vida útil. La información que se crea o custodia es uno de los activos más importantes de la Compañía, por tal motivo debe ser protegida y se deben establecer controles para mitigar los riesgos asociados con el robo, pérdida, mal uso, daño o abuso de los sistemas de información. El propósito esta Política es asegurar que MINESA administre adecuadamente la seguridad de la información, utilizando actividades con estándares mínimos relacionados. Definiciones DOA: Delegación de Autoridad. Gerente de tecnología: responsable de definir y supervisar la estrategia de tecnología de la información de MINESA para incluir los requisitos de seguridad de la información. Información: datos, documentos o registros en formato electrónico o físico, creados o almacenados por el personal de MINESA. Activo de Información: cualquier activo de información, sistema de TI o hardware utilizado por MINESA. Seguridad de la Información: proteger el acceso, uso, divulgación, alteración, modificación, inspección, grabación o destrucción de información. Programa de Seguridad de la Información: programa estructurado donde se identifican, priorizan, controlan y monitorean los riesgos asociados al uso, acceso, divulgación, alteración, modificación o destrucción no autorizado de la información. Sistemas de TI: Incluye sistemas operativos, redes, aplicaciones, programas y otros softwares. Página 3 de 14

4 Lineamientos Generales 1. Responsabilidades Esta política requiere: Entender y cumplir con los requisitos establecidos en esta Política de Seguridad de la Información, buscando mantener confidencialidad, disponibilidad e integridad en los datos. Entender y cumplir con los procedimientos que sustentan los requisitos de esta Política. Asegurar el cumplimiento de todas las leyes y reglamentos aplicables. Cumplir con el Código de Conducta de MINESA. Realizar procesos de formación relacionados con esta Política y llevar a cabo iniciativas de seguridad de la información cuando sea necesario. Contactar a la Unidad de TI si tiene una pregunta o inquietud adicional. Requerimientos de la Política 1. Aplicación de la Política La Unidad de TI es responsable de: Desarrollar e implementar políticas y procedimientos para garantizar la identificación de riesgos e implementación de controles para gestionar la adecuada seguridad de la información. Asegurar que las actividades de seguridad de la información se lleven a cabo de acuerdo con las políticas y procedimientos establecidos, y que las evaluaciones y revisiones se llevan a cabo periódicamente. Garantizar un programa de formación para generar conciencia de la importancia de la seguridad de información. Realizar un seguimiento efectivo para garantizar el cumplimiento de esta Política, implementando mejoras cuando sea necesario. Monitorear y administrar los incidentes de seguridad de información, incluyendo incidentes reales y sospechosos, proporcionando métricas de desempeño. Página 4 de 14

5 2. Requisitos de la Política 2.1. Principales Roles y Responsabilidades La adecuada definición de roles y responsabilidades, es fundamental para apoyar la protección de la información Gerente de Tecnología Es responsable de: Diseñar, implementar y gestionar la infraestructura tecnológica, las aplicaciones, la seguridad de la información, el gobierno de TI y la estrategia de TI para MINESA. Informar al CFO sobre la madurez y efectividad del Programa de Seguridad de la Información de MINESA Analista de TI La Unidad de TI es responsable de garantizar la protección y seguridad de la información almacenada en los sistemas de TI de MINESA. El Analista de TI debe: Mantener y operar la infraestructura tecnológica en la que se almacena la información. Asegurar que los requisitos de la Política se aplican a la información, cumpliendo con los requisitos de clasificación o confidencialidad definidos por el propietario de la información. Poner en práctica medidas de seguridad para proteger la confidencialidad, integridad y disponibilidad de los sistemas de TI para el adecuado almacenamiento de la información. Documentar y comunicar los procedimientos administrativos y operativos para garantizar el almacenamiento constante, el procesamiento y la transmisión de la información de acuerdo a su nivel de clasificación. Otorgar y eliminar acceso a la información según autorización realizada por el dueño de la información. Definir métodos para la adecuada eliminación de la información. Entender e informar los riesgos de seguridad de la información y su impacto en la confidencialidad, integridad y disponibilidad de los sistemas de TI de procesamiento o almacenamiento de información Propietarios de la información Es la persona que creó o recibió la información de un tercero. Debe garantizar que los usuarios de la información comprendan los requisitos de seguridad de la misma para su correcta utilización. Los propietarios de la información son responsables de la protección y gestión de la información a través de su vida útil, incluyendo: Definir y aprobar quien tiene acceso a la información de su propiedad. Página 5 de 14

6 Definir los tiempos de recuperación de su información para asegurar la continuidad del negocio. Asegurar el uso de los métodos establecidos para la creación, gestión y eliminación de información Usuarios de la Información Los usuarios de la información son aquellas personas que crean o acceden a la información para realizar sus funciones. Todos los usuarios de la información tienen un papel fundamental en el esfuerzo por proteger y mantener la seguridad de la información de MINESA, y pueden ser por ejemplo, empleados, trabajadores eventuales, contratistas, terceros, socios de negocios, consultores, clientes o proveedores autorizados para acceder, almacenar o procesar información en los sistemas de información de MINESA. Los usuarios de la información deben: Cumplir con las políticas y procedimientos relacionados a la protección de la Información. Realizar uso únicamente de la información que requiere para llevar a cabo sus responsabilidades y a la cual tiene la autorización para acceder. Reportar los privilegios de acceso inadecuadas al propietario de la información para su corrección. Participar en los programas de formación para generar conciencia de la importancia de la seguridad de la información Requerimientos de la Política El Gerente de Tecnología debe implementar los procedimientos apropiados para gestionar los requisitos de seguridad de la Información de MINESA. Los siguientes elementos deben ser incorporados en los procedimientos para asegurar la protección y seguridad de la información Gobierno de la Seguridad de la Información El marco de gobierno de seguridad de la información debe determinar cómo el personal, los ejecutivos y las terceras partes interesadas deben trabajar juntos para proteger la Información de MINESA, y realizar uso adecuado del sistema de TI para procesar y almacenar la información, asegurando la prevención de pérdida de datos y protegiendo la reputación corporativa. El Programa de Seguridad de la Información debe ser desarrollado para alinearse con la estrategia y los objetivos del negocio, garantizando que la Unidad de TI pueda implementar los controles adecuados para gestionar los riesgos relacionados Gestión de Riesgos de Seguridad de la Información Es el proceso para identificar, evaluar, monitorear y reducir los riesgos a un nivel aceptable. La Unidad de TI debe desarrollar y mantener un programa de gestión de riesgos de seguridad de información, para salvaguardar las actividades y los objetivos del negocio. Este programa debe evaluar continuamente los riesgos, definiendo medidas de protección adecuadas, realizando una Página 6 de 14

7 debida priorización, implementando acciones para reducir el riesgo, realizando seguimiento e informando a la alta dirección en caso de que sea requerido Seguridad del Capital Humano Es importante asegurarse que todo el personal de MINESA sea consciente de las prácticas utilizadas para proteger la información y de la forma como deben ser utilizados los sistemas de TI. Para el nuevo personal se debe realizar un entrenamiento inicial sobre seguridad de la información y actualizaciones periódicas para sensibilizar y promover el entendimiento de las responsabilidades referentes a la información, equipos y sistemas de TI que les corresponden. Los directores de áreas son los encargados de solicitar a la Unidad de TI los accesos necesarios para que los empleados desempeñen sus funciones. Antes de autorizar el acceso, se debe asegurar que el empleado ha sido examinado por las autoridades competentes, de conformidad con las políticas y procedimientos vigentes la Unidad de Recursos Humanos. En caso de que el empleado cambie sus funciones se deben volver a evaluar los accesos requeridos. Cuando un empleado se retire de la Compañía, la Unidad de Recursos Humanos debe garantizar que el acceso sea revocado y la información de MINESA en manos del empleado, re -asignada o eliminada Seguridad de terceros MINESA trabaja con socios, clientes, proveedores, consultores, entre otros, y debe asegurarse de realizar conciencia de las prácticas utilizadas para proteger la información y garantizar el adecuado uso de los sistemas de TI. Esta comunicación es responsabilidad de la persona encargada de la relación con el cliente. Cuando el tercero es un proveedor que está involucrado en el diseño, desarrollo u operación de procesamiento o almacenamiento de los sistemas de información de TI, o tiene acceso al sistema de información de TI de MINESA, desde lugares remotos donde los servicios informáticos y de red no pueden estar bajo control de la Unidad de TI, se debe: Llevar a cabo el proceso de debida diligencia de seguridad para incluir una evaluación de riesgos de la tercera parte. Identificar e implementar los controles recomendados para garantizar el acceso a la información y a los sistemas permitidos. Ejecutar un contrato formal que contenga los requisitos necesarios de seguridad de la información por parte del tercero. Todos los acuerdos o contratos con terceras partes, para utilizar los equipos y sistemas de TI de MINESA, deben ser revisados por la Unidad de TI Concientización y comunicación sobre la seguridad de la información La Unidad de TI es responsable de garantizar una apropiada seguridad de la información y para ello debe concientizar a la Compañía sobre su importancia, incluyendo temas como: Página 7 de 14

8 Protección de la información. Amenazas comunes de seguridad de información. Políticas y procedimientos de seguridad de la información Administración de activos informáticos MINESA debe identificar y mantener un inventario de los activos informáticos para apoyar la toma de decisiones estratégicas y la gestión del ciclo de vida de la infraestructura de TI. Los activos de información incluyen todos los elementos de software y hardware que se encuentran en el entorno del negocio. Es responsabilidad de la Unidad de TI mantener el registro de los activos y los procedimientos actualizados para la adecuada identificación y gestión de los activos informáticos. La información debe ser clasificada de forma adecuada para identificar el nivel de confidencialidad y para gestionar los requisitos de protección requeridos de acuerdo a su clasificación. Los propietarios de la información deben proporcionar orientación sobre las clasificaciones que se utilizará para la información bajo su control Ambiente y Seguridad Física Para administrar la seguridad de la información de MINESA es necesario asegurar que todos los edificios, redes, sistemas y equipos de TI que sean de uso de MINESA, estén protegidos físicamente de: Acceso no autorizado. Amenazas de seguridad. Los riesgos derivados de las amenazas y riesgos ambientales, por ejemplo, incendios, inundaciones, interrupciones de suministro de energía, otras fallas de servicios públicos, problemas de humedad, rayos o fallas técnicas. Sabotaje y robo. Intercepción, daño de los cables o sistemas de telecomunicaciones. La Unidad de TI, junto con el encargado de control de acceso al edificio debe garantizar la adecuada protección para asegurar la infraestructura tecnológica Sistemas de Información para Desarrollo, Pruebas y Productivo Es responsabilidad de la Unidad de TI asegurar que todas las consideraciones para la seguridad de la información se integren en los sistemas de TI, redes o equipos en todas las etapas del ciclo de vida de la información. Esto incluye: La incorporación de criterios de seguridad en cualquier aplicación nueva, desarrollo de software, configuración o mejora del sistema de TI, e incluso en los documentos de licitación con los proveedores para asegurar que los productos cumplen las especificaciones de seguridad requeridos. Página 8 de 14

9 Asegurar que los controles de seguridad sean diseñados, implementados y monitoreados para alcanzar los requisitos de seguridad de la información adecuados para satisfacer las necesidades del negocio. Definir los controles de seguridad para proteger contra la pérdida de información, errores, corrupción de datos, ingreso de datos no válidos o software no autorizado. Adoptar procedimientos formales de gestión de cambios. Evaluar accesos de terceros a la información, para asegurar que no se presenten vulnerabilidades en el entorno de TI. Realizar evaluaciones periódicas de seguridad. Realizar los desarrollos en el ambiente de pruebas y realizar el transporte a productivo cuando se esté seguro de su correcto funcionamiento y cuente con las aprobaciones requeridas. El uso de la computación en la nube se debe estudiar para cada caso particular. Para utilizar este servicio para almacenar, procesar o compartir datos, se debe: Contar con la aprobación de la Unidad de TI. Certificar que la seguridad, privacidad y el resto de requisitos de gestión de TI serán abordados adecuadamente por el proveedor de computación en la nube. Revisar la seguridad, confiabilidad y reputación del servicio en la nube. Contar con la aprobación de los respectivos dueños de la información antes de pasar los datos al servicio en la nube. Cumplir con todas las leyes vigentes, la seguridad de TI, las políticas de gestión de riesgos, las leyes de privacidad y las normas locales. Garantizar que se incluya en el acuerdo del servicio de computación en la nube, las responsabilidades referentes al mantenimiento y requisitos de privacidad necesarios. Asegurar tener claridad sobre la ubicación de los servicios en la nube, incluyendo medidas para recuperación de desastres. Cumplir con la Política de Uso Adecuado de TI de MINESA. Asegurar que los servicios en la nube personales no se pueden usar para el almacenamiento, la manipulación o el intercambio de comunicaciones relacionadas con MINESA o de datos de propiedad de la Compañía Administración de Accesos Es responsabilidad de la Unidad de TI garantizar que los procedimientos sean apropiados según las necesidades del negocio, para el control, administración y seguimiento de los accesos y usos de la información. Estos controles deben proteger el acceso, creación, modificación o destrucción de la información sin autorización. La Unidad de TI, con la aprobación del dueño de información, es el responsable de conceder y revocar el acceso a las personas que lo requieran. Los accesos deben ser revisados regularmente y se debe asegurar la adecuada segregación de funciones. Página 9 de 14

10 Administración de los Sistemas de Información: La Unidad de TI debe establecer procedimientos, procesos y tecnologías para asegurar la adecuada administración de los sistemas de TI y el almacenamiento de la información, para satisfacer las necesidades del negocio. Estos deben estar diseñados para minimizar el riesgo de la administración y operación de sistemas de información de MINESA. Se deben desarrollar y monitorear los sistemas y las redes para apoyar las necesidades del negocio, evitando la violación de las políticas o procedimientos de seguridad. La Unidad de TI debe: Establecer un proceso de gestión de cambios adecuado. Realizar cualquier desarrollo o prueba en un entorno diferente al de producción. Realizar acuerdos a nivel de servicio con partes externas que apoyan los sistemas de información. Definir y documentar los criterios para la aceptación de nuevos o mejores sistemas de TI y el procedimiento de prueba antes de introducirlos en el entorno de TI actual. Asegurar que existan procesos de back-up y recuperación de datos apropiados y que sean probados con regularidad. Implementar y documentar los controles de seguridad para la red y las prácticas de gestión de seguridad para mitigar los riesgos identificados. Gestionar el uso de dispositivos de almacenamiento extraíbles de acuerdo con la Política de Uso Adecuado de TI. Asegurar que los dispositivos de almacenamiento extraíble se gestionen con los controles adecuados para la sensibilidad de los datos contenidos en el dispositivo. Captura, mantener, supervisar y revisar la información de actividad del usuario incluyendo excepciones y eventos de seguridad en un centro de registro de auditoría seguro. Asegurar que el uso de la información crítica de los sistemas de TI sea monitoreada y los resultados de las actividades de seguimiento sean revisadas con la administración de TI Gestión de incidentes en los Sistemas de Información Para gestionar eficazmente la seguridad de la información es importante adoptar un proceso que permita que las personas informen cuando se presente un incidente relacionado con seguridad de la información. Estos incidentes de seguridad pueden incluir pérdida, robo o transferencia de información a personal no autorizado, en cualquier sistema informático, red u otro equipo de la Compañía. La Unidad de TI debe implementar y gestionar un proceso de gestión de incidentes que permita: Ayuda a los usuarios de la Información sobre como reconocer los incidentes y cómo informarlos para su gestión. Recopilar y analizar datos de los incidentes presentados, para identificar las tendencias que ayuden a mejorar y fortalecer la infraestructura de seguridad de la información. Página 10 de 14

11 Identificar y administrar los incidentes de seguridad de manera oportuna y eficaz, para gestionarlos si es requerido con la Unidad Legal Gestión continua de los Sistemas de Información La Unidad de TI debe minimizar la interrupción de los servicios informáticos para proteger los procesos críticos del negocio, buscando la reducción de los efectos de pérdida, fallas o interrupciones en los Sistema de TI, donde se almacena la información de MINESA. Esto se aplica a los sistemas de TI gestionados por MINESA o a terceras partes que administran información para MINESA. La información crítica para el negocio, que se encuentre en los Sistemas de TI, debe seguir siendo accesible para su uso en todas las circunstancias. Para permitir esto, la Unidad TI debe: Realizar una evaluación adecuada del riesgo para identificar los eventos de seguridad de información que pueden interrumpir los procesos de negocio. Identificar con los líderes del negocio, los servicios críticos y la prioridad para la reanudación de las operaciones del negocio luego de una interrupción. Desarrollar un plan para la gestión de la continuidad de los sistemas de TI, incluyendo mecanismos y tiempo de recuperación. Probar el plan de gestión de la continuidad de los sistemas de TI para asegurar la precisión y eficacia. 3. Consecuencias de la violación Al trabajar para MINESA usted acepta nuestro compromiso de hacer lo correcto y seguir el Código de Conducta de MINESA. Quien no respete este compromiso, pone en riesgo a sus colegas, a MINESA y a ellos mismos, y en última instancia, puede ser sujeto a una acción disciplinaria. 4. Reporte de violaciones Consulte cualquier pregunta o inquietud a la Unidad de Tecnologías de la Información, la Unidad Jurídica o el Representante Legal. Página 11 de 14

12 Preguntas y respuestas 1. Pregunta: Un ex empleado llamó y me pidió que le enviara una copia de un informe en el que trabajó cuando estaba en la Compañía. Al revisarlo parece confidencial. Debido a que trabajó en él y es consciente de lo que es, puedo enviárselo? Respuesta: No. Primero debe discutirlo con el Abogado. Puede haber una razón legítima para que él lo necesite, pero debe haber un adecuado acuerdo para cubrir el uso por alguien fuera de MINESA. El informe pertenece a la empresa y no al individuo y debe ser manejado adecuadamente. 2. Pregunta: Se llevará a cabo un gran evento en nuestras instalaciones la próxima semana, con cerca de cincuenta invitados de otras empresas de la región. Debo realizar procedimientos de seguridad para todos los visitantes? Respuesta: Sí. Somos responsables de conocer quienes están en nuestras instalaciones en todo momento. Esto es tanto por razones de seguridad como de vigilancia. Se debe controlar a dónde van los invitados en todo momento para que no tengan acceso a las zonas no autorizadas o a la información sensible. Si deben ir más allá de la sala de juntas, se debe asegurar que las demás oficinas estén al tanto de que hay visitantes en la zona. 3. Pregunta: Soy un gerente y uno de mis empleados ha presentado su carta de renuncia. Qué debo hacer para preparar la salida del empleado? Respuesta: Es necesario conocer y seguir el proceso de desvinculación de los empleados, por lo que se debe poner en contacto con el departamento de Recursos Humanos. Adicionalmente se requiere gestionar los sistemas de información que pertenecen al empleado, realizando una adecuada entrega de los equipos informáticos, dispositivos móviles y todos los datos e información digital o física en su poder. Es responsabilidad del gerente, garantizar la seguridad de la información que tenía el empleado y asegurar que los derechos de acceso sean adecuadamente revocados o transferidos. La Unidad de TI puede ayudarle a gestionar los requisitos de información en la salida. 4. Pregunta: Uno de mis compañeros de trabajo me llamó durante su viaje de negocios a China y piensa que alguien puede haber accedido a su computador portátil sin autorización. Qué debería hacer al respecto? Respuesta: Este incidente debe ser reportado inmediatamente a la Unidad de TI, donde Página 12 de 14

13 se darán las instrucciones para manejar la situación durante la ausencia de la oficina, y se darán instrucciones sobre qué hacer antes de conectar de nuevo al computador a cualquier sistema o red. 5. Pregunta: Acabo de enviar un enlace a una página de Internet que muestra un documento confidencial de un proyecto de MINESA. Sé que esto no debería estar allí, hay algo que pueda hacer al respecto? Respuesta: Usted debe informar inmediatamente a la Unidad de TI, copiando el enlace. La protección de la información confidencial de MINESA es un factor crítico para el éxito de nuestro negocio, nos tomamos muy seriamente estas infracciones y trabajaremos con los terceros apropiadas para remediar estos incidentes. 6. Pregunta: Estaré viajando en la próxima semana a un viaje de negocios y necesito acceder a mi presentación de PowerPoint mientras estoy fuera. Puedo llevar mi portátil conmigo? Respuesta: Sí, siempre que cuente con aprobación de la Unidad de TI, ya que existe un riesgo de que el computador sea extraviado o robado. La Unidad de TI debe informar si existen restricciones para la entrada de dispositivos electrónicos al país destino para realizar los trámites requeridos. 7. Pregunta: He perdido el portátil y el teléfono móvil de la Compañía. Cómo lo reporto? Respuesta: La pérdida, robo o daño de su equipo de TI, se considera un incidente de seguridad ya que esto podría conducir a la pérdida de datos si una persona no autorizada tiene acceso a esta información. En caso de pérdida, robo o daño usted debe inmediatamente (o tan pronto como sea posible) informar del incidente de seguridad a la Unidad de TI. Página 13 de 14

14 Políticas Relacionadas Código de Conducta de MINESA Política de Abastecimiento Política de Uso Adecuado de TI Delegación de Autoridad Política de línea ética Aclaraciones 1. Responsable de la política El Gerente de TI es responsable del establecimiento, mantenimiento y gestión de la presente Política de Uso Adecuado de TI, con la supervisión y dirección del comité ejecutivo apropiado. Debe reflejar los desarrollos normativos, las prácticas líderes y las necesidades del negocio. 2. Dónde buscar ayuda? Consulte cualquier pregunta o inquietud a la Unidad de Tecnologías de la Información, la Unidad Jurídica o el Representante Legal. CONTROL DE REVISIÓN Y EDICIÓN VERSIÓN FECHA DE APROBACIÓN DESCRIPCIÓN DE CAMBIOS REALIZADOS 1 XX/XX/2015 Creación del documento Página 14 de 14