POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN EN CORPAC S.A.

Transcripción

1

2

3 CORPORACIÓN PERUANA DE AEROPUERTOS Y AVIACIÓN COMERCIAL SA POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN EN Elaborado y Visado Comité de Gestión de Seguridad de la Información Revisado Gerencia de Tecnología de la Información Revisado Área de Organización y Métodos Aprobado Gerencia General

4 Pág 3 de 11 Í N D I C E Pág PRESENTACIÓN 04 I OBJETIVO 05 II FINALIDAD 05 III ALCANCE 05 IV VIGENCIA 05 V BASE LEGAL Y/O ADMINISTRATIVA 05 VI DEFINICIÓN DE TÉRMINOS 05 VII ROLES Y RESPONSABILIDADES 06 VIII DISPOSICIONES GENERALES 07 IX POLÍTICAS Y LINEAMIENTOS 08 X SANCIONES PREVISTAS POR INCUMPLIMIENTO 10 XI DISPOSICIONES FINALES 11

5 Pág 4 de 11 PRESENTACIÓN Las Políticas de Seguridad de la Información en, es un documento institucional que integra los lineamientos que establecen el marco referencia sobre el cual se sustentan las normas y procedimientos, que son, en este caso, el canal formal de actuación del personal en relación con los recursos y servicios de la información, enunciando lo que deseamos proteger y el porqué Cada política de seguridad de la información es un lineamiento de la organización a cada uno de sus miembros internos y externos, para reconocer a la información como uno de sus principales activos, así como un motor de intercambio y desarrollo en el ámbito de sus funciones Tal lineamiento debe concluir en una posición consiente y vigilante del personal respecto al uso y limitaciones de los recursos y servicios de información de la organización Las políticas de seguridad de la información que forman parte integrante del presente documento por sí solas no constituyen garantía para la seguridad de la información, sino que dependen principalmente de todo el personal tanto interno como externo garantizar por su cumplimiento El presente documento ha sido elaborado por el Comité de Gestión de Seguridad de la Información en coordinación con el Área de Organización y Métodos diseñado sobre la base de las recomendaciones y lineamientos de SANS INSTITUTE (USA) y del ISO 9000 SYSTEM FORMAT Considerando que toda organización es dinámica, este documento está sujeto a permanente revisión y actualización en forma periódica, dependiendo de los cambios en la organización y los avances de las tecnologías de la información, su seguridad y protección

6 Pág 5 de 11 I OBJETIVO Establecer las políticas de seguridad de la información que se administran en para asegurar el cumplimiento de la confidencialidad, integridad, disponibilidad, legalidad y confiabilidad de la información II FINALIDAD Dotar a de un instrumento normativo que oriente la adecuada administración de la información, garantizando un alineamiento con su misión y visión Dar a conocer a todo el personal de y personal externo que tiene un vínculo con la existencia y operación del Sistema de Gestión de la Seguridad de Información, así como la exigencia en el cumplimiento de todo su marco regulatorio de soporte III ALCANCE El presente documento es de aplicación a: Personal de Personal de otras empresas que brindan servicios dentro de las instalaciones de IV VIGENCIA El presente documento tendrá vigencia a partir del día siguiente de su aprobación por la Gerencia General V BASE LEGAL Y/O ADMINISTRATIVA Resolución Ministerial PCM aprueban el uso obligatorio de la NTP-ISO/ IEC 27001:2008 Norma Técnica Peruana NTP-ISO/IEC 27001:2008 EDI Tecnología de la Información Técnicas de seguridad Sistemas de gestión de seguridad de la información Norma Técnica Peruana NTP-ISO/IEC 17799:2007 EDI Tecnologías de la Información Código de buenas prácticas para la gestión de la seguridad de la información Resolución de GG R aprueban la conformación de comité y designar al coordinador de seguridad de la información VI DEFINICIÓN DE TÉRMINOS Para efectos de presente documento, se definen los siguientes términos: a) Confidencialidad De acuerdo a la norma ISO/IEC 27001:2011, es aquella característica que permite garantizar que la información en cualquier medio sólo será vista y accedida por personas autorizadas b) Control De acuerdo a la NTP-ISO/IEC 17999:2007, es una herramienta de gestión del riesgo, que incluye normas, procedimientos, estándares, estructuras organizacionales, de naturaleza administrativa, técnica, gerencial o legal

7 Pág 6 de 11 c) Comité de Seguridad de la Información Responsable de revisar y proponer la presente Política y la estructuración, recomendación, seguimiento y mejora del Sistema de Gestión de Seguridad de la Institución d) Disponibilidad De acuerdo a la norma ISO/IEC 27001:2011, es aquella característica que permite garantizar que la información en cualquier medio siempre estará disponible en el momento que se necesite consultar o acceder e) Información Es un conjunto organizado de datos en cualquier forma con inclusión de formas textuales, numéricas, gráficas etc, y en cualquier medio, ya sea magnético, en papel, en pantallas de computadora u otro f) Integridad De acuerdo a la norma ISO/IEC 27001:2011, es aquella característica que permite garantizar que la información en cualquier medio sólo será modificada por personas autorizadas g) Oficial o Coordinador de Seguridad de la Información Responsable de impulsar la implementación y cumplimiento de la presente Política en coordinación con el Comité de Seguridad de la Información h) Propietario de la Información Es cualquier persona o entidad a la cual se le asigna la responsabilidad formal de custodiar y asegurar un activo de información o un conjunto de ellos i) SGSI Sistema de Gestión de Seguridad de la Información VII ROLES Y RESPONSABILIDADES 71 Oficial o Coordinador de Seguridad de Información a) Gestionar el SGSI de, haciendo un monitoreo permanente de los principales indicadores que miden su desempeño, tomando las medidas necesarias en las situaciones que lo ameriten b) Revisar y mantener actualizado el marco regulatorio de soporte a la presente Política c) Revisar y actualizar el mapa de riesgos asociados al SGSI d) Monitorear el desempeño de los controles asociados al SGSI e) Informar periódicamente al Comité de Seguridad de Información de la situación y avances actuales del SGSI f) Convocar al Comité de Seguridad de Información en situaciones extraordinarias, a partir de una situación que amerite dicha convocatoria g) Proponer la adquisición y uso de herramientas de Tecnología de Información como apoyo a la gestión del SGSI h) Desarrollar de forma periódica, charlas de capacitación y concientización en temas de Seguridad de Información para el personal nuevo y antiguo de la institución i) Atender auditorías internas y externas de aspectos asociados a la Seguridad de Información j) Presidirá la investigación de incidentes que afecten la seguridad de la información

8 Pág 7 de Comité de Seguridad de Información a) Revisar, evaluar y aprobar el alcance vigente de SGSI de b) Revisar, evaluar y aprobar la versión vigente de la Política de Seguridad de Información de c) Revisar, evaluar y aprobar el conjunto de metodologías, normas, estándares y procedimientos que constituyen el marco regulatorio que da soporte a la presente Política de Seguridad de Información d) Revisar, evaluar y aprobar las medidas a ejecutarse en situaciones que amenacen la Seguridad de Información de 73 Gerencias a) Aceptar por escrito la adhesión a la presente política y su marco regulatorio de soporte b) Incentivar a todo el personal a su cargo, el cumplimiento permanente del marco regulatorio asociado a la operación del SGSI de c) Informar al Oficial o Coordinador de Seguridad de Información de situaciones que ameriten una investigación o revisión d) Autorizar al personal a su cargo a asistir a las capacitaciones y charlas de concientización que se programen e) Asistir a las convocatorias de reuniones de trabajo y requerimientos de información, emitidos por el Oficial o Coordinador de Seguridad de Información, asignando a personal responsable cuando se solicite 74 Personal Interno a) Aceptar por escrito la adhesión a la presente política y su marco regulatorio de soporte b) Cumplir con lo estipulado en el marco regulatorio del SGSI de c) Asistir a las charlas de concientización y capacitación a los que sea convocado d) Reportar al Oficial o Coordinador de Seguridad de Información situaciones que amenacen la Seguridad de Información de e) Participar de las reuniones de trabajo a las que sea convocado 75 Personal Externo a) Aceptar por escrito la adhesión a la presente política y su marco regulatorio de soporte b) Cumplir con lo estipulado en el marco regulatorio del SGSI de, en lo que respecta a su relación con terceros VIII DISPOSICIONES GENERALES 81 garantizará la aplicación de las medidas de seguridad de la información establecidas y optimizará su gestión mediante el Comité de Seguridad de la Información, el Oficial o Coordinador de Seguridad de Información, propietarios y custodios de la información 82 El Comité de Seguridad de la Información mediante Resolución de Gerencia General N GG R estará integrado por : 1 Un representante de la Gerencia General de (Presidente) 2 El Gerente de la Gerencia de Tecnología de la Información, quien actuará como Secretario 3 El Gerente de la Gerencia Central de Aeronavegación 4 El Gerente de la Gerencia de Asuntos Jurídicos 5 El Gerente de la Gerencia de Personal 6 El Jefe del Área de Planeamiento y Proyectos

9 Pág 8 de La Gerencia de Logística, Gerencia de Seguridad y Área de Organización y Métodos son consideradas unidades de apoyo al Comité de Seguridad de la Información 84 La Alta Dirección reconoce como activos de información estratégicos de CORPAC SA, la información contenida en cualquier medio y sistemas que la soportan Por lo tanto las políticas de seguridad de la información es de aplicación obligatoria para todo el personal de 85 Para la ejecución y despliegue de las políticas de seguridad de la información, la organización se apoyará en los profesionales y asistentes de gestión de los órganos y unidades orgánicas de 86 Cuando exista la necesidad de otorgar algún acceso lógico y físico a los servicios aeronáuticos y de tecnologías de la información u oficinas de a personas o empresas que no tengan ningún vínculo directo y/o contrato con CORPAC SA, deberán ejecutarse medidas que garanticen la seguridad de la información, las cuales serán establecidas previamente por el Oficial o Coordinador de Seguridad en coordinación con la Gerencia de Seguridad y los responsables de las unidades orgánicas de la entidad 87 En todos los contratos suscritos ya sea por prestación de servicios personales, servicios para la administración y control de los sistemas de información, redes y/o ambientes de procesamiento de información, consultorías, servicios entre otros, se deberá establecer la inclusión de términos relacionados a la seguridad de la información 88 La presente política será revisada anualmente por el Comité de Seguridad de Información, para establecer la necesidad de actualización o reafirmación de la vigencia 89 El Oficial o Coordinador de Seguridad de Información será la persona autorizada de responder las consultas respecto a la presente política, en temas asociados a la seguridad de la información IX POLÍTICAS Y LINEAMIENTOS Las políticas de seguridad de la información, contenidas en este documento serán adecuadas a los cambios que se presenten de acuerdo a mejoras tecnológicas 91 POLÍTICA DE CLASIFICACIÓN Y CONTROL DE LA INFORMACIÓN Lineamientos para garantizar que los activos de información reciban un apropiado nivel de protección y uso, en función al grado de sensibilidad que presenten Se implementará sobre todo dato y/o información impresa o escrita en papel, almacenada electrónicamente, transmitida por algún medio electrónico, o de conocimiento específico del personal involucrado Cada uno de estos medios debe contemplar todas las medidas necesarias para asegurar la confidencialidad, integridad y disponibilidad de la información, de acuerdo a lo estipulado en el alcance del SGSI de la Corporación, se implementarán los controles de tipo y cantidad necesarios, que permitan hacer frente a los principales riesgos a los que se haya expuesta la información, tomando en cuenta la clasificación y el valor que ésta representa para

10 Pág 9 de POLÍTICA DE FOMENTO DE CULTURA DE SEGURIDAD DE INFORMACIÓN Lineamientos para asegurar que el personal tenga presente sus roles y responsabilidades y considere los riesgos de seguridad de la información, así como para definir el marco apropiado para el entrenamiento del personal en los aspectos de seguridad relacionados con su actividad Esta política abarca a toda la información utilizada en para el desarrollo de sus actividades y es aplicable, obligatoriamente, por el personal así como a las entidades proveedoras de servicios involucradas en la utilización de la información y los sistemas que la soportan Los proveedores de servicios deben designar un responsable ejecutivo que coordinará y reportará sus acciones al Oficial o Coordinador de Seguridad de El responsable ejecutivo debe tener el más alto nivel jerárquico dentro de la organización del servicio 93 POLÍTICA DE SEGURIDAD FÍSICA Y AMBIENTAL Lineamientos para prevenir accesos no autorizados a los ambientes físicos de, donde se almacena y/o procesa información sensible y para evitar daño, modificación, pérdida o mal uso de la información o de los equipos que la soportan Toda utilización, ingreso, copia o interferencia indebida con fines de alterar, dañar o destruir los recursos informáticos existentes en, podrá ser considerada y catalogada como Delito Informático, según el Capítulo X, artículos 207-A y 207-B del Código Penal Si los actos antes indicados se han ejecutado haciendo uso de información privilegiada o si alguna persona pone en peligro la seguridad nacional, estas acciones podrían ser catalogadas como Delito Informático Agravado, según el Capítulo X, artículo 207-C del Código Penal 94 POLÍTICA DE CONTROL DE ACCESO Lineamientos para controlar que el acceso a los datos, sistemas de información, instalaciones de procesamiento sea otorgado en función de las tareas y responsabilidades de cada usuario y para definir las reglas de autorización se reserva el derecho de revocar el privilegio de acceso a la información y a las tecnologías que la soportan al personal que considere pertinente, tanto de, como proveedores de servicios Concientizar a los usuarios respecto de su responsabilidad frente a la utilización de contraseñas y equipos 95 POLÍTICAS DE SEGURIDAD LÓGICA EN LOS SISTEMAS INFORMÁTICOS Lineamientos para asegurar que todos los sistemas de información actuales y nuevos incluyan requerimientos de seguridad para proteger la confidencialidad, integridad y disponibilidad de los datos que manejan

11 Pág 10 de POLÍTICA DE GESTIÓN DE LOS INCIDENTES DE SEGURIDAD Lineamientos para asegurar que el personal afectado comunique oportunamente a los responsables de seguridad, los eventos o debilidades asociados con la seguridad de información El personal debe alertar, de manera oportuna y adecuada, cualquier incidente que atente contra lo establecido en las políticas de seguridad El responsable inmediato superior deberá analizar cada caso y consultarlo o reportarlo al Oficial o Coordinador de Seguridad de manera que se adopten las medidas correspondientes para evitar su repetición 97 POLÍTICA PARA LA GESTIÓN DE LA CONTINUIDAD DE LAS OPERACIONES Lineamientos para responder ante interrupciones y proteger los procesos críticos ante los efectos de una falla mayor por problemas relacionados a la seguridad de la información garantiza y asegura el soporte tecnológico al SGSI de la Corporación, acorde con los avances y especialización en el campo de la seguridad de la información, en busca de una gestión ágil y eficiente garantiza y asegura una permanente capacitación, consultorías y asesorías para el personal detrás de la gestión integral del SGSI de la Corporación 98 POLÍTICA DE CUMPLIMIENTO Lineamientos para asegurar el cumplimiento de las políticas y normativa de seguridad de información por todos órganos y unidades orgánicas de y terceros, exigirá a todos sus proveedores de bienes y servicios que se adhieran obligatoriamente a lo establecido en el marco regulatorio de soporte del SGSI de la Corporación se reserva el derecho de tomar medidas administrativas y acciones legales, conforme a lo que establece el Reglamento Interno de Trabajo y el marco contractual para los proveedores X SANCIONES PREVISTAS POR INCUMPLIMIENTO El comité de seguridad tomará conocimiento de los incidentes y propondrá las sanciones a la Gerencia de Personal a partir de un proceso de investigación y comprobación fehaciente de hechos, de acuerdo a los lineamientos y normas vigentes Las sanciones serán públicas o reservadas, según sea el caso, garantizando el cumplimiento de las normas y leyes aplicables en la Corporación

12 Pág 11 de 11 XI DISPOSICIONES FINALES PRIMERA El Área de Organización y Métodos se encargará de la actualización del presente documento en coordinación con el Comité de Gestión de Seguridad de la Información SEGUNDA El Área de Organización y Métodos queda encargada de la difusión mediante el buzón de correo informativo corporativo del presente documento, así como realizar las gestiones para su publicación a través de la intranet de TERCERA El Comité de Gestión de Seguridad de la Información, aplicará el control interno correspondiente para verificar el cumplimiento de las políticas descritas en el presente documento CUARTA El Órgano de Control Institucional verificará y cautelará el estricto cumplimiento del presente documento, debiendo informar las inobservancias a las gerencias pertinentes QUINTA Quedan sin efecto las disposiciones administrativas que se opongan o contravengan a lo dispuesto en el presente documento