Objetivo Política: Proporcionar un marco de gestión de seguridad de la información, como apoyo a los objetivos estratégicos de La Compañía, de acuerdo a sus necesidades de negocio en cada país donde opere y esté presente. Alcance: Esta política debe ser conocida y cumplida por todo el personal de La Compañía (colaboradores, fijos, temporales, pasantes, practicantes, personal de servicios), así como terceros, contratistas, proveedores y toda aquella persona que tiene acceso a la información de la compañía en todos los países en los que opera. Glosario: Aplicaciones corporativas: Son los sistemas de información que usan las áreas funcionales o de negocio, como por ej: SAP, SICC, ADAM, Portales de Consultoras, Líderes y Gerentes de Zona. Activo de información: Cualquier información que tiene valor para la compañía. Éste tipo de información permite tomar decisiones de alta gerencia y podría generar un alto impacto financiero, reputacional, daños patrimoniales y acciones legales contra la compañía. Esta información puede estar representada en forma electrónica, impresa o verbal, así como la plataforma donde llegase a residir. Información Confidencial: Activo de información propiedad de la Compañía generalmente relacionada con un proceso del negocio cuya pérdida de la confidencialidad, integridad y/o disponibilidad afectan las operaciones y/o utilidades del negocio. Información Privada: es el tipo de información que la ley no permite divulgar, ya que afecta la intimidad personal. Son registros o bancos de datos personales que permiten identificar a alguien y que sólo pueden ser divulgados con consentimiento del titular. Por ejemplo: nombres y apellidos, fecha de nacimiento, datos bancarios, historial médico, datos laborales, dirección de domicilio, religión, huellas dactilares. Teletrabajo: trabajo que una persona realiza desde una ubicación diferente a la inicialmente contratada, de forma habitual, normalmente desde su domicilio, condicionado al cumplimiento de la legislación vigente para éste tipo de actividad. POLÍTICAS Generalidades 1. Esta Política establece los siguientes principios de la información fundamentales que la apoyan: a. Confidencialidad, asegura que la información crítica de la compañía es accedida sólo por aquellas personas autorizadas e impide la divulgación de ésta a destinos no autorizados. b. Integridad, busca mantener la información libre de modificaciones no autorizadas, para así ser confiable para el negocio y apoyar la toma de decisiones. c. Disponibilidad, es la condición de la información de la compañía, para estar a disposición de quienes deban acceder y gestionar ésta en cualquier momento. d. Privacidad, es el tipo de información sensible que la ley no permite divulgar, ya que afecta la intimidad personal. Son registros o bancos de datos personales que permiten identificar a alguien y que sólo pueden ser divulgados con consentimiento del titular. Por ejemplo: nombres y apellidos, fecha de nacimiento, datos bancarios, historial médico, datos laborales, dirección de domicilio, religión, huellas dactilares. FM.GC.06.01.01.02 (12/1 V4) Página 1 de 5
2. Todo colaborador contratista, proveedor y toda aquella persona que tiene acceso a información de la compañía, debe dar un manejo confidente, íntegro y responsable a la información a la que tenga acceso así como dar un buen uso de los recursos tecnológicos que la compañía coloque a su disposición para el adecuado desempeño de su labor. Organización y Responsabilidades. La presente política se encuentra alineada con las mejores prácticas para los Sistemas de Gestión de la Seguridad de la Información - SGSI, ISO 27002:201. Esta es una declaración de responsabilidades y de las conductas aceptadas para crear y gestionar un ambiente seguro, la cual debe ser actualizada y renovada según las necesidades y cambios en el negocio. 4. Ésta política se apoya en un Plan de Protección de la Información, revisado y aprobado por el Director Corporativo de Infraestructura Tecnológica. 5. El responsable de Seguridad Informática de la compañía, reporta al Director Corporativo de Infraestructura Tecnológica y participa en los reportes al Vicepresidente de Tecnología. 6. El área de Seguridad Informática es responsable por definir las estrategias y políticas que manejan los sistemas informáticos en toda la compañía, así como la identificación de los riesgos tecnológicos asociados a las aplicaciones críticas de negocio y la implementación de controles técnicos que minimicen estos riesgos. 7. El área de Infraestructura Tecnológica es responsable por implementar los controles de seguridad informática necesarios para minimizar el riesgo que pueda afectar la disponibilidad, integridad, confidencialidad y privacidad de la información crítica para el negocio. Movilidad 8. Los colaboradores que tengan a cargo dispositivos móviles de la compañía, deberán implementar las medidas recomendadas por el área de Seguridad Informática y Seguridad Física, manteniendo la información confidencial y privada de la compañía a salvo de accesos y modificaciones no autorizados. 9. En caso que la compañía avale realizar teletrabajo, la información corporativa debe mantenerse fuera del alcance de personas no autorizadas, actualizar continuamente copias de la información en recursos asignados por la compañía, comunicarse con la compañía por los medios seguros asignados para ello y seguir los demás lineamientos informados por la compañía. Recursos Humanos 10. El área de Gestión Humana y en general todas los líderes de procesos de negocio de la compañía, deberán asegurar que colaboradores, contratistas y usuarios de terceras partes, conozcan sus responsabilidades frente a la información de la compañía. En caso de manejar información sensible y crítica para el negocio, la relación comercial deberá estar acompañada por un Acuerdo de Confidencialidad entre las partes. Gestión de Activos 11. Toda tipo de información que representa valor para la compañía (activos de información), en medios impresos-físicos, digitales y digitalizados, deberán tener un director, gerente o jefe responsable de resguardar la información a su cargo contra posibles pérdidas o daños. 12. La Compañía ha identificado los siguientes tipos de información: a. Información estrictamente confidencial FM.GC.06.01.01.02 (12/1 V4) Página 2 de 5
b. Información confidencial c. Información interna d. Información pública Control de accesos Política: 1. Gestionar los accesos a las aplicaciones críticas del negocio y de las identidades de los usuarios en la red de datos. 14. El proceso de control de accesos, gestión de identidades, cambios en aplicaciones y gestión de roles y perfiles de las aplicaciones críticas del negocio, deberán contar con el control de cambios correspondiente y la autorización del director, gerente o jefe responsable. Cifrado de información 15. La compañía definirá los procesos y personas que administren información crítica para el negocio, los cuales deben contar con controles tecnológicos de seguridad adicionales para que en caso de pérdida y acceso no autorizados a la información de la compañía, la información se mantenga integra y confidencial. Seguridad física y ambiental 16. La compañía identificará y definirá los lugares físicos que deban ser considerados áreas seguras, de acuerdo a la criticidad para las operaciones del negocio, teniendo especial atención en centros de datos, cuartos de comunicaciones, áreas de almacenamiento de líquidos inflamables y productos propios de la compañía, entre otros. Seguridad en la operación 17. La Dirección de Infraestructura Tecnológica debe asegurar que los sistemas informáticos críticos para el negocio, se mantienen disponibles y operativos, los cuales en caso de realizar cualquier cambio, deberán contar con el control de cambios correspondiente y la autorización del director, gerente o jefe responsable. 18. Realizar mantenimientos programados, mejoras y cambios en infraestructura tecnológica y aplicaciones críticas del negocio y sistemas operacionales, se debe contar con ambientes de prueba separados del ambiente productivo, antes de realizar los cambios o ajustes en ambientes productivos. 19. Garantizar la gestión continua de copias de seguridad o Backups de la información crítica para la operación del negocio, así como la ejecución de pruebas de restauración y aprobación del área usuaria. 20. Monitorear los registros de seguridad de las aplicaciones críticas para el negocio, detectando actividades no autorizadas y verificando la efectividad de los controles de seguridad implementados. 21. Gestionar las vulnerabilidades técnicas de los sistemas informáticos que soportan los sistemas críticos, realizando planes de acción para los riesgos hallados más críticos. 22. Documentar y mantener actualizados los procedimientos de operación de tecnología, los cuales deben estar a disposición de los usuarios que lo requieran. Seguridad en las telecomunicaciones 2. La Dirección de Infraestructura Tecnológica debe asegurar la protección de la información que se transporta en las redes de comunicaciones y la protección de su infraestructura tecnológica, implementando mecanismos de seguridad para el intercambio de información con clientes y terceros. FM.GC.06.01.01.02 (12/1 V4) Página de 5
24. Realizar acuerdos de niveles de servicios, manteniendo la más alta disponibilidad y seguridad de la red de datos. 25. Segmentar la red de datos de acuerdo a los procesos de negocio, reduciendo los eventos de no disponibilidad de la red y minimizando posibles ataques por virus informáticos. Adquisición, desarrollo y mantenimiento de los sistemas de información 26. Garantizar que la seguridad es parte de los sistemas informáticos nuevos y existentes, incluyendo sistemas operativos, infraestructura y aplicaciones de negocio. 27. Mantener asegurado el software y la información en las aplicaciones críticas para el negocio, implementando la seguridad de la información en todo el ciclo de vida de desarrollo de sistemas informáticos. 28. Asegurar el acceso controlado a las aplicaciones, carpetas y el código fuente de programas. 29. Garantizar la gestión adecuada de cambios en las aplicaciones críticas para el negocio. 0. Controlar los riesgos técnicos asociados a vulnerabilidades tecnológicas. Relaciones con proveedores 1. Contar con una política de seguridad de la información para proveedores de la compañía, que incluye acuerdos de confidencialidad, elaboración de contratos, tratamiento del riesgo de las actividades realizadas, suministros en tecnologías de la información y comunicaciones. 2. Realizar el monitoreo continuo de las actividades de los proveedores, así como revisar anualmente o antes si se requiere, los cambios en los servicios y contratación. Gestión de incidentes de seguridad de la información. Documentar los roles y responsabilidades del personal que actuará frente a eventos de seguridad de la información de la compañía, procurando por reducir los riesgos que puedan impactar negativamente la imagen y finanzas corporativas. 4. Contar con una base de conocimientos, que recopilen y permitan generar aprendizaje de los diferentes orígenes, causas, efectos y acciones de eventos de seguridad de la información. Gestión de la continuidad del negocio 5. Implementar estrategias que aseguren la disponibilidad, integridad y confidencialidad de la información de la compañía, cuando sea requerido operar desde otras ubicaciones geográficas diferentes a las de la operación normal. 6. Contar tecnológicamente con respaldos de procesamientos de la información crítica del negocio y verificación continua de la correcta funcionalidad de éstos. Cumplimiento 7. Se deberá identificar la legislación aplicable en cada localidad donde la compañía tiene operaciones, protegiendo información personal de colaboradores, clientes y proveedores, propiedad intelectual y los registros críticos de la compañía. 8. Ejecutar revisiones externas e independientes, periódicamente sobre el estado de la seguridad de la información crítica de la compañía, controles técnicos, datos de clientes y proveedores. FM.GC.06.01.01.02 (12/1 V4) Página 4 de 5
RESPONSABILIDAD EN CASO DE INCUMPLIMIENTO 9. Las personas y/o entidades interesadas que incumplan las normas de confianza y/o buena fe establecidas en este documento o que intente inhabilitar, vencer o sobrepasar cualquier control de seguridad de la información, motivará la revisión de la relación establecida con la Compañía, con medidas proporcionales al daño causado o según lo convenido en el contrato o acción legal, en el caso de terceros. El alcance de la misma estará amparado por la cláusula de confidencialidad de la información establecida al iniciar la relación contractual. Documentos de Referencia y Anexos N/A Control de Cambios Versión Fecha del Cambio Razón del Cambio 1 04/05/2012 1. Actualización general del documento por cambios en la definición de los lineamientos del proceso. 2 1. Actualización y alineación general de la política de seguridad de la información. FM.GC.06.01.01.02 (12/1 V4) Página 5 de 5