Política: MARCO DE SEGURIDAD DE LA INFORMACIÓN (Corporativo) Proceso: Gestión de Infraestructura y Plataformas

Documentos relacionados
Política de Seguridad de la Información de ACEPTA. Pública

3.- RESPONSABILIDADES

MARCO DE REFERENCIA GOBIERNO DE TI PARA LA GESTIÓN DE TI EN EL ESTADO COLOMBIANO

PO-1TI-001. Código: Versión: Elaborado por: - Gerencia de IT. Página: Revisado por: - Gerencia de IT. Page 1 of 5

Plan Estratégico Proceso. Elaborar Plan de Acción de Funcional

FUNCIONES Y PERFIL DE CARGO

INTERPRETACIÓN NORMA OHSAS 18001:2007 MÓDULO 1 SESIÓN 1 INTERPRETACIÓN DE LA NORMA OHSAS 18001:2007 DOCENTE: Ing. Dª. Ana I.

PROCESO GESTIÓN DE RECURSOS TECNOLOGICOS PROCEDIMIENTO GESTIÓN Y MONITOREO DE LA PLATAFORMA TECNOLOGICA SENADO DE LA REPÚBLICA

Política de Protección de Datos Personales en el Ministerio de Minas y Energía

Procedimiento Requisitos Legales

SISTEMA DE CONTROL INTERNO GENERALIDADES.

Identificación, Actualización y Evaluación de Requisitos de Cumplimiento Legal

POLÍTICA SISTEMA DE GESTIÓN INTEGRADO

MINISTERIO DE MINAS Y ENERGIA SISTEMA DE GESTIÓN SEGURIDAD DE LA INFORMACIÓN SGSI POLITICAS DE SEGURIDAD DE LA INFORMACIÓN JUNIO DE 2012

Introducción a la Estrategia

Medidas de seguridad. Tema 1 SAD. Vicente Sánchez Patón. I.E.S Gregorio Prieto

MANUAL DE POLÍTICA CONTROL DE LICENCIAS DE SOFTWARE

Procedimiento de Revisión por la Dirección del Sistema de Gestión Integral

LIBERACIÓN Y PUESTA EN OPERACIÓN DE PROYECTOS DE SOFTWARE

Comisión de Auditoría. Propuesta de Política Control y Gestión de Riesgos Madrid, 23/02/2016

Sistema de Gestión de la Calidad SGC

4.7. OFICINA DE METODOLOGÍAS DE SUPERVISIÓN Y ANÁLISIS DE RIESGO I. IDENTIFICACIÓN. Oficina de Metodologías de Supervisión y Análisis de Riesgo

INSTITUTO DE PREVISIÓN SOCIAL GABINETE DE PRESIDENCIA UNIDAD DE TRANSPARENCIA INSTITUCIONAL MANUAL DE ORGANIZACIÓN Y FUNCIONES

LEY No SOBRE COMERCIO ELECTRONICO, DOCUMENTOS Y FIRMAS DIGITALES AGENDA REGULATORIA DEL INDOTEL

REGLAMENTO INTERNO PARA EL USO DE EQUIPO DE CÓMPUTO, INTERNET Y CORREO ELECTRONICO

Política de. Divulgación y Transparencia

DIPLOMADO EN SISTEMAS DE GESTIÓN EN SEGURIDAD Y SALUD OCUPACIONAL OHSAS 18001

Descripción de puestos

Éxito Empresarial. Cambios en OHSAS 18001

SELECCIÓN DE PROVEEDORES

RESOLUCIÓN NÚMERO DE 2015 ( )

NIMF n. 7 SISTEMA DE CERTIFICACIÓN PARA LA EXPORTACIÓN (1997)

PROCEDIMIENTO VERSION: 03 AUDITORIAS DE CONTROL INTERNO FECHA: EVALUACIÓN Y CONTROL PAGINA: 1 de 7

SISTESEG Seguridad y Continuidad para su Negocio

Política Institucional de Recursos Humanos

SISTEMAS DE GESTION EN SALUD Y SEGURIDAD OCUPACIONAL OHSAS Occupational Health and Safety Management Systems

Antes de imprimir este documento piense en el medio ambiente!

PROCESO: GESTIÓN DE COMUNICACIONES PROCEDIMIENTO: COMUNICACIÒN ORGANIZACIONAL

SISTEMA INTEGRADO DE GESTIÓN

MANUAL POLÍTICA DE PASO A PRODUCCIÓN DE SISTEMAS DE INFORMACIÓN Y CONTROL DE VERSIONES

MCA-01-D-10 GESTION ESTRATEGICA FECHA VERSIÓN MATRIZ DE AUTORIDADES Y RESPONSABILIDADES 12/10/ MANUAL DE GESTION

TERMINOS DE REFERENCIA

Sistema de Gestión Ambiental ISO Luis Antonio González Mendoza Luis E. Rodríguez Gómez

ESTÁNDAR DE COMPETENCIA. Mantenimiento a equipo de cómputo y software

TÉRMINOS DE REFERENCIA

EVALUACIÓN Y REEVALUACIÓN DE PROVEEDORES

Manual para la Administración y Uso del Servicio de Telefonía Celular

Subdirector de Inteligencia Comercial

Conocimiento y evaluación del control interno

GESTION CONTRACTUAL. Control de Cambios

ACCIONES & VALORES S.A. COMISIONISTA DE BOLSA CONTROL INTERNO

ESPECIALISTA EN GESTION FINANCIERA DEL PROYECTO BANCO MUNDIAL

POLÍTICA DE MGS. Fecha 23/09/2016 Versión 5 Tipo de documento POLÍTICA

PROCEDIMIENTO DE RESPALDO y RECUPERACION DE DATOS DE LA INFRAESTRUCTURA TECNOLÓGICA

CONTROL DE COMBUSTIBLES PARA UNIDADES VEHICULARES

PROCESO DE COMPRAS 1. INFORMACIÓN GENERAL DEL DOCUMENTO

GESTIÓN DE LA ADQUISICIÓN DE BIENES Y SERVICIOS

CONVERSATORIO No. 30. NICC-1 Norma Internacional de Control de Calidad 1. Moderador: Luis Armando Leal. Relator: Dra. Maribel Albarracín

FOMENTO DE LA CULTURA DE CONTROL INTERNO

AUDITOR INTERNO DE SISTEMAS DE GESTION AMBIENTAL FUNDAMENTOS DE UN SISTEMA DE GESTION AMBIENTAL (ISO 14001)

La seguridad informática en la PYME Situación actual y mejores prácticas

SISTEMAS INTEGRADO DE GESTIÓN E INDICADORES DE GESTIÓN

Plan de Marketing Digital

Mantenimiento Preventivo y Correctivo

EL ROL DE AUDITORIA INTERNA Y EL ENFOQUE DE AUDITORIA BASADA EN RIESGOS. Víctor Mancilla Banrural, Guatemala

FUNCIONES DE LA JEFATURA

Procedimiento de Gestión Fecha: PG-02 Control de registros Versión: 1. Aprobado por: Gerencia General Pagina: 1 de 6. Control de registros

POLITICA DE COMPENSACIONES CorpBanca Corredores de Bolsa S.A.

SISTEMA DE ADMINISTRACION DE RIESGO OPERATIVO

DIPLOMADO SISTEMAS INTEGRADOS DE GESTIÓN HSEQ ISO 9001: ISO 14001: OHSAS 18001:2007

Por qué conformarse con ser bueno si se puede ser mejor

Norma ISO 9001:2000. Espacio empresarial Ltda.

Ficha del Indicador de Desempeño

MANUAL DES C RIPTIVO DE PUES TO S

MANUAL DE CARTAS DESCRIPTIVAS Y PERFILES DECARGO

CÓDIGO DE ÉTICA Y CONDUCTA DE PROVEEDORES DE INTERBANK

NUEVAS NORMAS DEL BCU. Circular 2244 Sistema Financiero Tercerización de servicios y tercerización de procedimientos de Debida Diligencia

BANCO CENTRAL DE LA REPÚBLICA ARGENTINA

ESTRATEGIA DE RIESGOS

CÓDIGO DE ÉTICA PARA LA INVESTIGACIÓN

ENFOQUE BASADO EN PROCESOS. Ingeniero Daladier Medina Niño Jefe Oficina Asesora de Planeación

C O N T E N I D O. 1. Propósito. 2. Alcance. 3. Responsabilidad y autoridad. 4. Normatividad aplicable. 5. Políticas

2015 CERTIFICACIÓN SGSI

PROJECT MANAGEMENT OFFICE

EVALUACION DE INFORMACION POR DEPENDENCIA JEFE DE CONTROL INTERNO VIGENCIA 2.015

COMPRAS DE BIENES O SERVICIOS MENORES A 3 UTM

DEPARTAMENTO HSEC. Roles y Funciones

AUDITORÍA INTERNA PLANEACIÓN 2016

GUÍA PARA EL MANTENIMIENTO DE EQUIPOS TIC

PROCEDIMIENTO PARA COMUNICACIÓN, PARTICIPACIÓN Y CONSULTA

MANUAL DE DESCRIPCION DE PUESTOS Y PERFIL DE PUESTOS

M-3: PLAN DE MEJORAMIENTO F14.1: PLANES DE MEJORAMIENTO - ENTIDADES Fecha 01/09/2013. Comites de Seguimiento (Actas) Eventos 5

Enfoque moderno de la Auditoría Interna y las Normas

Matriz de Riesgos y Controles. Proceso Contable.

Líder Nacional del Proceso o subproceso: JEFE DE COMPRAS Líder Sede del Proceso o subproceso: COORDINADOR DE COMPRAS

POLÍTICA DE SEGURIDAD Y SALUD OCUPACIONAL, PROTECCIÓN Y MEDIO AMBIENTE (HSSE)

Junio / Límite Operativo - Acuerdo de Basilea

Procedimientos De Seguridad De La Información

Medellín, Abril 13 de 2016 CIRCULAR 01 DE: GERENCIA DE SISTEMAS DE GESTIÓN CIDET.

1.3 DENOMINACION: Asesor. Cargo de libre nombramiento y remoción

Transcripción:

Objetivo Política: Proporcionar un marco de gestión de seguridad de la información, como apoyo a los objetivos estratégicos de La Compañía, de acuerdo a sus necesidades de negocio en cada país donde opere y esté presente. Alcance: Esta política debe ser conocida y cumplida por todo el personal de La Compañía (colaboradores, fijos, temporales, pasantes, practicantes, personal de servicios), así como terceros, contratistas, proveedores y toda aquella persona que tiene acceso a la información de la compañía en todos los países en los que opera. Glosario: Aplicaciones corporativas: Son los sistemas de información que usan las áreas funcionales o de negocio, como por ej: SAP, SICC, ADAM, Portales de Consultoras, Líderes y Gerentes de Zona. Activo de información: Cualquier información que tiene valor para la compañía. Éste tipo de información permite tomar decisiones de alta gerencia y podría generar un alto impacto financiero, reputacional, daños patrimoniales y acciones legales contra la compañía. Esta información puede estar representada en forma electrónica, impresa o verbal, así como la plataforma donde llegase a residir. Información Confidencial: Activo de información propiedad de la Compañía generalmente relacionada con un proceso del negocio cuya pérdida de la confidencialidad, integridad y/o disponibilidad afectan las operaciones y/o utilidades del negocio. Información Privada: es el tipo de información que la ley no permite divulgar, ya que afecta la intimidad personal. Son registros o bancos de datos personales que permiten identificar a alguien y que sólo pueden ser divulgados con consentimiento del titular. Por ejemplo: nombres y apellidos, fecha de nacimiento, datos bancarios, historial médico, datos laborales, dirección de domicilio, religión, huellas dactilares. Teletrabajo: trabajo que una persona realiza desde una ubicación diferente a la inicialmente contratada, de forma habitual, normalmente desde su domicilio, condicionado al cumplimiento de la legislación vigente para éste tipo de actividad. POLÍTICAS Generalidades 1. Esta Política establece los siguientes principios de la información fundamentales que la apoyan: a. Confidencialidad, asegura que la información crítica de la compañía es accedida sólo por aquellas personas autorizadas e impide la divulgación de ésta a destinos no autorizados. b. Integridad, busca mantener la información libre de modificaciones no autorizadas, para así ser confiable para el negocio y apoyar la toma de decisiones. c. Disponibilidad, es la condición de la información de la compañía, para estar a disposición de quienes deban acceder y gestionar ésta en cualquier momento. d. Privacidad, es el tipo de información sensible que la ley no permite divulgar, ya que afecta la intimidad personal. Son registros o bancos de datos personales que permiten identificar a alguien y que sólo pueden ser divulgados con consentimiento del titular. Por ejemplo: nombres y apellidos, fecha de nacimiento, datos bancarios, historial médico, datos laborales, dirección de domicilio, religión, huellas dactilares. FM.GC.06.01.01.02 (12/1 V4) Página 1 de 5

2. Todo colaborador contratista, proveedor y toda aquella persona que tiene acceso a información de la compañía, debe dar un manejo confidente, íntegro y responsable a la información a la que tenga acceso así como dar un buen uso de los recursos tecnológicos que la compañía coloque a su disposición para el adecuado desempeño de su labor. Organización y Responsabilidades. La presente política se encuentra alineada con las mejores prácticas para los Sistemas de Gestión de la Seguridad de la Información - SGSI, ISO 27002:201. Esta es una declaración de responsabilidades y de las conductas aceptadas para crear y gestionar un ambiente seguro, la cual debe ser actualizada y renovada según las necesidades y cambios en el negocio. 4. Ésta política se apoya en un Plan de Protección de la Información, revisado y aprobado por el Director Corporativo de Infraestructura Tecnológica. 5. El responsable de Seguridad Informática de la compañía, reporta al Director Corporativo de Infraestructura Tecnológica y participa en los reportes al Vicepresidente de Tecnología. 6. El área de Seguridad Informática es responsable por definir las estrategias y políticas que manejan los sistemas informáticos en toda la compañía, así como la identificación de los riesgos tecnológicos asociados a las aplicaciones críticas de negocio y la implementación de controles técnicos que minimicen estos riesgos. 7. El área de Infraestructura Tecnológica es responsable por implementar los controles de seguridad informática necesarios para minimizar el riesgo que pueda afectar la disponibilidad, integridad, confidencialidad y privacidad de la información crítica para el negocio. Movilidad 8. Los colaboradores que tengan a cargo dispositivos móviles de la compañía, deberán implementar las medidas recomendadas por el área de Seguridad Informática y Seguridad Física, manteniendo la información confidencial y privada de la compañía a salvo de accesos y modificaciones no autorizados. 9. En caso que la compañía avale realizar teletrabajo, la información corporativa debe mantenerse fuera del alcance de personas no autorizadas, actualizar continuamente copias de la información en recursos asignados por la compañía, comunicarse con la compañía por los medios seguros asignados para ello y seguir los demás lineamientos informados por la compañía. Recursos Humanos 10. El área de Gestión Humana y en general todas los líderes de procesos de negocio de la compañía, deberán asegurar que colaboradores, contratistas y usuarios de terceras partes, conozcan sus responsabilidades frente a la información de la compañía. En caso de manejar información sensible y crítica para el negocio, la relación comercial deberá estar acompañada por un Acuerdo de Confidencialidad entre las partes. Gestión de Activos 11. Toda tipo de información que representa valor para la compañía (activos de información), en medios impresos-físicos, digitales y digitalizados, deberán tener un director, gerente o jefe responsable de resguardar la información a su cargo contra posibles pérdidas o daños. 12. La Compañía ha identificado los siguientes tipos de información: a. Información estrictamente confidencial FM.GC.06.01.01.02 (12/1 V4) Página 2 de 5

b. Información confidencial c. Información interna d. Información pública Control de accesos Política: 1. Gestionar los accesos a las aplicaciones críticas del negocio y de las identidades de los usuarios en la red de datos. 14. El proceso de control de accesos, gestión de identidades, cambios en aplicaciones y gestión de roles y perfiles de las aplicaciones críticas del negocio, deberán contar con el control de cambios correspondiente y la autorización del director, gerente o jefe responsable. Cifrado de información 15. La compañía definirá los procesos y personas que administren información crítica para el negocio, los cuales deben contar con controles tecnológicos de seguridad adicionales para que en caso de pérdida y acceso no autorizados a la información de la compañía, la información se mantenga integra y confidencial. Seguridad física y ambiental 16. La compañía identificará y definirá los lugares físicos que deban ser considerados áreas seguras, de acuerdo a la criticidad para las operaciones del negocio, teniendo especial atención en centros de datos, cuartos de comunicaciones, áreas de almacenamiento de líquidos inflamables y productos propios de la compañía, entre otros. Seguridad en la operación 17. La Dirección de Infraestructura Tecnológica debe asegurar que los sistemas informáticos críticos para el negocio, se mantienen disponibles y operativos, los cuales en caso de realizar cualquier cambio, deberán contar con el control de cambios correspondiente y la autorización del director, gerente o jefe responsable. 18. Realizar mantenimientos programados, mejoras y cambios en infraestructura tecnológica y aplicaciones críticas del negocio y sistemas operacionales, se debe contar con ambientes de prueba separados del ambiente productivo, antes de realizar los cambios o ajustes en ambientes productivos. 19. Garantizar la gestión continua de copias de seguridad o Backups de la información crítica para la operación del negocio, así como la ejecución de pruebas de restauración y aprobación del área usuaria. 20. Monitorear los registros de seguridad de las aplicaciones críticas para el negocio, detectando actividades no autorizadas y verificando la efectividad de los controles de seguridad implementados. 21. Gestionar las vulnerabilidades técnicas de los sistemas informáticos que soportan los sistemas críticos, realizando planes de acción para los riesgos hallados más críticos. 22. Documentar y mantener actualizados los procedimientos de operación de tecnología, los cuales deben estar a disposición de los usuarios que lo requieran. Seguridad en las telecomunicaciones 2. La Dirección de Infraestructura Tecnológica debe asegurar la protección de la información que se transporta en las redes de comunicaciones y la protección de su infraestructura tecnológica, implementando mecanismos de seguridad para el intercambio de información con clientes y terceros. FM.GC.06.01.01.02 (12/1 V4) Página de 5

24. Realizar acuerdos de niveles de servicios, manteniendo la más alta disponibilidad y seguridad de la red de datos. 25. Segmentar la red de datos de acuerdo a los procesos de negocio, reduciendo los eventos de no disponibilidad de la red y minimizando posibles ataques por virus informáticos. Adquisición, desarrollo y mantenimiento de los sistemas de información 26. Garantizar que la seguridad es parte de los sistemas informáticos nuevos y existentes, incluyendo sistemas operativos, infraestructura y aplicaciones de negocio. 27. Mantener asegurado el software y la información en las aplicaciones críticas para el negocio, implementando la seguridad de la información en todo el ciclo de vida de desarrollo de sistemas informáticos. 28. Asegurar el acceso controlado a las aplicaciones, carpetas y el código fuente de programas. 29. Garantizar la gestión adecuada de cambios en las aplicaciones críticas para el negocio. 0. Controlar los riesgos técnicos asociados a vulnerabilidades tecnológicas. Relaciones con proveedores 1. Contar con una política de seguridad de la información para proveedores de la compañía, que incluye acuerdos de confidencialidad, elaboración de contratos, tratamiento del riesgo de las actividades realizadas, suministros en tecnologías de la información y comunicaciones. 2. Realizar el monitoreo continuo de las actividades de los proveedores, así como revisar anualmente o antes si se requiere, los cambios en los servicios y contratación. Gestión de incidentes de seguridad de la información. Documentar los roles y responsabilidades del personal que actuará frente a eventos de seguridad de la información de la compañía, procurando por reducir los riesgos que puedan impactar negativamente la imagen y finanzas corporativas. 4. Contar con una base de conocimientos, que recopilen y permitan generar aprendizaje de los diferentes orígenes, causas, efectos y acciones de eventos de seguridad de la información. Gestión de la continuidad del negocio 5. Implementar estrategias que aseguren la disponibilidad, integridad y confidencialidad de la información de la compañía, cuando sea requerido operar desde otras ubicaciones geográficas diferentes a las de la operación normal. 6. Contar tecnológicamente con respaldos de procesamientos de la información crítica del negocio y verificación continua de la correcta funcionalidad de éstos. Cumplimiento 7. Se deberá identificar la legislación aplicable en cada localidad donde la compañía tiene operaciones, protegiendo información personal de colaboradores, clientes y proveedores, propiedad intelectual y los registros críticos de la compañía. 8. Ejecutar revisiones externas e independientes, periódicamente sobre el estado de la seguridad de la información crítica de la compañía, controles técnicos, datos de clientes y proveedores. FM.GC.06.01.01.02 (12/1 V4) Página 4 de 5

RESPONSABILIDAD EN CASO DE INCUMPLIMIENTO 9. Las personas y/o entidades interesadas que incumplan las normas de confianza y/o buena fe establecidas en este documento o que intente inhabilitar, vencer o sobrepasar cualquier control de seguridad de la información, motivará la revisión de la relación establecida con la Compañía, con medidas proporcionales al daño causado o según lo convenido en el contrato o acción legal, en el caso de terceros. El alcance de la misma estará amparado por la cláusula de confidencialidad de la información establecida al iniciar la relación contractual. Documentos de Referencia y Anexos N/A Control de Cambios Versión Fecha del Cambio Razón del Cambio 1 04/05/2012 1. Actualización general del documento por cambios en la definición de los lineamientos del proceso. 2 1. Actualización y alineación general de la política de seguridad de la información. FM.GC.06.01.01.02 (12/1 V4) Página 5 de 5

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback