Políticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A



Documentos relacionados
GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP

EMPRESAS PÚBLICAS DE MEDELLÍN E.S.P. DIRECCIÓN CONTROL INTERNO PROYECTO NORMALIZACIÓN ACTIVIDAD DE AUDITORÍA INTERNA

Resumen General del Manual de Organización y Funciones

Resumen General del Manual de Organización y Funciones

1.8 TECNOLOGÍA DE LA INFORMACIÓN

Infraestructura Tecnológica. Sesión 10: Sistemas cortafuego

Capítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL

POLÍTICA PARA LA GESTIÓN INTEGRAL DE RIESGOS EN IBERPLAST

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN PARA LOS ORGANISMOS DE LA ADMINISTRACIÓN PÚBLICA PROVINCIAL

POLITICA DE GESTION DE RIESGOS, ROLES Y RESPONSABLES. Departamento de Estudios y Gestión Estratégica

Norma NTC-ISO/IEC Sistema de Gestión de Seguridad de Información

TECNOLOGIAS DE INFORMACION GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO

Sistemas de Gestión de Seguridad de la Información. Ana Cecilia Vargas Alonso Castro Mattei

I. INTRODUCCIÓN DEFINICIONES

A la Dirección de Tecnología y Comunicaciones le corresponden las siguientes funciones generales:

POLÍTICA DE TECNOLOGÍA DE INFORMACIÓN

Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2

Políticas para Asistencia Remota a Usuarios

Códigos de buenas prácticas de seguridad. UNE-ISO/IEC Antonio Villalón Huerta Grupo S2

POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN

CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA

PERFILES OCUPACIONALES

Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL

Estatuto de Auditoría Interna

Gestión de riesgo operacional

ISO Anexo A OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA DANIELA RAMIREZ PEÑARANDA WENDY CARRASCAL VILLAMIZAR

Nombre del Puesto. Jefe Departamento de Presupuesto. Jefe Departamento de Presupuesto. Director Financiero. Dirección Financiera

SÍNTESIS Auditoría de Gestión al Sistema Informático de los Módulos de Recursos Humanos.

Proceso: AI2 Adquirir y mantener software aplicativo

6 - Aspectos Organizativos para la Seguridad

Autorizan ejecución de la "Encuesta de Seguridad de la Información en la RESOLUCIÓN MINISTERIAL N PCM

SERVICIO DE DESARROLLO DE LAS EMPRESAS PÚBLICAS PRODUCTIVAS SEDEM REGLAMENTO ESPECÍFICO DEL SISTEMA DE PRESUPUESTO

MANUAL DE MANEJO DE INFORMACIÓN DE INTERÉS PARA EL MERCADO

ADMINISTRACIÓN DE TECNOLOGÍAS E INFORMACIÓN PROCEDIMIENTO VERSIÓN: 1 SEGURIDAD DE LOS SISTEMAS DE INFORMACION

Gestión de Seguridad Informática

CÁMARA DE COMERCIO DE BUCARAMANGA DOCUMENTO DE SEGURIDAD

DESCRIPCIÓN DEL PROCESO DE RIESGO OPERACIONAL

Introducción a la ISO Sistemas de Gestión de Seguridad de Información. Carlos Ignacio Gamboa Hirales

INFORME DE RESULTADOS DE LA 1 ENCUESTA DE SEGURIDAD DE LA INFORMACIÓN EN UNIVERSIDADES ECUATORIANAS MIEMBROS DE CEDIA

REGLAMENTO ESPECÍFICO DEL SISTEMA DE PRESUPUESTO TÍTULO I DISPOSICIONES GENERALES

Unidad 1. Fundamentos en Gestión de Riesgos

Política de Control de Hojas de Cálculo. Prorrectoría

El USUARIO manifiesta que es jurídicamente capaz de realizar el procedimiento a utilizar y que está facultado para hacer uso del mismo.

Políticas de Seguridad de la información

SOLICITUD DE DESARROLLO Y ACTUALIZACIÓN DE APLICACIONES G OBIERNO D E L A CIUDAD DE BUENOS AIRES

Anexo I. Politicas Generales de Seguridad del proyecto CAT

GABINETE DEL MINISTRO Pág.1 de 9 MANUAL DE ORGANIZACIÓN Y FUNCIONES

El monto de recursos examinados corresponde al de los saldos de títulos de crédito de la Dirección Regional Norte, que fueron los siguientes:

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA

Política de Privacidad y Condiciones de Uso del Portal

MODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013

POLÍTICA DE CONTINUIDAD DE NEGOCIO Y POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

Solución de virtualización de escritorios basada en Microsoft-Citrix

INFORME DE GESTIÓN SOBRE EL SISTEMA DE CONTROL INTERNO

Technical Software México, S.A. GRUPO BOGO Asesores y Servicios TI, S.C.

Gestión del Servicio de Tecnología de la información

INEI. Aprueban Directiva Normas Técnicas para el Almacenamiento y Respaldo de la Información procesada por las Entidades de la Administración Pública

SOLUCIONES EN SEGURIDAD INFORMATICA

Nombre del Documento: Manual de Gestión de la Calidad. Referencia a punto de la norma ISO 9001:2000: DIRECCIÓN GENERAL DE EVALUACIÓN

Health Republic Insurance Política de privacidad del sitio web

Anexo Q. Procesos y Procedimientos

Ley Orgánica de Protección de Datos

Política de Seguridad y Salud Ocupacional. Recursos. Humanos. Abril 2006

12 JUNIO Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo de 76. BN-MOF Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA

Basado en la ISO 27001:2013. Seguridad de la Información

CONCEJO MUNICIPAL DE CHOCONTA- CUNDINAMARCA

Recomendaciones relativas a la continuidad del negocio 1

Metodología básica de gestión de proyectos. Octubre de 2003

PROCEDIMIENTO DE EVALUACIÓN Y ACREDITACIÓN DE LAS COMPETENCIAS PROFESIONALES CUESTIONARIO DE AUTOEVALUACIÓN PARA LAS TRABAJADORAS Y TRABAJADORES

Política General de Salvaguarda de Instrumentos Financieros

AUD Estudio de Auditoría Verificación del Licenciamiento del Software equipo de MIDEPLAN Decreto Ejecutivo Nº JP

INFORME DISPOSICION TRANSITORIA CUARTA DEL REAL DECRETO 1671/2009, DE 6 DE NOVIEMBRE, POR EL QUE SE DESARROLLA PARCIALMENTE LA LEY 11/2007, DE 22 DE

Política General de Seguridad de la Información

INFORME SOBRE LA AUTOEVALUACIÓN DE CALIDAD DE LA ACTIVIDAD DE AUDITORÍA INTERNA 2011

Para los efectos de esta normativa se deberán considerar las siguientes definiciones:


TERCERIZACIÓN DE SERVICIOS DE TI. ANEXO 4 - Actividades y niveles de servicio definidos para Primer Nivel de Soporte en Seguridad

GATEWAYS COMO FIREWALLS

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

Política General de Control y Gestión de Riesgos

Política de Gestión Integral de Riesgos Compañía Sud Americana de Vapores S.A.

Guía de contenido. Cápsula II. Control Interno y Transferencia de los recursos.

REGLAMENTO ESPECÍFICO DEL SISTEMA DE PRESUPUESTO (RE-SP)

Tribunal Registral Administrativo

INSTITUTO TECNOLOGICO DE COSTA RICA CUESTIONARIO AUTOEVALUACIÓN DEL SISTEMA DE CONTROL INTERNO Dependencia: Nombre Director o Coordinador:

UNIVERSIDAD AUTÓNOMA DEL CARIBE

Hospital Nacional de Maternidad UNIDAD DE INFORMATICA

INDICE DE CARGOS Cargo Pagina

Este procedimiento es aplicable para la revisión de todos los procedimientos del Sistema de Gestión de la Empresa.

PROCEDIMIENTO ELABORACIÓN DE DOCUMENTOS

Ejemplo Manual de la Calidad

ANEXO R.S NORMAS BASICAS DEL SISTEMA DE PRESUPUESTO TITULO I CONCEPTO DEL SISTEMA Y DISPOSICIONES GENERALES CAPITULO ÚNICO ASPECTOS GENERALES

a) La autoridad y responsabilidad relativas a la SST en la organización se desprende de :

PROCESO DE GESTION DE ALMACEN DE MANTENIMIENTO DEL SISTEMA MACROBÚS

Políticas de uso Portal Terminales Medellín

PROGRAMA DE GESTIÓN DOCUMENTAL

MODELOS DE ESTRUCTURA PARA LAS DIRECCIONES DE INFORMÁTICA

1.- Objetivo y descripción del funcionamiento

Transcripción:

Políticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A 1 VERSIÓN 01 PREFIN S.A. 11 Mayo 2014

INDICE 1. INTRODUCCION.3 2. OBJETIVOS.3 3. PLANES DE CONTINGENCIA 3 4. SEGURIDAD DE DATOS PLATAFORMA EJECUTIVOS.3 5. SEGURIDAD TRANSFERENCIA Y ALMACENAMIENTO DE DATOS.4 6. DEFINICIONES 5 7. ROLES Y RESPONSABILIDADES..5 8. EXCEPCIONES.7 2 VERSIÓN 01 PREFIN S.A. 11 Mayo 2014

1 - Introducción Los procedimientos documentados que establezcan y mantengan las unidades deben considerar controles que aseguren que la información está protegida de acuerdo a lo establecido en esta política y en la Normativa de Seguridad de la Información y normas relacionadas, como también el cumplimiento con otras políticas, normas internas, regulación y legislación que apliquen a esa unidad y sus procesos. La Administración de la Seguridad de la Información es parte de los procesos de ECR Evaluadora PREFIN S.A (en adelante PREFIN) y cubren todos los aspectos de seguridad de la información de los procesos de esta, en concordancia a una efectiva estructura de gobierno de seguridad de la información. 2 - Objetivo El objetivo principal de esta Política es la protección y preservación de la confidencialidad, integridad y disponibilidad de la información de Prefin y de sus clientes, y que este resguardo se realice de una manera consistente con las estrategias. 3 - Planes de contingencia PREFIN cuenta con personal técnico durante la totalidad de las horas de operación de los servicios, el cual está capacitado para recuperar la operación normal de la plataforma en caso de fallas. Integrado al manual de CONTINUIDAD DE NEGOCIO PREFIN y PROCEDIMIENTO CONTINUIDAD OPERATIVA Y DE NEGOCIO EQUIPO UREP 4 - Seguridad de Datos Plataforma de Ejecutivos La plataforma de ejecutivos está diseñada para que no sea posible ingresar a aplicaciones de interés Banco de Chile. Tampoco se puede extraer información de las bases de datos de los clientes. Solo visualizar lo que se les entrega a través de la aplicación FLuve, la cual está autorizada para entregar la información mínima a los ejecutivos para realizar su preevaluación. Con esto se asegura de que los ejecutivos no puedan sacar datos privados o listas de clientes. Entre las precauciones que se toman están las siguientes: 3 VERSIÓN 01 PREFIN S.A. 11 Mayo 2014

Acceso a Aplicaciones y LAN Restringido. El acceso a aplicaciones del PC y a otros equipos de la red está restringido solo a las requeridas por el servicio. Los ejecutivos no tienen acceso a computadores Banco de Chile ni a su Red. Antivirus Microsoft Security Essencial. Con este antivirus restringimos las actividades maliciosas que pudiesen provocar daños en el equipo Mini-Notebook de propiedad de Prefin. Firewall. Dispositivo que funciona como cortafuegos entre redes, permitiendo o denegando las transmisiones de una red a la otra. Esta situado entre la red local de PREFIN y la Red Internet, como dispositivo de seguridad para evitar que intrusos puedan acceder a información confidencial Para permitir o denegar una comunicación el firewall examina el tipo de servicio al que corresponde, como pueden ser el web, el correo o el IRC. Dependiendo del servicio el firewall decide si lo permite o no. Además, el firewall examina si la comunicación es entrante o saliente y dependiendo de su dirección puede permitirla o no. Administración de Usuarios y Accesos. Con el Objetivo de regular los pasos necesarios para efectuar la correcta administración de las cuentas y claves de acceso pertenecientes a los distintos ambientes de trabajo de PREFIN S. A., definiendo los procedimientos a utilizar en el alta / baja / modificación de una identificación de usuario y privilegios en el entorno/sistema aplicativo solicitado. De esta manera controlamos que cada usuario solo tenga acceso a la mínima información pero necesaria para ejecutar sus labores (Manual de PROCEDIMIENTO ADMINISTRACION DE SISTEMAS Y CUENTAS DE USUARIO ). 5 - Seguridad Transferencia y almacenamiento de Datos La transferencia de datos, principalmente información otorgada por Clientes a Ejecutivos de Pre evaluación (Por ejemplo liquidaciones de Sueldo, Fotocopia C.I, Etc.) son transferidas entre PREFIN y sus ellos utilizando un el correo corporativo autorizado por Banco de Chile, con lo cual el control oficial se delega al servidor de correos de este ultimo. Las bases de clientes son acotadas y entregadas por un supervisor a través de la aplicación FLUVE, con tal que solo el Ejecutivo designado pueda trabajar dicha base y en la aplicación. El acceso remoto a los servidores de PREFIN está controlado y regido por Firewalls, lo que permite asegurar que las conexiones remotas siempre deben ser evaluadas antes de ser aceptadas. En el caso de que se autorice el acceso remoto a usuarios desde el exterior, las conexiones son realizadas a través de Escritorio Remoto con un usuario y clave designados y controlados. 4 VERSIÓN 01 PREFIN S.A. 11 Mayo 2014

6 - Definiciones Las definiciones que aplican a los diferentes ámbitos de seguridad de la información. A continuación se mencionan algunas definiciones de carácter global que es relevante mencionar en esta Política: Activo: Algo que tiene valor para la organización. Confidencialidad de la Información: Propiedad que determina que la información no esté disponible ni sea revelada a individuos, entidades o procesos no autorizados. Información Reservada: Se considera Reservada cuando la Información a través de su difusión compromete la seguridad, estabilidad y gobernabilidad de la Empresa por tanto se mantiene temporalmente fuera del acceso publico. Información Publica: Es todo registro, archivo o dato que recopile, mantenga, procese o se encuentre en poder de la Empresa y cuyo acceso no tenga restricción al público en General. Integridad de la Información: Propiedad de salvaguardar la exactitud y estado completo de los activos. Disponibilidad de la Información: Propiedad de que la información sea accesible y utilizable por solicitud de una entidad autorizada. 7 - Roles y Responsabilidades La estructura organizacional para la gestión de riesgo de seguridad de la información y tecnología provee la definición de objetivos estratégicos definidos en esta Política, un Plan de Mejora Continua de Seguridad de la Información, las Normas de Seguridad de la Información, mecanismos de supervisión de cumplimiento, definiciones y vías de escalamiento, niveles de reportes de la gestión de riesgo de seguridad de la información y tecnología para las autoridades de Prefin y reguladores totalmente alineados con nuestro cliente Banco de Chile. Las siguientes entidades son parte de la estructura de gobernabilidad global de seguridad de la información - los roles y responsabilidades más específicos de seguridad incorporados en los procesos de las áreas que administran y soportan la tecnología. 7.1 - Gerencia Asegurar el cumplimiento de la Política al interior del área, y tomar conocimiento de las políticas en incumplimiento y excepciones. Velar por la protección de la confidencialidad, integridad y disponibilidad de la información que se procese, transmita y almacene en los procesos y los ámbitos bajo su responsabilidad. Manejar una visión integral de la seguridad de la información, teniendo roles y responsabilidades en otras políticas relacionadas a seguridad de la información. 5 VERSIÓN 01 PREFIN S.A. 11 Mayo 2014

7.2 - Procesos Comerciales Revisar y velar que los niveles de riesgo de seguridad de la información y tecnología estén acotados y controlados de acuerdo a los niveles de riesgo aceptados por PREFIN/Banco de Chile. Revisar y aprobar los objetivos estratégicos y el Plan de Mejora Continua de Seguridad de la Información. Es responsable de centralizar, procesar y realizar gestión sobre la información generada a través de la gestión de riesgo de seguridad de la información. Mantener informado a las unidades y autoridades responsables de supervisar los niveles de riesgo de seguridad de la información y tecnología. Coordinar con las diferentes unidades de PREFIN el proceso de planeación, implementación, monitoreo, chequeo, revisión, mantención, difusión y mejora continua de la gestión de riesgo de seguridad de la información. Apoyo y seguimiento en el cumplimiento de las políticas y normas de seguridad de la información. 7.3 - Gerencia de Operaciones Generar y proponer los objetivos estratégicos y la Planificación de Mejora Continua de Seguridad de la Información en Prefin. Impulsar las políticas, normas y procedimientos de seguridad de la información basado en las leyes y regulaciones locales vigentes, mejores prácticas de mercado y necesidades del negocio. Proponer, organizar y supervisar el programa de capacitación y entrenamiento de seguridad de la información para los colaboradores de Prefin. Proponer, impulsar y hacer seguimiento al Plan de Mejora Continua de Seguridad de la Información y generar nuevas iniciativas de seguridad de la información que fortalezcan la estrategia del negocio. Analizar el riesgo asociado a la implementación de los distintos proyectos, productos y servicios y entregar las recomendaciones para el tratamiento de riesgos y vulnerabilidades. Apoyar en la definición, desarrollo e implementación de planes de mejoras en el ámbito de seguridad de la información para los distintos procesos, productos y servicios en la organización. 6 VERSIÓN 01 PREFIN S.A. 11 Mayo 2014

7.4 - Unidad Informática Ejecutar controles preventivos que operan sobre los esquemas de seguridad de las distintas plataformas y aplicativos de procesamiento de datos, almacenamiento y custodia de información magnética de acuerdo a las definiciones del PROCEDIMIENTO SISTEMA DE RESPALDO PREFIN. Mantener informado a las gerencias y Comités responsables de supervisar los niveles de riesgo de seguridad de la información y tecnología. Supervisar y controlar el correcto funcionamiento de las herramientas tecnológicas de seguridad implantadas en ambientes de tecnología. Detectar los principales eventos que atentan contra la seguridad tecnológica, comunicando en forma oportuna a su línea y a las unidades organizacionales involucradas. Coordina en conjunto con Unidades Administrativas las actividades y revisiones orientadas al cumplimiento de las Normas de Seguridad Física y Puesto de Trabajo Seguro. 8 - EXCEPCIÓNES Toda desviación e incumplimiento respecto a las definiciones de Prefin establecidas en esta Política, será tratado como una excepción o aceptación de riesgo, de acuerdo a las aprobación respectivas de Gerencia y Jefaturas autorizadas de Prefin. 7 VERSIÓN 01 PREFIN S.A. 11 Mayo 2014

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback