Políticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A 1 VERSIÓN 01 PREFIN S.A. 11 Mayo 2014
INDICE 1. INTRODUCCION.3 2. OBJETIVOS.3 3. PLANES DE CONTINGENCIA 3 4. SEGURIDAD DE DATOS PLATAFORMA EJECUTIVOS.3 5. SEGURIDAD TRANSFERENCIA Y ALMACENAMIENTO DE DATOS.4 6. DEFINICIONES 5 7. ROLES Y RESPONSABILIDADES..5 8. EXCEPCIONES.7 2 VERSIÓN 01 PREFIN S.A. 11 Mayo 2014
1 - Introducción Los procedimientos documentados que establezcan y mantengan las unidades deben considerar controles que aseguren que la información está protegida de acuerdo a lo establecido en esta política y en la Normativa de Seguridad de la Información y normas relacionadas, como también el cumplimiento con otras políticas, normas internas, regulación y legislación que apliquen a esa unidad y sus procesos. La Administración de la Seguridad de la Información es parte de los procesos de ECR Evaluadora PREFIN S.A (en adelante PREFIN) y cubren todos los aspectos de seguridad de la información de los procesos de esta, en concordancia a una efectiva estructura de gobierno de seguridad de la información. 2 - Objetivo El objetivo principal de esta Política es la protección y preservación de la confidencialidad, integridad y disponibilidad de la información de Prefin y de sus clientes, y que este resguardo se realice de una manera consistente con las estrategias. 3 - Planes de contingencia PREFIN cuenta con personal técnico durante la totalidad de las horas de operación de los servicios, el cual está capacitado para recuperar la operación normal de la plataforma en caso de fallas. Integrado al manual de CONTINUIDAD DE NEGOCIO PREFIN y PROCEDIMIENTO CONTINUIDAD OPERATIVA Y DE NEGOCIO EQUIPO UREP 4 - Seguridad de Datos Plataforma de Ejecutivos La plataforma de ejecutivos está diseñada para que no sea posible ingresar a aplicaciones de interés Banco de Chile. Tampoco se puede extraer información de las bases de datos de los clientes. Solo visualizar lo que se les entrega a través de la aplicación FLuve, la cual está autorizada para entregar la información mínima a los ejecutivos para realizar su preevaluación. Con esto se asegura de que los ejecutivos no puedan sacar datos privados o listas de clientes. Entre las precauciones que se toman están las siguientes: 3 VERSIÓN 01 PREFIN S.A. 11 Mayo 2014
Acceso a Aplicaciones y LAN Restringido. El acceso a aplicaciones del PC y a otros equipos de la red está restringido solo a las requeridas por el servicio. Los ejecutivos no tienen acceso a computadores Banco de Chile ni a su Red. Antivirus Microsoft Security Essencial. Con este antivirus restringimos las actividades maliciosas que pudiesen provocar daños en el equipo Mini-Notebook de propiedad de Prefin. Firewall. Dispositivo que funciona como cortafuegos entre redes, permitiendo o denegando las transmisiones de una red a la otra. Esta situado entre la red local de PREFIN y la Red Internet, como dispositivo de seguridad para evitar que intrusos puedan acceder a información confidencial Para permitir o denegar una comunicación el firewall examina el tipo de servicio al que corresponde, como pueden ser el web, el correo o el IRC. Dependiendo del servicio el firewall decide si lo permite o no. Además, el firewall examina si la comunicación es entrante o saliente y dependiendo de su dirección puede permitirla o no. Administración de Usuarios y Accesos. Con el Objetivo de regular los pasos necesarios para efectuar la correcta administración de las cuentas y claves de acceso pertenecientes a los distintos ambientes de trabajo de PREFIN S. A., definiendo los procedimientos a utilizar en el alta / baja / modificación de una identificación de usuario y privilegios en el entorno/sistema aplicativo solicitado. De esta manera controlamos que cada usuario solo tenga acceso a la mínima información pero necesaria para ejecutar sus labores (Manual de PROCEDIMIENTO ADMINISTRACION DE SISTEMAS Y CUENTAS DE USUARIO ). 5 - Seguridad Transferencia y almacenamiento de Datos La transferencia de datos, principalmente información otorgada por Clientes a Ejecutivos de Pre evaluación (Por ejemplo liquidaciones de Sueldo, Fotocopia C.I, Etc.) son transferidas entre PREFIN y sus ellos utilizando un el correo corporativo autorizado por Banco de Chile, con lo cual el control oficial se delega al servidor de correos de este ultimo. Las bases de clientes son acotadas y entregadas por un supervisor a través de la aplicación FLUVE, con tal que solo el Ejecutivo designado pueda trabajar dicha base y en la aplicación. El acceso remoto a los servidores de PREFIN está controlado y regido por Firewalls, lo que permite asegurar que las conexiones remotas siempre deben ser evaluadas antes de ser aceptadas. En el caso de que se autorice el acceso remoto a usuarios desde el exterior, las conexiones son realizadas a través de Escritorio Remoto con un usuario y clave designados y controlados. 4 VERSIÓN 01 PREFIN S.A. 11 Mayo 2014
6 - Definiciones Las definiciones que aplican a los diferentes ámbitos de seguridad de la información. A continuación se mencionan algunas definiciones de carácter global que es relevante mencionar en esta Política: Activo: Algo que tiene valor para la organización. Confidencialidad de la Información: Propiedad que determina que la información no esté disponible ni sea revelada a individuos, entidades o procesos no autorizados. Información Reservada: Se considera Reservada cuando la Información a través de su difusión compromete la seguridad, estabilidad y gobernabilidad de la Empresa por tanto se mantiene temporalmente fuera del acceso publico. Información Publica: Es todo registro, archivo o dato que recopile, mantenga, procese o se encuentre en poder de la Empresa y cuyo acceso no tenga restricción al público en General. Integridad de la Información: Propiedad de salvaguardar la exactitud y estado completo de los activos. Disponibilidad de la Información: Propiedad de que la información sea accesible y utilizable por solicitud de una entidad autorizada. 7 - Roles y Responsabilidades La estructura organizacional para la gestión de riesgo de seguridad de la información y tecnología provee la definición de objetivos estratégicos definidos en esta Política, un Plan de Mejora Continua de Seguridad de la Información, las Normas de Seguridad de la Información, mecanismos de supervisión de cumplimiento, definiciones y vías de escalamiento, niveles de reportes de la gestión de riesgo de seguridad de la información y tecnología para las autoridades de Prefin y reguladores totalmente alineados con nuestro cliente Banco de Chile. Las siguientes entidades son parte de la estructura de gobernabilidad global de seguridad de la información - los roles y responsabilidades más específicos de seguridad incorporados en los procesos de las áreas que administran y soportan la tecnología. 7.1 - Gerencia Asegurar el cumplimiento de la Política al interior del área, y tomar conocimiento de las políticas en incumplimiento y excepciones. Velar por la protección de la confidencialidad, integridad y disponibilidad de la información que se procese, transmita y almacene en los procesos y los ámbitos bajo su responsabilidad. Manejar una visión integral de la seguridad de la información, teniendo roles y responsabilidades en otras políticas relacionadas a seguridad de la información. 5 VERSIÓN 01 PREFIN S.A. 11 Mayo 2014
7.2 - Procesos Comerciales Revisar y velar que los niveles de riesgo de seguridad de la información y tecnología estén acotados y controlados de acuerdo a los niveles de riesgo aceptados por PREFIN/Banco de Chile. Revisar y aprobar los objetivos estratégicos y el Plan de Mejora Continua de Seguridad de la Información. Es responsable de centralizar, procesar y realizar gestión sobre la información generada a través de la gestión de riesgo de seguridad de la información. Mantener informado a las unidades y autoridades responsables de supervisar los niveles de riesgo de seguridad de la información y tecnología. Coordinar con las diferentes unidades de PREFIN el proceso de planeación, implementación, monitoreo, chequeo, revisión, mantención, difusión y mejora continua de la gestión de riesgo de seguridad de la información. Apoyo y seguimiento en el cumplimiento de las políticas y normas de seguridad de la información. 7.3 - Gerencia de Operaciones Generar y proponer los objetivos estratégicos y la Planificación de Mejora Continua de Seguridad de la Información en Prefin. Impulsar las políticas, normas y procedimientos de seguridad de la información basado en las leyes y regulaciones locales vigentes, mejores prácticas de mercado y necesidades del negocio. Proponer, organizar y supervisar el programa de capacitación y entrenamiento de seguridad de la información para los colaboradores de Prefin. Proponer, impulsar y hacer seguimiento al Plan de Mejora Continua de Seguridad de la Información y generar nuevas iniciativas de seguridad de la información que fortalezcan la estrategia del negocio. Analizar el riesgo asociado a la implementación de los distintos proyectos, productos y servicios y entregar las recomendaciones para el tratamiento de riesgos y vulnerabilidades. Apoyar en la definición, desarrollo e implementación de planes de mejoras en el ámbito de seguridad de la información para los distintos procesos, productos y servicios en la organización. 6 VERSIÓN 01 PREFIN S.A. 11 Mayo 2014
7.4 - Unidad Informática Ejecutar controles preventivos que operan sobre los esquemas de seguridad de las distintas plataformas y aplicativos de procesamiento de datos, almacenamiento y custodia de información magnética de acuerdo a las definiciones del PROCEDIMIENTO SISTEMA DE RESPALDO PREFIN. Mantener informado a las gerencias y Comités responsables de supervisar los niveles de riesgo de seguridad de la información y tecnología. Supervisar y controlar el correcto funcionamiento de las herramientas tecnológicas de seguridad implantadas en ambientes de tecnología. Detectar los principales eventos que atentan contra la seguridad tecnológica, comunicando en forma oportuna a su línea y a las unidades organizacionales involucradas. Coordina en conjunto con Unidades Administrativas las actividades y revisiones orientadas al cumplimiento de las Normas de Seguridad Física y Puesto de Trabajo Seguro. 8 - EXCEPCIÓNES Toda desviación e incumplimiento respecto a las definiciones de Prefin establecidas en esta Política, será tratado como una excepción o aceptación de riesgo, de acuerdo a las aprobación respectivas de Gerencia y Jefaturas autorizadas de Prefin. 7 VERSIÓN 01 PREFIN S.A. 11 Mayo 2014