Política de Seguridad de la Información - ISO 27001:2013

INTRODUCCIÓN

La información corresponde a un activo, el cual se expone a riesgos y amenazas dinámicos, que pueden provenir desde dentro o fuera de la organización, y pueden ser intencionales o accidentales. Su ocurrencia puede provocar pérdidas materiales y económicas, daños en la imagen institucional y en la confianza de los clientes, infracciones legales, incumplimiento regulatorio, vulneración de derechos de colaboradores o de terceros. Dado lo anterior, es importante proteger adecuadamente los activos de información de la organización.

Por ello, para PALLAVICINI CONSULTORES, la Seguridad de la Información es un proceso continuo destinado a proteger sus activos de información contra las amenazas que pongan en riesgo su integridad, disponibilidad o confidencialidad.

Toda información de la PALLAVICINI CONSULTORES, independiente de la forma en que se documente (soporte), debe ser protegida adecuadamente a través de la implementación de un conjunto de controles, que se definen en políticas, normas y procedimientos de Seguridad de la Información.

En vista de lo anterior, el Directorio de PALLAVICINI CONSULTORES apoya los objetivos estratégicos de Seguridad de la Información y vela para que se encuentren alineados con las estrategias y los objetivos del negocio.

En cuanto a las políticas de Seguridad de la Información de PALLAVICINI CONSULTORES, estarán basadas en la norma ISO 27002 vigente, correspondiendo el presente documento al punto 5 de dicha norma: “Políticas de Seguridad de la Información”.

DEFINICIONES

PALLAVICINI CONSULTORES

Se refiere exclusivamente a SOCIEDAD (incluye o no FILIALES).

Colaborador

Toda persona que tenga un vínculo contractual de trabajo con , sea éste indefinido, a plazo fijo o a honorarios.

Activo de Información

Aquello que tenga valor y es importante para PALLAVICINI CONSULTORES, sean documentos, sistemas o personas. Son todos aquellos elementos relevantes en la producción, emisión, almacenamiento, comunicación, visualización y recuperación de información de valor para la institución. Se distinguen tres niveles:

  • La Información propiamente tal, en sus múltiples formatos (papel, digital, texto, imagen, audio, video, etc.)

  • Los Equipos/Sistemas/Infraestructura que soportan esta información

  • Las Personas que utilizan la información, y que tienen el conocimiento de los procesos institucionales

Política

Directriz u orientación general expresada formalmente por la Administración de PALLAVICINI CONSULTORES

Norma

Disposición de carácter general que se desprende de las políticas de Seguridad de la información, estableciendo obligaciones, restricciones, prohibiciones u otras conductas esperadas.

Procedimiento

Sucesión cronológica de acciones concatenadas entre sí, para la realización de una actividad o tarea específica dentro del ámbito de los controles de Seguridad de la Información.

Riesgo

Es la posibilidad que ocurra un evento que afecte adversamente el logro de los objetivos de Se mide combinando las consecuencias del evento (impacto) y su probabilidad de ocurrencia.

Amenaza

Causa potencial de un incidente no deseado, que puede dar lugar a daños a un sistema o proceso.

Vulnerabilidad

Debilidad de un activo o grupo de activos que puede ser materializada por una o más amenazas.

Evento de Seguridad de la Información

Actividad o serie de actividades sospechosas que amerita ser analizada desde la perspectiva de la Seguridad de la Información.

Incidente de Seguridad de la Información

Evento o serie de eventos de Seguridad de la Información, no deseados o inesperados, que compromete la Seguridad de la Información y amenaza la operación del negocio.

Confidencialidad

Propiedad de la información que determina que sólo podrá ser accedida por personas, entidades o procesos debidamente autorizados.

Integridad

Propiedad de la información según la cual sólo puede ser modificada, agregada o eliminada por las personas o sistemas autorizados para cada proceso, de tal forma de salvaguardar la exactitud y completitud de los activos de información.

Disponibilidad

Propiedad de la información según la cual es accesible y utilizable oportunamente por las personas o sistemas o procesos autorizados, en el formato requerido para su procesamiento.

POLÍTICAS

Deber del Colaborador

Todo colaborador de PALLAVICINI CONSULTORES tiene el deber de contribuir permanentemente a la Seguridad de la Información, de manera proactiva, respetando y cumpliendo las políticas, normas, procedimientos de Seguridad de la Información, y debe preocuparse de conocer y comprender el contenido de todas ellas.

Aplicación a Terceros

Las políticas de Seguridad de la Información se darán a conocer y se exigirán a terceros con quienes PALLAVICINI CONSULTORES se relacione, tales como clientes o proveedores que realicen trabajos para la compañía, incorporándose las cláusulas pertinentes en los contratos respectivos.

Políticas de Seguridad de la Información

Se establecen y se consideran como parte de este marco normativo de Seguridad de la Información, Políticas Específicas de Seguridad de la Información de PALLAVICINI CONSULTORES, de acuerdo a los dominios definidos en la norma ISO 27002, a saber:

  • Políticas de Seguridad de la Información

  • Organización de la Seguridad de la Información

  • Seguridad de Recursos Humanos

  • Administración de Activos

  • Control de Acceso

  • Criptografía

  • Seguridad Física y Ambiental

  • Seguridad de las Operaciones

  • Seguridad en las Comunicaciones

  • Adquisición, Desarrollo y Mantenimiento de Sistemas

  • Relaciones con los Proveedores

  • Administración de Incidentes de Seguridad de la Información

  • Aspectos de Seguridad de la Información en Continuidad del Negocio

  • Cumplimiento

Estructura del Marco Normativo de Seguridad de la Información

La documentación de Seguridad de la Información de PALLAVICINI CONSULTORES está dividida en:

  • Políticas

  • Normas

  • Procedimientos

Categorías de Políticas

Las políticas de Seguridad de la Información están agrupadas en tres temas:

a) Políticas Referidas a los Activos de Información y Exigencias Técnicas

PALLAVICINI CONSULTORES, con el objeto de definir los criterios aplicables a los activos de información y las exigencias técnicas de seguridad adecuadas para la PALLAVICINI CONSULTORES, cuenta con políticas sobre: gestión de activos, seguridad física y ambiental, criptografía, gestión de comunicaciones y operaciones, control de acceso, sobre adquisición, desarrollo y mantención de sistemas de información, sobre gestión de incidentes y sobre administración de proveedores.

b) Políticas Referidas a la Gestión de Personas

PALLAVICINI CONSULTORES, con el objeto de favorecer un uso adecuado de la información y de los sistemas que la apoyan, cuenta con políticas de Seguridad de la Información vinculadas a la Gestión de Personas. Dichas políticas, en la medida que se refieran a obligaciones o prohibiciones que afecten a los colaboradores de PALLAVICINI CONSULTORES, deberán encontrarse alineadas, entre otras, con las normas laborales vigentes; en especial, con los Contratos de Trabajo, el Reglamento Interno de Orden, Higiene y Seguridad, el Código de Ética, la Política de Prevención de Delitos y el Manual para el Manejo de Información, entre otros.

c) Políticas Referidas al Cumplimiento

PALLAVICINI CONSULTORES cuenta con políticas de Seguridad de la Información asociadas al cumplimiento de disposiciones legales, regulatorias o contractuales. A partir de dichas políticas, se deberán implementar medidas de control que consideren el riesgo legal por incumplimiento, no sólo correctivamente, sino principalmente de forma preventiva.

Estructura Organizacional de Seguridad

PALLAVICINI CONSULTORES, con el objeto de asignar los roles y funciones necesarios para la gestión de la Seguridad de la Información, cuenta con políticas y normas de tipo organizacional, fundamentales para garantizar una adecuada gestión de Seguridad de la Información al interior de PALLAVICINI CONSULTORES, concretándose principalmente en el Comité de Tecnología y Seguridad de la Información y en el rol de Oficial de Tecnología de la Información.

Aprobación y Difusión de las Políticas

Las políticas específicas de PALLAVICINI CONSULTORES, así como cualquier modificación a las mismas, deberán ser aprobadas por los estamentos pertinentes, definidos en los acuerdos del Comité de Tecnología y Seguridad de la Información.

Todas las políticas de Seguridad de la Información deberán ser comunicadas a los colaboradores de PALLAVICINI CONSULTORES de manera pertinente, accesible y comprensible, dejándose constancia de ello.

Sanciones

El incumplimiento de las políticas de dará derecho a ésta a ejercer las acciones civiles, penales y administrativas que correspondan, y de ser ello procedente, a proceder a la terminación de los contratos respectivos.

Vigencia

Las políticas de Seguridad de la Información y todo su contenido tendrán vigencia a contar de su fecha de aprobación y puesta en marcha.

Revisión

La política de Seguridad de la Información será revisada por lo menos una vez al año.

0 vistas