INTRODUCCIÓN
La presente Política de Seguridad Externa de la Información establece las directrices y los procedimientos que deben seguirse para proteger la información, activos y sistemas de la organización cuando esta se maneja fuera de las instalaciones internas, ya sea a través de accesos remotos, interacciones con terceros o en la nube. Esta política se aplica a todos los empleados, proveedores, socios comerciales y cualquier parte externa que tenga acceso a la información de la organización.
- OBJETIVO
La Política de Seguridad de la Información (PSI) tiene como objetivo establecer los lineamientos y principios que garanticen la confidencialidad, integridad, disponibilidad y privacidad de la información procesada por Seguridad América se basa en las mejores prácticas internacionales, especialmente la familia de normas ISO 27000, como ISO/IEC 27001, que proporciona los requisitos para un sistema de gestión de seguridad de la información.(Sistemas de gestión del sistema de información (SGSI), y la norma ISO/IEC 27701, que amplía el alcance de la protección de datos personales.(SGPI), alineándose con legislaciones como la Ley General de Protección de Datos (LGPD) y el Reglamento General de Protección de Datos (RGPD). Los objetivos de Política de seguridad de la información:
a) Conocimiento generado o recibido;
b) Establecer lineamientos generales de seguridad y privacidad de la información, de esta forma, contribuir a la gestión eficiente de los riesgos, limitándolos a niveles aceptables, así como preservando los principios de disponibilidad, integridad, confidencialidad, privacidad y autenticidad de la información;
c) Establecer competencias y responsabilidades en materia de seguridad de la información y privacidad;
d) Orientar el desarrollo de políticas o normas necesarias para una gestión eficaz Implementación de la seguridad de la información y privacidad;
e) Promover la alineación de las acciones de seguridad de la información y privacidad con las estrategias de planificación organizacional de Seguridad América.
2. ALCANCE
Seguridad América Reafirma su compromiso con la seguridad y privacidad de la información, implementando y supervisando rigurosamente sus controles para garantizar la confidencialidad, integridad, disponibilidad y privacidad de todos los activos de información. Nuestras acciones se rigen por el cumplimiento de la legislación vigente, la normativa aplicable y los requisitos contractuales establecidos con clientes, empleados y otras partes interesadas. Nos comprometemos continuamente a mejorar nuestros productos, procesos y servicios, buscando siempre la excelencia y la mejora continua en todas nuestras operaciones, por lo que:
a) Propósito de establecer principios, lineamientos, responsabilidades y competencias para la gestión de la seguridad y privacidad de la información;
b) Esta Política de Seguridad de la Información (PSI) se aplica a todas las empresas de Seguridad América y deben ser observadas por todos los usuarios de la información, ya sean empleados, proveedores de servicios o terceros autorizados;
c) Todo tipo de información procesada por el Grupo Seguridad América, incluidos los datos datos personales de clientes, empleados, socios, proveedores y cualquier otro dato onfidencial, propietario o sensible;
d) Todos los sistemas de información, dispositivos, redes, servidores, aplicaciones, bases de datos y cualquier otro recurso tecnológico utilizado en el tratamiento de la información;
e) Protección de la información y de los datos personales, incluido el desarrollo, la operación, el mantenimiento y la eliminación de activos de información;
f) todos los empleados, incluidos los empleados, pasantes y trabajadores temporales, contratistas y terceros que realizan funciones en las instalaciones de Seguridad América, o en nombre de la empresa, independientemente de su ubicación geográfica;
g) Todas las instalaciones físicas de Seguridad América, incluyendo oficinas, centros de negocios datos y cualquier otro lugar donde se almacenen, procesen o transmitan activos de información;
h) Todos los proveedores de servicios externos y socios comerciales que tener acceso a la información y a los sistemas de Seguridad América, o que prestan servicios críticos para las operaciones de la empresa.
3. DEFINICIONES
Para una comprensión clara y consistente de esta Política de Seguridad de la Información, se adoptan las siguientes definiciones:
a) Recurso físico que tiene valor para la organización y requiere protección adecuada.
b) Control de acceso: medidas para garantizar que el acceso a los activos sea autorizados y restringidos según los requisitos comerciales y de seguridad;
c) Autenticación:proceso de proporcionar garantía de que una característica La supuesta identidad de una entidad, como la de un usuario o dispositivo, es correcta. La autenticación es fundamental para garantizar que solo las personas o sistemas autorizados puedan acceder a ciertos recursos o información.
d) Confidencialidad:propiedad que la información no se pone a disposición o divulgada a personas, entidades o procesos no autorizados;
f) Integridad: propiedad de exactitud e integridad de la información;
g) Disponibilidad: la propiedad de ser accesible y utilizable a demanda por una entidad autorizada;
h) Privacidad: control sobre la recopilación, el almacenamiento, el uso y el intercambio de datos personales, de conformidad con la legislación aplicable;
i) Datos personales:información relacionada con una persona física identificada o identificable;
j) Opiniones religiosas, políticas, afiliación a un sindicato o a una organización de carácter religioso, filosófico o político, datos relativos a la salud o a la vida sexual, datos genéticos o biométricos, cuando estén vinculados a una persona física;
k) Titular de los datos:persona física a la que se refieren los datos personales están sujetos a tratamiento.
l) Parte interesada: persona u organización que puede afectar, ser afectada por, o sentirse afectado por una decisión o actividad.Ex:clientes, empleados, proveedores, accionistas, organismos reguladores y socios comerciales.
m) Violación de la privacidad: situación en la que se tratan datos personales de forma inapropiada, resultando en una violación de uno o más requisitos de protección de la privacidad, comprometiendo la confidencialidad, integridad o disponibilidad de dichos datos}.
Sistema de Gestión de Seguridad de la Información (SGSI): consiste en políticas, procedimientos, directrices y recursos y actividades asociados, gestionados colectivamente por una organización con el fin de proteger sus activos de información.
Sistema de gestión de la privacidad de la información (IPMS): conjunto de políticas, procesos y controles implementados para gestionar y proteger los datos personales, garantizando que la organización cumpla con la legislación de privacidad y asegurando que se respeten los derechos de los interesados en todas las operaciones de la organización.
4. RESPONSABILIDADES
La estructura de Gestión de Seguridad y Privacidad de la Información está compuesta por:
a) Alta dirección:responsable de garantizar el cumplimiento de la Política Seguridad de la información (ISP) en todo Seguridad América de proporcionar los recursos necesarios para su implementación eficaz. La alta dirección también es responsable de demostrar compromiso con la seguridad de la información y promover una cultura de seguridad dentro de la organización.
b) Comité del Sistema de Gestión de la Privacidad de la Información (IPMS):Es responsable de la gobernanza de la ISP y de realizar revisiones anuales, o cuando seproduzcan cambios significativos, para garantizar el cumplimiento de los requisitos legales y reglamentarios. El Comité debe garantizar que las revisiones de políticas se realicen adecuadamente y que todas las políticas se mantengan coherentes y alineadas con los objetivos estratégicos y operativos de la ISP Seguridad América.
c) Gerentes:deben asegurarse de que todos los miembros de sus equipos Comprender y cumplir la PSI, promoviendo una cultura de cumplimiento, seguridad y privacidad de la información. Son responsables de comunicar los cambios relevantes a la
política y de garantizar que todos los empleados bajo su supervisión reciban la capacitación adecuada en seguridad y privacidad de la información.
d) Responsable del tratamiento de datos (DPD):responsable de Supervisar el cumplimiento de la legislación sobre protección de datos personales y la PSI. Actúa como punto de contacto entre Seguridad América y autoridades de protección de datos, y es responsable de gestionar las solicitudes de los interesados y coordinar las respuestas a los incidentes de seguridad que involucran datos personales;
e) Gerente de Seguridad de la Información:responsable del desarrollo, Implementar y mantener el ISP, así como garantizar la correcta aplicación de todas las medidas de seguridad y la respuesta eficaz a los incidentes de seguridad. El gerente
también coordina las actividades relacionadas con la seguridad y la privacidad de la información, realiza evaluaciones de riesgos y garantiza que todas las prácticas de seguridad se ajusten a las políticas de la organización.
F) Tareas operativas relacionadas con la seguridad de la información, incluyendo la implementación de medidas de protección y la respuesta a incidentes. Es responsable de recibir y evaluar informes de fallos, amenazas, eventos o incidentes de seguridad de la información, ya sean sospechosos o confirmados, y de tomar las medidas necesarias para mitigar los riesgos.
G) Equipo de Infraestructura:responsable de implementar medidas Medidas técnicas y administrativas para proteger los activos de información, garantizando la seguridad, disponibilidad, integridad, confidencialidad y privacidad de los datos. El equipo debe
realizar actividades de mantenimiento y supervisión del sistema, así como colaborar en la respuesta a incidentes de seguridad y privacidad.
h) Todos los usuarios: todas las personas u organizaciones que tengan acceso a los sistemas e información de Seguridad América Son responsables de cumplir con esta Política de Seguridad de la Información, así como con las directrices, medidas y procedimientos asociados. Deben actuar de forma que se proteja la confidencialidad, integridad, disponibilidad y privacidad
de la información, informando de inmediato sobre cualquier incidente o sospecha de violación de la seguridad.
5. PAUTAS
Acciones de seguridad y privacidad de la información Seguridad América y sus empresas se guían por los principios que rigen el buen gobierno corporativo y la responsabilidad corporativa, incluidos los siguientes principios:
a) Información: Confidencialidad, integridad, disponibilidad y privacidad de Información:
i. Confidencialidad:Proteger la información contra el acceso no autorizado, manteniendo su privacidad;
ii. Integridad:Asegúrese de que la información sea precisa y confiable, protegiéndolos contra modificaciones no autorizadas;
iii. Disponibilidad:Asegúrese de que la información esté siempre accesible para quien lo necesite, garantizando la continuidad operativa;
iv. Privacidad:Respetar y proteger los datos personales de acuerdo con la legislación aplicable.
b) Continuidad de procesos y servicios esenciales: Asegúrese de que el procesos y servicios críticos para el funcionamiento de las empresas en Seguridad América y el servicio al cliente se mantiene de acuerdo con el SLA establecido, incluso ante incidentes de seguridad y privacidad;
c) Rentabilidad de la protección de los activos de información:proteger los activos Gestionar la información de forma eficaz y eficiente, optimizando recursos y garantizando el máximo retorno de la inversión en seguridad y privacidad. Las inversiones en seguridad y privacidad de la información deben ser proporcionales a los riesgos y al valor de los activos de información involucrados, considerando las amenazas identificadas y la criticidad de las operaciones.
d) Respeto al acceso a la información, protección de datos personales y privacidad:Garantizar que el acceso a la información se equilibre con la necesidad de proteger los datos personales y respetar la privacidad de las personas, de conformidad con
la legislación aplicable. El acceso a los recursos de tecnología de la información debe basarse en el principio del mínimo privilegio, garantizando que los empleados y terceros solo tengan los permisos necesarios para desempeñar sus funciones, según lo aprobado por la dirección.
e) Responsabilidad del usuario:Todos los usuarios de la información son responsables de sus acciones, especialmente de aquellas que puedan comprometer la seguridad y privacidad de los activos de información, así como:
i. Todos los contratos de prestación de servicios celebrados por empresas de Seguridad América debe incluir una cláusula específica que determine el cumplimiento obligatorio de esta Política de Seguridad de la Información, así como de cualquier otra
política o norma relacionada;
ii. El acceso a los recursos de tecnología de la información de Seguridad América este sujeto a la firma de un Término de Responsabilidad o Confidencialidad, preferiblemente en forma electrónica, en el que el usuario declara conocer los términos de esta Política, las responsabilidades y compromisos derivados del uso de estos recursos, así como las sanciones aplicables en caso de incumplimiento de los estándares de seguridad de la información y privacidad establecidos por el grupo.
f) Alineación estratégica:alinear la Política de Seguridad de la Información con La planificación estratégica de Seguridad América y sus empresas, garantizando la coherencia con los objetivos comerciales y otros estándares internos de seguridad de la información y privacidad;
g) Cumplimiento de la legislación y normativa:garantizar que todos Las normas y acciones de seguridad y privacidad de la información cumplen con las leyes y regulaciones aplicables, incluyendo, pero no limitado a, la Ley General de Protección de
Datos (LGPD) y otras normas relevantes;
h) Educación y comunicación:Fomentar una cultura de seguridad de la información y privacidad a través de programas continuos de educación y comunicación, garantizando que todos los empleados y socios sean conscientes de sus responsabilidades y las mejores prácticas de seguridad y privacidad;
i) Información y privacidad, adaptándose a las nuevas amenazas y tendencias tecnológicas;
j) Colaboración y cooperación: Promover la colaboración interna y externa, con empleados, socios, proveedores y clientes, para fortalecer las prácticas de seguridad y privacidad de la información y compartir conocimientos y experiencias.
Mejora continua:Promover la mejora continua de las prácticas de seguridad Las directrices antes mencionadas forman los pilares de la seguridad de la información y la gestión de la privacidad en Seguridad América, orientando el desarrollo de políticas y estándares complementarios, con foco en la mejora continua y adaptación a nuevas amenazas y requisitos legales. Las políticas, normas, procedimientos, manuales y metodologías de seguridad de la información y privacidad de Seguridad América debe considerar, como referencia, además de la normativa vigente, las mejores prácticas en seguridad y privacidad de la información.
5.1 Acciones de seguridad y privacidad de la información
Las acciones de seguridad y privacidad de la información deben considerar, pero no limitarse a, los elementos que se enumeran a continuación:
a) La estructura y el propósito de Seguridad América;
b) Ser tratados de manera integrada, respetando las especificidades y la autonomía de las empresas de Seguridad América;
c) Adoptarse en proporción a los riesgos existentes y a la magnitud de los daños potencial, considerando el entorno, valor y criticidad de la información;
d) Tener como objetivo prevenir que se produzcan incidentes. considerar, como prioridad, los objetivos estratégicos, los planes institucionales, La Política de Seguridad de la Información y sus actualizaciones, así como las políticas específicas de seguridad y privacidad de Seguridad América debe ser ampliamente difundida a todos los Usuarios de la Información con el objetivo de promover su observancia, concientización y la formación de una sólida cultura de seguridad y privacidad de la información.
6. POLÍTICAS, PROCEDIMIENTOS Y REGISTROS
La Política de Seguridad de la Información, junto con otras normas derivadas de esta política, forma parte del marco regulatorio para la Gestión de la Seguridad y Privacidad de la Información. Seguridad América.
La Gestión de la Seguridad y Privacidad de la Información se compone, como mínimo, de los siguientes procesos:
a) Almacenamiento, transmisión y eliminación seguros de información sensible y confidencial;
b) Seguridad física y ambiental:medidas para proteger las instalaciones físicas y el entorno informático contra accesos no autorizados, daños o interferencias;
c) Gestión de incidentes de seguridad de la información y privacidad: procesos para detectar, responder y recuperarse de incidentes de seguridad y privacidad que puedan comprometer la confidencialidad, integridad, disponibilidad o privacidad de la
información;
d) Su adecuada protección a lo largo de su ciclo de vida;
e) Gestión del uso de recursos operativos y de comunicaciones:estándares para el uso seguro y apropiado de recursos como el correo electrónico, el acceso a Internet, las redes sociales y los servicios de computación en la nube;
f) Controles de acceso:Implementación de mecanismos de control para garantizar que sólo las personas autorizadas tengan acceso a recursos e información específicos;
g) seguridad de la información y privacidad;
h) Gestión de la continuidad: Planificación e implementación de medidas para garantizar la continuidad de los procesos críticos de negocio en caso de incidentes o interrupciones de seguridad;
i) Auditoría y cumplimiento:procesos para evaluar el cumplimiento de las política de seguridad de la información, normas internas y regulaciones externas, incluidas auditorías periódicas; Procesamiento de la información:procesos relacionados con la clasificación, Gestión de activos:inventario y control de los activos de información, asegurando Gestión de riesgos:identificación, evaluación y tratamiento de los riesgos asociados El Comité del Sistema de Gestión de Seguridad de la Información y Privacidad podrá definir otros procesos de Gestión de Seguridad de la Información y Privacidad, siempre que estén alineados a los principios y lineamientos de esta Política y orientados a implementar acciones de seguridad y privacidad de la información. Para cada uno de los procesos que constituyen la Gestión de la Seguridad y Privacidad de la Información, se deberá observar la relevancia de desarrollar políticas, normas, procedimientos, guías o manuales que regulen o faciliten su comprensión de acuerdo con la legislación vigente y las buenas prácticas de seguridad de la información.
7. DISTRIBUCIÓN E IMPLEMENTACIÓN
La Política de Seguridad de la Información (PSI) será divulgada en su totalidad a los miembros de
las empresas que conforman Seguridad América, según lo dispuesto:
a) Los empleados de las empresas que conforman Seguridad América,a través de canales de
comunicación internos.
b) Siempre que se haga una nueva versión o una revisión significativa, una
Se enviará un aviso global a todos los contribuyentes para notificarles los cambios.
c) El documento será accesible a través de un enlace en la intranet de Seguridad América.
8. FOCAS
Las siguientes acciones en relación con la seguridad de la información y la privacidad están prohibidas en el ámbito de aplicación Seguridad América
a) El uso de los recursos de información y tecnología de la información de Seguridad América para fines no autorizados o ajenos a actividades profesionales, incluyendo, pero no limitado a, uso personal, actividades ilegales o cualquier uso que pueda comprometer la seguridad, privacidad e integridad de los sistemas y datos;
b) La instalación de software, aplicaciones o cualquier otro tipo de programa en el dispositivos y sistemas de Seguridad América sin autorización previa del equipo responsable de la seguridad de la información y privacidad;
c) La divulgación de información confidencial o sensible, incluidos datosdatos personales de clientes, empleados o socios, sin la debida autorización y al margen de los procedimientos establecidos por la política de seguridad de la información;
d) Compartir credenciales de acceso, como contraseñas y tokens, con cualquier persona, interna o externamente a Seguridad América , excepto cuando esté específicamente autorizado y documentado por las políticas internas;
e) La manipulación, alteración o supresión de registros de datos e informaciones sin autorización expresa, al margen de los procedimientos de control y auditoría establecidos.
9. DISPOSICIONES FINALES
Las presentes son disposiciones finales asociadas a la Política de Seguridad de la Información de Seguridad América:
a) Las empresas del Grupo Seguridad América deben promover acciones formativas y concientización para que sus empleados comprendan sus responsabilidades y procedimientos respecto a la seguridad y privacidad de la información;
b) Concientización, capacitación y sensibilización en seguridad de la información y la privacidad debe ser apropiada a los roles y responsabilidades de los empleados;
c) Los reportes de violaciones a esta Política podrán ser comunicados al Gerente de Políticas. Delegado de Seguridad de la Información o de Protección de Datos y deberá realizarse a través de los siguientes canales: Correo electrónico: [email protected]
d) El cumplimiento de esta Política, así como de otras políticas que complemento, debe ser evaluado periódicamente, con revisiones al menos anuales, por Seguridad América mediante controles de cumplimiento;
e) El cumplimiento de esta Política, así como de otras políticas que complemento, debe ser evaluado periódicamente, con revisiones al menos anuales, por Seguridad América mediante controles de cumplimiento;
f) El incumplimiento de las disposiciones de esta Política, así como de sus instrumentos normativa conexa, sujeta al infractor a la aplicación de sanciones administrativas de conformidad con la legislación vigente, sin perjuicio de las responsabilidades penales y civiles, garantizando siempre a los implicados el derecho a la audiencia y a la amplia defensa;
g) Omisiones y dudas sobre la Política de Seguridad de la Información y sus documentos deberán ser entregados al Comité del Sistema de Gestión de Seguridad y Privacidad de la Información.
10. NATURALEZA DE LOS CAMBIOS
Tabla – Historial de revisiones
| Fecha | Revisión | Descripción | Cambiado por | Aprobado por |
|---|
| 23/09/2024 | 00 | Preparación inicial de documento | Daniel Cadorin | Comité del SGPI |
