Política Seguridad de la información 

Objetivo 

Proporcionar lineamientos para la gestión de la seguridad de la información, así como para la implementación de medidas con la finalidad de preservar la confidencialidad, integridad y disponibilidad de los activos de información de la organización. 

Alcance 

Es aplicable a todos los colaboradores de Sapia y terceros, que utilicen los recursos o información que sean propiedad de la organización. 

Lineamientos 

  • El Comité de Revisión por la Dirección mantiene, revisa y mejora el Sistema de Gestión de Seguridad de la Información de Sapia. 
  • Los miembros del Comité de Revisión por la Dirección definen objetivos para el Sistema de Gestión de Seguridad y estos se comunican dentro de la organización. 
  • Se toman medidas disciplinarias al personal que incumpla con la Política de Seguridad de la Información conforme a las disposiciones señaladas en los documentos normativos de la empresa, sin prejuicio de las acciones civiles y/o penales que pudieran corresponder.
  • La política es comunicada, entendida e implementada en toda la organización y es de conocimiento por las partes interesadas. 
  • Se prohíbe la publicación de fotografías y videos que hayan sido tomadas y/o grabados dentro de las instalaciones de Sapia. 
  • Las fotografías tomadas dentro de las instalaciones solo pueden publicarse a través del área de Marketing. 
  • Todos los servicios de tecnología de la información se encuentran sujetos a monitoreo y en caso de detectarse un mal uso de los recursos de parte de los colaboradores serán sancionados de acuerdo a la falta y el Reglamento Interno de Trabajo. 
  • Se prohíbe hacer ofrecimientos fraudulentos de productos o servicios cuyo origen sean los recursos o servicios propios de la compañía. 
  • Todos los eventos que atenten contra la seguridad de la información son reportados inmediatamente siguiendo con los procedimientos aprobados. 
  • Todo colaborador notifica los incidentes de seguridad de la información conforme a los canales de comunicación establecidos. 
  • Toda implementación o servicio tecnológico debe ser revisado por el Oficial de Seguridad antes de la fecha del lanzamiento. 
  • Los usuarios cesados no deben eliminar la información de su equipo antes de entregarlo, ya que dicha información pertenece a Sapia. 
  • Ante algún incumplimiento de la presente política se aplicará el Reglamento Interno de la empresa. 

Recursos 

  • La Alta dirección del SGI asegura la disponibilidad de recursos necesarios para la gestión de seguridad de la información. 
  • La Gerencia de Recursos Humanos en coordinación con el Oficial de Seguridad de la Información planifican anualmente las actividades de capacitación y concienciación en seguridad de la información para los colaboradores. 
  • Únicamente se puede ubicar en los puestos de trabajo, computadoras portátiles o Smartphone proporcionados por Sapia las aplicaciones permitidas por la organización, por lo que queda prohibido el uso de software no autorizado. 

Mejora continua 

  • Las metas definidas son coherentes con la presente política, son medibles, comunicadas, documentadas y actualizadas según corresponda. 
  • La Política de Seguridad de la Información es revisada por lo menos una vez al año o cuando ocurren cambios significativos asegurando su idoneidad y adecuación. 
  • Se realizan revisiones periódicas del cumplimiento de los lineamientos de la seguridad de la información. 

Proveedores 

  • Los mecanismos de control con proveedores aseguran que estos cumplan con las políticas de seguridad de la información establecidas por la organización según corresponda. 
  • Todo cambio en los servicios que preste un proveedor es comunicado, acordado y planificado antes de realizarse. 

Uso de redes 

  • El personal es responsable de todas las actividades realizadas con sus cuentas de red, correo electrónico y sistemas de información asociados a la organización. 
  • El uso de la red, correo electrónico, internet, computadoras e impresora son para fines estrictamente laborales. 
  • El área de TI monitorea periódicamente las actividades y transacciones de cada uno de los usuarios creados en los sistemas, aplicativos y dispositivos de la compañía, con la finalidad de vigilar el cumplimiento de las políticas del presente documento, manteniendo la confidencialidad de la información. 
  • El área de TI bloquea en forma automática la recepción de Correos Electrónicos desde aquellas direcciones que se han identificado como fuentes de correo basura, virus y código malicioso en general. 
  • Los funcionarios y empleados son responsables de mantener su imagen profesional dentro de Internet, así como proteger la imagen y reputación de la compañía. 
  • La información disponible en Internet, incluyendo textos, software, música, sonido, fotografía, video, gráficos u otro material contenido, está protegida por copyright, marcas registradas, patentes u otros derechos de propiedad y leyes. Sólo se permite el uso de este material bajo autorización expresa del autor. 

Clasificación de la información 

  • El dueño de la información clasifica su información como confidencial, interna o pública según corresponda. 
  • De acuerdo a su clasificación puede ser tratada como confidencial, interna o pública, conforme lo establecido a continuación:
  • Confidencial: Esta información, por su grado de sensibilidad para la organización, puede generar pérdidas económicas, problemas legales, daños al derecho de la privacidad y datos personales. Cualquier persona u organización que solicite acceder a este tipo de información deberá solicitarlo por los canales de comunicación establecidos y la Organización determinará si puede ser revelada de conformidad con la normativa vigente. 
  • Interna: Es la información que genera, utiliza y controla la organización continuamente. Las atribuciones de generación, modificación y eliminación están limitadas de acuerdo a las funciones o roles de cada colaborador. Este tipo de información también puede ser compartida con las partes interesadas según lo crea conveniente la organización. Por ello, cada colaborador tiene la responsabilidad de custodiar la seguridad de la información concedida en cualquier medio de soporte (digital o físico). 
  • Pública: Es la información que la organización considera que sea de conocimiento interno y externo. 

Comunicaciones Seguras 

  • Se prohíbe el uso de redes públicas para teletrabajar, pues carecen de seguridad. 
  • Cuando en el correo electrónico se detecte lo siguiente: El emisor de un correo electrónico sea desconocido y los enlaces, muestran elementos sospechosos en los mismos, como uso de caracteres que nos generen desconfianza. No se abre dicho correo ni se descarga ningún documento adjunto. 
  • Se fomentarán el uso de plataformas de documentación y almacenamiento de ficheros Cloud/SaaS, que facilita el acceso a la información corporativa en un entorno de teletrabajo. 
  • Si el acceso se va a realizar a través de internet, es imprescindible que la página web que se utilice disponga del protocolo de transferencia segura de datos “https” que implica que la comunicación está cifrada, y por lo tanto segura. 
  • La organización puede hacer uso de 2 tipos de equipos a utilizar en la modalidad de teletrabajo:
    • Corporativos 
    • Personales 

Los dispositivos corporativos, cuentan con medidas mínimas de seguridad establecidas en la presente política de seguridad. 

  • Los dispositivos corporativos utilizados por los trabajadores deben ser cifrado.
  • Windows: Escribir “BitLocker” en la barra de búsqueda y se podrá activar su funcionalidad. 
  • IOS: El cifrado del dispositivo está por defecto.
  • Mac: OSX dispone de la función “Filevault” en Preferencias del Sistema – Seguridad y Privacidad. 
  • El uso de plataformas de colaboración y videoconferencia debe cumplir con lo siguiente:
  • Descarga aplicaciones de proveedores oficiales y mantenerla actualizada.
  • No compartir públicamente el enlace a la reunión, ni su ID, ni el PIN de moderador o invitado 
  • El moderador de la reunión gestionará la conexión de los participantes, cerrar micrófonos o deshabilitar contenidos. 

Uso de información 

  • Toda información interna o confidencial es visualizada dentro de una red o conexión segura. 
  • Toda información interna o confidencial (impresa o escrita), así como la información contenida en dispositivos de almacenamiento (CD, DVD, USB, discos externos) son guardadas en un lugar seguro. 
  • Los colaboradores que, por la naturaleza de sus funciones, impriman documentos con información confidencial, la retiran de la impresora inmediatamente. 
  • Los colaboradores mantienen el escritorio de trabajo ordenado y libre de todo tipo de información interna o confidencial. 
  • Los colaboradores velan por la seguridad y confidencialidad de la información contenida en sus equipos, especialmente cuando se encuentren fuera de las dependencias de la organización. 
  • A toda información confidencial ubicada en los dispositivos de almacenamiento de datos se le aplican técnicas de controles de protección implementadas en la organización, las mismas que contribuyen a preservar confidencialidad e integridad de la información. 
  • Los colaboradores no destruyen o eliminan registros o información importante sin la aprobación respectiva de los propietarios de información. 
  • Toda información en papel o contenida en dispositivos de almacenamiento que contengan información clasificada como confidencial, y se desee eliminar, es destruida de modo que sea imposible su recuperación. 
  • Toda información del colaborador es administrada y controlada únicamente por el personal autorizado de Recursos Humanos. 

Acceso Lógico 

  • Todos los accesos a los recursos de información están basados en la necesidad y perfil de puesto del usuario, razón por la cual se toman en cuenta los siguientes aspectos:
  • Acceso basado en roles. 
  • Los requerimientos de seguridad de cada una de las aplicaciones considerando siempre el principio de menor privilegio. 
  • Identificación de toda la información relacionada a las aplicaciones y los riesgos a la que está expuesta. 
  • Legislación pertinente y cualquier tipo de obligación contractual en cuanto a la limitación de acceso a los datos o servicios. 
  • Requisitos para la autorización formal de las solicitudes de acceso. 
  • Administración de derechos de acceso privilegiado. 
  • Revisión periódica de los controles de acceso. 
  • Revocación de los derechos de acceso. 
  • El acceso a la red corporativa de Sapia es controlado mediante políticas de seguridad aplicadas según perfiles de usuario para los colaboradores y personal externo. 
  • Los colaboradores bloquean el equipo de forma manual cada vez que se retiran de su puesto de trabajo. 
  • Para los accesos lógicos se deben seguir los lineamientos del procedimiento “Gestión de Acceso Lógico”. 

Uso de contraseña 

  • Todo usuario creado para el acceso a las distintas aplicaciones internas cuenta con una contraseña. 
  • Los colaboradores sustituyen en su primer acceso las contraseñas temporales de inicio de sesión entregadas por una contraseña compleja según lo permita la aplicación. 
  • Las contraseñas son de uso personal e intransferible. Ningún colaborador debe solicitar las contraseñas de otros colaboradores. 
  • Las contraseñas de acceso al sistema y aplicaciones se cambian con una periodicidad trimestral y debe ser distinta a la anterior según los lineamiento del procedimiento “Gestión de Claves”. 
  • No se utilizan las funciones de recordar las contraseñas en ninguna de las aplicaciones proporcionada o requeridas por la organización. 
  • Las contraseñas no se escriben en soportes de fácil extravío o divulgación. 
  • Para restablecer la contraseña se validan algunos datos personales del colaborador según a los lineamientos establecidos en el proceso correspondiente. 

Protección contra software malicioso 

  • La organización adopta las medidas necesarias para la prevención, detección y eliminación de software malicioso a nivel de la red, servidores, estaciones de trabajo, computadoras portátiles y Smartphone. 
  • Se asegura que el sistema operativo y los aplicativos de estaciones de trabajo y computadoras portátiles, de Sapia, tengan las últimas actualizaciones de seguridad con la finalidad de evitar la explotación de vulnerabilidades técnicas. 
  • Se implementan controles que eviten o detecten el uso de software no autorizado y controles que eviten o detecten el ingreso a sitios web que se sospecha son maliciosos. 

Dispositivos móviles[1] 

  • En caso de pérdida del equipo portátil, el incidente se comunica inmediatamente al Centro de Servicio de Sapia para seguir los lineamientos internos establecidos o al Cliente según corresponda. 
  • Todos los colaboradores de la organización que tengan configurado el correo electrónico, o almacene información de la empresa en un dispositivo móvil, cuentan con medidas de seguridad como clave, patrón de desbloqueo de al menos 7 puntos de contacto, clave de encriptación, software de detección de software malicioso, según lo permita el dispositivo y esté acorde a los lineamientos corporativos de seguridad de la información. 
  • Cuando se utilicen fuera de las instalaciones de la empresa, no deben ser dejados desatendidos y, si es posible, deben estar físicamente resguardados bajo llave. 
  • Cuando se utiliza en lugares públicos, se debe tener la precaución de que los datos no puedan ser leídos por personas no autorizadas. 
  • Se deben instalar periódicamente parches y actualizaciones a todos los aplicativos y sistema operativo.
  • No se permite almacenar material ilegal en el dispositivo, almacenar claves localmente o transferir datos de la empresa a otros dispositivos no permitidos. 

Acceso físico 

  • Los colaboradores portan en todo momento su fotocheck durante la permanencia en las instalaciones. 
  • Se ha establecido una clasificación de las áreas físicas, dentro de las instalaciones de Sapia, para definir el nivel de seguridad de las mismas la que se describe a continuación:
  • Restringidas: son zonas seguras donde la información que se genera, trata o almacena es crítica para la organización (Información clasificada como confidencial). Los accesos a estas zonas son controlados. 
  • Común: son zonas que usan los colaboradores de Sapia para desempeñar sus funciones. 
  • Públicas: Son zonas que son de utilización común y de recepción de personas externas a la organización. 
  • Se identifican las áreas restringidas y se establecen políticas de acceso. 
  • Las áreas de carga y descarga son definidas en la organización y señaladas en el mapa de instalaciones como zona pública. 
  • El colaborador que atienda a personas externas a la organización (incluyendo proveedores, clientes u otros) se asegura que los datos sean anotados en el registro de visitas. 
  • Todo visitante que se encuentre dentro de a las instalaciones porta su pase de visita. 
  • Toda persona externa a la organización podrá acceder a las áreas definidas como restringidas o específicas, siempre que cuente con la autorización respectiva y están siempre acompañado por personal de la organización. 
  • Se debe contar con autorización para el retiro de equipos, de información o software de propiedad de la organización. 
  • Las medidas de protección contra amenazas externas y ambientales incluyen: 
  • Controles de acceso y seguridad física. 
  • Detectores de humo. 
  • Extintores. 
  • Sistema de alimentación ininterrumpida (UPS). 
  • Se protegen a los equipos informáticos de fallas por falta de suministro de energía y otras anomalías eléctricas. 
  • El cableado de la red de comunicaciones y suministro de energía se encuentran protegidos para evitar intercepción o daño. 
  • El cableado de suministro de energía eléctrica y telecomunicaciones en las zonas de tratamiento de información, cuenta con un sistema de pozo a tierra, el cuál es revisado periódicamente para garantizar su adecuado funcionamiento. 
  • Se considera un programa de mantenimiento de los equipos informáticos y de la infraestructura de las instalaciones de Sapia. 
  • Los colaboradores que laboran en instalaciones del cliente, se ciñen a los lineamientos y políticas que este ha definido. 

Soportes Informáticos 

  • Los colaboradores toman todas las precauciones necesarias para evitar la pérdida o daño del equipo. 
  • Cuando los colaboradores abandonen la oficina en la que laboran, apagan su computadora. 
  • Se realiza mantenimiento a los equipos conforme a las recomendaciones del fabricante y se lleva registros de los mismos. 
  • Cuando el colaborador deja de laborar en la empresa, devuelve todos los equipos y dispositivos puestos a su disposición. 
  • Antes de que se reasignen o se den de baja a las computadoras, se asegura que la información ubicada en los discos duros de estos haya sido eliminada o sobrescrita de manera segura de modo que su recuperación sea irreversible. 

Gestión de Riesgos 

  • Se cuenta con una metodología de análisis y evaluación de riesgos, aprobada por el Comité de Revisión por la Dirección.
  • Se identifican, cuantifican y priorizan los riesgos de seguridad de la información utilizando la metodología adoptada a fin de poder establecer los controles apropiados para el tratamiento de cada uno de los riesgos identificados. 
  • Los métodos utilizados en la gestión de proyectos de la organización integran los controles de seguridad de la información para asegurarse que se identifican y tratan los riesgos de seguridad de la información. 

Respaldo y recuperación de la información 

  • Las copias de seguridad de la información de Sapia son realizadas, registradas y controladas periódicamente. Estas copias de seguridad se realizan considerando la criticidad de información. 
  • Las copias de seguridad deben realizarse por duplicado y al menos una de ellas queda en un lugar externo al local donde se brinda el servicio. 
  • Los ambientes donde se almacenen o resguarden las copias de seguridad cumplen las condiciones adecuadas de acondicionamiento, temperatura y humedad. 
  • Se realizan pruebas de restauración a las copias de seguridad a fin de asegurar que se pueda obtener correctamente la información almacenada al momento de ser necesaria. 
  • Los equipos de respaldo físicos cuentan con un programa de mantenimiento para asegurar su correcto funcionamiento. 
  • Para los procesos de backup de información se deben seguir los lineamientos del procedimiento “Gestión de Operación y Supervisión Técnica”. 

Continuidad 

  • Se incluye la continuidad de la seguridad de la información dentro del proceso de gestión de la continuidad y disponibilidad. 
  • Se asegura la existencia de recursos para el tratamiento de la información redundantes que satisfacen los requerimientos de disponibilidad del servicio. 

Cumplimiento legal 

  • Toda la información es retenida conforme a los requisitos legales. 
  • Se establecen los términos, condiciones y finalidades para datos personales en cumplimiento con la ley existente y su reglamento. 
  • Sapia tiene como política el respeto a los derechos de propiedad intelectual, para lo cual todo el software que se utiliza en la organización cuenta con la respectiva licencia de uso. 
  • Se cumple con las obligaciones establecidas por leyes, estatutos, normas, reglamentos o contratos, y de los requisitos legales de seguridad. 
  • Los colaboradores de Sapia mantienen la confidencialidad sobre toda la información y datos de carácter personal y de terceros a los que tenga acceso en virtud de su trabajo, obligación que subsistirá incluso después de finalizar su relación con la organización. 

Excepciones 

  • Para propósitos de mantenimiento de la red y de seguridad, algunos empleados de la organización pueden estar exentos de seguir algunas de las restricciones anteriores, debido a las responsabilidades de su cargo o a eventos programados. 
  • Las excepciones son solicitadas al Oficial de seguridad de la información y al área de TI y aprobadas por la Gerencia de DTS y Gerencia General según sea el caso anexando la justificación respectiva vía correo electrónico. 

Uso de sistemas de pago 

  • La organización mantiene identificado y monitoreado los equipos cuyo fin tiene realizar transacciones bancarias y cuenta con características de seguridad apropiadas para tal fin (Antivirus, actualizaciones de SO, IPs identificadas, usuarios asociados, accesos basados en menor privilegio). 
  • El colaborador es responsable de restringir el acceso físico a los datos del titular de la tarjeta y mantenerlos con el máximo nivel de restricción. 
  • Ningún tipo de información que permita autenticarnos con una tarjeta puede ser almacenada, dentro de los datos confidenciales de autenticación se encuentran:
  • Contenido completo de la banda magnética o del chip de la tarjeta. Tampoco está permitido almacenar este tipo de información si se encuentra en otro dispositivo como por ejemplo, un Smartphone. 
  • CVV o CVC. Código compuesto por tres dígitos que suele encontrarse en el reverso de la tarjeta. 
  • Código PIN utilizado para desbloquear la tarjeta. 
  • Almacenar registros de tarjetas bancarias corporativas solo si es estrictamente necesario acorde al servicio adquirido. 
  • El colaborador es responsable por la realización de operaciones en equipos y redes seguras, que cuenten con las condiciones de seguridad apropiadas y actualizadas. 
  • Culminar la sesión iniciada para transacciones financieras con las opciones de salida segura que ofrece cada sitio, tan pronto realice las operaciones o si tiene que retirarse del computador. 

 

Versión 07