Política de Seguridad de la Información
Código: PO-SI-01
Versión: 3.0
Clasificación: pública
Fecha vigencia: 21/02/2024
OBJETIVO
El objetivo de esta política es establecer objetivos y lineamientos claros y precisos para garantizar la continuidad, integridad, confidencialidad y disponibilidad de los activos de información que maneja la compañía, con el fin de protegerlos contra posibles amenazas y riesgos de seguridad de la información.
ALCANCE
Esta política se aplica a todo el colaboradores de ZeroQ, incluyendo a empleados internos y externos, independientemente del área y el nivel de sus funciones. Asimismo, se extiende a cualquier persona externa que preste servicios a la compañía y que tenga acceso a la información de la misma, ya sea de manera temporal o permanente.
ROLES, RESPONSABILIDADES Y AUTORIDADES
La Alta Dirección tiene la responsabilidad de definir, aprobar y comunicar la política de seguridad de la información, asegurando la asignación adecuada de recursos y apoyo para su implementación. Además, supervisa el cumplimiento, fomenta una cultura de seguridad en toda la organización y revisa periódicamente la política para garantizar su relevancia y efectividad continua.
El Comité de Ciberseguridad y Riesgos tiene la responsabilidad de asegurar el cumplimiento efectivo de la política de seguridad de la información. Esto incluye la supervisión de su implementación, la revisión periódica de su efectividad, la identificación y mitigación de riesgos, así como la promoción de una cultura de seguridad. Además, el comité está encargado de comunicar y reforzar activamente la importancia de la seguridad de la información en toda la organización, garantizando el apoyo y la participación de todos los niveles de la Compañía.
El área de Ciberseguridad y Riesgos tiene la responsabilidad principal de garantizar la implementación efectiva, el cumplimiento continuo y mantener actualizada la política de seguridad de la información. Esto incluye supervisar la aplicación de los controles de seguridad, coordinar la respuesta a incidentes de seguridad, realizar evaluaciones periódicas de riesgos y vulnerabilidades, así como proporcionar orientación y capacitación en materia de seguridad a todo el personal. Su función es esencial para mantener la integridad, confidencialidad y disponibilidad de la información en toda la organización.
Gerentes de ZEROQ tienen la responsabilidad de asegurar el cumplimiento de la Política de Seguridad de la Información al interior de su área, y tomar conocimiento de las políticas en incumplimiento y excepciones, Velar por la protección de la confidencialidad, integridad y disponibilidad de la información que se procese, transmita y almacene en los procesos y los ámbitos bajo su responsabilidad y Velar por la protección de la confidencialidad, integridad y disponibilidad de la información de los Activos Individuales, y llevar a cabo procesos de seguridad de la información específicos.
Los Colaboradores de ZEROQ son responsables del cumplimiento de estas políticas. Como así mismo deben saber que se podrá supervisar violaciones a las políticas mediante controles automáticos registrados en logs, o cualquier otro medio disponible para dichos efectos, en base a los cuales se pueden tomar medidas disciplinarias
DESCRIPCIÓN DE LA POLÍTICA
Objetivos
La compañía establece los siguientes objetivos de Seguridad de la Información y Ciberseguridad:
- Definir el marco global para la gestión de la Seguridad de la Información en ZEROQ, estableciendo los lineamientos, para la protección y preservación de la confidencialidad, integridad y disponibilidad de la información de Zeroq y de sus clientes en forma consistente con las estrategias de la compañía.
- Asegurar la privacidad y protección de la información basándonos en las normas ISO 27001 seguridad de la información, ISO 27017 controles de seguridad para servicios Cloud y ISO 27018 privacidad en la nube.
- Minimizar el riesgo en los procesos asociados a la seguridad de la información y privacidad de datos tanto en ZEROQ como en los servicios prestados.
- Proteger eficientemente los activos de información de ZEROQ, asegurando la triada de la seguridad de la información en cuanto a la confidencialidad, integridad y disponibilidad.
- Establecer políticas, procedimientos e instructivos que refuercen los procesos contenidos en el sistema de seguridad de la información, para que la información cumpla con los niveles de acceso, autorización y responsabilidad correspondientes para su utilización, divulgación, administración, seguimiento y custodia
- Fortalecer la cultura de seguridad de la información en los colaboradores de ZEROQ, que permita la concientización y sensibilización a través de capacitaciones, charlas etc., para la mejora continua del SGSI.
- Todos los colaboradores de ZEROQ tienen el compromiso de contribuir a la seguridad de la información y resguardo de los activos de información; y deben tener el conocimiento y familiaridad con el contenido de esta política, para el cumplimiento de la normativa que se imparta y que se deba aplicar en cada caso.
- Establecer los requisitos y condiciones generales de protección y resguardo de ciberseguridad a los que se encuentra sujeto ZEROQ, de acuerdo con las normas legales y reglamentarias pertinentes, así como los riesgos a que están expuestos los activos de información de la organización.
Lineamientos de la Política de Seguridad
- Se debe implementar un sistema de gestión de seguridad de la información (SGSI) para proteger los activos más críticos de la compañía, minimizando los riesgos y aplicando controles a todos los procesos de TI de la compañía.
- Se debe Implementar una estructura de gobierno de Seguridad de la Información con roles y responsabilidades específicas, para la aplicación de las políticas, procesos de gestión, controles, reporte de riesgos, evaluaciones de cumplimiento e inteligencia de seguridad.
- Se deben Implementar las medidas de seguridad necesarias para proteger la confidencialidad, la integridad y la disponibilidad de la información en función de su criticidad y los riesgos existentes.
- Se deben establecer controles de acceso y autenticación teniendo en cuenta el criterio de menor privilegio para proteger los activos de información críticos, como contraseñas y autenticación de dos factores, para garantizar que sólo las personas autorizadas tengan acceso a la información.
- Se deben realizar pruebas periódicas de seguridad de la información para identificar posibles vulnerabilidades y riesgos.
- Se debe implementar un programa de capacitación y concientización para todos los colaboradores de la compañía sobre los riesgos de seguridad de la información y las medidas de seguridad establecidas.
- Se debe garantizar y mantener la protección de todos los activos de la Compañía. Para ello, deberá elaborarse y mantenerse un inventario completo de los mismos, clasificándolos de acuerdo a su criticidad y sensibilidad.
- Se deben analizar y evaluar los riesgos de Seguridad de la Información y Ciberseguridad, identificándolos, cuantificándolos y priorizándolos de acuerdo con el impacto que puedan generar directa o indirectamente en el negocio.
- Se debe garantizar que todos los sistemas de información de ZeroQ sean monitoreados de forma activa para identificar y mitigar amenazas potenciales al entorno de la información.
- Se deben aplicar mecanismos de cifrado para asegurar la confidencialidad, integridad, autenticidad y él no repudio de la información sensible almacenada, procesada y en tránsito.
- Se debe implementar un proceso formal para gestionar los incidentes de seguridad que se producen en la compañía; estos deben incluir, análisis causa raíz, investigación comunicación, registro, respuesta, resolución, validación de la solución, documentación de lecciones aprendidas y generar todas las evidencias correspondientes de todo el proceso.
- Se debe llevar a cabo la prevención, detección y erradicación de software malicioso que afecten a los sistemas de información que almacenan o transmiten información de ZeroQ.
- Se deberá proporcionar mecanismos de eliminación de datos seguros en todos los ambientes definidos en la compañía.
- Se debe verificar que los proveedores que procesen y almacenen información de la compañía se encuentren alineados con las políticas y mejores prácticas de seguridad.
- Se deben asegurar durante todo el ciclo de vida de desarrollo de software aspectos relativos a la seguridad de acuerdo con las mejores prácticas de seguridad de la información.
- Se debe mantener una clara separación de los ambientes de Desarrollo, Prueba y Producción.
- Se debe implementar un proceso de gestión de vulnerabilidades y parches tanto internas como externas que incluya el descubrimiento de la vulnerabilidad, análisis de riesgos, medidas de mitigación como también una infraestructura que permita un adecuado y continuo monitoreo, seguimiento y mejora.
Sanciones e Incumplimiento
El incumplimiento de las definiciones establecidas en esta Política, así como de las políticas y normas vinculadas a la seguridad de la Información de ZeroQ, conlleva las sanciones disciplinarias correspondientes, las cuales serán determinadas de acuerdo con la Política de Recursos Humanos y el Marco Normativo de Seguridad de la Información vigente.
Difusión de la Política de Seguridad de la Información
La Política de Seguridad de la Información de ZEROQ se difundirá a los colaboradores a través de correo electrónico y estará disponible en la herramienta interna de gestión de recursos humanos, donde se requerirá la firma y aceptación de la misma. Esta política será revisada y difundida en caso de cualquier cambio, al menos una vez al año. Para garantizar su acceso, el texto completo y actualizado estará disponible en la página web de la empresa comercial.zeroq.cl.
Vigencia, Revisión y Retención
La Política de Seguridad de la Información y todo su contenido tendrán vigencia a contar de su fecha de aprobación y puesta en marcha, y tendrá duración indefinida en tanto la Gerencia General de ZEROQ no adopte otra resolución al respecto.
La presente política será evaluada y revisada, al menos una vez al año, cuando el oficial de Seguridad de la Información o el Comité de Ciberseguridad y Riesgos lo requiera, para asegurar su continuidad e idoneidad, considerando cambios externos o internos que puedan afectarla.
REFERENCIAS
Normativa relacionada
Definiciones
HISTORIAL DE VERSIONES