Profilerr
  • Profilerr
  • Política de seguridad de la información

Política de seguridad de la información

La Política de seguridad de la información establece las bases para la protección de la información, lo que facilita las decisiones de gestión de la seguridad y orienta los objetivos que establecen, promueven y garantizan los mejores controles de seguridad de la información. La política abarca toda la información y los sistemas de información para incluir la información y los sistemas de información empleados, administrados u operados por una empresa en el presente sitio web. La Política de seguridad de la información protege la confidencialidad, integridad y disponibilidad de tus datos, para clasificar y procesar la información, y para hacer frente a las infracciones de la presente Política.

La Política de seguridad de la información proporciona una serie integrada de medidas de protección que deben aplicarse de forma uniforme en todo nuestro sitio web para garantizar un entorno operativo seguro para todas tus operaciones.

PROPÓSITO

La gestión de la Seguridad de la información implica la selección razonable y la aplicación efectiva de los controles adecuados para proteger los activos de información críticos de la organización. Los controles y los procesos de gestión, junto con el seguimiento posterior de su adecuación y eficacia, constituyen los dos elementos básicos del programa de Seguridad de la información. Los tres objetivos de la seguridad de la información son:

  • Confidencialidad: proteger la información de carácter sensible de su divulgación a personas o sistemas no autorizados;
  • Integridad: garantizar la exactitud, integridad y vigencia de la información;
  • Disponibilidad: garantizar que la información y los servicios vitales resulten accesibles a los usuarios autorizados cuando sea necesario.

ALCANCE

La presente política se aplica a todos los empleados, contratistas, socios y becarios que trabajan en nuestra empresa. Los proveedores de servicios externos que presten servicios de alojamiento o en los que los datos se almacenen fuera de las instalaciones de la empresa también deberán cumplir con la presente política.

El ámbito de aplicación de esta política de seguridad de la información es la información que se almacena, comunica y procesa en nuestra empresa y los datos de la empresa en ubicaciones subcontratadas.

OBJETIVOS

El objetivo de la Política de seguridad de la información es dotar a nuestra empresa de un enfoque para la gestión de los riesgos de la información y de pautas para la protección de los activos de información a todas las unidades y a los contratados para la prestación de servicios.

CLASIFICACIÓN DE LOS ACTIVOS DE INFORMACIÓN

Los activos de información de la empresa se pueden clasificar en cuatro categorías: Públicos, Internos, Confidenciales y Restringidos. Todos los activos de información importantes deben contar con un propietario designado que sea responsable de establecer procedimientos de autenticación y autorización proporcionales a estas categorías, teniendo en cuenta que:

  1. Por lo general, la información de carácter público puede ponerse a disposición o distribuirse al público en general. Se trata de información que no necesita protección y que, si se emplea de la forma prevista, apenas afectará a las actividades, los activos o la reputación de la empresa.
  2. La información confidencial es exclusivamente para uso interno y únicamente tiene acceso a ella el personal que la necesita en el desempeño de sus responsabilidades en la empresa (la información confidencial incluye la información protegida por la legislación estatal o las obligaciones contractuales de la empresa) y exige protección de la privacidad y la seguridad.
  3. Información restringida que debe mantenerse estrictamente confidencial y a la que únicamente se puede acceder en caso de «necesidad de conocer». Algunos ejemplos son la información que afecta a los intereses nacionales y/o a la seguridad nacional.

Todo el personal debe conocer sus responsabilidades legales y corporativas respecto al uso inadecuado, el intercambio o la cesión de información a terceros. Cualquier tercero que reciba información de carácter confidencial o restringido debe estar autorizado para ello y esa persona o su organización deben haber adoptado medidas de seguridad de la información que garanticen la confidencialidad e integridad de esos datos.

La información de carácter confidencial debe protegerse para evitar el acceso o la exposición no autorizados.

La información restringida tiene el nivel más alto de confidencialidad y es la que supone un mayor riesgo para la empresa, el Estado y los individuos en caso de que se acceda a ella o se exponga a terceros no autorizados. Por lo tanto, los empleados de la empresa que traten Información restringida o que usen sistemas que almacenen, transmitan o manipulen Información restringida deben mantener la confidencialidad, integridad y disponibilidad de dicha información/datos en todo momento.

GOBERNANZA DE LA SEGURIDAD DE LA INFORMACIÓN

La gobernanza de la seguridad de la información comprende el liderazgo, las estructuras organizativas y los procesos que garantizan la protección de la información y la mitigación de las crecientes amenazas a la seguridad de la información.

Entre los principales resultados de la gobernanza de la seguridad de la información se encuentran:

  • Alineación de la seguridad de la información con la estrategia de la empresa para apoyar los objetivos de la organización.
  • Gestión y mitigación de los riesgos y limitación a un nivel aceptable de las posibles repercusiones en los recursos de información.
  • Gestión del rendimiento de la seguridad de la información mediante la medición, el seguimiento y la generación de informes sobre las métricas de gobernanza de la seguridad de la información para velar por la consecución de los objetivos de la organización.
  • Optimización de las inversiones en materia de seguridad de la información para apoyar los objetivos de la organización. Conviene tener en cuenta la necesidad y los beneficios organizativos de la gobernanza de la seguridad de la información.

RESPONSABILIDAD

El Departamento de Marketing se encarga del contenido del sitio web y de velar por que los materiales cumplan los requisitos legales y políticos.

El Departamento de Informática se ocupa de la seguridad, funcionalidad e infraestructura del sitio web. Los administradores de sistemas controlarán el tiempo de respuesta de nuestro sitio web y resolverán cualquier problema que surja.

CONCIENCIACIÓN Y COMUNICACIÓN

Es de suma importancia que todos los aspectos de la seguridad de la información, como la confidencialidad, la privacidad y los procedimientos relativos al acceso a los sistemas, se integren en los procedimientos formales de iniciación del personal y se comuniquen de forma periódica al personal existente.

Al incorporarse a su puesto de trabajo, el personal debe saber que no debe revelar ninguna información a la que pueda tener acceso en el curso normal de su trabajo. El personal también debe ser consciente de que no debe tratar de acceder a datos que no sean necesarios como parte de sus funciones normales.