Política de Seguridad de la Información de Easysoft​​

Política de Seguridad de la Información de Easysoft​​

1. ALCANCE
Este procedimiento se aplicará a todo el personal implicado en el desarrollo, implantación y mantenimiento del Sistema de Gestión de Seguridad de la Información.

2. DEFINICIONES
No existen definiciones para el documento.

3. RESPONSABILIDADES
Es responsabilidad de la Dirección de EASYSOFT establecer las metas de la Seguridad de la Información a fin de garantizar un ambiente controlado, tanto para EASYSOFT como para mantener lo pactado con sus clientes, asumiendo de esta manera su responsabilidad corporativa.

Es responsabilidad del Comité de Gestión de Seguridad de la Información revisar una vez al año las Políticas de Seguridad de la Información, siendo el Responsable del SGSI quien controlará que se efectúe la revisión.

Los Usuarios de la Seguridad de la Información serán responsables de asumir y cumplir con las Políticas de Seguridad.

4. DESCRIPCIÓN DEL PROCEDIMIENTO

4.1 Directrices de gestión de seguridad de la información
El objetivo es proporcionar orientación y apoyo a la gestión de la seguridad de la información de acuerdo con los requisitos del negocio, las leyes y normas pertinentes.

Estas políticas gestionan la seguridad de la información de EASYSOFT desde el más alto nivel de la gestión de la organización, estableciendo un marco para controlar la implantación del SGSI, la aprobación de la política de seguridad, la distribución de esta a empleados, proveedores, clientes, y en definitiva para todas aquellas partes interesadas, ya sean internas o externas a la organización.

La política de seguridad de la información es definida y aprobada por la Dirección y debe tener en cuenta las características del negocio, los requisitos contractuales firmados con clientes, así como la legislación más relevante que afecta al Sistema de Gestión de Seguridad de la Información.

4.2 Directrices de gestión de seguridad de la información – Políticas de seguridad de la información
Un conjunto de políticas de seguridad de la información debe ser definido, aprobado por la Dirección, publicado y comunicado a los empleados y partes externas relevantes.

Todas las políticas de seguridad de la información que se encuentran implantadas han sido previamente aprobadas por la Dirección de la organización.

Las políticas de seguridad de la información son comunicadas al personal a través de la intranet mientras que, para las partes interesadas, la comunicación de las políticas se lleva a cabo a través de la web corporativa y, en algunos casos, por correo electrónico.

4.3 Política Corporativa de Seguridad de la Información
La información es un activo fundamental para la prestación de sus servicios y la toma de decisiones eficientes, razón por la cual existe un compromiso expreso de protección de sus propiedades más significativas como parte de una estrategia orientada a la continuidad del negocio, la administración de riesgos y la consolidación de una cultura de seguridad.

Conscientes de sus necesidades actuales, implantamos un Sistema de Gestión de Seguridad de la Información como la herramienta que permite identificar y minimizar los riesgos a los cuales se expone la información, establece una cultura de seguridad y garantiza el cumplimiento de los requerimientos legales y contractuales vigentes y otros requisitos de nuestros clientes y partes interesadas.

Como punto fundamental de la política está la implantación, operación y mantenimiento de un SGSI basado en ISO 27001.

4.4 Aspectos básicos de la política de seguridad de la información

  • Asegurar la confidencialidad, integridad y disponibilidad de la información.
  • Cumplir todos los requisitos legales aplicables.
  • Tener un plan de continuidad que permita recuperarse de un desastre en el menor tiempo posible.
  • Formar y concienciar a todos los empleados en materia de seguridad de la información.
  • Gestionar adecuadamente todas las incidencias ocurridas.
  • Todos los empleados son informados de sus funciones y obligaciones de seguridad y son responsables de cumplirlas.
  • Comunicar a todo el personal interno y todo aquel que trabaje en su nombre el obligado cumplimiento de esta Política, incluyendo contratistas y visitantes a nuestras instalaciones.
  • Hay un responsable de seguridad encargado del sistema de gestión de la seguridad de la información (SGSI) de la organización.
  • Mejorar de forma continua el SGSI y, por ende, la seguridad de la información de la organización.

4.5 Los objetivos de esta Política serán:

  • Garantizar que los activos de información reciban un apropiado nivel de protección.
  • Clasificar la información para señalar su sensibilidad y criticidad.
  • Definir niveles de protección y medidas de tratamiento especial acordes a su clasificación.

Esta Política se aplica a toda la información administrada en EASYSOFT, cualquiera que sea el soporte en que se encuentre.

4.6 Política de Seguridad del Personal
Los objetivos de controlar la seguridad del personal son:

  • Reducir los riesgos de error humano, comisión de actos ilícitos, uso inadecuado de instalaciones y recursos, y manejo no autorizado de la información.
  • Explicitar las responsabilidades en materia de seguridad en la etapa de reclutamiento de personal e incluirlas en los acuerdos a firmarse y verificar su cumplimiento durante el desempeño de las tareas del empleado.
  • Garantizar que los usuarios estén al corriente de las amenazas e incumbencias en materia de seguridad de la información, y se encuentren capacitados para respaldar la Política de Seguridad de la Información de EASYSOFT en el transcurso de sus tareas normales.
  • Establecer compromisos de confidencialidad con todo el personal y usuarios externos a las instalaciones de procesamiento de información.
  • Establecer las herramientas y mecanismos necesarios para promover la comunicación de debilidades existentes en materia de seguridad, así como de los incidentes ocurridos, con el objeto de minimizar sus efectos y prevenir su reincidencia.

Esta Política se aplica a todo el personal de EASYSOFT y al personal externo que efectúe tareas dentro del ámbito de EASYSOFT.

4.7 Política de Seguridad Física y Ambiental
La Seguridad Física y Ambiental se desarrolla a través de los Sistemas de Gestión implantados: Sistema de Gestión de la Seguridad de la información conforme a la norma ISO 27001.
Los objetivos de dichos Sistemas de Gestión son:

  • Prevenir e impedir accesos no autorizados, daños e interferencia a las sedes, instalaciones e información de EASYSOFT.
  • Proteger el equipamiento de procesamiento de información crítica de EASYSOFT, ubicándolo en áreas protegidas y resguardadas por un perímetro de seguridad definido, con medidas de seguridad y controles de acceso apropiados.
  • Controlar los factores ambientales que podrían perjudicar el correcto funcionamiento del equipamiento informático que alberga la información de EASYSOFT.
  • Implementar medidas para proteger la información manejada por el personal en las oficinas, en el marco normal de sus labores habituales.
  • Proporcionar protección proporcional a los riesgos identificados.

4.8 Política de Gestión de Comunicaciones y Sistemas
Los objetivos de la gestión de comunicaciones y sistemas son:

  • Garantizar el funcionamiento correcto y seguro de las instalaciones y sistemas informáticos y comunicaciones.
  • Establecer responsabilidades y procedimientos para su gestión, incluyendo instrucciones operativas, procedimientos para la respuesta a incidentes y separación de funciones.

4.9 Política de Control de Accesos a los Sistemas de Información
Controlar el acceso a los sistemas de información tiene como objetivos:

  • Impedir el acceso no autorizado a los sistemas de información, bases de datos y servicios de información.
  • Implementar seguridad en los accesos de usuarios por medio de técnicas de autentificación y autorización.
  • Controlar la seguridad en la conexión entre la red de EASYSOFT y otras redes públicas o privadas.
  • Registrar y revisar eventos y actividades críticas llevadas a cabo por los usuarios en los sistemas.
  • Concientizar a los usuarios respecto de su responsabilidad frente a la utilización de contraseñas y equipos.
  • Garantizar la seguridad de la información cuando se utilizan portátiles y ordenadores personales para trabajo remoto.

4.10 Política de Desarrollo y Mantenimiento de Sistemas
La seguridad en el desarrollo y mantenimiento de sistemas tiene como objetivos:

  • Asegurar la inclusión de controles de seguridad y validación de datos en el desarrollo de los sistemas informáticos.
  • Definir y documentar las normas y procedimientos que se aplicarán durante el ciclo de vida de las aplicaciones y en la infraestructura de base en la cual se apoyan.
  • Definir los métodos de protección de la información crítica o sensible.

4.11 Política de Administración de la continuidad de las actividades de EASYSOFT
La seguridad en la administración de la continuidad de las actividades de EASYSOFT tiene como objetivos:

  • Minimizar los efectos de las posibles interrupciones de las actividades normales de EASYSOFT y proteger los procesos críticos mediante una combinación de controles preventivos y acciones de recuperación.
  • Analizar las consecuencias de la interrupción del servicio y tomar las medidas correspondientes para la prevención de hechos similares en el futuro.

4.12 Revisión de las políticas para la seguridad de la información
Las políticas de seguridad de la información deben revisarse a intervalos planificados o siempre que se produzcan cambios significativos, a fin de asegurar que se mantenga su idoneidad.

Scroll al inicio