POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

1. Objetivo: 
1.1. El objetivo de esta Política de Seguridad de la Información (“POLÍTICA”), es establecer las directrices de Seguridad de la Información de la organización y la atribución de responsabilidades para promover la confidencialidad, integridad y disponibilidad de su información.
 
2. Alcance: 
2.1.     Esta POLÍTICA se aplica a todos los colaboradores que acceden a la información almacenada por la organización, esté ella almacenada en las instalaciones físicas, en los asociados de negocios o en dispositivos móviles personales y/o de propiedad de la organización, tales como smartphones, notebooks y demás recursos tecnológicos.
 
3. Definiciones:
3.1. Para todos los fines y derechos previstos con relación a esa POLÍTICA, deberán ser aplicados los siguientes sentidos para las definiciones transcritas a continuación
 
“Ciclo de Vida de la Información” – comprende las fases de creación, recogida, clasificación, almacenamiento, transmisión, utilización y descarte de la Información.
 
“Colaborador(es)” – cualquier persona física o jurídica que, por relación contractual tácita o expresa, colabora con la consecución de los objetivos sociales de la organización o que haya tenido o no acceso franqueado a la Información, independiente de su clasificación. En esta categoría de personas se incluyen, sin limitarse a estos, los empleados, gestores, socios, proveedores y prestadores de servicios de la organización.
 
“Gestor de la Información” – el colaborador designado para realizar la gestión de la Información, siendo responsable de la validación, liberación y cancelación de los accesos a la Información.
 
“Hardening” – es un proceso de mapeo de las amenazas cibernéticas, mitigación de los riesgos y ejecución de las actividades correctivas, con enfoque en la infraestructura.
 
“Información” – conjunto de conocimientos y datos relacionados a los negocios de la organización, sus clientes, proveedores, colaboradores y demás stakeholders, incluyendo, sin limitación, de naturaleza comercial, técnica, financiera, personal, de marketing o producto, independiente del repositorio de la información. La Información puede ser clasificada como Confidencial, de Uso Interno o Pública.
 
“Repositorios (o activos) de Información” – cualquier recurso físico o lógico utilizado en el almacenamiento o manipulación de la Información. Se encuadran en este concepto documentos en papel, archivos físicos, computadoras, servidores, programas de computadora, bases de datos, líneas telefónicas, discos, dvd´s, cd´s, disquetes, hard-drives, pendrives, memoria flash, entre otros.
 
“Usuario” – significa cualquier persona autorizada a acceder, leer, responder, insertar, modificar o eliminar determinada Información.
 
4. Atribución de Responsabilidades:

  • Colaboradores: (i) comprender y aplicar esta POLÍTICA; y (ii) reportar violaciones de la POLÍTICA.
  • Gestores: (i) orientar a sus equipos a fin de garantizar el pleno cumplimiento de esta POLÍTICA; y (ii) orientar a los prestadores de servicios contratados de las prácticas y directrices de seguridad de la información aplicables.
  • Prestadores de Servicio: comprender y cumplir plenamente la POLÍTICA, de acuerdo con los términos, contratos y respectivos suplementos firmados con la organización.
  • Alta dirección: (i) suministrar el apoyo para la implementación de las acciones de seguridad de la información; y (ii) revisar anualmente, o siempre que sea necesario, la presente POLÍTICA, buscando su mejoría continua y realizando las modificaciones necesarias.
  • TI/Infraestructura: (i) trabajar en el soporte técnico, análisis y mantenimiento de esta POLÍTICA y eventuales normas de seguridad de la Información; (ii) promover la cultura de seguridad de la Información; (iii) proponer acciones de seguridad de la información alineadas con los objetivos del negocio; y (iv) operacionalizar los procesos de seguridad de la información contenidos en este documento. 
5. Penalidades:
5.1. El incumplimiento o violación de las reglas previstas en esta POLÍTICA, podrá resultar en la aplicación de las sanciones conforme es descrito a continuación: 
  • Infracciones leves: se caracterizan como pequeñas irregularidades, desinterés del empleado en obedecer a las directrices de la POLÍTICA y actos de mala fe que propicien el aumento de exposición a los riesgos, sin la materialización de eventos que causen perjuicios. Los casos identificados serán discutidos por el gestor con la Alta Dirección para la evaluación de la penalidad aplicable: entrenamiento de reciclado, advertencia verbal o advertencia por escrito.
  • Infracciones moderadas: se caracterizan como irregularidades cometidas, ya sea intencionales o no, que lleven a la materialización de eventos que causen perjuicios internos a la organización, sin embargo, sin exposición externa o comprometimiento de las operaciones junto a sus clientes. Los casos identificados serán discutidos por el gestor con la Alta Dirección para la evaluación de la penalidad aplicable: advertencia por escrito, resarcimientos o suspensión.
  • Infracciones graves: práctica de cualquiera de los hechos a que se refiere el art. 482 de la CLT, que, cuando por su repetición o naturaleza representen grave violación de los deberes y obligaciones del empleado, así como ocasione impactos severos en las operaciones realizadas en la institución ante sus clientes. Los casos identificados serán discutidos por el gestor con la Alta Dirección para la evaluación de la penalidad aplicable, que puede culminar con el despido del infractor. 
6. Uso Aceptable de Recursos Tecnológicos:
6.1. Recursos tecnológicos son suministrados a los colaboradores – ya sean ellos empleados, pasantes, prestadores de servicio y demás contratados – autorizados para auxiliarlos en el desempeño de sus funciones y en la ejecución de las actividades. En relación con el uso de recursos tecnológicos dispuestos, las siguientes actividades están prohibidas: 
  • Deshabilitar mecanismos de seguridad de la información de su estación de trabajo u otros equipos.
  • Utilizar recursos computacionales o de información de acceso restringido, además del nivel de autorización concedido.
  • Acceso, posesión o distribución no autorizados, por vía electrónica o cualquier otro medio, de información y/o datos confidenciales.
  • Intencionalmente comprometer la privacidad y/o seguridad de la información.
  • Uso de recursos suministrados para discriminación o provocación debido al sexo, raza, color, religión, nacionalidad, edad, porte de discapacidad física, condición de salud, estado civil o cualquier otra condición prevista en ley.
  • Promover comunicaciones ilegales, tales como amenaza de violencia, injuria y difamación, pornografía infantil, acoso y tráfico de drogas, conforme es definido por la ley.
  • Almacenamiento de vídeos, imágenes, músicas y/o juegos de computadora que no están relacionados a la Compañía.
  • Utilización de los recursos suministrados para negocios particulares.
  • No son permitidos el "download" e instalación, por los colaboradores, de programas, aplicaciones o softwares de cualquier naturaleza provenientes de Internet, e-mail o cualquier otra fuente. Solo las aplicaciones recomendadas y homologadas oficialmente son permitidas. Los colaboradores podrán solicitarle a la organización una autorización expresa para la instalación de softwares no homologados, en la medida que sea necesario para el ejercicio de sus funciones, quedando a exclusivo criterio de esta la evaluación al respecto de la seguridad del software y aprobación o no de su instalación. 
6.2. Todo equipo o recurso tecnológico es de uso restringido de la organización y debe estar en local seguro, con acceso restringido y protegido contra robo, hurto y daños físicos. El nivel de seguridad debe ser proporcional a la importancia del bien y de la información contenida en él.
 
6.3. Todos los colaboradores y prestadores de servicio son responsables de la guarda, celo y buen uso de los recursos tecnológicos suministrados para el desempeño de sus actividades.
 
7. Uso aceptable de Internet (navegación):
7.1. Internet debe ser utilizada para la realización de las actividades profesionales, sin embargo, el uso para fines personales está permitido siempre que no cause impactos en la operación de la red corporativa, en las actividades del área y plazos de proyectos. Con relación a la navegación en Internet, deberán ser adoptadas las siguientes prácticas: 
  • Todo colaborador con acceso a Internet puede ser responsabilizado por brechas que intencionalmente afecten la seguridad o confidencialidad de la información.
  • No está permitido el acceso a sitios de contenido pornográfico e ilegal.
  • No está permitido el envío, recibimiento y obtención de archivos de uso personal, ofensivo e ilegal así como su almacenamiento en los recursos tecnológicos dispuestos tales como directorios de red y e-mail. 
8. Uso aceptable del E-mail Corporativo:
8.1. La comunicación del e-mail corporativo es considerada de control de la organización y puede ser monitoreada a través de herramientas. En relación con el uso del e-mail corporativo, deberán ser adoptadas las siguientes prácticas: 
  • No está permitido el envío de archivos anexados que, a criterio de la organización, constituyan amenaza de propagación de virus.
  • Está prohibido el envío de mensajes por el sistema de correo electrónico, entre cualesquiera usuarios o incluso externamente, que (i) puedan traer al equipo o red, códigos maliciosos, virus o cualesquiera otros elementos que puedan afectar el desempeño de la red y de los sistemas; (ii) contengan contenido ofensivo o ilegal; (iii) contengan material protegido por leyes de propiedad intelectual; (iv) contengan músicas, vídeos, o animaciones que no sean de interés específico del trabajo, así como SPAM; y (v) contengan “cadenas”, “rumores”, bromas, anécdotas y asemejados.
  • No está permitido compartir documentos sin autorización.
  • La dirección de e-mail suministrada no debe ser utilizada para registro en sitios de compras, relación personal, blogs, o cualquier otra página de Internet que no esté relacionada con las actividades profesionales.
  • Está prohibido forjar o intentar forjar mensajes de e-mail, o disfrazar o intentar disfrazar su identidad cuando envíe un mensaje por e-mail.
  • Está prohibido utilizar e-mails de otros empleados y enviar mensajes con la intención de asumir su identidad.
  • Debe ser evitada la abertura de mensajes de origen desconocido, conteniendo anexos o contenido dudoso o que tengan enlaces para sitios desconocidos y soliciten el download de archivos o datos personales. Mensajes que posean tales características deben ser excluidos inmediatamente. 
9. Uso Aceptable de las Redes Sociales:
9.1. Las redes sociales pueden ser accedidas siempre que el acceso sea moderado y no impacte en los plazos de proyectos y en las actividades profesionales. Se recomienda que el acceso sea realizado en el intervalo del almuerzo o antes/después del horario comercial. En relación con el uso de las redes sociales, deberán ser adoptadas las siguientes prácticas: 
  • Está prohibido divulgar información en comunidades virtuales y redes sociales en nombre de la organización, por tanto, no se debe (i) divulgar información sobre nuevas tecnologías, servicios y sistemas; (ii) conceder opinión personal en respuesta a publicaciones en Internet relacionadas a la organización; (iii) asumir la identidad de otros colaboradores para expresas opiniones en su nombre; (iv) divulgar información sobre la rutina profesional, actividades y proyectos en marcha; (v) emitir opiniones en nombre de la Compañía; y (vi) publicar un documento interno.
  • En el caso de necesidad de publicación o divulgación de información al público, deben ser utilizados los canales corporativos en las redes sociales a través de los representantes nombrados para este fin. 
10. Local de Trabajo:
10.1. Las estaciones de trabajo (desktop o notebook) deben ser apagadas después del final de la jornada de trabajo o durante un período de separación superior a 1 (un) día con excepción de equipo de operación que, debido a las características de sus actividades profesionales, debe bloquear la estación de trabajo durante su ausencia.
 
10.2. En el caso que el colaborador se aleje de su mesa de trabajo debe guardar en un lugar seguro la información confidencial.
 
10.3. Si el usuario se aleja de la estación de trabajo (desktop o notebook) por cualquier período de tiempo, a menos que apague la misma, debe bloquear la pantalla (“Bloquear Computadora”) o “Efectuar LogOff”.
 
10.4 Los documentos confidenciales deben ser guardados en armarios o gavetas cerradas.
 
11. Descarte de Media:
11.1 La guarda, circulación y descarte de información, en sus diversos medios, deben ser realizados a través de procedimientos y técnicas de protección, de acuerdo con el nivel de criticidad de la información.
 
11.2 Todos los equipos que posean medios de almacenamiento de datos deben ser examinados antes del descarte para asegurar la seguridad, privacidad y protección de los datos que cargan.
 
11.3 Todos los medios considerados inservibles o destinados al descarte deberán ser examinados, destruidos físicamente o, además, su información deberá ser borrada o desconfigurada por medio de técnicas que tornen la información original irrecuperable.
 
12. Acceso Físico:
12.1. El acceso de visitantes a cualquier ambiente de la organización debe ser autorizado previamente y debe ser registrado formalmente. La permanencia de personas extrañas en los ambientes debe ser acompañada. Todas las instalaciones deben ser consideradas espacios restringidos, debiendo tener el acceso físico controlado y registrado.
 
12.2. Los equipos de TI deben ser instalados en local con condiciones ambientales y de seguridad adecuadas, incluso con mecanismos de protección contra fuego e infiltraciones de agua.
 
12.3. El acceso a los equipos debe ser restringido a personas responsables de su administración y operación, y solamente para el desempeño de sus actividades.
 
12.4. En el caso que algún equipo necesite ser transferido para otras localidades físicas como prestadores de servicio y mantenimiento, la situación debe ser acompañada por profesionales especialmente designados por la organización.
 
13. Demás Condiciones de Seguridad de la Información:
13.1. Está prohibida la conexión de equipos de terceros en la red corporativa, sin la debida autorización de la Alta Dirección, incluso aquellos de propiedad de colaboradores.
 
13.2. La integridad de la información debe ser protegida por medio del uso de criptografía en el tránsito (VPN) y almacenamiento (criptografía de disco y bases de datos).
 
13.3. Los usuarios y contraseñas son personales e intransferibles. Los colaboradores deben velar por la protección de sus datos de acceso, estando prohibida la divulgación de contraseñas a terceros, y su colocación en locales no protegidos, como mesas y monitores. Los usuarios son responsables de acciones que sean ejecutadas a través de su login personal, excepto si es confirmado el uso no autorizado por otro colaborador o cualquier otra persona con acceso al login. La organización debe ejecutar, mantener y controlar procedimiento de creación de contraseña para los colaboradores, basados en criterio considerados seguros por el mercado.
 
13.4. Los dispositivos móviles (como, por ejemplo: notebook y celulares) que almacenan información confidencial y/o estratégica deben ser protegidos adecuadamente para la prevención de acceso indebido por personas no autorizadas incluyendo: 
  • Utilización de aplicación de antivirus con actualización automática.
  • Habilitación de contraseña de acceso en el dispositivo.
  • Habilitación de login con usuario y contraseña en la inicialización y bloqueo después de período de inactividad.
  • Habilitación de la función de criptografía de la información si la opción está disponible en el equipo. 
13.5. Los registros (logs) de los sistemas deben ser almacenados y analizados periódicamente para permitir identificar acciones realizadas en los casos de incidentes, fraudes, fiscalizaciones y auditorías.