Conversemos

Política de Seguridad de la Información

Código: PO-SI-01

Versión: 3.0

Clasificación: pública

Fecha vigencia: 21/02/2024

OBJETIVO

El objetivo de esta política es establecer objetivos y lineamientos claros y precisos para garantizar la continuidad, integridad, confidencialidad y disponibilidad de los activos de información que maneja la compañía, con el fin de protegerlos contra posibles amenazas y riesgos de seguridad de la información.

ALCANCE

Esta política se aplica a todo el colaboradores de ZeroQ, incluyendo a empleados internos y externos, independientemente del área y el nivel de sus funciones. Asimismo, se extiende a cualquier persona externa que preste servicios a la compañía y que tenga acceso a la información de la misma, ya sea de manera temporal o permanente.

ROLES,  RESPONSABILIDADES Y AUTORIDADES

La Alta Dirección tiene la responsabilidad de definir, aprobar y comunicar la política de seguridad de la información, asegurando la asignación adecuada de recursos y apoyo para su implementación. Además, supervisa el cumplimiento, fomenta una cultura de seguridad en toda la organización y revisa periódicamente la política para garantizar su relevancia y efectividad continua.

El Comité de Ciberseguridad y Riesgos tiene la responsabilidad de asegurar el cumplimiento efectivo de la política de seguridad de la información. Esto incluye la supervisión de su implementación, la revisión periódica de su efectividad, la identificación y mitigación de riesgos, así como la promoción de una cultura de seguridad. Además, el comité está encargado de comunicar y reforzar activamente la importancia de la seguridad de la información en toda la organización, garantizando el apoyo y la participación de todos los niveles de la Compañía.

El área de Ciberseguridad y Riesgos tiene la responsabilidad principal de garantizar la implementación efectiva,  el cumplimiento continuo y mantener actualizada la política de seguridad de la información. Esto incluye supervisar la aplicación de los controles de seguridad, coordinar la respuesta a incidentes de seguridad, realizar evaluaciones periódicas de riesgos y vulnerabilidades, así como proporcionar orientación y capacitación en materia de seguridad a todo el personal. Su función es esencial para mantener la integridad, confidencialidad y disponibilidad de la información en toda la organización.

Gerentes de ZEROQ tienen la responsabilidad de asegurar el cumplimiento de la Política de Seguridad de la Información al interior de su área, y tomar conocimiento de las políticas en incumplimiento y excepciones, Velar por la protección de la confidencialidad, integridad y disponibilidad de la información que se procese, transmita y almacene en los procesos y los ámbitos bajo su responsabilidad y Velar por la protección de la confidencialidad, integridad y disponibilidad de la información de los Activos Individuales, y llevar a cabo procesos de seguridad de la información específicos.

Los Colaboradores de ZEROQ son responsables del cumplimiento de estas políticas. Como así mismo deben saber que se podrá supervisar violaciones a las políticas mediante controles automáticos registrados en logs, o cualquier otro medio disponible para dichos efectos, en base a los cuales se pueden tomar medidas disciplinarias

DESCRIPCIÓN DE LA POLÍTICA

Objetivos 

La compañía establece los siguientes objetivos de Seguridad de la Información y Ciberseguridad:

  • Definir el marco global para la gestión de la Seguridad de la Información en ZEROQ, estableciendo los lineamientos, para la protección y preservación de la confidencialidad, integridad y disponibilidad de la información de Zeroq y de sus clientes en forma consistente con las estrategias de la compañía.
  • Asegurar la privacidad y protección de la información basándonos en las normas ISO 27001 seguridad de la información, ISO 27017 controles de seguridad para servicios Cloud y ISO 27018 privacidad en la nube. 
  • Minimizar el riesgo en los procesos asociados a la seguridad de la información y privacidad de datos tanto en ZEROQ como en los servicios prestados.
  • Proteger eficientemente los activos de información de ZEROQ, asegurando la triada de la seguridad de la información en cuanto a la confidencialidad, integridad y disponibilidad.
  • Establecer políticas, procedimientos e instructivos que refuercen los procesos contenidos en el sistema de seguridad de la información, para que la información cumpla con los niveles de acceso, autorización y responsabilidad correspondientes para su utilización, divulgación, administración, seguimiento y custodia
  • Fortalecer la cultura de seguridad de la información en los colaboradores de ZEROQ, que permita la concientización y sensibilización a través de capacitaciones, charlas etc., para la mejora continua del SGSI.
  • Todos los colaboradores de ZEROQ tienen el compromiso de contribuir a la seguridad de la información y resguardo de los activos de información; y deben tener el conocimiento y familiaridad con el contenido de esta política, para el cumplimiento de la normativa que se imparta y que se deba aplicar en cada caso.
  • Establecer los requisitos y condiciones generales de protección y resguardo de ciberseguridad a los que se encuentra sujeto ZEROQ, de acuerdo con las normas legales y reglamentarias pertinentes, así como los riesgos a que están expuestos los activos de información de la organización.

Lineamientos de la Política de Seguridad

  • Se debe implementar un sistema de gestión de seguridad de la información (SGSI) para proteger los activos más críticos de la compañía, minimizando los riesgos y aplicando controles a todos los procesos de TI de la compañía.
  • Se debe Implementar una estructura de gobierno de Seguridad de la Información con roles y responsabilidades específicas, para la aplicación de las políticas, procesos de gestión, controles, reporte de riesgos, evaluaciones de cumplimiento e inteligencia de seguridad.
  • Se deben Implementar las medidas de seguridad necesarias para proteger la confidencialidad, la integridad y la disponibilidad de la información en función de su criticidad y los riesgos existentes.
  • Se deben establecer controles de acceso y autenticación teniendo en cuenta el criterio de menor privilegio para proteger los activos de información críticos, como contraseñas y autenticación de dos factores, para garantizar que sólo las personas autorizadas tengan acceso a la información.
  • Se deben realizar pruebas periódicas de seguridad de la información para identificar posibles vulnerabilidades y riesgos.
  • Se debe implementar un programa de capacitación y concientización para todos los colaboradores de la compañía sobre los riesgos de seguridad de la información y las medidas de seguridad establecidas.
  • Se debe garantizar y mantener la protección de todos los activos de la Compañía. Para ello, deberá elaborarse y mantenerse un inventario completo de los mismos, clasificándolos de acuerdo a su criticidad y sensibilidad.
  • Se deben analizar y evaluar los riesgos de Seguridad de la Información y Ciberseguridad, identificándolos, cuantificándolos y priorizándolos de acuerdo con el impacto que puedan generar directa o indirectamente en el negocio. 
  • Se debe garantizar que todos los sistemas de información de ZeroQ sean monitoreados de forma activa para identificar y mitigar amenazas potenciales al entorno de la información. 
  • Se deben aplicar mecanismos de cifrado para asegurar la confidencialidad, integridad, autenticidad y él no repudio de la información sensible almacenada, procesada y en tránsito.
  • Se debe implementar un proceso formal para gestionar los incidentes de seguridad que se producen en la compañía; estos deben incluir, análisis causa raíz, investigación comunicación, registro, respuesta, resolución, validación de la solución, documentación de lecciones aprendidas y generar todas las evidencias correspondientes de todo el proceso.
  • Se debe llevar a cabo la prevención, detección y erradicación de software malicioso que afecten a los sistemas de información que almacenan o transmiten información de ZeroQ.
  • Se deberá proporcionar mecanismos de eliminación de datos seguros en todos los ambientes definidos en la compañía. 
  • Se debe verificar que los proveedores que procesen y almacenen información de la compañía se encuentren alineados con las políticas y mejores prácticas de seguridad.
  • Se deben asegurar durante todo el ciclo de vida de desarrollo de software aspectos relativos a la seguridad de acuerdo con las mejores prácticas de seguridad de la información.
  • Se debe mantener una clara separación de los ambientes de Desarrollo, Prueba y Producción.
  • Se debe implementar un proceso de gestión de vulnerabilidades y parches tanto internas como externas que incluya el descubrimiento de la vulnerabilidad, análisis de riesgos, medidas de mitigación como también una infraestructura que permita un adecuado y continuo monitoreo, seguimiento y mejora. 

Sanciones e Incumplimiento

El incumplimiento de las definiciones establecidas en esta Política, así como de las políticas y normas vinculadas a la seguridad de la Información de ZeroQ, conlleva las sanciones disciplinarias correspondientes, las cuales serán determinadas de acuerdo con la Política de Recursos Humanos y el  Marco Normativo de Seguridad de la Información vigente.

Difusión de la Política de Seguridad de la Información

La Política de Seguridad de la Información de ZEROQ se difundirá a los colaboradores a través de correo electrónico y estará disponible en la herramienta interna de gestión de recursos humanos, donde se requerirá la firma y aceptación de la misma. Esta política será revisada y difundida en caso de cualquier cambio, al menos una vez al año. Para garantizar su acceso, el texto completo y actualizado estará disponible en la página web de la empresa comercial.zeroq.cl.

Vigencia, Revisión y Retención 

La Política de Seguridad de la Información y todo su contenido tendrán vigencia a contar de su fecha de aprobación y puesta en marcha, y tendrá duración indefinida en tanto la Gerencia General de ZEROQ no adopte otra resolución al respecto.

La presente política será evaluada y revisada, al menos una vez al año, cuando el oficial de Seguridad de la Información o el Comité de Ciberseguridad y Riesgos lo requiera, para asegurar su continuidad e idoneidad, considerando cambios externos o internos que puedan afectarla.

REFERENCIAS

Normativa relacionada

Categoría

Título 

Código

Norma ISO 27001/ 27002:2022.

Norma ISO 27001:2022 / 27002:2022.

 

Definiciones

Término

Descripción

Información

Se refiere a cualquier dato o hecho que se pueda almacenar, procesar o comunicar.

Activo 

En relación con la seguridad de la información, se refiere a cualquier información o elemento relacionado con el tratamiento de ésta (sistemas, soportes, edificios, personas) que tenga valor para la organización.

Confidencialidad 

Garantizar que la información sea accesible sólo a aquellas personas autorizadas a tener acceso a la misma.

Integridad

Salvaguardar la exactitud y totalidad de la información en su procesamiento, transmisión y almacenamiento. 

Disponibilidad

Asegurar que los usuarios autorizados tengan acceso a la información y los activos asociados cuando éstos sean requeridos.

Vulnerabilidad

Fallo o debilidad de un sistema de información que pone en riesgo la seguridad de ésta.

Seguridad de la Información

Conjunto de medidas preventivas y reactivas de las organizaciones y sistemas tecnológicos que permiten resguardar y proteger la información buscando mantener la confidencialidad, la disponibilidad e integridad de datos.

SGSI

Un Sistema de Gestión de la Seguridad de la Información (SGSI) es un conjunto de políticas de seguridad de la información que siguen la norma ISO/IEC 27001.

Monitoreo y control

Proceso sistemático de recolectar, analizar y utilizar información para hacer seguimiento al progreso de un programa en pos de la consecución de sus objetivos, y para guiar las decisiones de gestión.

HISTORIAL DE VERSIONES

Versión

Fecha

Detalle de Cambios

1.0 

07-01-2022

Generación primera versión del documento.

2.0 

17-03-2023 

Actualización de la Política de Seguridad de la Información.

3.0 

22-02-2023 

Actualización de la Política de Seguridad de la Información, agregado de apartados por recomendación la auditoría interna del SGSI