POLÍTICA INTEGRAL DE SEGURIDAD DE LA INFORMACIÓN

Owned by Nicolás López, created
Jun 23, 2023

Objetivo

Describir los requerimientos obligatorios y contractuales que Neotel SRL y empresas vinculadas manejan en el ámbito de la seguridad de la información.

Estos términos se aplican en la medida en que Neotel SRL tenga acceso y control sobre los datos del personal / cliente.

Los activos se protegerán, de manera que las obligaciones legales y contractuales de los negocios de NEOTEL y/o empresas vinculadas sean cumplidas y que el valor de la información sensible, tanto de negocios como de gestión (RR.HH., Proveedores, Clientes, Facturación, etc.) sean preservados.

Las políticas, además, proveerán las bases para sustentar una eficiente gestión de la seguridad, acorde con los niveles de calidad establecidos por NEOTEL.

Consecuentemente, el objetivo de ésta política es garantizar sobre los activos:

·     Confidencialidad: Prevenir que los activos de información no sean accedidos por individuos, entidades o procesos no autorizados.

·     ­­Integridad: Proteger a los activos de la modificación, manipulación o reproducción no autorizada.

·     Disponibilidad y Continuidad del Negocio: Asegurar que todos los activos de la información y los servicios significativos para los negocios estén disponibles cuando sean requeridos por los usuarios, entidades o procesos autorizados.

Alcance

La presente Política será de aplicación para todos los Gerentes y Empleados, así como también, a todos los individuos que directa o indirectamente tengan algún tipo de vinculación o manejo de los activos de NEOTEL y/o empresas vinculadas.

Esta Política se aplica a todos los activos definidos en la matriz de activos correspondientes, como lo es la información de la empresa en formato digital o impreso; creada, recibida, almacenada, procesada, transmitida, entregada o descartada usando cualquier sistema o medio de almacenamiento autorizado por NEOTEL.

Vigencia

Los aspectos contemplados en el presente se aplicarán de manera inmediata y obligatoria, a partir de la fecha de revisión declarada en la cabecera del documento.

Los RESPONSABLES DE SEGURIDAD DE LA INFORMACIÓN revisarán periódicamente ésta Política y/o realizará los ajustes necesarios cuando la misma así lo requiera.

Responsables

El equipo directivo es dueño de la presente Política, y designa a los RESPONSABLES DE SEGURIDAD DE LA INFORMACIÓN por medio de una matriz RACI la cual se encuentra disponible en el repositorio de procesos y responsabilidades. Las personas designadas serán responsables por la instrumentación y cumplimiento de los lineamientos enunciados en este documento. Asimismo, debe centralizar y gestionar todas las actualizaciones que fueren necesarias para preservar la operatividad de los lineamientos y definiciones descriptos en la presente política.

Generalidades

Para todos los negocios de NEOTEL y/o empresas vinculadas, la información es un activo esencial. Es crucial que toda la información sensible sea mantenida de manera confidencial, sea precisa y esté disponible, de la manera apropiada para cubrir las necesidades de la empresa. La existencia de controles no quita que la responsabilidad para proteger adecuadamente la información que se utilice durante el desempeño de las funciones sea de cada empleado.

Cada empleado de NEOTEL y/o empresas vinculadas, debe adquirir conciencia de la necesidad de asegurar la información y actuar para la preservación de esta.

Para tal fin, ésta Política dicta los estándares que deben ser cumplidos por los empleados que integran la organización de NEOTEL y/o empresas vinculadas, incluyendo campañas de concientización sobre seguridad de la información y no divulgación.

A su vez, provee un marco de trabajo para todos los procesos estándares y sus mecanismos de seguridad. Define los objetivos de seguridad, clasifica la información, responsabilidades y principios fundamentales para asegurarla de acuerdo con los objetivos del negocio.

El marco de seguridad definido por esta Política provee una arquitectura de dos niveles de documentos: Políticas y Procedimientos.

La responsabilidad de implementación y difusión de esta Política y los procedimientos específicos recaen sobre el GERENTE GENERAL de la empresa, representado mediante el RESPONSABLE DE SEGURIDAD DE LA INFORMACIÓN.

Dentro del alcance de esta Política, se implementará un adecuado monitoreo a través de un sistema de gestión de incidentes (SGSI) para asegurar que todos los incidentes relacionados con la seguridad sean identificados y corregidos. Las actividades de monitoreo serán consistentes con las regulaciones y legislación de privacidad vigentes, así como con los estándares de calidad de gestión establecidos por la compañía.

NEOTEL podrá efectuar relevamientos (auditorias) con el fin de detectar desvíos o cualquier violación a la política de seguridad establecida.

Ante dicha detección, NEOTEL aplicará sanciones disciplinarias de corresponder, pudiendo llegar al despido del personal involucrado de acuerdo al régimen legal aplicable y la gravedad que el caso revista.

Adicionalmente, en caso de detectarse actividades que a entendimiento de NEOTEL puedan dar lugar a la configuración de conductas tipificadas como delitos, la Compañía podrá impulsar acciones de índole penal.

Esta Política determina requerimientos mínimos para el gerenciamiento de la Información, Control de Accesos, Seguridad Física, Comunicaciones, Operaciones y el Desarrollo/Mantenimiento de los Sistemas.

La política será accesible para todo el personal y para los terceros involucrados.

 

Programa de seguridad

 

  1. Estándares de seguridad: Neotel SRL (desde ahora nominada como “La empresa”), mantendrá los procedimientos y controles aceptados y requeridos por la norma ISO 27001, como así también los lineamientos de seguridad requeridos por la ISO 9001.

  2. Concientización y capacitación: La empresa mantendrá un programa continuo sobre concientización y capacitación respecto a riesgos y buenas prácticas de seguridad sobre los activos de información.

  3. Políticas y procedimientos: La empresa mantendrá un repositorio accesible para todo su personal con la documentación vigente y actualizada de las correspondientes políticas y procedimientos de área.

  4. Gestión de cambios: La empresa mantendrá un sistema de gestión de cambios a fin de garantizar que todas las modificaciones requeridas sean revisadas, testeadas y aprobadas de forma apropiada. Este proceso deberá estar incluido en el repositorio de políticas y procedimientos de área.

  5. Disaster Recovery Plan (DRP): La empresa dispondrá de manera sencilla y de fácil acceso un plan de contingencia y continuidad del negocio para aquellas situaciones que podrían presentar una interrupción de los servicios esenciales para la operación de la empresa. Dicho plan informará la periodicidad durante la cual se realizarán prácticas del procedimiento a modo de auditorías, y contendrá los resultados de las mismas.

  6. Auditorias cruzadas: La empresa dispondrá de una política de auditorías con el fin de garantizar que los resultados de las mismas no puedan ser adulterados por los mismos auditores responsables.

  7. ABM de personal/proveedor y destrucción de datos: La empresa mantendrá un procedimiento correctamente documentado, el cuál explicará la operación para reclutar personal, generar usuarios y accesos en todas las plataformas requeridas como así también modificar cualquier tipo de información asociada y/o destrucción de los datos luego de la desvinculación del empleado/proveedor.

  8. Almacenamiento y backups: La empresa mantendrá en lineamiento y de forma prioritaria a los procedimientos de respaldo de información sobre todos los medios que contengan activos críticos, junto con un sistema de alertas que informe sobre cualquier anomalía de respaldo.

  9. Antivirus & Antimalware: Todo terminal asignado a personal y servidores contarán con un antivirus y antimalware con el fin de detectar e imposibilitar cualquier software malicioso. También se mantendrá control y monitoreo sobre la infraestructura de red para evitar ataques del tipo MiM entre otros.

  10. Servicios de Firewalls, Sistemas de detección de Intrusos y Sistema de Alertas: La empresa contará con procedimientos que contemplen la correcta utilización de sistemas de firewall en todos los activos a los que corresponda, también dispondrá de procedimientos sobre el uso y mantenimiento de los sistemas de detección de intrusos y alertas de sistemas digitales como así también de seguridad físicas (Alarma contra incendios / Robo por ejemplo). A su vez tendrán una política y una matriz con los responsables asignados junto con los contactos relacionados.

  11. Gestión de parches y vulnerabilidades: La empresa mantendrá al menos un procedimiento periódico y auditable sobre análisis de vulnerabilidades y aplicación de parches/actualizaciones de seguridad. Dicho procedimiento deberá estar en lineamiento con el procedimiento de gestión de cambios.

  12. Pentest: La empresa mantendrá un procedimiento, auditado periódicamente, para garantizar la correcta implementación de los controles de accesos. También se encontrarán designados los responsables de practicar e informar pruebas de pentesting. Dicho procedimiento también abarcará aquellos pentesting que deban ser realizados por empresas tercerizadas.

  13. Control de accesos: Para cada área que lo requiera, la empresa mantendrá controles para acceder a cualquier activo valioso. Dicho acceso deberá estar documentado como procedimiento en el repositorio de procesos y responsabilidades, indicando que tipo de control se utiliza (Por ejemplo datos biométricos / Cámaras para activos físicos o Usuario/Password/Token para activos virtuales). La política de control de accesos también debe contemplar el acceso a las oficinas.

  14. Sistema de Gestión de Seguridad de la Información (SGSI): La empresa mantendrá un procedimiento para el uso y mantenimiento de un sistema SGSI a fin realizar seguimiento sobre cualquier incidencia de seguridad que pueda presentarse.

  15. Campañas de concientización: La empresa mantendrá un procedimiento que contemple canales de comunicación y capacitación constante para todos los empleados y terceros involucrados que requieran manejar activos de la organización. Mediante dichos canales se informarán buenas prácticas y cuidados que las personas deberán implementar a fin de mantener la seguridad de sus activos y a nivel general de la organización.