POLÍTICA INTEGRAL DE SEGURIDAD DE LA INFORMACIÓN

Owned by Nicolás López, created
Last updated: Sept 18, 2024
5 min read

OBJETIVO

Describir los requerimientos obligatorios y contractuales que NEOTEL y empresas vinculadas manejan en el ámbito de la seguridad de la información.

Estos términos se aplican en la medida en que NEOTEL tenga acceso y control sobre los datos del personal/cliente.

Los activos se protegerán, de manera que las obligaciones legales y contractuales de los negocios de NEOTEL y/o empresas vinculadas sean cumplidas y que el valor de la información sensible, tanto de negocios como de gestión (RR.HH., Proveedores, Clientes, Facturación, etc.) sean preservados.

Las políticas, además, proveerán las bases para sustentar una eficiente gestión de la seguridad, acorde con los niveles de calidad establecidos por NEOTEL.

Consecuentemente, el objetivo de ésta POLÍTICA es garantizar sobre los activos:

  • CONFIDENCIALIDAD: Prevenir que los activos de información no sean accedidos por individuos, entidades o procesos no autorizados;

  • ­­INTEGRIDAD: Proteger a los activos de la modificación, manipulación o reproducción no autorizada;

  • DISPONIBILIDAD Y CONTINUIDAD DEL NEGOCIO: Asegurar que todos los activos de la información y los servicios significativos para los negocios estén disponibles cuando sean requeridos por los usuarios, entidades o procesos autorizados.

ALCANCE

La presente POLÍTICA será de aplicación para todos los empleados, así como también, a todos los individuos que directa o indirectamente tengan algún tipo de vinculación o manejo de los activos de NEOTEL y/o empresas vinculadas.

Esta POLÍTICA se aplica a todos los activos definidos en la matriz de activos correspondientes, como lo es la información de NEOTEL en formato digital o impreso; creada, recibida, almacenada, procesada, transmitida, entregada o descartada usando cualquier sistema o medio de almacenamiento autorizado por NEOTEL.

VIGENCIA

Los aspectos contemplados en el presente se aplicarán de manera inmediata y obligatoria, a partir de la fecha de revisión declarada en la cabecera del documento.

Los RESPONSABLES DE SEGURIDAD DE LA INFORMACIÓN revisarán periódicamente esta POLÍTICA y/o realizará los ajustes necesarios cuando la misma así lo requiera.

RESPONSABLES

El equipo directivo es dueño de la presente POLÍTICA, y designa a los RESPONSABLES DE SEGURIDAD DE LA INFORMACIÓN por medio de una matriz de roles. Las personas designadas serán responsables por la instrumentación y cumplimiento de los lineamientos enunciados en este documento. Asimismo, debe centralizar y gestionar todas las actualizaciones que fueren necesarias para preservar la operatividad de los lineamientos y definiciones descritas en la presente POLÍTICA .

GENERALIDADES

Para todos los negocios de NEOTEL y/o empresas vinculadas, la información es un activo esencial. Es crucial que toda la información sensible sea mantenida de manera confidencial, sea precisa y esté disponible, de la manera apropiada para cubrir las necesidades de NEOTEL. La existencia de controles no quita que la responsabilidad para proteger adecuadamente la información que se utilice durante el desempeño de las funciones sea de cada empleado.

Cada empleado de NEOTEL y/o empresas vinculadas, debe adquirir conciencia de la necesidad de asegurar la información y actuar para la preservación de esta.

Para tal fin, ésta POLÍTICA dicta los estándares que deben ser cumplidos por los empleados que integran la organización de NEOTEL y/o empresas vinculadas, incluyendo campañas de concientización sobre seguridad de la información y no divulgación.

A su vez, provee un marco de trabajo para todos los procesos estándares y sus mecanismos de seguridad. Define los objetivos de seguridad, clasifica la información, responsabilidades y principios fundamentales para asegurarla de acuerdo con los objetivos del negocio.

El marco de seguridad definido por esta POLÍTICA provee una arquitectura de dos niveles de documentos: Políticas y Procedimientos.

La responsabilidad de implementación y difusión de esta POLÍTICA y los procedimientos específicos recae sobre el RESPONSABLE DE SEGURIDAD DE LA INFORMACIÓN.

Dentro del alcance de esta POLÍTICA , se implementará un adecuado monitoreo a través de un sistema de gestión de incidentes (SGSI) para asegurar que todos los incidentes relacionados con la seguridad sean identificados y corregidos. Las actividades de monitoreo serán consistentes con las regulaciones y legislación de privacidad vigentes, así como con los estándares de calidad de gestión establecidos por NEOTEL.

NEOTEL podrá efectuar relevamientos (auditorías) con el fin de detectar desvíos o cualquier violación a la política de seguridad establecida.

Ante dicha detección, NEOTEL aplicará sanciones disciplinarias de corresponder, pudiendo llegar al despido del personal involucrado de acuerdo al régimen legal aplicable y la gravedad que el caso revista.

Adicionalmente, en caso de detectarse actividades que a entendimiento de NEOTEL puedan dar lugar a la configuración de conductas tipificadas como delitos, NEOTEL podrá impulsar acciones de índole penal.

Esta POLÍTICA determina requerimientos mínimos para el gerenciamiento de la Información, Control de Accesos, Seguridad Física, Comunicaciones, Operaciones y el Desarrollo/Mantenimiento de los Sistemas.

La POLÍTICA será accesible para todo el personal y para los terceros involucrados.

PROGRAMA DE SEGURIDAD 

  1. Estándares de seguridad: NEOTEL mantendrá los procedimientos y controles aceptados y requeridos por la norma ISO 27001, como así también los lineamientos de seguridad requeridos por la ISO 9001.

  2. Concientización y capacitación: NEOTEL mantendrá un programa continuo sobre concientización y capacitación respecto a riesgos y buenas prácticas de seguridad sobre los activos de información.

  3. Políticas y procedimientos: NEOTEL mantendrá un repositorio accesible para todo su personal con la documentación vigente y actualizada de las correspondientes políticas y procedimientos de área.

  4. Gestión de cambios: NEOTEL mantendrá un sistema de gestión de cambios a fin de garantizar que todas las modificaciones requeridas sean revisadas, testeadas y aprobadas de forma apropiada. Este proceso deberá estar incluido en el repositorio de políticas y procedimientos de área.

  5. Disaster Recovery Plan (DRP): NEOTEL dispondrá acceso a un plan de contingencia y continuidad del negocio para aquellas situaciones que podrían presentar una interrupción de los servicios esenciales para la operación de NEOTEL.

  6. Auditorías: NEOTEL realizará de forma periódica auditorías con el fin de garantizar el cumplimiento del sistema de gestión de seguridad.

  7. ABM de personal/proveedor y destrucción de datos: NEOTEL mantendrá un procedimiento correctamente documentado, el cual explicará la operación para reclutar personal, generar usuarios y accesos en todas las plataformas requeridas como así también modificar cualquier tipo de información asociada y/o destrucción de los datos luego de la desvinculación del empleado/proveedor.

  8. Almacenamiento y backups: NEOTEL mantendrá en lineamiento y de forma prioritaria a los procedimientos de respaldo de información sobre todos los medios que contengan activos críticos, junto con un sistema de alertas que informe sobre cualquier anomalía de respaldo.

  9. Antivirus & Antimalware: Todo terminal asignado a personal y servidores contarán con un antivirus y antimalware con el fin de detectar e imposibilitar cualquier software malicioso. También se mantendrá control y monitoreo sobre la infraestructura de red para evitar ataques.

  10. Servicios de Firewalls, Sistemas de detección de Intrusos y Sistema de Alertas: NEOTEL contará con procedimientos que contemplen la correcta utilización de sistemas de firewall en todos los activos a los que corresponda, también dispondrá de procedimientos sobre el uso y mantenimiento de los sistemas de detección de intrusos y alertas de sistemas digitales como así también de seguridad físicas (Alarma contra incendios / Robo). A su vez, se contará con una matriz de responsables asignados.

  11. Gestión de parches y vulnerabilidades: NEOTEL mantendrá al menos un procedimiento periódico y auditable sobre análisis de vulnerabilidades y aplicación de parches/actualizaciones de seguridad. Dicho procedimiento deberá estar en lineamiento con el procedimiento de gestión de cambios.

  12. Pentest: NEOTEL mantendrá un procedimiento, auditado periódicamente, para garantizar la correcta implementación de los controles de accesos. También se encontrarán designados los responsables de practicar e informar pruebas de pentesting.

  13. Control de accesos: Para cada área que lo requiera, NEOTEL mantendrá controles para acceder a cualquier activo crítico. La política de control de accesos también debe contemplar el acceso a las oficinas.

  14. Sistema de Gestión de Seguridad de la Información (SGSI): NEOTEL mantendrá un procedimiento para el uso y mantenimiento de un sistema SGSI a fin realizar seguimiento sobre cualquier incidencia de seguridad que pueda presentarse.

  15. Campañas de concientización: NEOTEL mantendrá un procedimiento que contemple canales de comunicación y capacitación constante para todos los empleados y terceros involucrados que requieran manejar activos de la organización. Mediante dichos canales se informarán buenas prácticas y cuidados que las personas deberán implementar a fin de mantener la seguridad de sus activos.

Revisión y aprobación

Fecha

Aprobado por

Rol

Fecha

Aprobado por

Rol

18/09/2024

López Nicolás

Responsable en Gestión de Seguridad de la Información