Políticas Corporativas

Política de Seguridad de la Información

1.1 Introducción

Gtd es una compañía TIC con más de 40 años de trayectoria y con presencia en Chile, Perú, Colombia, España y Ecuador Gtd se compromete a gestionar la seguridad, para ello ha establecido una política general de seguridad, la que es revisada y aprobada por el Comité de Seguridad con miras a cumplir los requerimientos específicos de seguridad, en cada uno de los siguientes ámbitos: seguridad organizacional, seguridad de la infraestructura física, seguridad de la infraestructura tecnológica, ciberseguridad, seguridad de la información, seguridad de los datos y la seguridad de los servicios provistos a clientes.

Para Gtd proteger la confidencialidad, integridad y disponibilidad de la información es un objetivo estratégico y dealto valor. Cumplir los estándares de seguridad que hoy día demanda el mercado, nos permite proteger los activos de la compañía de amenazas, cumplir normas y regulaciones vigentes, resguardar nuestra reputación corporativa y en consecuencia evitar pérdidas económicas e implicancias legales, respondiendo así a la confianza de nuestros clientes.

Nuestra compañía adhiere a los más altos estándares internacionales vigentes, para ello ha incorporado las mejores prácticas de seguridad basados en ISO 27001, NIST, CIS Controls, PCI entre otros. Esta política debe ser comunicada a toda la organización y a las principales partes interesadas de Gtd.

1.2 Política de Seguridad de la información.

El objetivo general es declarar el compromiso de Gtd, y las empresas que lo conforman, con la seguridad y resguardo de los activos, su uso y buenas prácticas relacionadas con la mantención de la integridad, confidencialidad y disponibilidad de dichos activos.

Gtd asume los siguientes compromisos de actuación en materia de seguridad y privacidad:

1. La seguridad de las personas es el bien más valioso para Gtd.
2. Los bienes físicos como instalaciones administrativas y técnicas, data centers y la infraestructura física de la red deben ser protegidos contra los riesgos de naturaleza, actos deliberados y aquellas amenazas que pongan en riesgo los activos que soportan y contienen.
3. La información, los sistemas de información y los servicios provistos a clientes a través de las tecnologías y la red, son activos valiosos para Gtd los que deben ser protegidos contra amenazas o riesgos internos y externos, para resguardar su disponibilidad, integridad y confidencialidad.
4. La ciberseguridad es una función clave para proteger los activos de Gtd y la de sus clientes ante los riesgos del ciberespacio.
5. La seguridad de los activos de Gtd incluida la información es responsabilidad de todos los empleados, contratistas y proveedores, independientemente del cargo que desempeñan.
6. Todo empleado, contratista y proveedor debe acceder exclusivamente a la información que le sea estrictamente necesaria para cumplir sus funciones.
7. Todo empleado, contratista y proveedor tiene la obligación de notificar cualquier actividad o situación que afecte o pueda afectar la seguridad de los activos de Gtd.
8. La organización reconoce que la sensibilización, capacitación y entrenamiento adecuados a su personal en las materias de seguridad, son tareas prioritarias y recurrentes.
9. Gtd establece un conjunto de políticas, planes y procedimientos de seguridad en materias específicas, las cuales forman parte integral de la presente política.
10. El Comité de Seguridad es responsable de entregar direccionamiento en los temas de seguridad y tiene la autoridad para su implementación, control y seguimiento para garantizar la mejora continua en materias de seguridad.
11. La organización debe velar por la difusión de las políticas de seguridad a todo Gtd.
12. El incumplimiento de las políticas de seguridad, constituyen una falta y serán sancionadas en conformidad a lo establecido en el reglamento interno.
13. La organización se adhiere a las mejores prácticas de seguridad, como marcos de referencia internacionales para la gestión de los riesgos de la seguridad y su mejora continua.
14. La organización declara su decisión de cumplir con la legislación y normativa vigente en temas de seguridad y privacidad de los datos.

1.3 Alcance del documento

En base a las necesidades detectadas y en conjunto con los requerimientos de las partes interesadas se han definido los siguientes ámbitos de trabajo:

• Seguridad organizacional.
• Seguridad de la infraestructura física.
• Seguridad de la infraestructura tecnológica.
• Seguridad de la información y los datos propios y de nuestros clientes.
• Ciberseguridad.
• Seguridad de los servicios provistos a clientes.

1.4 Ámbitos y Dominios

1.4.1 Gobierno y Organización de la Seguridad

Para la administración de la seguridad, Gtd, debe contar con una estructura de seguridad y un encargado dedicado al logro de los objetivos expresados en esta política. Para ello, se define una estructura organizacional y de gobierno, con dependencia funcional y roles claramente establecidos.

1.4.2 Seguridad Organizacional y de las Personas

Los empleados del Gtd, son parte del capital humano más valioso de la compañía. Una parte significativa de los problemas en la seguridad puede ser causado por empleados descuidados, mal informados, o disgustados, por ello se debe definir e implantar mecanismos para mitigar estos riesgos, y apoyar al personal interno y externo relacionado al Gtd, en la creación de un ambiente de trabajo adecuado

1.4.3 Gestión de Activos

Todos los activos del Gtd deben ser inventariados y controlados de manera apropiada. Esto se aplica a los recursos físicos y lógicos dentro de los ámbitos definidos. Estos recursos son cruciales para el éxito del negocio y se deben proteger por medio de controles apropiados para reducir al mínimo cualquier riesgo que los pueda afectar.

1.4.4 Control de Acceso

Los activos a cargo del Gtd son esenciales para su óptima operación. Por lo tanto, el acceso a todos los activos debe ser concedido de una manera controlada y periódicamente monitoreada. El protocolo definido en este aspecto es prohibir estrictamente el acceso a menos que sea concedido en forma explícita, y de acuerdo con las necesidades de conocer de las diferentes partes interesadas.

1.4.5 Criptografía

La información confidencial de Gtd y sus clientes, se debe resguardar de accesos no autorizados mediante de la implementación de controles criptográficos aplicables a la transmisión y almacenamiento de datos sensible

1.4.6 Seguridad Física y Ambiental

Las medidas de seguridad físicas deben estar operativas para resguardar la seguridad y la integridad de las personas, edificios y centros de cómputo o datos. Las medidas de protección deben estar de acuerdo con la clasificación de los activos y a la información procesada, almacenada, y manejada internamente.

1.4.7 Administración de Operaciones

La administración de operaciones de recursos y sistemas de información son esenciales para mantener un alto nivel de servicio a los clientes que operan con el Gtd. Por lo tanto, se deben desarrollar e implementar requerimientos de seguridad para mantener el control sobre las operaciones. Con este objeto se deben definir e implementar las métricas de control adecuadas e incorporar sistemas de monitoreo continuo sobre la operación de seguridad. Lo anterior permite identificar, detectar y prevenir oportunamente los riesgos y amenazas de origen interno o externo que pueden comprometer la seguridad, continuidad y/o la ciberseguridad de los servicios.

1.4.8 Administración de Comunicaciones

La administración de las comunicaciones se debe estructurar de modo tal de asegurar que los datos que se transmiten por las redes de Gtd se encuentren adecuadamente protegidos. Para ello se deben establecer controles técnicos y de gestión que garanticen un nivel de resguardo acorde a la criticidad de los datos. La infraestructura de telecomunicaciones asociada a la provisión de servicios TIC debe contar con los equipos, sistemas, personas y tecnologías que permitan mantener un alto nivel de seguridad, de los data centers, nodos e infraestructura de comunicaciones.

1.4.9 Desarrollo, Mantención e Implementación de Sistemas

El diseño de la infraestructura y la implementación de aplicaciones de negocios deben cumplir formal y explícitamente todos los requerimientos de seguridad definidos por Gtd. Estos requerimientos deben ser incorporados en cada paso del ciclo de diseño, desarrollo e implementación de productos, servicios y sistemas.

1.4.10 Relación con Proveedores

Se debe asegurar que el proceso de gestión de proveedores incorpora el cumplimiento de los lineamientos de seguridad, con el objeto de garantizar que los servicios brindados por estos cubren las necesidades de la organización en cuanto a la seguridad y resguardo de activos propios y de nuestros clientes.

1.4.11 Respuestas a incidentes

Se debe asegurar que los eventos e incidentes de seguridad sean notificados de forma adecuada y oportuna a los responsables de los activos, con el propósito evaluar el incidente para mitigar los riesgos asociados y responder adecuadamente a estos incidentes en el futuro. Lo anterior de acuerdo con los más altos estándares internacionales tales como NIST y el conjunto de normas ISO 27000.

1.4.12 Administración de la Continuidad del Negocio

Se debe disponer de un sistema de administración para asegurar la continuidad de la seguridad y la recuperación rápida ante incidentes o interrupciones inesperadas de los servicios. El plan de continuidad del negocio debe incluir procesos y procedimientos de recuperación ante cualquier interrupción del servicio. Información adicional y el alcance propio de Continuidad se puede encontrar en la Política de Continuidad del Negocio Gtd

1.4.13 Cumplimiento

Gtd debe cumplir con todas las reglas y regulaciones aplicables por la ley, en lo que respecta a resguardo de información. Esto incluye aspectos penales o civiles, estatutos, reglamentos u obligaciones contractuales hechas a nombre del Gtd. Satisfacer los requerimientos de seguridad incorporado en las leyes, así como la protección de la información propia del Gtd y/o datos de colaboradores, clientes y proveedores.

1.5 Roles y Responsabilidades

El Directorio de Gtd mandata a la administración, encabezada por su Gerente General, establecer los lineamientos/directrices generales y asignar los recursos humanos y técnicos adecuados. Gtd cuenta con una estructura de gobierno y de gestión de la seguridad en base a tres niveles. Un nivel estratégico, un nivel táctico y un nivel operacional y de gestión. En el nivel estratégico se establecen, coordinan y aprueban los lineamientos generales y la estrategia de seguridad, proveyendo los recursos humanos, tecnológicos y financieros requeridos para alcanzar los objetivos de la presente política. En el nivel táctico se definen, priorizan y evalúan los proyectos, riesgos e iniciativas de seguridad en cada uno de los ámbitos antes mencionados. En el nivel operacional y de gestión se implementan, controlan y supervisan los indicadores principales de la seguridad que permiten visualizar oportunamente los riesgos y amenazas en cada uno de los ámbitos de la política, de manera de responder adecuadamente ante incidentes de seguridad. Todos los empleados y colaboradores de Gtd participan y colaboran activa y responsablemente, cada uno desde su función específica, en la mantención de la seguridad de la compañía.

1.6 Política de Cumplimiento

La adecuada implementación y articulación de esta Política debe ser auditada periódicamente tanto en sus alcances técnicos u organizacionales. Los hallazgos detectados deben ser informados a las áreas respectivas para su pronta solución. Infracciones al cumplimiento de esta Política serán tratadas de acuerdo con el Reglamento Interno de trabajo y de acuerdo con las definiciones del Manual de Buenas Prácticas Empresariales o Código de Ética.