POLÍTICA DE SEGURIDAD

Fecha de última actualización: 19/06/2024

POLÍTICA DE SEGURIDAD1. INTRODUCCION

La información corresponde a un activo, el cual se expone a riesgos y amenazas que pueden provenir desde dentro o fuera de la organización, y pueden ser intencionales o accidentales. Su ocurrencia puede provocar pérdidas materiales y/o económicas, daños en la imagen institucional y en la confianza de los clientes, infracciones legales, incumplimiento regulatorio, vulneración de los derechos de los clientes, empleados, colaboradores o de terceros. En vista de esta realidad, es importante proteger adecuadamente los activos de información de la organización. 

La Política de Seguridad tiene como misión establecer las directrices globales de Seguridad para la organización, así como proteger los activos de información.

Estas directrices incluyen la adopción de una serie de medidas organizativas y normas que se presentan en este documento y se desarrollan en sus documentos asociados y cuya finalidad es la de proteger los recursos de información de TEYAME 360 S.L. y DATONO MEDIACIÓN S.L. (en adelante TEYAME) así como los sistemas de información utilizados para su procesamiento, frente a amenazas, internas o externas, deliberadas o accidentales, con el fin de asegurar el cumplimiento de la confidencialidad, integridad, disponibilidad y legalidad de la información.

En vista de lo anterior, la Junta Directiva de TEYAME y DATONO apoya los objetivos estratégicos de Seguridad de la Información y vela para que se encuentren alineados con las estrategias y los objetivos del negocio. 

Esta Política está basada en las recomendaciones de buenas prácticas para garantizar la Seguridad en la Gestión de Sistemas de Información (Normas internaciones ISO 27001 e ISO 27002) así como en la legislación vigente aplicable.

  1. 2. OBJETIVOS

La Política de Seguridad de la Información tiene como objetivos: 

  1. a. Minimizar el riesgo en las funciones más importantes de TEYAME. 
  2. b. Cumplir con los principios de seguridad de la información. 
  3. c. Mantener la confianza de sus clientes, empleados y demás partes interesadas. 
  4. d. Implementar el sistema de gestión de seguridad de la información. 
  5. e. Proteger los activos tecnológicos. 
  6. f. Establecer las políticas, procedimientos e instructivos en materia de seguridad de la información. 
  7. g. Fortalecer la cultura de seguridad de la información de los empleados y proveedores de TEYAME 
  8. h. Garantizar la continuidad de los servicios frente a incidentes.
  1. 3. POLITICA DE SEGURIDAD DE LA INFORMACION

A continuación, se establecen las políticas de seguridad que soportan el Sistema de Gestión de Seguridad de la Información (SGSI) que TEYAME ha decidido definir, implementar, operar y mejorar de forma continua. 

  1. a. TEYAME protegerá contra el riesgo la información generada, procesada o almacenada por los diferentes procesos, su infraestructura tecnológica y activos que se genera de los accesos otorgados a terceros (ej.: proveedores), o como resultado de un servicio interno o externo. 
  2. b. TEYAME protegerá la confidencialidad, integridad, disponibilidad y legalidad de la información generada, procesada o almacenada por los diferentes procesos, con el fin de minimizar impactos financieros, operativos o legales debido a su uso incorrecto. Para ello es fundamental la aplicación de controles de acuerdo con la clasificación de la información de su propiedad o en custodia. 
  3. c. TEYAME protegerá su información contra las amenazas de origen interno o externo a la organización.
  4. d. TEYAME protegerá las instalaciones de procesamiento y la infraestructura tecnológica que soporta sus procesos críticos. TEYAME controla la operación de sus procesos garantizando la seguridad de los recursos tecnológicos y las redes de datos. 
  5. e. TEYAME garantizará que la seguridad sea parte integral del ciclo de vida de los sistemas de información a través de una adecuada gestión de los riesgos y las debilidades asociadas con los sistemas de información. 
  6. f. TEYAME garantizará la disponibilidad de sus procesos y la continuidad de sus servicios basada en el impacto que pueden generar los eventos adversos. 
  7. g. TEYAME garantizará el cumplimiento de las obligaciones legales, regulatorias y contractuales establecidas.
  8. h. Las responsabilidades frente a la seguridad de la información serán definidas, compartidas, publicadas y aceptadas por todas las partes interesadas. 
  1. 4. ALCANCE
    1. 4.1. Empleados

La Seguridad de la Información es un esfuerzo conjunto. Requiere la implicación y participación de todos los miembros de la organización que trabajan con Sistemas de Información. Por ello, cada empleado debe cumplir los requerimientos de la Política de Seguridad y su documentación asociada. Los empleados que deliberadamente o por negligencia incumplan la Política de Seguridad serán sujetos a acciones disciplinarias según se contempla en el último capítulo de este documento.

    1. 4.2. Sistemas de Información

Esta Política afecta a todos los activos de Información de la empresa, tanto a equipos personales o servidores, redes, aplicaciones, Sistemas Operativos, procesos de la empresa que pertenecen y/o son administrados por TEYAME. Esta política cubre los aspectos más directamente relacionados con la responsabilidad y buen uso del personal. 

    1. 4.3. Terceras partes

La presente Política de Seguridad es de extensible conocimiento y cumplimiento para cualquier persona externa perteneciente a terceras entidades que realice cualquier tipo de tratamiento sobre la información propiedad de TEYAME. Asimismo, esta Política y sus procedimientos asociados serán de obligado cumplimiento para las empresas terceras proveedoras contratadas para la ejecución de servicios profesionales en los ámbitos que se consideren oportunos, en el caso de que realicen cualquier actividad que implique acceso o tratamiento a cualquier sistema o información propiedad de TEYAME, así se definirá contractualmente.

    1. 5. ROLES Y RESPONSABILIDADES
    1. 5.1. Usuarios

Los usuarios deben conocer y aplicar las Políticas de Seguridad, procedimientos, estándares y aplicar la legislación vigente. Deben entenderlos perfectamente y cumplir con los mismos.

En general, cualquier persona que genera información es responsable de su clasificación de acuerdo con las instrucciones de la Compañía. Asimismo, cualquier persona que utiliza información y los sistemas de información está obligada a gestionarlos con el cuidado necesario, así como de utilizarlos únicamente para realizar las tareas autorizadas y en cumplimiento de las normativas válidas. Esto también es aplicable al personal externo.

    1. 5.2. Propietarios

Los propietarios de Activos de Información generalmente se corresponden con la Dirección General, o responsables de Área, quienes deben adquirir, desarrollar y mantener aplicativos de la empresa como Sistemas de Soporte a las decisiones y otras Actividades de la misma.

Los propietarios deben indicar la clasificación de sus activos que mejor corresponde con su valor crítico, disponibilidad e importancia relativa para la organización. Su clasificación marcará el nivel de riesgo y de protección, así como el nivel de acceso a dicha información o aplicativo.

    1. 5.3. Administradores

Los administradores son empleados a cargo de salvaguardar la Información de la Compañía propia y cedida por terceros.

Cada Sistema de Información debe disponer al menos de un Administrador autorizado según consta en el Inventario de Activos, siendo reconocido como el responsable del mismo. Son los responsables de Almacenar la Información, implementar controles de acceso (para prevenir acceso no autorizados) y ejecutar copias de Seguridad periódicas (para asegurar la disponibilidad de la información crítica).

Los administradores deben asimismo desarrollar, aplicar, mantener y revisar las medidas de Seguridad definidas por los propietarios de la Información.

    1. 6. MANTENIMIENTO, APROBACIÓN Y REVISIÓN DE LA POLÍTICA 

El responsable de Seguridad de la Información es el responsable de establecer y mantener las Políticas de Seguridad, Manuales y Procedimientos de TEYAME.

La Dirección General de la Empresa es la responsable de la aprobación y publicación de la Política, de distribuirla a todos los empleados y terceros afectados, así como revisar y evaluar la Política de Seguridad del SGSI.

Cualquier cambio o evolución que afecte o pudiera afectar al contenido del documento de Política de Seguridad del SGSI quedará registrado en una nueva firma del documento de aprobación. De esta forma se concreta y confirma el compromiso de estas entidades por la seguridad de la información.

Periódicamente, y en todo caso no superando el plazo de un año, se revisará la vigencia y razonabilidad de la presente política y se llevarán a cabo las mejoras, adaptaciones o modificaciones requeridas en función de los cambios organizativos, técnicos o regulatorios aplicables.  

    1. 7. DISTRIBUCIÓN DE LA POLÍTICA

El documento de Política de Seguridad del SGSI será accesible a todo el personal interno, se entregará en la incorporación de un nuevo empleado y cada 12 meses se distribuirá por correo electrónico a todos los empleados internos y externos subcontratados por TEYAME que manejen datos y recursos pertenecientes a la misma para conocimiento y conciencia de las normas de seguridad dispuestas.

Asimismo, se obtendrá compromiso de la lectura y aceptación de la misma por parte de todos los empleados.

La política será incluida en el documento “00-MA-01 – Manual de Seguridad del Empleado”

Cualquier cambio sustancial en el documento será distribuido a todos los usuarios a través de una notificación formal, enviada por correo electrónico o por comunicación interna en medios accesibles a los mismos mediante un modelo de comunicación habilitada para tal efecto.

    1. 8. SANCIONES

Cualquier violación premeditada o negligente de las políticas y normas de seguridad y que suponga un potencial daño, consumado o no a TEYAME, será sancionada de acuerdo a los mecanismos habilitados en el convenio de la Empresa y en la normativa legal, contractual y corporativa vigentes.

Todas las acciones en las que se comprometa la seguridad de TEYAME y que no estén previstas en esta política, deberán ser revisadas por la Dirección General y por el Responsable de Seguridad para dictar una resolución sujetándose al criterio de la empresa y la legislación prevista.

Las acciones disciplinarias en respuesta a los incumplimientos de la Política de Seguridad son atribución de los Responsables de Departamento en conjunción con Administración y la Dirección General.