Texto aprobado el día 25 de noviembre de 2017 por el Comité de Calidad y Seguridad. Esta Política de Seguridad de la Información es efectiva desde dicha fecha y hasta que sea reemplazada por una nueva Política.
Este texto anula el anterior, que fue aprobado el día 23 de noviembre de 2015 por el Comité de Dirección.
DESIMPLEX depende de los sistemas TI (Tecnologías de Información) para alcanzar sus objetivos. Estos sistemas deben ser administrados con diligencia, tomando las medidas adecuadas para protegerlos frente a daños accidentales o deliberados que puedan afectar a la disponibilidad, integridad o confidencialidad de la información tratada o los servicios prestados.
El objetivo de la seguridad de la información es garantizar la calidad de la información y la prestación continuada de los servicios, actuando preventivamente, supervisando la actividad diaria y reaccionando con presteza a los incidentes.
Los sistemas TI deben estar protegidos contra amenazas de rápida evolución con potencial para incidir en la confidencialidad, integridad, disponibilidad, uso previsto y valor de la información y los servicios. Para defenderse de estas amenazas, se requiere una estrategia que se adapte a los cambios en las condiciones del entorno para garantizar la prestación continua de los servicios. Esto implica que los departamentos dentro del alcance deben aplicar las medidas mínimas de seguridad exigidas en este documento, así como realizar un seguimiento continuo de los niveles de prestación de servicios, seguir y analizar las vulnerabilidades reportadas, y preparar una respuesta efectiva a los incidentes para garantizar la continuidad de los servicios prestados.
Los departamentos dentro del alcance deben estar preparados para prevenir, detectar, reaccionar y recuperarse de incidentes.
Todos los departamentos de DESIMPLEX deben evitar, o al menos prevenir en la medida de lo posible, que la información o los servicios se vean perjudicados por incidentes de seguridad. Para ello los departamentos deben implementar las medidas mínimas de seguridad determinadas en este documento, así como cualquier control adicional identificado a través de una evaluación de amenazas y riesgos. Estos controles, y los roles y responsabilidades de seguridad de todo el personal, deben estar claramente definidos y documentados.
Para garantizar el cumplimiento de la política, los departamentos dentro del alcance deben:
Dado que los servicios se pueden degradar rápidamente debido a incidentes, que van desde una simple desaceleración hasta su detención, los servicios deben monitorizar la operación de manera continua para detectar anomalías en los niveles de prestación de los servicios y actuar en consecuencia según lo establecido y en los controles sobre Seguridad de las Operaciones.
La monitorización es especialmente relevante cuando se establecen líneas de, para lograrlo se establecerán mecanismos de detección, análisis y reporte que lleguen a los responsables regularmente y cuando se produce una desviación significativa de los parámetros que se hayan preestablecido como normales.
Los departamentos dentro del alcance deben:
Para garantizar la disponibilidad de los servicios críticos, los departamentos dentro del alcance deben desarrollar planes de continuidad de los sistemas TI como parte de su plan general de continuidad de negocio y actividades de recuperación.
Para los sistemas de información que residen en:
de acuerdo a la declaración de aplicabilidad vigente.
La misión de DESIMPLEX es solucionar la automatización de la información como activo de las organizaciones, entendida esta en un sentido amplio.
DESIMPLEX se esfuerza en cumplir con toda la legislación aplicable a su actividad, ya sea de carácter general (Código de Comercio, Código Civil, etc.) o específico y las leyes de los países en donde opera, con respecto a:
El Comité de Calidad y Seguridad estará formado por el Director Financiero y por el Director Regional, que podrán estar auxiliados de manera permanente o esporádica por consultores externos.
El Secretario del Comité de Calidad y Seguridad será el Gerente de cada oficina (o persona en quien delegue) y tendrá como funciones la preparación de las reuniones, la difusión de sus resultados y el seguimiento de los acuerdos alcanzados.
El Comité de Calidad y Seguridad reportará al Comité de Dirección.
El Comité de Calidad y Seguridad, tendrá las siguientes funciones:
El Director Financiero de DESIMPLEX asume la función de Responsable del Sistema de Seguridad.
Las funciones del Responsable de Seguridad de la Información son las siguientes:
El Responsable de Seguridad de la Información será nombrado por el Comité de Dirección a propuesta del Comité de Calidad y Seguridad. El nombramiento se revisará cada 2 años o cuando el puesto quede vacante.
Será misión del Comité de Calidad y Seguridad la revisión anual de esta Política de Seguridad de la Información y la propuesta de revisión o mantenimiento de la misma. La Política será aprobada por el Comité de Dirección y difundida para que la conozcan todas las partes afectadas.
DESIMPLEX trata datos de carácter personal. El documento de seguridad, al que tendrán acceso sólo las personas autorizadas, recoge los ficheros afectados y los responsables correspondientes. Todos los sistemas de información de DESIMPLEX se ajustarán a los niveles de seguridad requeridos por la normativa para la naturaleza y finalidad de los datos de carácter personal recogidos en el mencionado Documento de Seguridad.
Todos los sistemas sujetos a esta Política deberán realizar un análisis de riesgos, evaluando las amenazas y los riesgos a los que están expuestos. Este análisis se revisará:
Los análisis de riesgos se llevarán a cabo siguiendo siempre una misma metodología, que estará procedimentada.
Esta Política de Seguridad de la Información, complementa las políticas de DESIMPLEX en materia de Calidad y Medio Ambiente.
La Política de Seguridad se desarrollará por medio de normativa de seguridad que afronte aspectos específicos. La normativa de seguridad estará a disposición de todos los miembros de la organización que necesiten conocerla, en particular para aquellos que utilicen, operen o administren los sistemas de información.
La normativa de seguridad estará disponible en la web de DESIMPLEX.
Todos los trabajadores de DESIMPLEX tienen la obligación de conocer esta Política de Seguridad de la Información, que es de obligado cumplimiento dentro del alcance identificado, siendo responsabilidad del Comité de Calidad y Seguridad disponer los medios necesarios para que la información llegue a los afectados.
Se establecerá un programa de concienciación continua para atender a todos los miembros de DESIMPLEX, en particular a los de nueva incorporación.
Las personas con responsabilidad en el uso, operación o administración de sistemas TI dentro del alcance recibirán formación para el manejo seguro de los sistemas en la medida en que la necesiten para realizar su trabajo. La formación será obligatoria antes de asumir una responsabilidad, tanto si es su primera asignación o si se trata de un cambio de puesto de trabajo o de responsabilidades en el mismo.
Las terceras partes relacionadas con DESIMPLEX, dentro del alcance, firman con la empresa un acuerdo que protege la información intercambiada.
Cuando DESIMPLEX utilice servicios de terceros o ceda información a terceros, se les hará partícipes de esta Política de Seguridad. Dicha tercera parte quedará sujeta a las obligaciones establecidas en dicha Política, pudiendo desarrollar sus propios procedimientos operativos para satisfacerla.
Cuando algún aspecto de la Política no pueda ser satisfecho por una tercera parte según se requiere en los párrafos anteriores, se requerirá un informe del Responsable de Seguridad que precise los riesgos en que se incurre y la forma de tratarlos. Se requerirá la aprobación de este informe por los responsables de la información y los servicios afectados antes de seguir adelante.
© 2016 Desimplex, S.A.
World Trade Center
Calle 53 E, Marbella, piso 1, Ciudad de Panamá, Panamá
Email: visualizador@desimplex.com
Tel. +507 205 16 58