Seleccionar página

Política de Seguridad de la información

SGSI

SEGURIDAD

política de seguridad 

Edición 1  –  01/06/2020                                                                                               English format

OBJETO

La Política de Seguridad de la Información (ISP) es el documento clave para el Programa de Seguridad de la Información dentro de GT LASER. Determina a un alto nivel los principios de seguridad de la información de GT LASER en apoyo de los objetivos de gobernanza y los valores empresariales. 

ALCANCE

 

Las tecnologías de la información (TI) a medida que una función transversal se basa en todo el negocio, los procesos empresariales esenciales se basan en él. Por lo tanto, la política de seguridad de la información es aplicable a todo GT LASER.

POLÍTICA

Importancia de las Tecnologías de la Información

GT LASER percibe el significado de su tecnología de la información para el logro de sus objetivos estratégicos de negocio. GT LASER  extrae consecuencias de la dependencia del valor añadido y de los procesos empresariales esenciales de los sistemas informáticos con la actual política de seguridad de la información. Cada interrupción y deterioro funcional de la TI conduce invariablemente al deterioro del negocio. Como consecuencia del aumento de las redes, el potencial de daños aumenta infectando a los socios comerciales.

Por lo tanto, es esencial que GT LASER  se proteja contra los daños resultantes del uso de TI. Por esta razón  GT LASER clasifica uno de sus objetivos de negocio prioritarios, el objetivo de garantizar la seguridad de la tecnología de la información para todos los ámbitos.

La seguridad de la información en toda la empresa requiere una gestión de seguridad coordinada, que tenga en cuenta todas las áreas de TI. La gestión de la seguridad de la información establece los requisitos y reglas para todas las áreas de TI y garantiza la calidad y la seguridad en todos los campos operativos.

 

Objetivos

It es el objetivo distintivo de GT LASER, para proteger el negocio delos daños, que pueden ser causados por la tecnología de la información, a través de la introducción de la seguridad de la información. Debe garantizar que, dentro de la empresa, la información esté protegida contra la divulgación a usuarios no autorizados (confidencialidad); modificación incorrecta (integridad) y no acceso cuando sea necesario (disponibilidad).

El objetivo del ISP es establecer una base común para una seguridad de la información corporativa para GT LASER  dando orientación y definiendo las reglas apropiadas.

Gestión de la seguridad de la información

Para alcanzar los objetivos de seguridad de la información, debe introducirse un sistema de gestión de la seguridad de la información. El Director de Seguridad de la Información (CISO) es responsable de la implementación, mantenimiento y evolución de la gestión de la seguridad de la información. Tiene una línea de reporte directo a GT LASER  CEO..

El CISO debe participar en proyectos de TI en una etapa temprana para tener en cuenta los aspectos relevantes para la seguridad. Esto implica la participación en la fase de planificación y definición de requisitos del ciclo de vida de desarrollo del sistema.

La dirección apoya la mejora continua de los niveles de seguridad. Se insta a los empleados a transmitir posibles mejoras o debilidades de las medidas de seguridad y el proceso de seguridad a CISO o a los funcionarios de seguridad de la información.

Sobre la base de la revisión continua de las medidas y su cumplimiento, debe garantizarse el objetivo de aspirar la seguridad. Las desviaciones se analizan con el objetivo de mejorar los niveles de seguridad de TI y mantenerse al día con la tecnología de seguridad de la información actual. Los resultados se informan a la gerenciaregularmente.

 

Propietarios y Custodios de Activos de TI

Cada activo de TI de GT LASER  debe asignarse a un propietario. Un propietario debe ser un empleado concreto (mejor caso) o si no es factible un departamento.

La responsabilidad del propietario es:

  • Evaluación de la relevancia comercial del activo de TI,
  • Clasificación del activo de TI en términos de confidencialidad, integridad y disponibilidad (CIA)
  • Garantizar la eficacia de las medidas de seguridad, que sirven como protección del activo.

La gestión de la seguridad de la información tiene que apoyar a los propietarios en el cumplimiento de sus responsabilidades.

El propietario en cooperación con la gestión de la seguridad de la información tiene que evaluar la relevancia comercial del activo de TI, y definir e introducir las medidas de seguridad adecuadas.

La administración de la seguridad de la información debe tener cuidado de que las medidas de seguridad se definan e introduzcan para cada activo de TI.

El propietario en cooperación con la gestión de la seguridad de la información tiene que controlar la implementación y eficacia de las medidas de seguridad pertinentes. .

 Principios de seguridad de la información

 Los principios de seguridad deNformation comunican las reglas de GT LASER en apoyo de los objetivos de gobernanza y los valores GT LASER.  

 Apoyar al negocio

1 Enfoque en el negocio

 Objetivo: Garantizar que la seguridad de la información se integre en las actividades empresariales esenciales.

Descripción: Las personas dentro de la comunidad de seguridad de la información GT LASER  deben forjar relaciones con los líderes empresariales y mostrar cómo la seguridad de la información puede complementar los procesos clave de gestión de riesgos y negocios. Deben adoptar un enfoque consultivo para la seguridad de la información apoyando los objetivos empresariales mediante la asignación de recursos, programas y proyectos. Se debe proporcionar asesoramiento de alto nivel centrado en la empresa para proteger la información y ayudar a gestionar el riesgo de información tanto ahora como en el futuro.

 2 Proporcione calidad y valor a las partes interesadas

 Objetivo: Garantizar que la seguridad de la información ofrezca valor y cumpla con los requisitos del negocio.

Descripción: Las partes interesadas internas y externas deben participar a través de una comunicación regular para que sus requisitos cambiantes para la seguridad de la información puedan seguir siendo cumplidos. Promover el valor de la seguridad de la información (tanto financiera como no financiera) ayuda a obtener apoyo para la toma de decisiones, lo que a su vez puede ayudar al éxito de la visión de la seguridad de la información.

3 Cumplir con los requisitos legales y reglamentarios pertinentes

 Objetivo: Garantizar el incumplimiento de las obligaciones legales, se gestionan las expectativas de las partes interesadas y se evitan las sanciones civiles o penales.

Descripción: Las obligaciones de cumplimiento deben identificarse, traducirse en requisitos específicos de la seguridad de la información y comunicarse a todas las personas pertinentes. Las sanciones asociadas con el incumplimiento deben entenderse claramente. Los controles deben supervisarse, analizarse y actualizarse para cumplir con los requisitos legales o reglamentarios nuevos o actualizados.

 4 Proporcionar información oportuna y precisa sobre el rendimiento de la seguridad de la información

 Objetivo: Apoyar los requisitos del negocio y gestionar los riesgos de la información.

Descripción: Los requisitos para proporcionar información sobre el rendimiento de la seguridad deben estar claramente definidos, respaldados por las métricas de seguridad más relevantes y precisas (como el cumplimiento, los incidentes, el estado de control y los costos) y alineados con los objetivos del negocio. La información debe capturarse de manera periódica, coherente y rigurosa para que la información siga siendo precisa y se puedan presentar resultados para cumplir los objetivos de las partes interesadas pertinentes.

 5 Evaluar las amenazas de información actuales y futuras

 Objetivo: Analizar y evaluar las amenazas emergentes a la seguridad de la información para que se puedan tomar medidas informadas y oportunas para mitigar los riesgos.

Descripción: Las principales tendencias y amenazas específicas a la seguridad de la información deben clasificarse en un marco completo y estándar que abarque una amplia gama de temas, como cuestiones políticas, jurídicas, económicas, socioculturales, así como cuestiones técnicas. Las personas deben compartir y aprovechar su conocimiento de las próximas amenazas para abordar proactivamente sus causas, en lugar de solo los síntomas.

 6 Promover la mejora continua de la seguridad de la información

 Objetivo: Reducir costes, mejorar la eficiencia y la eficacia y promover una cultura de mejora continua en la seguridad de la información.

Descripción: Los modelos de negocio organizativos en constante cambio, junto con las amenazas en evolución, requieren que se adapten las técnicas de seguridad de la información y que su nivel de eficacia mejore de forma continua. El conocimiento de las últimas técnicas de seguridad de la información debe mantenerse aprendiendo de los incidentes y colaborando con organizaciones de investigación independientes.

 7.2 Defender las empresas

 1 Adoptar un enfoque basado en el riesgo

 Objetivo: Asegurar que los riesgos se traten de manera coherente y eficaz.

Descripción: Las opciones para abordar el riesgo de información deben revisarse de modo que se tomen decisiones informadas y documentadas sobre el tratamiento del riesgo. Por lo general, el tratamiento de riesgos implica elegir una o más opciones, que normalmente incluyen: aceptar riesgos (es decir, por un miembro de la dirección «firma» que han aceptado los riesgos y que no se requiere ninguna otra acción); evitar riesgos (por ejemplo, decidiendo no llevar a cabo una iniciativa en particular); la transferencia de riesgos (por ejemplo, mediante la subcontratación o la aceptación de seguros); y mitigar el riesgo, normalmente mediante la aplicación de medidas de seguridad adecuadas (por ejemplo, controles de acceso, supervisión de la red y gestión de incidentes).

 2 Proteger la información clasificada

Objetivo: Impedir que la información clasificada (por ejemplo, confidencial o sensible) se divulgue a personas no autorizadas.

Descripción: La información debe ser identificada y luego clasificada de acuerdo a su nivel de confidencialidad (por ejemplo, secreta, restringida, interna y pública). La información clasificada debe protegerse en consecuencia en todas las etapas del ciclo de vida de la información, desde la creación hasta la destrucción, utilizando los controles adecuados, como el cifrado y las restricciones de acceso.

 3 Concéntrese en aplicaciones empresariales críticas

 Objetivo: Priorizar los escasos recursos de seguridad de la información protegiendo las aplicaciones empresariales donde un incidente de seguridad tendría el mayor impacto empresarial.

Descripción: Comprender el impacto empresarial de una pérdida de integridad (por ejemplo, integridad, exactitud y puntualidad de la información) o la disponibilidad de información importante manejada por aplicaciones empresariales (es decir, procesadas, almacenadas o transmitidas) ayudará a establecer su nivel de criticidad. Los requisitos de recursos de seguridad se pueden determinar y dar prioridad a la protección de las aplicaciones que son más importantes para el éxito de la organización.

 4 Desarrollar sistemas de forma segura

 Objetivo: Construir sistemas de calidad y rentables en los que los empresarios puedan confiar (por ejemplo, que sean consistentemente robustos, precisos y confiables).

Descripción: La seguridad de la información debe ser integral en las fases de alcance, diseño, compilación y prueba del ciclo de vida de desarrollo del sistema (SDLC). Las buenas prácticas de seguridad (por ejemplo, pruebas rigurosas de debilidades de seguridad, revisión por pares y capacidad para hacer frente a errores, excepciones y condiciones de emergencia) deben desempeñar un papel clave en todas las etapas del proceso de desarrollo.

7.3 Promover un comportamiento responsable en la seguridad de la información

 1 Actuar de manera profesional y ética

 Objetivo: Garantizar que las actividades relacionadas con la seguridad de la información se realicen de manera fiable, responsable y eficaz.

Descripción:La seguridad de la información depende en gran medida de la capacidad de los profesionales dentro de la industria para desempeñar sus funciones de manera responsable y con una clara comprensión de cómo su integridad tiene un impacto directo en la información que se les acusa de proteger. Los profesionales de la seguridad de la información deben comprometerse con un alto nivel de calidad en su trabajo, al tiempo que demuestran un comportamiento coherente y ético y respeto por las necesidades empresariales, otras personas e información confidencial (a menudo personal).

 2 Fomentar una cultura positiva en la seguridad de la información

 Objetivo: Garantizar que las actividades relacionadas con la seguridad de la información se realicen de manera fiable, responsable y eficaz.

Descripción: Se debe hacer hincapié en hacer de la seguridad de la información una parte clave del «negocio como de costumbre», aumentar la conciencia de seguridad entre los usuarios y garantizar que tengan las habilidades necesarias para proteger la información y los sistemas críticos o clasificados. Las personas deben ser conscientes de los riesgos para la información en su cuidado y facultadas para tomar las medidas necesarias para protegerla.

 Compromiso con la política de seguridad de la información

 El CEO de GT LASER tiene en cuenta la necesidad de una seguridad de la información corporativa. Por lo tanto, la administración se compromete a definir el proceso de seguridad de la información, a iniciarlo y a mantenerlo.  GT LASER  tomará todos los pasos económicamente significativos para alcanzar el objetivo descrito en este documento.

La responsabilidad de la seguridad de la información del negocio se asigna con el CEO. El CEO delega en el CIO la realización de la seguridad de TI. El contenido de este ISP es apoyado en su totalidad por el CEO.

El CEO transfiere la responsabilidad de la seguridad de la información a cada empleado. Cada empleado y la dirección son conscientes de su responsabilidad en la seguridad de la información, y apoyan la estrategia de seguridad de la información con los máximos esfuerzos.

 Consecuencias en caso de inconformidad

 Las consecuencias principales de la inconformidad con esta política son: 

  • Gestionar la información de forma no segura, lo que afecta a la empresa
  • Que las conductas individuales que no han sido adecuadas pueden ser sancionadas de acuerdo con la legislación vigente