Академический Документы
Профессиональный Документы
Культура Документы
0
Política de Seguridad de la Información Fecha: 17 de Noviembre de 2018
Modificado Por: Elvia Severino Autorizado Por: Comité de Seguridad
GERENCIA
Contents
2. Introducción ..................................................................................................... 4
2.1 Objetivo..................................................................................................... 4
3. Alcance ........................................................................................................ 4
4. Términos y definiciones ................................................................................... 5
5. Políticas de seguridad de la información ......................................................... 8
6. Organización de la Seguridad de información ................................................. 9
7. De los Recursos Humanos y la seguridad de información ............................ 12
8. De los activos y su gestión ............................................................................ 14
9. Del control de acceso .................................................................................... 14
10. De Criptográficos ....................................................................................... 15
11. Seguridad física y del entorno .................................................................... 16
12. Seguridad De Las Operaciones ................................................................. 17
12.1 Procedimientos y responsabilidades operacionales ............................ 17
13. Seguridad de las comunicaciones.............................................................. 21
13.1 Gestión de la seguridad de redes ........................................................ 21
14. De la adquisición, desarrollo y mantenimiento de Sistemas de Información22
15. Relación con proveedores ......................................................................... 24
16. De la gestión de incidentes de seguridad de la información ...................... 25
17. De la continuidad de las operaciones de FABC ......................................... 25
18. Cumplimiento de requisitos legales............................................................ 26
Definición ............................................................ ¡Error! Marcador no definido.
2.2 Objetivo de la Gerencia ............................... ¡Error! Marcador no definido.
2.3 Responsabilidades ...................................... ¡Error! Marcador no definido.
5. Contratos de Trabajo y Contratos de Suplidores¡Error! Marcador no definido.
1. Historial de Revisiones
2. Introducción
2.1 Objetivo
La información es un recurso que, como el resto de los activos, tiene valor para
Farmacias ABC (FABC) y por consiguiente debe ser debidamente protegida y
gestionada. Las presentes políticas de seguridad procuran proteger la
información de una amplia gama de amenazas, a fin de lograr la
confidencialidad, integridad y disponibilidad, así como velar por la continuidad
operativa de los sistemas de información, minimizar los riesgos de daño y
asegurar el eficiente cumplimiento de los objetivos de la Institución.
3. Alcance
4. Términos y definiciones
A los efectos de este documento se aplican las siguientes definiciones:
Seguridad de la Información
La seguridad de la información se entiende como la preservación de las
siguientes características:
5.1 Objetivo
Proteger los recursos de información de FABC y la tecnología utilizada para su
procesamiento, frente a amenazas, internas o externas, deliberadas o
accidentales, con el fin de asegurar el cumplimiento de la confidencialidad,
integridad, disponibilidad, legalidad y confiabilidad de la información.
5.2 Alcance
Aspectos Generales
Estas políticas de seguridad de información se conforman de una serie de
pautas sobre aspectos específicos de la seguridad de la información, que
incluyen los siguientes tópicos:
Organización de la seguridad
Seguridad de los recursos humanos
Gestión de activos
Control de acceso
Criptografía
Seguridad física y del entorno
Gestión de las operaciones
Gestión de las comunicaciones
Desarrollo y mantenimiento de los sistemas
Relación con proveedores
Gestión de incidentes de seguridad
Gestión de la continuidad operativa de FABC
Cumplimiento de requisitos legales.
Objetivo
Administrar la seguridad de la información dentro de FABC y establecer un
marco gerencial para controlar su implementación, así como para la distribución
de funciones y responsabilidades.
Responsabilidad
El Oficial de Seguridad de Información realizará la supervisión de todos los
aspectos inherentes a los temas tratados en las presentes políticas. De igual
manera, asistirá al personal de FABC en materia de seguridad de la
información, junto con los propietarios de la información, analizará el riesgo de
los accesos de terceros a la información de FABC y verificará la aplicación de
las medidas de seguridad necesarias para la protección de la misma.
Titular Calidad
Gerente Ejecutivo Presidente
Gerente Administrativo Miembro
Subgerente de Servicios y Sistemas Miembro
Subgerente de Operaciones Miembro
Contralor Miembro
Consultor Jurídico Miembro
Director Departamento de Sistemas y Tecnología Miembro
Director Departamento de Seguridad Interna Secretario
Proceso Responsable
Seguridad de los Recursos Humanos Director Depto. Recursos Humanos
Seguridad Física Director Depto. Seguridad Interna
Seguridad Ambiental Director Depto. Administrativo
Control de Acceso Lógico Contralor
Seguridad en el Desarrollo y Mantenimiento de Sistemas Director Depto. Sistemas y Tecnología
Gestión de Incidentes Director Depto. Sistemas y Tecnología
Seguridad en las Comunicaciones y las Operaciones Director Depto. Sistemas y Tecnología
Gestión de Activos de Información Director Depto. Sistemas y Tecnología
Gestión de Riesgos Gerencia.
Planificación de la Continuidad Operativa Gerencia
6.3 Tercerización
Durante el empleo
9.4 A los usuarios sólo se les dará acceso a los servicios de redes de
comunicación que están específicamente autorizados a usar de
acuerdo con su perfil de puesto.
10. De Criptográficos
Política sobre el uso de controles Criptográficos
Esto esta soportado por los planes de acción y tácticos para cada periodo que
diseñe el área y que deben estar alineados con las estrategias desarrolladas por
la empresa.
Solo se puede hacer uso de hardware y software que esté autorizado por la Depto.
Sistemas y Tecnología
Los usuarios que manejen activos de información, deben garantizar que las
descargas realizadas por internet y de archivos adjuntos de correos electrónicos,
provienen de fuentes conocidas o seguras.
Todo archivo, documento que se ejecuten o sean abiertos por primera vez deberán
ser analizados por el software antivirus.
Todo usuario deberá comunicarse con El Depto. Sistemas y Tecnología en caso de que
su equipo de cómputo presente virus o perdida de información.
Deben Los empleados, contratistas y terceros, ser los responsables de la gestión del
almacenamiento y respaldo de la información deberán gestionar los recursos
necesarios para garantizar el correcto tratamiento de la misma. El Depto. Sistemas
y Tecnología deberá definir la estrategia a seguir para el respaldo y almacenamiento
de la información, de tal forma que se garantice su confidencialidad, integridad y
disponibilidad.
Debe Depto. Seguridad Interna establecerá los lineamientos para la generación y
almacenamiento de las copias de respaldo de información del centro de cómputo.
Debe la información ser salvaguardada por Depto. Sistemas y Tecnología de Farmacia
ABC (FABC), deberá ser almacenada y respaldada interna o externamente a la
empresa, de acuerdo con las normas establecidas de tal forma que se garantice su
disponibilidad en cualquier momento.
Se deben realizar copias de respaldo de todas las bases de datos que contienen los
sistemas de información del Farmacia ABC (FABC) y demás servicios, la
periodicidad de las mismas serán definidas por la El Depto. Sistemas y Tecnología
teniendo en cuenta la clasificación de la información, esta tarea debe realizarse de
forma automática.
Deben los empleados serán los responsables de salvaguardar la información de sus
estaciones de trabajo personales.
Mensajería electrónica
La información involucrada en la mensajería electrónica estará protegida con un
sistema de firewall, IPS y de un certificado de seguridad digital, de ser posible.
14.5 Los datos de salida de las aplicaciones se validarán para asegurar que
el procesamiento de la información almacenada es correcto y
adecuado a las circunstancias.
Incluir los requisitos para los acuerdos con proveedores para abordar los riesgos de
la seguridad de la información asociada con los servicios de las tecnologías de
información y comunicación y de la cadena de suministro de productos.
Los cambios en la prestación de servicios por parte de los proveedores, contratista, tercero
incluyendo el mantenimiento y la mejora de las actuales políticas de seguridad de
información, procedimientos y controles, se gestionarán, teniendo en cuenta la criticidad de
la información, sistemas y procesos que intervienen y re-evaluación de los riesgos.
COMITÉ DE SEGURIDAD