[email protected] +56 2 2488 6550 / WhatsApp: +56 9 5316 7879
CONTÁCTENOS
COTICE
Menu

Política General de Seguridad de la Información y Ciberseguridad

NORMA ISO 27001:2022

INTRODUCCIÓN

ISENTINEL SPA presta servicios de diseño e integración tecnológica, implementando y operando dichas soluciones, para apoyar la eficiencia en los procesos de negocio, lo que permite establecer la información como un activo estratégico, la cual debe ser correctamente gestionada; por lo tanto establece estas directrices en su política que permita regular la gestión adecuada de la información y las medidas que resguarden la confidencialidad, integridad y disponibilidad de la información, tanto propia como aquellas que interactúa para sus clientes. Además de controlar el acceso y uso de la información en conformidad normativa legal vigente, asegurando la continuidad operacional de nuestros negocios.

  1. OBJETIVOS

Esta política de seguridad de la información cubre los siguientes objetivos:

  • Determinar las necesidades, expectativas y el compromiso de la Gerencia respecto a la utilización positiva de los recursos de información de ISENTINEL SPA que efectúe el personal.

  • Incorporar en todo el personal de la organización la necesidad de la seguridad de la información, promoviendo una cultura organizacional orientada a la seguridad de la información y la comprensión que se debe tener de sus responsabilidades individuales.

  • Decisiones, en situaciones relacionadas con la preservación de la seguridad de la información.

  1. ALCANCE

La presente política es de aplicación obligatoria para todo el personal de ISENTINEL SPA, cualquiera sea el tipo de contratación (indefinida, plazo fijo u honorarios), el área a la cual dependa y el nivel de sus labores. Se aplicará también a todo el personal externo que preste o prestare servicios, y cuenten con acceso privilegiado a la información.

También es aplicable a todo activo de información que la organización posea en la actualidad o en el futuro, a los equipos, sistemas e infraestructura que soportan estos activos, de manera que la no inclusión explícita en el presente documento no constituye argumento para no proteger estos activos de información.

La política cubre toda la información propiamente tal, en sus múltiples formatos, como la impresa o escrita en papel, almacenada electrónicamente, trasmitida por correo o usando medios electrónicos, ya en video conferencias, mostrada en videos o hablada en una conversación.

  1. DEFINICIONES

Para efectos de una correcta interpretación de la presente política, se realizan las siguientes definiciones:

  • Información: Conjunto de datos organizados en poder de una entidad que poseen valor para la misma.

  • Información pública: toda aquella información no catalogada como secreta o reservada, tal como lo establece el ordenamiento jurídico vigente.

  • Información reservada: toda aquella información cuyo conocimiento está circunscrita al ámbito de la respectiva unidad del órgano a la que sea remitida, en virtud de una ley o de una norma administrativa dictada en conformidad a ella, que les confiere tal carácter, cuando la naturaleza misma de la información requiera ser tratada de manera reservada.

  • Información Confidencial: son aquellos documentos cuyo conocimiento está circunscrito a las Gerencias o personas a las que vayan dirigidos y a quienes deban intervenir en su estudio, revisiones o aprobaciones, de acuerdo con los establecidos en los procedimientos respectivos. Una norma que establece restricciones claras es la ley de datos personales.

  • Confidencialidad: se garantiza que la información sea accesible sólo a aquellas personas autorizadas a tener acceso a la misma.

  • Integridad: es salvaguardar la exactitud y totalidad de la información en su procesamiento, transmisión y almacenamiento.

  • Disponibilidad: es asegurar que los usuarios autorizados tengan acceso a la información y los activos asociados cuando estos sean requeridos.

  • Seguridad de la información: la seguridad de la información se entiende como la preservación de la información con niveles apropiados de confidencialidad, integridad y disponibilidad.

  • Activo de Información: todos aquellos elementos relevantes en la producción, emisión, almacenamiento, comunicación, visualización y recuperación de información de valor para la empresa.

  • NDA (Non Disclosure Agreement): Acuerdo de Confidencialidad, es un contrato legal de al menos 2 partes, el cual describe material, conocimiento o información confidencial que las partes desean compartir entre sí para ciertos fines, pero requieren restringir el acceso a terceros.

4. ROLES Y RESPONSABILIDADES

    4.1 RESPONSABILIDADES

    • Gerencia General: en virtud de su nivel, es responsable final de la aprobación las políticas de seguridad, sancionando las estrategias y mecanismos de control para el tratamiento de riesgos que afecten a los activos de información de la empresa, que se generen como resultado de reportes o propuestas del Comité de Seguridad de la Información.

    • Oficial de Seguridad de la Información: es el principal responsable en la definición y desarrollo de los criterios y las políticas de seguridad de la información en ISENTINEL SPA y de controlar y coordinar su correcta implementación y posterior aplicación.

    • El administrador del SGSI: es el principal responsable de velar por la seguridad informática de la empresa, de monitorear y de reportar los incidentes de seguridad de la información oportunamente a los encargados correspondientes.

    • Comité de Seguridad de la Información: tiene por responsabilidad asesorar a la Gerencia General, en temas de seguridad de la información, en coordinación con el Oficial de Seguridad de la información, proponiendo estrategias para la implementación de políticas y procedimientos, y ayudando en las debidas soluciones que puedan generarse a causa de una situación de riesgo detectado.

    Personal de ISENTINEL SPA tiene la responsabilidad de cumplir con esta y cada una de las políticas, procedimientos y normativas definidas en el SGSI y aplicarlo en su entorno laboral. Además, tiene la obligación de alertar de manera oportuna y adecuada cualquier incidente que atente contra la seguridad de los activos de información de ISENTINEL SPA.

    4.2 CUMPLIMIENTO

    El cumplimiento esta política, las políticas específicas de seguridad y procedimientos que se deriven, deben ser una tarea cotidiana y de estricta aplicación por parte de todos los funcionarios de ISENTINEL SPA. El incumplimiento de la presente política expone a quien la vulnere a las sanciones pertinentes según la resolución de las investigaciones, según sea el caso.

    5. POLÍTICA

      5.1 RESUMEN DE LA POLÍTICA

      ISENTINEL SPA reconoce la información como un activo clave, por lo que asume la responsabilidad de implantar, mantener y mejorar un Sistema de Gestión de la Seguridad de la Información (SGSI) que preserve niveles adecuados de Integridad, Confidencialidad y Disponibilidad para todos los activos de información de nuestra organización.

      5.2 DE LA INFORMACIÓN INTERNA

      La información es un activo relevante y todos sus accesos, usos y procesamiento, deben ser consistentes con las políticas, normativas y procedimientos emitidos por el Sistema de Gestión de Seguridad de la Información de ISENTINEL SPA en cada ámbito en particular.

      La información debe ser protegida, por los responsables, de una manera consistente con su importancia, valor y criticidad, resguardando sus niveles de confidencialidad, integridad y disponibilidad.

      Toda la información creada o procesada por la organización debe ser considerada como “Pública”, a menos que se determine otro nivel de clasificación, pudiendo ser “Reservada” o “Confidencial” de acuerdo con lo establecido en el procedimiento de clasificación de la información.

      ISENTINEL SPA proveerá los mecanismos para que la información sea accedida y utilizada por el personal que, de acuerdo con sus funciones, así lo requiera. Sin embargo, se reserva el derecho de revocar al personal, el privilegio de acceso a la información y tecnologías que la soportan, si la situación y las condiciones lo ameriten.

      5.3 DE LA INFORMACIÓN DE LOS USUARIOS EXTERNOS

      Si ISENTINEL SPA procesa y mantiene información de usuarios externos que sean datos personales y/o sensibles de acuerdo con la normativa vigente, ISENTINEL SPA se compromete a asegurar que esta información no será divulgada sin previa autorización y estará protegida de igual manera que la información interna.

      En el caso que la información de usuarios externos que se procese y mantenga y que no tenga las características anteriormente mencionadas, esta podrá ser divulgada sin previa autorización.

      Si se requiere compartir información de los usuarios externos de ISENTINEL SPA con empresas externas, con motivo de externalizar servicios, a éstas se le exige la firma de un acuerdo de confidencialidad y no divulgación (NDA) previa a la entrega de la información, el cual debe establecer fecha de inicio y término.

      5.4 DE LAS AUDITORÍAS

      Con el fin de velar por el correcto uso de los activos de información de su propiedad, ISENTINEL SPA se reserva el derecho de auditar en todo momento y sin previa notificación, el cumplimiento de las políticas vigentes y que dicen relación con el acceso y uso que los usuarios hacen de los activos de información.

      ISENTINEL SPA se reserva el derecho de tomar medidas administrativas en contra del personal que no dé cumplimiento a lo dispuesto en la presente política y las políticas específicas que se deriven.

      5.5 DEL COMPROMISO DE LA GERENCIA

      La Gerencia de ISENTINEL SPA promueve la existencia de un plan formal de difusión de esta política y las políticas específicas que la aseguren.

      La Gerencia de la empresa, mediante la estructura que se defina en el “Procedimiento de inducción en Seguridad de la información”, se comprometerá a entregar a todo el personal entrenamiento idóneo en materia de seguridad, consistente con sus necesidades y su rol dentro de ISENTINEL SPA.

      Este Sistema de Gestión de Seguridad de la información forma parte de la estrategia de ISENTINEL SPA para mejorar de forma continua, proporcionando una base en la que se estructuran sus PROCESOS, optimizándolos y mejorando su eficacia y eficiencia, haciendo de ISENTINEL SPA una organización más confiable.

      La Gerencia de ISENTINEL SPA proporciona los recursos necesarios asegurar la continuidad del negocio ante situaciones que pongan en riesgo el acceso a la información imprescindible para el funcionamiento de la organización.

      ISENTINEL SPA está comprometido permanentemente en satisfacer los requisitos aplicables relacionados con la seguridad de la información de nuestros clientes o partes interesadas, según corresponda.

      5.6 DEBERES DEL PERSONAL

      • La información y las tecnologías de información deben ser usadas sólo para propósitos relacionados con ISENTINEL SPA y autorizados por los jefes directos, debiéndose aplicar criterios de buen uso en su utilización.

      • Las claves de acceso a la información y a las tecnologías de información son individuales, intransferibles y de responsabilidad única de su propietario.

      • El personal está en la obligación de alertar, de manera oportuna y adecuada, cualquier incidente que atente contra lo establecido en esta política según el procedimiento de “Gestión de Incidentes de Seguridad Informática PRO-02”.

      • Está absolutamente prohibido al personal de la organización divulgar cualquier información esté catalogada como “Reservada” o “confidencial”.

      5.7 MANTENCIÓN DE LAS POLÍTICAS

      Con el objetivo de garantizar el cumplimiento de esta Política de Seguridad de la Información, ISENTINEL SPA establece una estructura organizacional de seguridad que contempla la definición de funciones específicas en el ámbito de seguridad, las cuales son lideradas por el Comité de Seguridad de la Información y coordinadas por el Oficial de Seguridad de la Información.


      La mantención de la presente política es realizada por el Oficial de Seguridad de la Información y sus cambios aprobados por el Comité de Seguridad de la Información y la Gerencia de ISENTINEL SPA.
      La política y procedimientos deben ser aprobadas por el Comité de Seguridad de la Información y firmadas por la Gerencia General.


      El presente documento debe ser revisado como mínimo una vez al año y actualizado cada vez que se realicen modificaciones relevantes en ISENTINEL SPA que puedan afectar la protección de la información, considerando como tales entre otros, cambios en objetivos estratégicos, servicios estratégicos, infraestructura, personal y/o procedimientos relacionados con la protección de la información.


      El Comité de Seguridad de la Información solicita al proceso de comunicaciones interna que difunda la según su alcance e importancia para el servicio, proyecto o negocios involucrado.

      5.8 DISPOSICIÓN, DIFUSIÓN Y COMUNICACIÓN DE LA POLÍTICA

      Es imprescindible para que la presente política se integre en la cultura organizacional, el desarrollo de un plan estratégico de difusión, capacitación y sensibilización en torno a la seguridad de la información.


      La Gerencia de ISENTINEL SPA es responsable de la existencia permanente y el cumplimiento de un plan formal de difusión, capacitación y sensibilización de la seguridad de la información que incluya a las partes interesadas, según proceda.


      El Oficial de Seguridad de la información es el responsable de la ejecución del plan y el cumplimiento de sus objetivos, así como la existencia de un plan comunicacional que lo complemente.

      5.9 MEDIOS DE DIFUSIÓN:

      • Charlas de Seguridad de la Información a nivel organizacional
      • Correos de difusión indicando la ruta a la Política, protocolos y Procedimientos de
      • Seguridad de la Información.
      • Publicación en página Web www.isentinel.cl

      5.10 PERIODICIDAD DE EVALUACIÓN Y REVISIÓN.

      La presente Política es revisada y evaluada anualmente. La revisión de la Política debe ser realizada por el Oficial de Seguridad de la Información que en esta revisión es informada a la gerencia general y queda constancia de dicha revisión en acta del comité de seguridad de la información.

      6. DOCUMENTACIÓN DE REFERENCIA

      Se considera como documentación de referencia para la presente política, toda la normativa legal vigente, en particular:

      • Ley N° 17.336 Propiedad intelectual.
      • Ley N° 21.459 Delitos informáticos
      • Ley N° 19.628 Protección de datos de carácter personal
      • Ley N° 20.285 Sobre acceso a la información pública
      • Ley N°19.799 Sobre documentos electrónicos, firma electrónica y servicios de certificación de dicha firma
      • Norma NCh-ISO 27001:2022

      Cristian Soto Torres
      Gerente General