Política de Seguridad de la Información
La Dirección de SUMITEC a través del Comité Seguridad de la Información (CSI), impulsa y difunde a todos los niveles de la organización la siguiente Política y objetivos para la
gestión de la seguridad de la información. La información que genera y gestiona SUMITEC, constituye un activo estratégico clave para asegurar la continuidad del negocio. En este contexto, la Política de Seguridad de la Información está orientada a proteger: la información en la totalidad de su ciclo de vida (creación, difusión, modificación, almacenamiento, preservación y eliminación), los medios que permiten dicho ciclo y las personas que acceden a la información y/o la manipulan. Lo anterior, con el fin de garantizar su integridad, disponibilidad y confidencialidad.
Declaración de Intención de la Dirección
SUMITEC protegerá los recursos de información y la tecnología usada para su procesamiento de las amenazas internas o externas, deliberadas o accidentales; con el fin
de asegurar el cumplimiento de la confidencialidad, integridad, disponibilidad, legalidad y confiabilidad de la información. Además de poder garantizar la continuidad de los sistemas de información, minimizar riesgos de daño y asegurar el eficiente cumplimiento de sus objetivos estratégicos.
Principios de Seguridad de la Información
• Promover una cultura organizacional orientada a la seguridad de la información.
• Comprometer a las máximas autoridades de Suministros Técnicos S.A de C.V en la difusión, consolidación y cumplimiento de la política.
• Implementar las medidas de seguridad comprometidas, identificando los recursos y las partidas presupuestarias disponibles.
• Mantener las políticas, normativas y procedimientos actualizados, con el fin de asegurar su vigencia y nivel de eficacia.
• Promover prácticas que aseguren la continuidad de las funciones de SUMITEC de acuerdo a los dominios de seguridad establecidos.
• Cumplir con los requisitos legales, reglamentarios, los propios de la organización y la mejora continua.
Objetivos de la Gestión de Seguridad de la Información
Objetivos Generales
Lograr niveles adecuados de integridad, confidencialidad y disponibilidad para toda la información relevante, con el objeto de asegurar continuidad operacional de los procesos y servicios que desarrolla SUMITEC mediante el resguardo de los activos de información asociados a los procesos críticos del negocio y su soporte.
Objetivos Específicos
• Identificar, clasificar y asignar los dueños de los activos de información de SUMITEC, en orden a lograr niveles adecuados de integridad, confidencialidad y disponibilidad de éstos.
• Controlar, prevenir y/o mitigar los riesgos de seguridad de la información, identificando las vulnerabilidades y amenazas que enfrentan los activos, en orden a asegurar la continuidad del negocio; usando los reportes de vulnerabilidad, logs, gráficos de Antivirus y Firewalls y reportes de auditoria como herramientas de monitoreo.
• Establecer políticas, normativas y procedimientos que permitan resguardar y proteger los activos de información de SUMITEC
• Definir, ejecutar y mantener un Plan de Difusión, Sensibilización y Capacitación que permita difundir los alcances y buenas prácticas asociadas a la seguridad de la información.
• Cumplimiento de los porcentajes aceptables de las métricas de evaluación de eventos pro-seguridad.
Alcance de la Política de Seguridad de la Información
Alcance General
• La Política de Seguridad de la Información de SUMITEC, se dicta en cumplimiento de las disposiciones legales vigentes, con el objeto de gestionar adecuadamente la seguridad de la información.
• La presente política debe ser conocida y cumplida por todo el personal de SUMITEC LA REFORMA así como proveedores que acceden a las instalaciones.
• Esta Política se aplica en todo el ámbito de SUMITEC LA REFORMA, a sus recursos y a la totalidad de los procesos, internos y externos, vinculados a la entidad a través de contratos o acuerdos con terceros.
• De acuerdo a lo anterior, la información que genera y gestiona SUMITEC, constituye un activo estratégico clave para asegurar la continuidad del negocio, por lo que la Seguridad de la Información es una herramienta para garantizar su integridad, disponibilidad y confidencialidad.
Definición de los Activos de Información
Son todos aquellos elementos relevantes en la producción, emisión, almacenamiento, comunicación, visualización y recuperación de información de valor para SUMITEC, en la
que se distinguen tres niveles:
• La Información propiamente dicha, en sus múltiples formatos (papel, digital, texto, imagen, audio, video, etc.)
• Los Equipos/Sistemas/infraestructura que soportan esta información
• Las Personas que utilizan la información, y que tienen el conocimiento de los procesos institucionales.
Definición de la Seguridad de la Información
SUMITEC entiende que la Seguridad de la Información es el conjunto de medidas preventivas y reactivas de las organizaciones, a través de los sistemas que permiten
resguardar y proteger sus activos de información, buscando mantener la confidencialidad, la disponibilidad e integridad de la misma y asegurar la continuidad de las operaciones. Es decir que refiere a la protección de los activos de información, fundamentales para el éxito de nuestra organización.
Marco General de las Políticas de Seguridad de SUMITEC
Aspectos Generales
• La Política de Seguridad de la Información ha sido elaborada en concordancia con la legislación vigente en el país.
• La Alta Dirección se compromete a realizar las acciones que estén a su alcance para permitir la continuidad operativa de manera de hacer frente a las interrupciones de las actividades institucionales y proteger los procesos críticos de los efectos de fallas importantes o desastres en los sistemas de información y asegurar su reanudación oportuna.
Aprobación de la Política
• La política de seguridad de la información será aprobada por el Comité de Seguridad de la información como parte de la Alta Dirección, reflejando claramente su compromiso, apoyo e interés en el desarrollo de una cultura de seguridad de la información en SUMITEC.
Difusión de la Política
• Será responsabilidad del Gerente Técnico, difundir los temas relevantes en materia de seguridad.
• Las políticas de seguridad de la información serán comunicadas a todo el personal de SUMITEC LA REFORMA y a terceros que presten servicios en la organización y a las entidades externas relevantes.
• Para la difusión de los contenidos de las políticas de seguridad de la información al interior de SUMITEC se deberán utilizar los medios de difusión que disponga SUMITEC así como también instancias de capacitación llevadas a cabo para este efecto.
• Para lo anterior se definirá, implementará y evaluarán las acciones e iniciativas contenidas en un Plan de Difusión, Sensibilización y Capacitación en materia de seguridad de la información.
Revisión de la Política
• La Política de Seguridad de la Información será revisada anualmente a efectos de mantenerla actualizada. Asimismo efectuará toda modificación que sea necesaria en función a posibles cambios que puedan afectar su definición, como ser: cambios tecnológicos, impacto de los incidentes de seguridad, cambios estructurales en SUMITEC, cambios de las condiciones y/o requisitos legales, a solicitud de la Dirección.
• La modificación del presente documento está a cargo del Comité Seguridad de la Información y será aprobado por la Dirección.
• Cuando la organización determine la necesidad para cambios del SGSI, los cambios se llevaran a cabo de una manera planificada declarando fechas, responsables y detalles.