DUXITER
Políticas y Privacidad
Política Integral de Seguridad
- Introducción
La información constituye el activo más valioso de nuestra empresa. La vulnerabilidad de nuestros sistemas de información requiere el establecimiento de mecanismos efectivos para salvaguardar los datos de la compañía, evitando pérdidas derivadas de un manejo inadecuado o de acciones maliciosas. La pérdida parcial o total de información, así como su divulgación no autorizada, pueden ocasionar graves daños en nuestros ingresos, utilidades y reputación corporativa. Por lo tanto, es imperativo desarrollar una Política Integral de Seguridad Informática que nos permita proteger este activo crítico.
- Marco Conceptual
La seguridad informática se ha vuelto una prioridad en el entorno empresarial debido a la proliferación de amenazas y al constante avance tecnológico. La interconexión a través de redes ha ampliado nuestras capacidades, pero también ha expuesto nuestros sistemas a riesgos cada vez más sofisticados. Ante esta realidad, las políticas de seguridad informática surgen como herramientas fundamentales para concientizar a los colaboradores sobre la importancia de proteger la información y garantizar la continuidad del negocio.
- Objetivos de la Política de Seguridad Informática
La presente Política Integral de Seguridad Informática tiene como objetivos principales:
- Salvaguardar la integridad, confidencialidad y disponibilidad de la información de la empresa: Esto implica implementar medidas de seguridad que protejan los datos contra accesos no autorizados, modificaciones no autorizadas y pérdidas accidentales o intencionales.
- Establecer lineamientos claros para la protección de los activos informáticos contra amenazas internas y externas: Se implementarán políticas y procedimientos que aborden los riesgos potenciales y mitiguen las vulnerabilidades identificadas en los sistemas de información.
- Promover una cultura organizacional orientada a la seguridad informática: Se realizarán actividades de sensibilización y capacitación para concientizar a todo el personal sobre la importancia de la seguridad de la información y fomentar buenas prácticas en el manejo de los recursos informáticos.
- Cumplir con las leyes, regulaciones y normativas vigentes en materia de seguridad de la información en Chile: Se garantizará el cumplimiento de las disposiciones legales y normativas relacionadas con la seguridad informática, asegurando así la adecuada protección de los datos y la privacidad de los individuos.
- Componentes de la Política de Seguridad Informática
4.1. Alcance
Esta política aplica a todos los recursos informáticos y a todo el personal de la empresa que interactúe con ellos, incluyendo empleados, contratistas y terceros autorizados. Los recursos informáticos comprenden equipos de cómputo, dispositivos móviles, redes, sistemas de información, aplicaciones y cualquier otro componente tecnológico utilizado en las operaciones de la empresa.
4.2. Responsabilidades
- Alta dirección: La alta dirección es responsable de promover una cultura de seguridad informática y asignar los recursos necesarios para su implementación. Deberá liderar el proceso de definición, aprobación e implementación de la política de seguridad informática.
- Jefes de departamento: Los jefes de departamento son responsables de asegurar el cumplimiento de esta política dentro de sus áreas de competencia. Deberán designar responsables de seguridad informática en cada área y supervisar el cumplimiento de las medidas establecidas.
- Personal: Todo el personal debe cumplir con las medidas de seguridad establecidas y reportar cualquier incidente o vulnerabilidad detectada. Deberá participar activamente en actividades de sensibilización y capacitación en seguridad informática.
4.3. Requerimientos de Seguridad
- Control de acceso: Se establecerán medidas de control de acceso para garantizar que solo personal autorizado pueda acceder a la información. Esto incluye el uso de contraseñas seguras, autenticación multifactorial y controles de acceso físico a las instalaciones.
- Respaldo y recuperación de datos: Se implementarán políticas de respaldo y recuperación de datos para prevenir la pérdida de información crítica. Se realizarán copias de seguridad periódicas y se establecerán procedimientos para la recuperación rápida de la información en caso de incidentes.
- Gestión de privilegios: Se definirán los permisos de acceso y los privilegios de usuario de acuerdo con el principio de «menor privilegio». Esto significa que cada usuario tendrá acceso únicamente a los recursos necesarios para desempeñar sus funciones, reduciendo así el riesgo de accesos no autorizados.
- Monitoreo y auditoría: Se establecerán procedimientos de monitoreo y auditoría para detectar y prevenir posibles amenazas. Se utilizarán herramientas de monitoreo de seguridad para registrar y analizar el tráfico de la red, identificar comportamientos anómalos y responder rápidamente a incidentes de seguridad.
4.4. Sanciones por Incumplimiento
El incumplimiento de esta política podrá dar lugar a medidas disciplinarias, incluyendo la terminación del contrato laboral o acciones legales, según la gravedad de la infracción y las leyes aplicables en Chile. Se establecerán procedimientos claros para la investigación y el seguimiento de los incidentes de seguridad, así como para la imposición de sanciones en caso de incumplimiento.
- Normativa Chilena en Seguridad Informática
En cumplimiento de la normativa chilena en seguridad informática, la empresa se compromete a respetar y cumplir con las siguientes leyes y regulaciones:
- Ley N° 19.628 sobre protección de datos personales: Se garantizará la privacidad y seguridad de los datos personales de acuerdo con los principios establecidos en esta ley. Se implementarán medidas de seguridad técnicas y organizativas para proteger los datos personales contra accesos no autorizados, divulgación accidental y otras formas de tratamiento no autorizado.
- Ley N° 19.799 sobre firma electrónica: Se utilizarán firmas electrónicas válidas y seguras en todas las transacciones electrónicas realizadas por la empresa. Se adoptarán medidas de seguridad para garantizar la autenticidad, integridad y no repudio de las firmas electrónicas, de acuerdo con los estándares establecidos en esta ley.
- Ley N° 20.009 sobre delitos informáticos: Se adoptarán medidas para prevenir y sancionar los delitos informáticos, protegiendo así la seguridad de la información y los activos de la empresa. Se establecerán políticas y procedimientos para prevenir el acceso no autorizado, la interceptación de datos y otras formas de actividad delictiva en el entorno digital.
- Norma ISO/IEC 27001: Se seguirán los estándares y requisitos establecidos por la norma ISO/IEC 27001 para la gestión de la seguridad de la información en la empresa. Se realizarán evaluaciones periódicas de conformidad con la norma ISO/IEC 27001 y se implementarán acciones correctivas y preventivas para mejorar continuamente el sistema de gestión de la seguridad de la información.
- Implementación y Mantenimiento
La presente política será comunicada a todo el personal de la empresa y se realizarán capacitaciones periódicas para garantizar su entendimiento y cumplimiento. Se establecerán mecanismos de revisión y actualización de la política en función de los cambios tecnológicos, legales y organizacionales que puedan afectar la seguridad de la información. Además, se designarán responsables de seguridad informática en cada área para supervisar la implementación de las medidas de seguridad y coordinar las actividades de cumplimiento.
- Conclusiones
La seguridad informática es un aspecto fundamental para el éxito y la continuidad del negocio. La implementación de esta Política Integral de Seguridad Informática representa un compromiso de la empresa con la protección de sus activos y la confianza de sus clientes y colaboradores. Por lo tanto, es responsabilidad de todos cumplir con las medidas establecidas y contribuir a mantener un entorno seguro y protegido contra las amenazas digitales.