OBJETO DE LA POLÍTICA
El Comité de Dirección de UNO27 reconoce como activos estratégicos la información y los sistemas que la soportan, por lo que manifiesta su determinación en alcanzar los niveles de seguridad necesarios que garanticen su protección.
La Política Corporativa de Seguridad de la Información es adoptada como marco para la Política de Seguridad de la Información para Colombia, la cual tiene como objeto proporcionar las directrices para garantizar la seguridad de la información y mejorar la calidad de los servicios que UNO27 ofrece a sus clientes.
ALCANCE
Esta política abarca a toda la información utilizada por UNO27 para el desarrollo de sus actividades y es aplicable, con carácter obligatorio a todo el personal de UNO27, así como a las entidades colaboradoras involucradas en la utilización de la información y los sistemas.
Las relaciones con dichas entidades colaboradoras deben de estar amparadas siempre por los contratos de prestación de servicios correspondientes, incluyendo cláusulas de garantías en el uso de la información.
La política de seguridad se aplicará en todas las fases del ciclo de vida de los datos: generación, distribución, almacenamiento, procesamiento, transporte, consulta y destrucción; y de los sistemas que los procesan: análisis, diseño, desarrollo, implantación, explotación y mantenimiento.
Esta política persigue la adopción de acciones destinadas a preservar los cuatro componentes básicos de la seguridad aplicadas a la información:
• Confidencialidad: Garantizar que a los datos y a los sistemas solo accedan personas debidamente autorizadas.
• Integridad: Garantizar que la exactitud de la información y de los sistemas contra alteración, perdida o destrucción, ya sea de forma accidental o fraudulenta.
• Disponibilidad: Garantizar que a la información y los sistemas puedan ser utilizados en la forma y tiempo requeridos.
• Trazabilidad: Garantizar que a cualquier acción o transacción pueda ser relacionada unívocamente asegurando el cumplimiento de controles claves establecidos en las correspondientes normativas.
RESPONSABILIDADES
La función de seguridad reside en el Comité de Seguridad de la información local (Colombia). Con dependencia funcional y autoridad delegada del Comité Corporativo de Seguridad, el responsable de seguridad de la información y el responsable de seguridad física canalizan las directrices y normativas de UNO27.
El Comité Corporativo de Seguridad establece y tutela los subcomités de Seguridad en cada país donde opera UNO27, y los Subcomités corporativos que considere necesarios, en los que delega la gestión de la seguridad de temas específicos.
Las organizaciones usuarias y de soporte, en cumplimiento de las normativas de seguridad, implantarán los controles necesarios asistidos por la organización de seguridad corporativa y local del país.
La dirección de tecnología es la responsable de la seguridad de plataformas, redes e infraestructura de tratamiento de la información, dando servicio a las demás direcciones de UNO27 propietarias y/o depositarias de la información, conforme a las necesidades de seguridad que estas demanden de acuerdo con las normativas establecidas y requerimientos de los clientes.
Todo usuario de los sistemas es responsable del uso adecuado que haga de los mismos y de cumplir con las obligaciones y los controles establecidos.
MARCO JURÍDICO
UNO27 adquiere el compromiso de velar por el cumplimiento de la legislación vigente en materia de protección y seguridad de la información y de los sistemas aplicables a todos sus procesos de negocio en aquellos países en los que opere.
CLASIFICACIÓN DE LA INFORMACIÓN
Toda la información deberá estar clasificada en virtud de su importancia para la organización y ha de ser tratada según dicha clasificación, acorde a lo dispuesto en la normativa sobre clasificación y tratamiento de la información.
APLICACIÓN DE LA POLÍTICA DE SEGURIDAD
Con objeto de poder aplicar las líneas de actuación expuestas en esta política, se precisa la definición, elaboración implantación y mantenimiento de planes de seguridad y de continuidad, tanto de ámbito corporativo como en cada empresa del Grupo, donde se recojan:
• El conjunto de normativas, estándares, guías y procedimientos operativos que determinen la forma adecuada de actuar en materia de seguridad.
• Los proyectos de inversión que doten de medios necesarios la consecución de estos objetivos.
• Las organizaciones responsables de gestionar la seguridad en sus distintos aspectos.
• Los métodos de control, revisión y ajuste que permitan verificar el correcto funcionamiento de los planes de seguridad y continuidad.
FORMACIÓN Y CONCIENCIACIÓN
El método más efectivo de mejorar la seguridad en mediante la formación continuada y su incorporación a la actividad laboral.
Dentro de los planes de formación se incluirán cursos específicos sobre seguridad de la información acorde con el área destinataria: Dirección, técnicos, administradores y usuarios de los sistemas. Así mismo se realizarán campañas de concienciación sobre seguridad dirigidas a todo el personal, proveedores y clientes de UNO27 a través del medio que se considere más efectivo.
AUDITORÍA
Los sistemas de información se someterán periódicamente a auditorías internas o externas con la finalidad de verificar el correcto funcionamiento de los planes de seguridad, determinando grados de cumplimiento y recomendado medidas correctoras.
PLANES ESPECÍFICOS
Cualquier plan específico sobre seguridad deberá ajustarse a las disposiciones y recomendaciones de carácter más general y superior del presente documento.
EFECTIVIDAD
La Política de Seguridad de la Información entrará en vigor desde el mismo día de su publicación.