PROGRAMA DE SEGURIDAD DE LA INFORMACIÓN
Sistema de Gestión de Seguridad de la Información de EthicsGlobal
1. ¿Por qué es importante la seguridad de la información?
Para EthicsGlobal, la información es su activo más importante; es decir, EthicsGlobal se construye a a través de las personas y la información que maneja.
Se debe de pensar en ella como si se tratase de dinero en efectivo, es decir, éste no se le proporciona a quien no acredite poseerlo, se entrega de manera íntegra en tiempo y forma.
Con la finalidad de proteger la seguridad de la información y por ende, nuestra fuente de empleo, EthicsGlobal se apega a la norma internacional ISO 27001, la cual dicta reglas y controles que se deben seguir de forma permanente para cumplir con auditorías internas y externas (al menos 2 veces al año) para poder mantener la certificación que no sólo nos protege siguiendo buenas prácticas del gobierno corporativo, sino que le da un valor importante a la empresa frente al mercado.
Por ello, es importante que todos estemos en cumplimiento con las políticas de seguridad de la información. El siguiente documento nos mostrará lo necesario acerca de nuestro Sistema de Gestión de Seguridad de la Información.
Gracias a ISO 27001, EthicsGlobal:
- Cumplirá con la normativa a nivel internacional.
- Generará confianza y credibilidad entre nuestros clientes.
- Impulsará la continuidad de EthicsGlobal en el mercado.
- Generará bienestar laboral para todos nuestros colaboradores.
2. ¿Qué conceptos debes conocer?
Para que todos hablemos el mismo idioma, es necesario conocer ciertos conceptos generales, los cuales son:
Seguridad de la información: es la preservación de la confidencialidad, integridad y disponibilidad de la información.
Confidencialidad: asegura el acceso a la información únicamente a aquellas personas que cuenten con la debida autorización.
Integridad: significa mantener con exactitud la información tal cual fue generada, sin ser manipulada ni alterada por personas o procesos no autorizados.
Disponibilidad: es el acceso a la información y a los sistemas por personas autorizadas en el momento que así lo requieran.
Sistema de gestión de seguridad de la información: un conjunto de políticas de administración de la información.
Activo de información: cualquier elemento tangible o intangible que tenga que ver con la información que maneja EthicsGlobal, por ejemplo: computadoras, personas, la red local, el software que usan los equipos, incluso nuestra oficina es un activo de información.
Cada activo de información tiene un responsable, como ejemplo: tenemos que el responsable de la computadora que usas eres tu mismo mientras la estés utilizando.
Los activos también tienen propietarios del riesgo que corren, por ejemplo, el propietario del riesgo de tu computadora es el área de TI (Tecnologías de la Información), quienes se encargan de instalar el software necesario.
Coordinador del proyecto SGSI ISO 27001: Es el responsable de los controles de seguridad de la información, verificar su cumplimiento y toma de decisiones.
En EthicsGlobal, Oscar Marín es tu Coordinador del SGSI, hazle llegar tus comentarios acerca de la seguridad de la información.
3. ¿Cuáles son tus responsabilidades?
Ahora que ya sabes los conceptos de seguridad de la información, vamos a listar las responsabilidades de cada persona que trabaja en EthicsGlobal.
- La protección de la integridad, disponibilidad y confidencialidad de los activos, le corresponde al responsable de cada activo.
Política de seguridad de la información - Todos los incidentes o debilidades de seguridad deben ser informados a la Coordinación del SGSI.
Política de seguridad de la información - Si requieres realizar tus labores fuera de la oficina, debes recibir autorización y cumplir con la política de dispositivos móviles y tele-trabajo.
Política sobre dispositivos móviles y tele-trabajo - Si para cumplir con tu trabajo requieres utilizar un equipo propio como computadoras, tablets, memorias usb entre otros, recuerda que no puedes utilizarlos sin antes haber recibido aprobación para su uso interno, consulta a la Coordinadora del proyecto quien te indicará el proceso.
Política trae tu propio dispositivo (BYOD) - Verificar que la información que se maneja se encuentre debidamente etiquetada, es decir, que expresamente se mencione de manera escrita o verbal el nivel de confidencialidad de la misma conforme a la Política de Clasificación de Información. Debes saber que hay información de uso interno, restringido y confidencial, y dependiendo del nivel de confidencialidad la información estará disponible para todo el personal o para un grupo en específico.
Política de clasificación de la información - Debes conocer que los activos de información solamente pueden ser utilizados con la finalidad de satisfacer necesidades de negocio, es decir, con el objetivo de ejecutar tareas vinculadas con la organización y que cualquier otra actividad, necesita aprobación de la Dirección General por medio de tu jefe directo.
Política de uso aceptable - El uso de las credenciales de acceso de los sistemas o aplicaciones de EthicsGlobal se encuentra regulado por la Política de Claves, sus puntos más importantes son: seguir el procedimiento que el área de TI indique como correcta y nunca almacenar información de credenciales de acceso de manera textual, ya sea electrónica o en papel.
Política de claves - Existe una Política de Control de Acceso y un Procedimiento para Trabajo en Áreas Seguras, las cuales establecen qué elementos del personal tiene acceso a qué sistemas, redes y servicios. Los derechos de acceso a instalaciones y sistemas que te sean permitidos, te lo comunicará tu jefe directo.
Procedimientos para trabajo en áreas seguras - En la Política de Eliminación y Destrucción se detalla el procedimiento para la destrucción de información, la información que manejas ya sea electrónica o en papel tiene un tiempo de vigencia, no debes intentar destruir dicha información por tu cuenta, tu jefe directo te informará del tiempo de vida de la información y el procedimiento para su destrucción.
Política de eliminación y destrucción - Como responsable de tus activos de información, no debes dejarlos desatendidos. Si te ausentas de tu lugar de trabajo debes bloquear o apagar tu equipo y no dejar información en papel sin resguardo o a la vista de todos.
Política de pantalla y escritorio limpios - Si es necesario que respaldes algún tipo de información de manera periódica, tu jefe directo te indicará el procedimiento para cumplir con nuestra Política de Creación de Copias de Seguridad.
- Nuestro Sistema de Gestión de Seguridad de la Información, se encuentra en constante evolución por lo cual debes reportar incidentes que pongan en peligro a la seguridad de la información de EthicsGlobal y también, propuestas de mejora. Platica con tu jefe directo o con laCoordinación del SGSI acerca de este tema.
Política de gestión de cambio
Procedimiento para gestión de incidentes - La gestión de la seguridad de la red de computadoras en las oficinas es responsabilidad del área de TI, la cual puede establecer restricciones de acceso o métodos seguros de conexión, el área de TI te informará y configurará tus equipos para tales propósitos.
- Nuestra Política de Transferencia de la Información, regula los canales de comunicación y el contenido que se transmite a través de ellos. Debes saber que la información que se transmite se ocupa sólo con la finalidad de satisfacer las necesidades del negocio; para ello, consulta la tabla de uso de transferencia de la información correspondiente a tu área.
Política de transferencia de la información - Si eres del área de desarrollo de software, tu jefe directo te indicará el procedimiento para cumplir con nuestra Política de Desarrollo Seguro.
- Todos nuestros proveedores no son ajenos al Sistema de Gestión de Seguridad de la Información de EthicsGlobal, son regulados por su propia política, si tienes contacto con proveedores debes leerla y hacerla cumplir.
Política de seguridad para proveedores - Debes saber que nuestros servicios cuentan con un plan de recuperación ante desastres como parte de la continuidad del negocio, si la disponibilidad de la información que manejas se ve afectada, consulta con tu jefe directo si es necesario iniciar este plan.
- Es necesario realizar al menos 1 auditoría interna al año, para garantizar que las políticas se están cumpliendo, se te informará cuando un equipo auditor se tenga que acercar a ti para realizar una entrevista y/o revisiones.
- La Dirección General de EthicsGlobal es participe activo de este proyecto.
- Debes leer todas las políticas mencionadas en cada punto. Si tienes dudas al respecto, comunícate con la Coordinadora del proyecto quien estará dispuesta a aclararlas.
- Cada empleado, proveedor o tercero que esté en contacto con información y/o sistemas de EthicsGlobal debe reportar de la siguiente manera toda debilidad del sistema, incidente o evento que pudiera derivar en un posible incidente:
- Toda la información y los eventos relacionados con tecnología de la comunicación deben ser reportados al Coordinador del SGSI y/o a tu jefe imnediato lo antes posible por cualquiera de los siguientes medios:
1. Aplicación de comunicación (correo electrónico, discord)
2. En Persona al jefe directo
3. Mesa de ayuda (sitio web o correo electrónico)
4. Por teléfono
4. Proceso disciplinario
Todos tenemos la responsabilidad de llevar a cabo las políticas y lineamientos que se establecen en el SGSI. Por este motivo se implementa un proceso disciplinario, aquí se caracteriza las consecuencias, con base en, gravedad y reincidencia; esto aplica a todos los miembros de la organización que no respeten tanto las políticas del SGSI como el reglamento interno de EthicsGlobal.
Matriz de consecuencias para el proceso disciplinario
Matriz de consecuencias para el proceso disciplinario - Contact Center
5. Generación y actualización de políticas
Para que nuestro sistema de gestión de seguridad de la información cumpla con los estándares normativos, del negocio y buenas prácticas corporativas, es necesario que haya una mejora continua e idoneidad del SGSI a través de la creación de nuevas políticas, actualización o modificación (según sea necesario) de las ya existentes, esto con el fin de estar a la vanguardia cumpliendo con la protección del activo más importante en EthicsGlobal, que es "la información".
En esta sección se publicarán las nuevas políticas o los avisos correspondientes de la actualización de las políticas existentes:
Concientización EthicsGlobal: Aprendiendo a detectar correos fraudulentos (Phishing)
Materiales:
Principales fraudes y riesgosPrincipales fraudes y riesgos (Ficha Técnica)
Tríptico - Phishing
