Política de Privacidad

  1. Objetivo

Este documento define:

  • Pautas que deben cumplir los empleados de 2innovateIT. Los terceros involucrados (proveedores, contratistas, otros) deben ser incluidos en los requisitos de esta Política de manera obligatoria.
  • Establecimiento de un marco para todos los procesos y sus mecanismos de seguridad.
  • Clasificación de la información y definición de los principios fundamentales para asegurar que está de acuerdo con los objetivos de negocio en el ámbito de la seguridad de la información.
  • Requisitos mínimos para la gestión de la información, control de acceso, seguridad física, comunicaciones, operaciones y desarrollo de sistemas.
  1. Alcance

Esta Política se aplica a:

  • Toda la información que se crea, recibe, almacena, procesa, transmite, entrega y descarta, utilizando cualquier sistema o medio de almacenamiento.
  • La Compañía y sus empleados, así como personal externo y/o proveedores que interactúan directa o indirectamente con los clientes.

3 Políticas

3.1 Funciones y responsabilidades

  • Ciertas tareas privilegiadas o delicadas deben separarse de las diarias, para minimizar el riesgo de abuso de privilegios y maximizar la capacidad de quienes tienen la función de controlar las tareas de los demás.
  • Respetando el principio de segregación de funciones, algunas funciones deben ser desempeñadas por diferentes personas o grupos, tales como: gestión de acceso o control sobre sistemas operativos, uso normal de sistemas y aplicaciones, auditoría y gestión de seguridad.

3.1.1 Usuarios

  • Los usuarios deben ser informados regularmente sobre el marco regulatorio existente y deben recibir capacitación cuando sea necesario.
  • La concientización sobre seguridad se puede lograr a través de múltiples métodos de comunicación y educación para el personal (por ejemplo: carteles, cartas, memorandos, capacitación basada en la web, reuniones, etc.).
  • El nuevo personal que se incorpore a 2innovateIT debe ser instruido sobre la sensibilidad de los sistemas de información. Se debe crear y mantener una conciencia de seguridad cibernética. Debe entregarse al menos una vez al año.

3.1.2 Clientes

  • Los clientes no deben compartir ninguna contraseña proporcionada por 2innovate. La empresa nunca le pedirá dicha información.
  • Si un empleado te solicita información confidencial, debe ser a través del correo electrónico @2innovateit.com o a través de los contactos en el sitio web www.2innovateit.com, esta no debe contener datos de tarjetas, contraseñas o claves de Home Banking.</ li>
  • Si tiene alguna pregunta, envíe un correo electrónico a Seguridad-informatica@2innovateit.com

3.1.3 Terceros involucrados

Los terceros involucrados deberán apegarse a los lineamientos establecidos por esta Política.

3.2 Análisis de Riesgos y Clasificación de la Información

  • Se debe realizar un adecuado análisis y clasificación de riesgos, debe identificar las amenazas, vulnerabilidades relacionadas con la información y realizarse, al menos, anualmente.
  • Algunas metodologías de evaluación de riesgos a considerar pueden ser: OCTAVE, ISO-IEC 31000, ISO-IEC 27005 y NIST SP 800-30, entre otras.
  • La información debe estar clasificada, según su nivel de clasificación.

3.3 Control de acceso

  • La política de acceso de 2innovateIT se basa en el menor privilegio posible, lo que significa que los usuarios que necesitan acceso recibirán el menor nivel de privilegio posible para cumplir con sus funciones laborales.
  • Los recursos informáticos puestos a disposición de los usuarios por 2innovateIT están destinados a ser utilizados en el desarrollo de las actividades diarias.
  • 2innovateIT se reserva el derecho de acceder a todos los equipos y sistemas utilizados en el desarrollo de su negocio, con fines de soporte operativo y/o para la protección de sus activos.

3.3.1 Pautas comerciales para el control de acceso

  • Los sistemas y redes de información deben tener definidos e implementados mecanismos de seguridad para brindar un nivel adecuado de protección a la información que manejan.
  • Para que un usuario tenga acceso a sistemas o aplicaciones, sus derechos de acceso deben estar autorizados y su identidad debe ser verificada por al menos su superior inmediato o un funcionario/gerente de la empresa.
  • Deben utilizarse mecanismos de auditoría operativa para monitorear el uso de los derechos de acceso a la aplicación y para garantizar que el nivel de acceso otorgado sea consistente con la función de cada usuario.
  • Los usuarios deben ser responsables del uso que se les dé a sus dispositivos y de los datos de autenticación (usuarios, contraseñas, PINs, otros).
  • Está prohibido compartir credenciales de acceso y dispositivos de autenticación, deben mantenerse en secreto y seguros.
  • El acceso a los sistemas se supervisa para garantizar el cumplimiento de los estándares de acceso.

3.4 Seguridad física de la información

  • Todos los recursos de TI que son críticos para la continuidad del negocio de 2innovateIT deben estar protegidos físicamente.
  • El acceso físico a la red y la infraestructura de comunicaciones debe limitarse a los usuarios autorizados.
  • Cada vez que el personal abandona su oficina o escritorio, debe asegurarse de que ninguna información confidencial u otro material sensible quede sin protección.

3.5 Protección contra software malintencionado

  • La empresa proporciona herramientas adecuadas para la protección de equipos informáticos frente a amenazas de malware.
  • Los usuarios deben seguir prácticas de seguridad para minimizar el riesgo, como no usar software no autorizado o no abrir mensajes de correo electrónico de fuentes desconocidas o cuestionables.

3.6 Clasificación de la información

  • Toda la información en formato físico, escrito o impreso debe ser clasificada de acuerdo con sus requisitos de seguridad.

La política de clasificación se basa en los siguientes 3 niveles:

  • Nivel 1: Información pública
  • Nivel 2: información confidencial
  • Nivel 3: información confidencial

3.7 Destrucción de Información

  • El descarte de soportes de almacenamiento de información de cualquier tipo se trata de acuerdo con el nivel de clasificación de los datos almacenados.
  • En el caso de información sensible, el soporte deberá ser destruido físicamente o debidamente borrado si se pretende reutilizar.

3.8 Uso del correo electrónico para empresas

  • Los sistemas de correo electrónico de 2innovateIT deben utilizarse con fines comerciales. El uso personal está permitido en la medida en que:
    • No consume recursos significativos.
    • No obstaculice ninguna actividad comercial.
  • Los empleados tienen prohibido utilizar cualquier sistema de correo electrónico que no sea
  • 2innovateIT para enviar o recibir información relacionada con el negocio de 2innovateIT.
  • Todos los mensajes enviados desde 2innovateIT deben cumplir con esta política, la legislación local y los estándares de la Compañía con respecto al contenido.
  • La información confidencial o estrictamente confidencial no debe enviarse por correo electrónico, a menos que esté encriptada de acuerdo con los estándares autorizados.

3.9 Internet

  • Se puede proporcionar a los empleados de 2innovateIT acceso a Internet para ayudarlos en el desarrollo de su trabajo.
  • El uso de Internet debe estar específicamente enfocado a las tareas que el usuario desarrolla dentro de la Empresa, se permite el uso personal dentro de límites razonables y siempre que los sitios a los que se acceda no sean ilegales o inadecuados para un ambiente de trabajo bien controlado (por ejemplo: sitios relacionados con pornografía, apuestas, drogas, otros).
  • El uso de Internet no debe utilizarse para violar los derechos de propiedad intelectual o cualquier sistema informático o redes.
  • El acceso a recursos que no sean páginas de Internet está reservado para usuarios autorizados.
  • No se permite la descarga de archivos electrónicos de Internet, a menos que sea una parte necesaria del trabajo del Usuario.

3.10 Transferencia de archivos

  • La información confidencial no debe enviarse a través de ningún mecanismo de transferencia de archivos, a menos que esté encriptada de acuerdo con los estándares de 2innovateIT.

3.11 Acceso remoto

  • El acceso que realice el personal de 2innovateIT a los recursos de la Empresa fuera de la red interna deberá realizarse a través del mecanismo de Acceso Remoto seguro como VPN o enlaces dedicados.

3.12 Puesta en marcha

  • El software debe ponerse en producción de manera controlada. Todos los sistemas en producción deben contar con versionado y su respectivo control de cambios.
  • Las tareas y responsabilidades clave en el entorno de producción deben segregarse para garantizar la adecuada oposición de intereses y minimizar el abuso de funciones privilegiadas.
  • La eficacia de los mecanismos de seguridad diseñados en los sistemas debe controlarse mediante pruebas de seguridad formales, antes de ponerlos en producción, y verificarse con regularidad.
  • Todo el software de terceros debe obtenerse de fuentes confiables y debe usarse estrictamente de acuerdo con los términos de la licencia. El derecho de propiedad intelectual del software debe ser respetado y observado en todos los casos.

3.13 Desarrollo de software

  • El desarrollo y mantenimiento del software utilizado en 2innovateIT debe seguir los estándares de seguridad definidos por la Compañía.
  • El diseño y los requisitos de seguridad deben ser compatibles e integrados con el diseño de seguridad existente para las redes y los sistemas de 2innovateIT.
  • Los entornos de desarrollo, prueba y producción deben estar segregados.
  • Cualquier acceso debe concederse en circunstancias excepcionales, ser temporal, justificado y registrado.
  • Los empleados involucrados en el desarrollo de software deben estar capacitados en los aspectos de seguridad de la evaluación, instalación y mantenimiento del sistema.

3.14 Conectividad de red

  • Las redes de 2innovateIT deben estar protegidas contra el acceso no autorizado.
  • Todas las redes de 2innovateIT deben clasificarse en confiables y no confiables según el nivel de seguridad que tengan.
  • Todas las comunicaciones entre redes internas y externas (por ejemplo: Internet) o entre áreas de red con clasificación de seguridad variable, deben ser resguardadas mediante dispositivos de seguridad.
  • Se deben aplicar los mecanismos de seguridad apropiados en el punto de conexión cuando se conecta a una red de terceros, una red pública o un segmento de red interna que no es de confianza.

3.15 Respuesta a incidentes

  • La empresa actúa en situaciones o eventos donde los sistemas han sido comprometidos o podrían estarlo. Este tiene la capacidad de detectar intrusiones, realizar tareas de seguimiento e identificación y análisis forense de los sistemas informáticos donde se han producido las incidencias.

3.16 Continuidad del procesamiento

  • La empresa realiza una gestión de riesgos que amenazan la continuidad del procesamiento de información crítica para la operación del negocio y en consecuencia implementa controles preventivos y planes de recuperación para reducirlos a niveles aceptables.

3.17 Uso de tecnología crítica

  • Para el uso de Tecnología Crítica se deben tener en cuenta los siguientes aspectos:
    • Todos los activos deben ser inventariados y aceptados/aprobados por la institución.
    • Debe tener autenticación segura para el uso de tecnología crítica.
    • Debe tener un responsable en caso de que haya alguna necesidad de tratamiento o uso del bien.
    • La activación de tecnologías de acceso remoto para proveedores y socios comerciales debe realizarse solo cuando sea necesario, con desactivación inmediata después de su uso.
    • No se deben utilizar medios extraíbles no autorizados. Estos pueden contener software malicioso que podría afectar la seguridad de la empresa.

3.18 Política de proveedores

  • Los proveedores que ingresan a los activos de la empresa deben cumplir al menos con las siguientes políticas de seguridad:
    • Tener un acuerdo de confidencialidad o una cláusula de confidencialidad en el contrato.
    • Cumplir con las políticas de seguridad que les sean aplicables.
    • Estar certificados de acuerdo con las normas o reglamentos de seguridad que les sean de aplicación o aceptar revisiones/auditorías en caso de ser necesario.
    • Responsabilidad de reportar cualquier incidente de seguridad.
    • Responsabilidad en caso de daño reputacional o patrimonial de la institución por dolo o negligencia del personal asignado.
    • Brindar capacitación en seguridad a los empleados asignados a la institución.