Reconocemos la importancia de identificar y proteger los activos de información de la compañía. Por eso nos comprometemos a desarrollar, implantar, mantener y mejorar continuamente un Sistema de Gestión de Seguridad de la Información.
Comprometiéndonos
En la confidencialidad, asegurando que sólo quienes estén autorizados puedan acceder a la información.
En la integralidad, asegurando que la información y sus métodos de proceso sean exactos.
En la disponibilidad, asegurando que los usuarios autorizados tengan acceso a la información cuando lo requieran.
Aplica
Para los integrantes del consejo directivo de Sofka y a todas las personas que hagan uso de la información de Sofka, de sus recursos informáticos y/o manejo de información de la compañía. Quienes deben atender las recomendaciones y practicas de uso establecidas con el objetivo de cumplir con la presente política.
Es política de Sofka
- La seguridad de la información se obtiene con un conjunto adecuado de controles, tales como políticas, procedimientos, estructuras, software e infraestructura.
- Desarrollar un proceso de evaluación y tratamiento de riesgos de seguridad, de acuerdo a este resultado implementar las acciones correctivas y preventivas correspondientes, así como elaborar y actualizar el plan de acción.
- Clasificar y proteger la información de acuerdo a la normativa vigente y a los criterios de valoración en relación a la importancia que posee para SOFKA, de conformidad con la legislación vigente.
- Concientizar y formar en seguridad de la información a toda la Organización.
- Contar con una política de gestión de incidentes de seguridad de la información.
- Establecer que todo el personal, independientemente del cargo que desempeñe y de su situación contractual, es responsable, según el procedimiento y política a definir, del registro, manejo y reporte de incidentes o sospecha de los mismos.
- Establecer los medios necesarios para garantizar la continuidad de las operaciones de SOFKA:
- Las direcciones deben definir un propietario de la información quien velar por su aseguramiento estará bajo su responsabilidad, y debe ser validado por el Consejo Directivo.
- Los propietarios de la información deben definir los usuarios, niveles y mecanismos de acceso autorizados a los mismos, y deben ser validados por el Consejo Directivo.
- Una vez aprobada la presente política se deben diseñar e implementar los controles necesarios para lograr los objetivos propuestos teniendo en cuenta las buenas prácticas y recursos disponibles.
- Una vez aprobada la presente política se debe mantener como práctica, realizar un seguimiento y mejora continua de los controles existentes para garantizar su efectividad y la adopción de las buenas prácticas que vayan naciendo en función a los recursos disponibles.
- Como complemento de la presente, se elaborará una “Política de Seguridad de la Información para Funcionarios” que debe ser por los integrantes del Consejo Directivo, todos los funcionarios y terceros que accedan a información y/o recursos de SOFKA.
- Se debe diseñar un Sistema para gestionar los incidentes asociados a la seguridad de la información.
- Se deben planificar y realizar diferentes espacios de capacitación, concientización y difusión en temas referentes a seguridad de la información para los integrantes del Consejo Directivo, todos los funcionarios, y cualquier persona que haga uso de los recursos informáticos o manejo de información de SOFKA.
- La presente Política se integrará a la normativa básica de SOFKA, incluyendo su difusión previa, y la instrumentación de las sanciones por incumplimiento de la presente política
- Todas la políticas y procedimientos que se aprueben en aplicación de la presente Política de Seguridad de la información será aprobada por el Consejo Directivo de SOFKA.
Responsabilidades
- La Unidad Tecnología es responsable de coordinar y asignar las tareas necesarias para el cumplimiento de esta política, así como de crear todos los controles tecnológicos necesarios para la implementación de los criterios técnicos y herramientas de gestión requeridos para asegurar los objetivos definidos en la presente.
- La Gerencia de Gestión Humana es responsable por implementar todos los controles administrativos referidos al personal, así como de informar de inmediato a la Unidad de Tecnología y a la Gerencia de Administración y Finanzas de todos los funcionarios que por algún motivo ya no forman parte o cambien de rol dentro de SOFKA
- La Gerencia de Administración y Finanzas es responsable por implementar todos los controles de seguridad física y seguridad ambiental necesarios para el cumplimiento de la presente política.
- Cada Gerente/Coordinador es responsable por toda la información gestionada en su Gerencia / Unidad y debe definir dueños de la información. Dicha definición requiere la validación del Consejo Directivo.
- Los dueños de la información deben definir los usuarios, niveles y mecanismos de acceso autorizado a los mismos y los mantendrán actualizados ante cualquier cambio. Dicha definición requiere la validación del Consejo Directivo.
- Cualquier incumplimiento de las políticas de Seguridad de la Información debe ser comunicado al Comité que será designado a tales efectos.