En Byte IT todos los colaboradores y directivos estamos comprometidos con la seguridad de la información interna y de nuestros clientes. Es por ello que el departamento de tecnologías de la información administra con diligencia todos los servicios de la compañía tomando las medidas adecuadas para protegernos frente a daños accidentales o deliberados que puedan afectar la disponibilidad, integridad o confidencialidad de la información tratada o los servicios prestados.
El objetivo de la seguridad de la información es garantizar la calidad de la información y la prestación continuada de los servicios, actuando preventivamente, supervisando la actividad diaria y reaccionando con presteza a los incidentes. Los sistemas TIC deben estar protegidos contra amenazas de rápida evolución con potencial para incidir en la confidencialidad, integridad, disponibilidad, uso previsto y valor de la información y los servicios. Para defenderse de estas amenazas, se requiere una estrategia que se adapte a los cambios en las condiciones del entorno para garantizar la prestación continua de los servicios. Esto implica que los departamentos dentro del alcance deben aplicar las medidas mínimas de seguridad exigidas, así como realizar un seguimiento continuo de los niveles de prestación de servicios, seguir y analizar las vulnerabilidades reportadas, y preparar una respuesta efectiva a los incidentes para garantizar la continuidad de los servicios prestados.
PREVENCIÓN
Byte IT y todos sus colaboradores deben evitar, o al menos prevenir en la medida de lo posible, que la información o los servicios se vean perjudicados por incidentes de seguridad.
Para ello los departamentos deben implementar las medidas mínimas de seguridad determinadas el departamento de tecnologías de la información, así como cualquier control adicional identificado a través de una evaluación de amenazas y riesgos. Estos controles, y los roles y responsabilidades de seguridad de todo el personal, deben estar claramente definidos y documentados.
Para garantizar el cumplimiento de la política, todos los departamentos deben:
· Autorizar los activos antes de entrar en operación.· Evaluar regularmente la seguridad, incluyendo evaluaciones de los cambios de configuración realizados de forma rutinaria.
· Solicitar la revisión periódica por parte de terceros con el fin de obtener una evaluación independiente.
DETECCIÓN
Dado que los servicios se pueden degradar rápidamente debido a incidentes, que van desde una simple desaceleración hasta su detención, los servicios deben monitorizar la operación de manera continua para detectar anomalías en los niveles de prestación de los servicios y actuar en consecuencia.
Se establecerán mecanismos de detección, análisis y reporte que lleguen a los responsables regularmente y cuándo se produce una desviación significativa de los parámetros que se hayan preestablecido como normales.
RESPUESTA
Todos los departamentos de Byte IT deben:
· Establecer mecanismos para responder eficazmente a los incidentes de seguridad.· Designar puntos de contacto para las comunicaciones con respecto a incidentes detectados en otros departamentos.
· Establecer protocolos para el intercambio de información relacionada con el incidente.
RECUPERACIÓN
Para garantizar la disponibilidad de los servicios críticos, el departamento de tecnologías de la información debe desarrollar planes de continuidad de los sistemas como parte de su plan general de continuidad de negocio y actividades de recuperación.
ALCANCE
Esta política se aplica a los sistemas de información que soportan los servicios de:
a) Alojamiento físico de servidores de terceros;b) Provisión y mantenimiento de servidores privados virtuales;
c) Provisión y mantenimiento de servidores dedicados;
d)Los sistemas de información que soportan los servicios de provisión y mantenimiento de máquinas virtuales y alojamiento de servidores de terceros.
ORGANIZACIÓN
El Comité de Calidad y Seguridad estará formado por el Director del departamento de Tecnologías de la Información, por el Coordinador de desarrollo y el Coordinador de servicios, que podrán estar auxiliados de manera permanente o esporádica por consultores externos.
El Secretario del Comité de Calidad y Seguridad será el Coordinador de desarrollo (o persona en quien delegue) y tendrá como funciones la preparación de las reuniones, la difusión de sus resultados y el seguimiento de los acuerdos alcanzados.
El Comité de Calidad y Seguridad reportará al Comité de Dirección y tendrá las siguientes funciones:
a) Coordinar y aprobar las acciones en materia de seguridad de la información;b) Impulsar la cultura en seguridad de la información;
c) Participar en la categorización de los sistemas y el análisis de riesgos; d) Revisar y aprobar la documentación relacionada con la seguridad del sistema;
e) Resolver discrepancias y problemas que puedan surgir en la gestión de la seguridad.
FUNCIONES Y RESPONSABILIDADES
El Director del departamento de tecnologías de la información de Byte IT asume la función de Responsable del Sistema de Seguridad.
Las funciones del Responsable de Seguridad de la Información son las siguientes:
· Mantener el nivel adecuado de seguridad de la información manejada y de los servicios prestados por los sistemas.· Gestionar o promover la formación y concienciación en materia de seguridad.
· Comprobar que las medidas de seguridad existente son las adecuadas para las necesidades de la entidad
· Revisar, completar y aprobar toda la documentación relacionada con la seguridad del sistema
Por su parte, las responsabilidades del Coordinador de desarrollo son estas:
· Monitorizar el estado de seguridad del sistema proporcionado por las herramientas de gestión de eventos de seguridad y mecanismos de auditoría implementados en el sistema.· Apoyar y supervisar la investigación de los incidentes de seguridad desde su notificación hasta su resolución, emitiendo informes periódicos sobre los mas relevantes al Comité.
· Coordinar el Comité de Seguridad Técnica.
Será misión del Comité de Calidad y Seguridad la revisión anual de esta Política de Seguridad de la Información y la propuesta de revisión o mantenimiento de la misma.
GESTIÓN DE RIESGOS
Todos los sistemas sujetos a esta Política deberán realizar un análisis de riesgos, evaluando las amenazas y los riesgos a los que están expuestos.
Este análisis se revisará:
· Al menos una vez al año;· Cuando la información manejada cambie sustancialmente;
· Cuando cambien los servicios solicitados;
· Cuando ocurra un incidente muy grave de seguridad;
· Cuando se reporten vulnerabilidades muy graves.
OBLIGACIONES DEL PERSONAL
Todos los colaboradores de Byte IT tienen la obligación de conocer esta Política de Seguridad de la Información, que es de obligado cumplimiento dentro del alcance identificado, siendo responsabilidad del Comité de Calidad y Seguridad disponer los medios necesarios para que la información llegue a los afectados.
Se establecerá un programa de concienciación continua para atender a todos los miembros de Byte IT, en particular a los de nueva incorporación.
Las personas con responsabilidad en el uso, operación o administración de sistemas recibirán formación para el manejo seguro de los sistemas en la medida en que necesiten para realizar su trabajo.
La formación será obligatoria antes de asumir una responsabilidad, tanto si es su primera asignación o si se trata de un cambio de puesto de trabajo o de responsabilidades en el mismo.
TERCERAS PARTES
Las terceras partes relacionadas con Byte IT, dentro del alcance, firman con la empresa un acuerdo que protege la información intercambiada.
Cuando Byte IT utilice servicios de terceros o ceda información a terceros, se les hará partícipes de esta Política de Seguridad. Dicha tercera parte quedará sujeta a las obligaciones establecidas en dicha Política, pudiendo desarrollar sus propios procedimientos operativos para satisfacerla.
Cuando algún aspecto de la Política no pueda ser satisfecho por una tercera parte según se requiere en los párrafos anteriores, se requerirá un informe del Responsable de Seguridad que precise los riesgos en que se incurre y la forma de tratarlos. Se requerirá la aprobación de este informe por los responsables de la información y los servicios afectados antes de seguir adelante.