Políticas de Seguridad Informática.
Payera y Compañía Abogados Limitada.
RUT N° 77.676.977-0
I. DE LAS PERSONAS
Los funcionarios y la seguridad informática:
La responsabilidad por la seguridad de la información no sólo corresponde a las áreas de seguridad informática, sino que es una obligación de cada funcionario y prestador de servicio de Payera y Compañía Abogados Limitada.
1.- Códigos de identificación y claves:
1.1 Los mecanismos de acceso que les sean otorgados a los funcionarios y prestadores de servicios son responsabilidad exclusiva de cada uno de ellos y no deben ser divulgados a ninguna persona u organización, a menos que exista un requerimiento legal o medie un procedimiento de custodia de llaves. De acuerdo con lo anterior, los usuarios no deben obtener las claves u otros mecanismos de acceso de otros usuarios o terceras personas que pueda permitirles un acceso indebido.
1.2 Los usuarios son responsables de todas las actividades llevadas a cabo con su código de usuario y clave personal.
2.- Control de la Información:
2.1 Los usuarios deben informar inmediatamente al área que corresponda toda vulnerabilidad encontrada en los sistemas, aparición de virus o programas sospechosos e intentos de intromisión y no deben distribuir este tipo de información interna o externamente.
2.2 Los usuarios no deben instalar software en sus computadores o en servidores sin las debidas autorizaciones.
2.3 Los usuarios no deben intentar sobrepasar los controles de los sistemas, examinar los computadores y redes de la oficina en busca de archivos de otros sin su autorización o introducir intencionalmente software diseñado para causar daño o impedir el normal funcionamiento de los sistemas.
2.4 Los funcionarios y prestadores de servicios no deben suministrar cualquier información de la entidad a ningún ente externo sin las autorizaciones respectivas.
2.5 Los funcionarios y prestadores de servicios no deben destruir, copiar o distribuir los archivos sin los permisos respectivos.
2.6 Todo funcionario y prestadores de servicios que utilicen los recursos de los sistemas tiene la responsabilidad de velar por la integridad, confidencialidad, disponibilidad y confiabilidad de la información que maneje, especialmente si dicha información ha sido clasificada como crítica.
3.- Otros usos:
2.7 Los computadores, sistemas y otros equipos deben usarse sólo para las actividades propias de la entidad, por lo tanto, los usuarios no deben usar sus equipos para asuntos personales a menos que exista una autorización respectiva que avalúe el riesgo informático de tal labor.
II. DATOS
Los funcionarios y prestadores de servicios son responsables de la información que manejan y deberán seguir los siguientes lineamientos para protegerla y evitar pérdidas, accesos no autorizados y utilización indebida de la misma.
1. Clasificación de la Información:
1.1 Todos los datos de propiedad de Payera y Compañía Abogados Limitada y de sus CLIENTES, se deben clasificar dentro de las siguientes categorías para los datos sensibles: SECRETO, CONFIDENCIAL, PRIVADO, y para los datos no sensibles la categoría es PÚBLICO. Toda información secreta, confidencial y privada debe etiquetarse según las normas de Payera y Compañía Abogados Limitada, y todos los datos que se divulguen por cualquier medio será sancionada según la normativa legal vigente.
2. Almacenamiento de la Información:
2.1 Almacenamiento Masivo y Respaldo de Información
2.1.1 Toda información secreta debe estar encriptada, ya sea que se encuentre al interior de Payera y Compañía Abogados Limitada o externamente, en cualquier medio de almacenamiento, transporte o transmisión.
2.1.2 Toda información sensible debe tener un proceso periódico de respaldo, tener asignado un período de retención determinado, la fecha de la última modificación y la fecha en que deja de ser sensible o se degrada. Sin embargo, la información no se debe guardar indefinidamente por lo cual se debe determinar un período máximo de retención para el caso en que no se haya especificado este tiempo.
2.1.3 La información clasificada como sensible (secreta, confidencial o privada) debe tener un respaldo, además debe tener copias recientes completas en sitio externo a Payera y Compañía Abogados Limitada, en un lugar lejano de donde reside la información origen.
2.1.4 Todos los medios físicos donde la información de valor, sensitiva y crítica sea almacenada por períodos mayores a seis meses (6), no deben estar sujetos a una rápida degradación o deterioro.
2.1.5 Toda la información contable, de impuestos y de tipo legal debe ser conservada de acuerdo con las normas y leyes vigentes.
2.2 Almacenamiento en forma impresa o documentos en papel.
2.2.1 La remisión de información sensible tanto por correo interno como externo debe cumplir con los procedimientos establecidos de manera que se realice en forma segura.
2.2.2 Para todos los mensajes remitidos en formato libre de texto que contengan información sensible para el negocio debe numerarse cada línea y los documentos oficiales de la entidad que se realicen a mano deben ser escritos con tinta.
2.2.3 Todas las copias de documentos secretos deben ser numeradas individualmente con un número secuencial para que las personas responsables puedan localizar rápidamente los documentos e identificar algún faltante de la misma.
3. Administración de la Información:
3.1 Cualquier tipo de información interna de la entidad o de sus clientes no debe ser vendida, transferida o intercambiada con terceros para ningún propósito diferente al del negocio principal, esto es la cobranza judicial y se debe cumplir con los procedimientos de autorización internos para los casos en que se requiera.
3.2 El acceso a la información secreta se debe otorgar únicamente a personas específicas.
3.3 Toda la información de la organización debe contemplar las características de Integridad, Confidencialidad, Disponibilidad, Auditabilidad, Efectividad, Eficiencia, Cumplimiento y Confiabilidad.
3.4 Todo software que comprometa la seguridad del sistema se custodiará y administrará únicamente por personal autorizado.
3.5 La realización de copias adicionales de información sensible debe cumplir con los procedimientos de seguridad establecidos para tal fin.
3.6 La información de Payera y Compañía Abogados Limitada o de sus CLIENTES no debe ser divulgada sin contar con los permisos correspondientes, además, ningún empleado, prestador de servicios, contratista o consultor debe tomarla cuando se retire de Payera y Compañía Abogados Limitada.
4. Validaciones, controles y manejo de errores:
4.1 Para reducir la probabilidad de ingreso erróneo de datos de alta sensibilidad, todos los procedimientos de ingreso de información deben contener controles de validación.
4.2 Se deben tener procedimientos de control y validaciones para las transacciones rechazadas o pendientes de procesar, además de tiempos determinados para dar la solución y tomar las medidas correctivas.
4.3 Todas las transacciones que ingresan a un sistema de producción computarizado, deben ser sujetos a un chequeo razonable, chequeos de edición y/o validaciones de control.
4.4 Todos los errores cometidos por los funcionarios y prestadores de servicios de Payera y Compañía Abogados Limitada y que son detectados por los usuarios deben cumplir con un proceso de investigación de acuerdo con los procedimientos y tiempos establecidos.
III. POLÍTICA DE HARDWARE
La administración, mantenimiento, modernización y adquisición de equipos computacionales y de telecomunicaciones debe adoptar los siguientes criterios para proteger la integridad técnica de la institución.
1. Cambios al Hardware:
1.1 Los equipos computacionales de Payera y Compañía Abogados Limitada no deben ser alterados ni mejorados (cambios de procesador, memoria o tarjetas) sin el consentimiento, evaluación técnica y autorización del área responsable (Soporte).
1.2 Los funcionarios deben reportar a los entes pertinentes de Payera y Compañía Abogados Limitada sobre daños y pérdida del equipo que tengan a su cuidado y sea propiedad de Payera y Compañía Abogados Limitada. La intervención directa para reparar el equipo debe estar expresamente prohibida. Payera y Compañía Abogados Limitada debe proporcionar personal interno o externo para la solución del problema reportado.
1.3 Todos los equipos de la entidad deben estar relacionados en un inventario que incluya la información de sus características, configuración y ubicación.
1.4 Todo el hardware que adquiera la Payera y Compañía Abogados Limitada debe conseguirse a través de canales de compra estándares.
2. Acceso Físico y Lógico:
2.1 Todos los computadores multiusuario y los equipos de comunicaciones deben estar ubicados en lugares asegurados para prevenir alteraciones y usos no autorizados.
3. Respaldo y Continuidad del Negocio:
3.1 A todo equipo de cómputo, comunicaciones y demás equipos de soporte debe realizársele un mantenimiento preventivo y periódico, de tal forma que el riesgo a fallas se mantenga en una probabilidad de ocurrencia baja.
3.2 Los planes de contingencia y recuperación de equipos deben ser probados regularmente con el fin de asegurar que el plan sea relevante, efectivo, práctico y factible de realizar. Cada prueba debe documentarse y sus resultados y las acciones de corrección deben comunicarse a la alta dirección.
4. Otros:
4.1 Los equipos portátiles de computación que contengan información sensible deben utilizar software de encriptación para proteger la información.
4.2 Todo equipo portátil debe tener Declaración de Responsabilidad, la cual incluya instrucciones de manejo de información y acato de normas internas y de seguridad para el caso de robo o pérdida.
IV. POLÍTICA DE INSTALACIONES FÍSICAS
Protección contra desastres:
Dado que cualquier tipo de desastre natural o accidental ocasionado por el hombre puede afectar el nivel de servicio y la imagen de Payera y Compañía Abogados Limitada, se deba prever que los equipos de procesamiento y comunicaciones se encuentren localizados en áreas aseguradas y debidamente protegidas contra inundaciones, robos, interferencias electromagnéticas, fuego, humo y demás amenazas que puedan interferir con el buen uso de los equipos y la continuidad del servicio.
V. POLÍTICA DE ADMINISTRACIÓN DE SEGURIDAD INFORMÁTICA
1.Generalidades:
1.1 El área de Seguridad Informática debe definir, implementar, controlar y mantener las políticas, normas, estándares, procedimientos, funciones y responsabilidades necesarias para preservar y proteger la confidencialidad, disponibilidad e integridad de la información de Payera y Compañía Abogados Limitada donde ésta resida (aplicaciones, bases de datos, sistemas operativos, redes, backups y medios).
1.2 El área de Seguridad Informática es la encargada de establecer, mantener y administrar una arquitectura de seguridad para Payera y Compañía Abogados Limitada y facilitar la incorporación de prácticas de seguridad de la información en todas las dependencias.
2. Funciones de Control:
2.1 Establecer e implementar un plan de Seguridad que permita controlar el entorno lógico y físico de la información estratégica de Payera y Compañía Abogados Limitada teniendo en cuenta criterios de confidencialidad, integridad, auditabilidad, disponibilidad, autenticidad de la información.
2.2 Participar activamente en los proyectos informáticos de la entidad para proveerlos de las seguridades adecuadas, gerenciando los de Seguridad Informática.
2.3 El Área de Seguridad Informática es responsable por la revisión continua de las Políticas de Seguridad Informática por lo menos una vez al año.