1. Política de seguridad de la información
La Dirección de Argus Tecnologías establece en el ámbito de la seguridad de la información involucrada en los servicios TI, lo siguiente:
- Se velará por la disponibilidad, la integridad y la confidencialidad de toda la información contenida o relacionada con los servicios proporcionados.
- Todo el personal que participe en la prestación de servicios deberá conservar la más estricta confidencialidad con relación a la información sensible a la que pueda tener acceso o conocer debido a su actividad.
- Se considerará información sensible toda aquella sobre la que se implementen medidas de control de acceso y que debido a su potencial para ofrecer información relevante sobre la actividad interna de la propia organización o sus clientes si es difundida fuera del ámbito en el que su acceso está controlado. Las consideraciones, niveles de clasificación y criterios de clasificación se encuentran definidos en el archivo Clasificación de documentos (P-AT-SI-DC-014-08). Toda copia en papel es un Documento No Controlado que se encuentra resguardado por el CD, esta leyenda la llevarán todos los documentos al momento de ser impresos.
- Considerando la política anterior, el CD de Argus Tecnologías es el único autorizado para imprimir documentos del SGS, a aquellos usuarios que deseen tener el documento en físico, asegurándose siempre de que sea la revisión vigente.
- Se declara que toda la información involucrada con clientes y prestación del servicio se considera de carácter confidencial.
- Los externos o terceras partes ajenas a la organización con acceso o participación en los servicios proporcionados firmarán un acuerdo de confidencialidad en el que se especifiquen, siempre que corresponda, las medidas de seguridad que deben cumplir, y se comprometan a cumplir con ellas y con las medidas de seguridad establecidas por la organización.
- La incorporación, cambio de puesto y/o baja de personal relacionado con la prestación de servicios se llevará a cabo de forma que se garantice que el personal participante sea el adecuado, que durante su participación respete la normativa interna establecida y que su baja no ocasione la pérdida o fuga de información corporativa. Todo el personal activo y de nuevo ingreso deberá firmar el acuerdo de confidencialidad.
- La infraestructura tecnológica estará albergada de forma que no esté expuesta ni a agentes perjudiciales ni a agresiones fortuitas, y se garantizará que en torno a dicha infraestructura se dispone el acondicionamiento y mantenimiento adecuado. La infraestructura de producción deberá contener su propia política de seguridad de accesos y un claro plan de contingencia y recuperación de desastres.
- Todos los accesos a Internet utilizados por el personal involucrado en la prestación de servicios estarán adecuadamente protegidos mediante sistemas o aplicaciones con funciones de cortafuegos. El personal no podrá llevar a cabo modificaciones en sus equipos ni instalar ningún tipo de software sin autorización.
- Todos los incidentes de seguridad que se produzcan serán comunicados, registrados, investigados y resueltos de forma regulada.
- En la prestación de servicios se prestará especial atención al cumplimiento estricto de toda la legislación aplicable a dichos servicios, y en particular aquella relacionada con la protección de datos de carácter personal, la propiedad intelectual e industrial, los servicios de la sociedad de la información y todas aquellas leyes y regulaciones con efectos directos sobre ellos.
- Clientes internos, externos o terceras partes con necesidad de acceso a la información de ingeniería, deberán de aplicar los controles de seguridad de la información que ingeniería solicite.
- Los empleados son responsables por todas las actividades relacionadas con su identificación. La identificación no puede ser usada por otro individuo diferente a quien esta le fue otorgada. Los usuarios no deben permitir que otra persona realice labores bajo su identidad. De forma similar, los empleados y usuarios no deben realizar actividades bajo la identidad de alguien más. La utilización de los recursos informáticos por parte de terceras personas con conocimiento o consentimiento del usuario, o por su descuido o negligencia, lo hace responsable de los posibles daños que estas personas ocasionen a los equipos o a la propiedad de Argus Tecnologías.
- Todo empleado es responsable de la información por lo tanto deberán almacenarla, implementar los controles de acceso (para prevenir la divulgación no autorizada) y periódicamente hacer copias de respaldo y así evitar la pérdida de información crítica.
- El acceso de terceros a la información de la Institución será permitido siempre y cuando haya la debida autorización previa del Jefe del Área responsable de la misma.
Cuando el suministro de la información involucre aspectos tecnológicos deberá contarse adicionalmente con el visto bueno previo del Gerente de Ingeniería Software, quien deberá validar los riesgos de la seguridad de la información requerida.
- Las solicitudes de informes, documentos de políticas internas, actas, manuales, y en general, todo tipo de información, se encuentran amparados por los lineamientos de la Política de Seguridad de la Información.
- Argus Tecnologías usa controles de acceso y otras medidas de seguridad para proteger la confidencialidad, integridad y disponibilidad de la información manejada por computadores y sistemas de información. Para mantener estos objetivos Argus Tecnologías se reserva el derecho y la autoridad de:
- Restringir o revocar los privilegios de cualquier usuario.
- Inspeccionar, copiar, remover cualquier dato, programa u otro recurso que vaya en contra de los objetivos antes planteados.
- Tomar cualquier medida necesaria para manejar y proteger los sistemas de información de Argus Tecnologías. Esta autoridad se puede ejercer con o sin conocimiento de los usuarios, bajo la autoridad del responsable de seguridad de la información en I+D.
- Los empleados de Argus Tecnologías con acceso a Internet tienen que reportar todos los incidentes de seguridad informática al Departamento de I+D inmediatamente después de su identificación.
- El acceso al centro de cómputo, servidores y áreas de trabajo que contengan información sensible o crítica, como la contenida en los servidores, debe estar restringido y solamente el personal autorizado podrá acceder a estos lugares.
- El empleado tiene la obligación de proteger los discos duros, CD-ROM y otros medios de almacenamiento como memorias USB que se encuentren bajo su administración, aun cuando no se utilicen y contengan información reservada o confidencial.
- El empleado que tenga bajo su custodia algún equipo de cómputo será responsable de su uso y conservación; en consecuencia, responderá con su propio patrimonio por la pérdida, daño o deterioro que ocurra a los equipos cuando el hecho acontezca por negligencia o culpa del trabajador.
- El empleado deberá dar aviso inmediato de la desaparición, robo o extravío del equipo de cómputo o accesorios bajo su resguardo a la gerencia de I+D o a la alta dirección.
- Deberá configurarse el equipo de cómputo de tal manera que durante un tiempo de inactividad éste sea bloqueado automáticamente y se requiera para el reinicio de actividades el ingreso de una clave o contraseña, el tiempo de inactividad se ha establecido en 10 minutos.
- El empleado que sospeche o tenga conocimiento de la ocurrencia de un incidente de seguridad informática deberá reportarlo al Jefe Inmediato y a la gerencia de ingeniería lo antes posible, indicando claramente los datos por los cuales lo considera un incidente de seguridad informática
2.- Dirigida a:
La política de Seguridad de la información está dirigida a:
- Personal interno
- Personal externo (Proveedores, clientes internos, aliados de negocio y unidades de negocio propias)
- Visitas
- Practicantes
- Personal temporal
3.- Sanciones por incumplimiento
Argus Tecnologías reconoce abiertamente la importancia de la seguridad de la información, así como la necesidad de su protección para constituir un activo estratégico de la organización y todas las partes interesadas, el no uso adecuado de los activos de información puede poner en peligro la continuidad del negocio o al menos suponer daños muy importantes que afecten el normal funcionamiento de los procesos.
El incumplimiento de las disposiciones establecidas por las Políticas de Seguridad de la Información tendrá como resultado la aplicación de diversas sanciones, conforme a la magnitud y característica del aspecto no cumplido. Las sanciones se regirán conforme están establecidas en el Reglamento Interior de Trabajo.
4.- Documento - Políticas de referencia
Reglamento Interior de Trabajo