Política de Seguridad
Definir los criterios y lineamientos esenciales para la administración, uso y protección de la información, al igual que de los recursos informáticos asociados a su tratamiento. La misma se basa en normas y regulaciones nacionales e internacionales, asimismo como en los lineamientos estratégicos de Pretorian.
Política Corporativa de Seguridad
Introducción
La presente política define los criterios y lineamientos esenciales para la administración, uso y protección de la información, al igual que de los recursos informáticos asociados a su tratamiento. La misma se basa en normas y regulaciones nacionales e internacionales, asimismo como en los lineamientos estratégicos de Pretorian.
La dirección de Pretorian, su cuerpo ejecutivo y todo el personal entienden que la Información propia y de clientes es un recurso fundamental para la organización y por consiguiente asumen la responsabilidad que les corresponde por la adecuada protección de ésta.
Se define como Seguridad de la Información a la protección de la misma de un amplio espectro de amenazas. Su propósito es minimizar los riesgos del negocio, garantizar la continuidad operacional y maximizar el retorno sobre las inversiones y oportunidades de negocio de Pretorian.
Alcance
La presente política es aplicable a todo el personal interno o externo realice actividades para Pretorian, e incluye:
-
Los activos de información propiedad de Pretorian o de sus clientes que se encuentren bajo la custodia o administración de Pretorian.
-
La infraestructura tecnológica que permite generación, procesamiento, transmisión y almacenamiento de información.
-
Las instalaciones físicas donde residen los activos de información.
-
Las personas que hacen uso de los activos de información sean estas personal de Pretorian, de los clientes o pertenecientes a empresas prestadoras de servicios.
Revisión, validación y difusión
-
La presente política deberá ser revisada en forma anual y actualizada cuando sea necesario. La misma deberá ser aprobada por el CEO de Pretorian.
-
En caso de no existir modificaciones, ya sea a ésta u otras políticas corporativas, deberá indicarse la justificación correspondiente en el registro de cambios del documento respectivo.
-
Una copia de esta política general deberá ser distribuida a todo el personal de Pretorian actualmente contratado, a aquellos empleados que están siendo incorporados a la organización y a terceros que presten servicios.
Objetivos
-
Establecer requerimientos que permitan la implementación de controles para la protección adecuada, razonable y efectiva de los activos de información durante el uso cotidiano de los mismos.
-
Mantener la confidencialidad, integridad y disponibilidad de los activos de información de la compañía
-
Identificar los riesgos que pudieran materializarse sobre los activos de información a través de una adecuada evaluación de los mismos, de forma de entender las vulnerabilidades y las amenazas a las cuales están expuestos.
-
Gestionar los riesgos en un nivel aceptable a través del diseño, implementación y mantenimiento de un Sistema de Gestión de la Seguridad de la Información.
-
Favorecer la comunicación, sensibilización e información de los lineamientos de seguridad a todos los Integrantes de la empresa.
Reglas de la política
-
Todo el personal de Pretorian, sea éste permanente o temporal, tiene la obligación de proteger los activos de información, los sistemas y la infraestructura tecnológica de la organización, actuando siempre de forma responsable y profesional, manteniendo pleno conocimiento de los establecido por la presente política.
-
Todos los activos de información, al igual que los riesgos a los que están expuestos deberán poseer un dueño designado, quien será responsable de asegurar que los mismos se encuentren debidamente inventariados y clasificados según su criticidad. Será también su responsabilidad el realizar una revisión periódica de dicha clasificación y de las autorizaciones de acceso a los mismos.
-
Todos los activos de información deberán ser protegidos en función de su clasificación y según lo definido por la evaluación de riesgos correspondiente.
-
Todo proyecto que involucre activos de información deberá, desde su concepción, incorporar los requerimientos de seguridad definidos por los dueños de los activos afectados. El proceso de incorporación y validación de la seguridad, deberá estar integrado a la administración de proyectos desde la etapa de diseño.
-
Todo el personal de Pretorian tiene la responsabilidad de notificar incidentes de seguridad y potenciales debilidades que pudieran detectarse.
-
Será responsabilidad del Oficial de Seguridad la implementación de un programa adecuado de sensibilización y capacitación. Este programa deberá estar disponible para todo el personal de Pretorian incluyendo empleados permanentes, temporales y externos.
-
La Dirección de la organización declara su decisión de mejorar continuamente los procesos y niveles de seguridad a través de un seguimiento permanente de los controles y procedimientos implantados. Del mismo modo, declara su intención de asegurar la existencia de planes de contingencia que permitan garantizar la continuidad de los servicios prestados por la compañía.
-
La Dirección de la organización declara su decisión de cumplir con la normativa y legislación vigente en temas de Seguridad de la Información y con los requerimientos contractuales establecidos por los clientes con relación a la misma.
-
La Dirección de Pretorian será responsable de la gestión de los temas de la Seguridad de la Información y tendrá la autoridad para su implantación, control y justificación de las desviaciones o excepciones que por naturaleza del alcance, no apliquen.
-
La Dirección de Pretorian declara su compromiso con la debida asignación de recursos para asegurar a la adecuada gestión y mejora del SGSI