Política de SEGURIDAD de ST IT Cloud

1. Introducción
Este documento incluye la política de seguridad de la información de ST IT Cloud compartida con todos los profesionales, proveedores de servicios y socios comerciales.

Este documento consiste en un conjunto de lineamientos que valoran y definen el uso adecuado de la información, posibilitando entornos de TI seguros, confiables e íntegros.

El compromiso de todos por conocer y vivir esta política es de suma importancia para que alcancemos un estándar de excelencia en la gestión de la seguridad, que permita la evolución de nuestro negocio de forma cada vez más transparente y segura.

La adopción de políticas, normas y procedimientos destinados a garantizar la seguridad de la información debe ser una de las prioridades de Cumplimiento, reduciendo el riesgo de fallas, daños y/o pérdidas que puedan comprometer la imagen y los objetivos de la organización.

La información puede existir y ser manipulada de diferentes formas, es decir, a través de archivos electrónicos, mensajes electrónicos, internet, bases de datos, impresa, verbal, en medios de audio y video, etc.

Como principio, la seguridad de la información debe abarcar tres aspectos básicos, que se destacan a continuación:

Confidencialidad: sólo las personas debidamente autorizadas por la empresa deben tener acceso a la información.
Integridad: sólo se deben realizar a la información las modificaciones, supresiones y adiciones autorizadas por la empresa.
Disponibilidad: la información debe estar disponible para las personas autorizadas cuando sea necesario o requerido.
La información debe administrarse adecuadamente y protegerse contra robos, fraudes, escuchas ilegales y pérdidas no intencionales, accidentes y otras amenazas.

En general, el éxito de la Política de Seguridad de la Información adoptada por ST IT Cloud depende de la combinación de varios elementos, entre ellos, la estructura organizativa de la empresa, las normas y procedimientos relacionados con la seguridad de la información y la forma en que se implementan. y monitoreada, los sistemas tecnológicos utilizados, los mecanismos de control desarrollados, así como la conducta de los directores, prestadores de servicios, asociados y socios.

2. Objeto social
La empresa tiene como principal objetivo generar valor para sus clientes y ser referencia en soluciones innovadoras, para ello contamos con los mejores Partners y un Equipo Certificado y calificado basado en principios de liderazgo.

3. Procesos de Seguridad de la Información
3.1. Comité de Seguridad de la Información y Cumplimiento (CSIC)

Este comité estará integrado por Directores con la atribución de aprobar los lineamientos de la Política de Seguridad de la Información, así como modificarlos de acuerdo a las necesidades de la Organización y sus clientes.

Por lo tanto, revisar y mantener esta política es responsabilidad del comité. La periodicidad de la revisión será anual o se realizará cuando sea necesario.

Atribuciones:

Proponer ajustes, mejoras y modificaciones a esta Política;
Proponer mejoras y aprobar Normas de Seguridad de la Información;
Definir la clasificación de la información de propiedad y/o en custodia de ST IT Cloud con base en la política de clasificación de la información;
Analizar los casos de violación de esta Política y de las Normas de Seguridad de la Información, comunicar a la Dirección Ejecutiva, cuando sea necesario;
Coordinar las acciones de los Comités Interdepartamentales, viabilizando eventuales ajustes al plan de acción;
Asegurar la implementación exitosa del Modelo de Gestión de Seguridad de la Información considerando los desafíos actuales y futuros;
Realizar reuniones periódicas cuando se le solicite, aprobar y proponer ajustes relacionados con la mejora de la seguridad de la información de ST IT Cloud;
Las reuniones deberán celebrarse semestralmente y podrán ser convocadas con mayor frecuencia o extraordinariamente, cuando sea necesario.

3.2. Seguridad de la Información
Responsable de gestionar todos los frentes de Seguridad de la Información en ST IT Cloud. Su misión es establecer y utilizar una metodología para evaluar, implementar y monitorear los lineamientos de protección de los activos de información para garantizar la continuidad de los negocios y servicios de ST IT Cloud.

Atribuciones:

Habilitar, controlar la implementación y difundir, de manera corporativa, la Política, Normas y Estándares de Seguridad de la Información para todos los profesionales, la arquitectura y los procesos relevantes para la Seguridad de la Información;
Elaborar, participar y proponer al Comité de Seguridad de la Información la arquitectura y procesos relevantes para la Seguridad de la Información;
Apoyar y difundir la cultura de Seguridad de la Información;
Apoyar a los auditores internos y eventualmente externos;
Desarrollar y difundir normas y procedimientos de Seguridad de la Información, así como mantenerlos siempre actualizados;
Desarrollar e implementar proyectos de apoyo a la Seguridad de la Información;
Definir e Implementar la arquitectura de acceso lógico al software de Seguridad de la Información con apoyo del área de Tecnología;
Brindar soporte técnico a clientes/socios regionales en aspectos de Seguridad de la Información. Estas administraciones autonómicas están técnicamente subordinadas al área de Seguridad de la Información Corporativa;
Asegurar, a nivel de software, el control de acceso lógico a los recursos computacionales con el apoyo de las áreas técnicas, monitoreando todo el ambiente de seguridad;
Asegurar que todos los procedimientos y controles para el acceso lógico a los recursos de TI cumplan con los requisitos de integridad, confiabilidad y confidencialidad de datos e información, así como la continuidad de las operaciones comerciales;
Asegurar la adecuación, eficacia y eficiencia de las Tecnologías empleadas y las operaciones de seguridad lógica como (hardware, software, técnicas de encriptación, firewalls, autenticadores, antivirus y otros recursos relevantes) y seguridad física (acceso biométrico, etc.), con el apoyo del área de Tecnología;
Asegurar la definición de nomenclaturas y estándares de identificadores de acceso (ID), logins e inicios de sesión por parte del área de Tecnología;
Analizar los riesgos relacionados con la seguridad de la información de ST IT Data y presentar informes sobre dichos riesgos;
Realizar labores de análisis de vulnerabilidades, con el fin de garantizar el nivel de seguridad de los sistemas de información y demás entornos en los que se almacenen, procesen o transmitan la información custodiada por ST IT Cloud;
Solicitar información de otras áreas de ST IT Data y realizar pruebas y evaluaciones de seguridad, con el fin de verificar el cumplimiento y apego a la Política de Seguridad de la Información, cuando sea necesario.

3.3. Propietario de la información

El propietario de la información puede ser un director o un administrador responsable del sistema o proceso ST IT Cloud, responsable de establecer los lineamientos de seguridad de la información en la Organización. El otorgamiento, mantenimiento, revisión y cancelación de las autorizaciones de acceso a un determinado conjunto de información perteneciente a ST IT Data o bajo su custodia involucra al área de Tecnología y al titular de la información.

Atribuciones:

Elaborar, para toda la información bajo su responsabilidad, una matriz que relacione los cargos y funciones del ST IT Cloud con las autorizaciones de acceso otorgadas;
Autorizar la liberación del acceso a la información bajo su responsabilidad, observando la matriz de cargos y funciones, la Política, Normas y Procedimientos de Seguridad de la Información de ST IT Cloud;
Llevar un registro y control actualizado de todas las liberaciones de acceso otorgadas, determinando, cuando sea necesario, la pronta suspensión o alteración de dichas liberaciones;
Reevaluar, cuando sea necesario, las liberaciones de acceso otorgadas, cancelando aquellas que ya no sean necesarias;
Analizar y proporcionar los informes de control de acceso proporcionados por el área de Tecnología, con el objetivo de identificar desviaciones en relación con la Política, Normas y Procedimientos de Seguridad de la Información, tomando las acciones correctivas necesarias;
Participar en la investigación de incidentes de seguridad relacionados con la información bajo su responsabilidad;
Participar, cuando sea convocado, en las reuniones del Comité de Seguridad de la Información y Cumplimiento, aportando las aclaraciones solicitadas.

3.4. Recursos humanos

Atribuciones:

Recoger la firma del Término de Adopción de la Política de Seguridad de la Información de todos los proveedores de servicios (terceros, pasantes, trabajadores temporales, CLT's, asociados, socios y otros);
Recabar la firma del Término de Secreto y Confidencialidad (NDA) de los empleados y pasantes, archivándolo en los registros respectivos;
Indicar, según la NDA, que existe cesión de propiedad intelectual y no competencia.
Recoger la firma del Término de Secreto y Confidencialidad específico para profesionales del área de Tecnología;
Comunicar al equipo de Tecnología la existencia de nuevos empleados;
Informar oportunamente al equipo de TI (Control de Acceso) de todos los despidos, bajas y cambios en el personal de la empresa.

3.5. Proceso de divulgación de PSI
La Política de Seguridad de la Información debe ser conocida por todos los empleados, pasantes, proveedores de servicios, asociados y socios de la organización, por lo que debe ser ampliamente divulgada, incluyendo y principalmente a los nuevos proveedores de servicios.

Métodos de difusión:

Reuniones corporativas;
Charlas de sensibilización;
sitio web público de ST IT Cloud;
Dado que la Política de Seguridad de la Información de ST IT Cloud es de todos conocida, no puede ser admisible que los proveedores de servicios aleguen el desconocimiento de las normas establecidas en la misma.

4. Directrices
A continuación se presentan los lineamientos de la Política de Seguridad de la Información de ST IT Cloud, que constituyen los principales pilares de la Gestión de Seguridad de la Información de ST IT Cloud, orientando la elaboración de las Normas y procedimientos.

4.1. Leyes y regulaciones

El Comité de Seguridad de la Información y Cumplimiento es responsable de:

Mantener informadas a las áreas de ST IT Cloud sobre cualquier cambio legal y/o regulatorio que implique responsabilidad y/o acciones que involucren la gestión de la seguridad de la información;
Incluir, en el análisis y elaboración de contratos, cuando sea necesario, cláusulas específicas relacionadas con la seguridad de la información, con el fin de proteger los intereses de ST IT Cloud;
Evaluar, cuando se le solicite, las Normas y Procedimientos de Seguridad de la Información elaborados por las distintas áreas de ST IT Cloud.

4.2. Clasificación de la información
El Comité, representado por sus miembros, es designado como propietario de la información en custodia de ST IT Cloud, con la responsabilidad de gestionar su seguridad durante todo el ciclo de vida de la información.

El Comité debe clasificar la Información en poder de ST IT Cloud usando uno de los siguientes niveles de Clasificaciones de Información:

Confidencial: información que, si se divulga a personas no autorizadas, podría tener un impacto significativo en las obligaciones legales o reglamentarias, la situación financiera o la reputación de ST IT Cloud o sus clientes. Datos de autenticación como: contraseñas, PIN, claves de encriptación privadas, información sobre clientes y empleados o pertenecientes a ellos, Información que el Comité de Seguridad de la Información determina que tiene el potencial de proporcionar una ventaja competitiva o tener un impacto significativo en ST IT Datos revelados a personas no autorizadas . Para esta información se utilizará el principio “Need to Know”, en el que sólo será facilitada por el titular de la información a los profesionales que deban tener acceso a ella para el desarrollo de su actividad.
Interna: la información que normalmente se comparte dentro de ST IT Data, no está destinada a su distribución fuera de ST IT Cloud y no está clasificada como RESTRINGIDA o CONFIDENCIAL.
Pública: Información que está disponible gratuitamente fuera de ST IT Cloud o está destinada al uso público por parte del Comité Corporativo. Cada responsable de la gestión de riesgos de los procesos a su cargo deberá seguir esta política a través de prácticas y procedimientos establecidos en ST IT Cloud y en su área.
Con base en el proceso de gestión de riesgos, la clasificación de la información y la clasificación de la infraestructura que la soporta, cada administrador debe especificar los requisitos para la protección de la información y debe implementar los controles suficientes para asegurar la protección especificada.

4.3. Identificación y autenticación

Todas las plataformas de ST IT Cloud Technology deben autenticar la identidad de inicio de sesión (incluidos otros sistemas que acceden a estas plataformas) antes de iniciar una sesión o transacción, a menos que el proveedor de servicios tenga derechos de acceso limitados a la lectura de datos clasificados INTERNOS o PÚBLICOS.

Todo acceso debe tener una identidad e identificarse para cada plataforma tecnológica mediante:

Una identificación no compartida (Iogin).
Un método de autenticación que permita identificar el acceso, por ejemplo: contraseña única (estática) o dinámica, clave privada, datos biométricos u otro mecanismo de autenticación aprobado por el Comité Corporativo.
Cada proveedor de servicios es responsable de toda la actividad asociada con su inicio de sesión e identidad o bajo su custodia.
Los proveedores de servicios deben cumplir con las siguientes prácticas para proteger las contraseñas estáticas:
Nunca podrán ser compartidos o presentados a terceros.
Nunca se pueden presentar/escribir en texto sin formato (con la excepción de las contraseñas precaducadas, utilizadas en el proceso de contraseña inicial).
Se implementará un proceso documentado para garantizar que todas las contraseñas estáticas se cambien periódicamente y que las ID (Iogin) se deshabiliten después de un período definido de inactividad, acorde con el nivel de riesgo, la clasificación de la información y la clasificación de la infraestructura correspondiente. Con la aprobación del Comité Corporativo, este requisito puede ser reemplazado por un proceso de aclaración periódica a los proveedores de servicios sobre la necesidad de cambiar las contraseñas para garantizar la efectividad de este método de autenticación.

4.4. Confidencialidad e integridad

Los administradores deben informar a todos en ST IT Cloud, clientes y proveedores, proveedores de servicios en general de los sistemas y procesos de información que toda la información almacenada, transmitida o manejada por estos procesos y sistemas es propiedad de ST IT Cloud, sus clientes o tiene licencia de terceros. . Siempre que lo permita la ley, ST IT Cloud se reserva el derecho de revisar y controlar esta información con fines administrativos, de seguridad o legales.

La información confidencial de ST IT Cloud, independientemente del medio o entorno donde se mantenga, debe protegerse contra el acceso no autorizado y con las debidas aprobaciones. Esta norma se aplica, entre otros, a los siguientes tipos de medios o entornos en los que se contiene, graba o almacena información: tarjetas, CD, DVD, copias impresas, discos magnéticos, cintas magnéticas, memorias USB, microfilmes, discos óptica, documentos en general, equipos de procesamiento, red, Internet, etc.

Para la adecuada protección de la información en poder de ST IT Cloud, que está siendo manejada en los puestos de trabajo, siempre que el proveedor del servicio esté ausente del entorno, particularmente fuera del horario laboral, es responsabilidad de éste bloquear el puesto de trabajo, solicitar y utilizar los recursos proporcionados por ST IT Cloud para proteger la información del acceso no autorizado. Para una adecuada protección de la información custodiada por ST IT Cloud, que está siendo manejada en equipos portátiles (notebooks), todos los proveedores de servicios deben cumplir con los requisitos definidos por la norma específica.

La información clasificada como RESTRINGIDA o CONFIDENCIAL, cuando ya no sea útil para ST IT Cloud o sus clientes, considerando los períodos de retención establecidos por ley, reglamento o contrato, deberá ser destruida de acuerdo con los procedimientos definidos.

Cada administrador debe asegurarse de que los Terceros (clientes o proveedores) protejan adecuadamente la información en poder de ST IT Cloud a la que tienen acceso:

Supervisar a Terceros que almacenen, procesen, gestionen o accedan a información de ST IT Cloud (excepto información clasificada como INTERNA o PÚBLICA) o tengan conexión a recursos de red de ST IT Cloud, de manera que cumplan con los estándares aquí definidos.
Realizar evaluaciones de seguridad de la información a Terceros de acuerdo con los procedimientos aprobados por el Comité Corporativo.
Formalizar acuerdos de confidencialidad NDA – “Non Disclosure Agreement” o disposiciones equivalentes, aprobados por el área legal de ST IT Data, con Terceros que almacenen, procesen, manejen o accedan a información en custodia de ST IT Cloud (excepto información clasificada como PÚBLICO).

4.5. Adopción de Comportamiento Seguro
Es fundamental para la protección y resguardo de la información que los profesionales adopten un comportamiento seguro y coherente con el objetivo de proteger la información de ST IT Data, con énfasis en los siguientes puntos:

Los socios, profesionales y proveedores de servicios deben asumir una actitud proactiva y comprometida con respecto a la protección de la información de ST IT Data;
Todos en ST IT Data debemos conocer las amenazas externas que pueden afectar la seguridad de la información de la empresa, tales como virus informáticos, interceptación de mensajes electrónicos, escuchas telefónicas, etc., así como fraudes dirigidos a sustraer claves de acceso a los sistemas de información;
Queda prohibido cualquier tipo de acceso a la información de ST IT Data que no esté expresamente autorizado;
Los asuntos laborales confidenciales no deben discutirse en entornos públicos o en áreas expuestas (aviones, restaurantes, reuniones sociales, ascensores, taxis, espacios de coworking, etc.);
Las claves de acceso son personales e intransferibles, y no pueden ser compartidas, reveladas a terceros (incluidos los profesionales de la propia empresa), escritas en papel o en un sistema de acceso visible o no protegido;
Solo el software aprobado por el equipo de TI de ST IT Data puede instalarse en las estaciones de trabajo, lo que debe ser realizado exclusivamente por el equipo de Tecnología de ST IT Data, respetando las cuestiones legales de licencia;
Se debe seguir estrictamente la política de uso de Internet y correo electrónico;
Los archivos de origen desconocido nunca deben abrirse y/o ejecutarse;
Los documentos impresos y los archivos que contengan información confidencial deben almacenarse y protegerse adecuadamente;
Cualquier tipo de duda sobre la Política de Seguridad de la Información y su Reglamento deberá ser aclarada de inmediato con el área de Seguridad Corporativa;
Se deben seguir estrictamente todos los estándares de seguridad de la información. Los casos no previstos deben ser enviados inmediatamente para su análisis y validación al área de Seguridad Corporativa.

4.6. Evaluación de riesgos de seguridad de la información

El área de Seguridad de la Información Corporativa debe evaluar sistemáticamente los riesgos relacionados con la seguridad de la información de ST IT Data.

El análisis de riesgos debe actuar como una herramienta de orientación del Comité Corporativo de Seguridad de la Información, principalmente en lo que se refiere a:

Identificación de los principales riesgos a los que está expuesta la información de ST IT Data;
Priorización de acciones encaminadas a mitigar los riesgos identificados, tales como la implementación de nuevos controles, creación de nuevas normas y procedimientos, reformulación de sistemas, etc. El alcance del análisis/evaluación de riesgos de seguridad de la información puede ser toda la organización, partes de la organización, un sistema de información específico, componentes de un sistema específico, etc.
Planificación trimestral de identificación y análisis de riesgos, con posibilidad de cambiar el ciclo de análisis según lo defina el Comité de Seguridad de la Información.
Implementación de herramientas para la identificación de riesgos y cumplimiento.

4.7. Gestión de Acceso a Sistemas de Información y Otros Entornos

Todo acceso a la información y entornos lógicos y físicos de ST IT Data debe ser controlado, a fin de garantizar el acceso únicamente a las personas autorizadas por el respectivo titular de la información. La política de control de acceso debe documentarse y formalizarse a través de Normas y Procedimientos que incluyan, al menos, los siguientes elementos:

Procedimiento formal para el otorgamiento y cancelación de autorizaciones de acceso a los sistemas de información;
Prueba de autorización del titular de la información;
Uso de identificadores individualizados (ID/Login), con el fin de asegurar la responsabilidad de cada prestador de servicios por sus actuaciones;
Verificación de que el nivel de acceso otorgado es adecuado para el propósito del negocio y que es consistente con la Política de Seguridad de la Información, las Reglas y Procedimientos;
Retiro inmediato de las autorizaciones otorgadas a los prestadores de servicios que sean dados de baja o desvinculados de la empresa, o que hayan cambiado de funciones;
Proceso de revisión periódica de las autorizaciones otorgadas;
Política de asignación, mantenimiento y uso de contraseñas.

4.8. Monitorear y controlar

Los equipos, sistemas, información y servicios utilizados por los proveedores de servicios son propiedad de ST IT Data y no pueden interpretarse como uso personal.

Todos los profesionales de ST IT Data deben ser conscientes de que el uso de la información y los sistemas de información de ST IT Data pueden ser monitoreados, y que los registros así obtenidos pueden utilizarse para detectar violaciones a la Política, las Normas y Procedimientos de Seguridad de la Información y, como la sea el caso, servir como prueba en procedimientos administrativos y/o judiciales.

4.9. Capacitación y concientización sobre seguridad de la información

Cada gerente debe asegurarse de que todas las personas de ST IT Data y proveedores, al iniciar una relación con ST IT Data o cuando tengan un cambio significativo en la responsabilidad del trabajo, reciban capacitación sobre aspectos de seguridad de la información relacionados con su función dentro de los 30 días posteriores al inicio del trabajo. .

Los gerentes deben asegurarse de que todos los profesionales y proveedores de ST IT Data reciban material de concientización anual aprobado por el Comité Corporativo de Seguridad de la Información.

4.10. Productos y servicios de gestión de seguridad
Los sistemas de detección de intrusos y otros productos y servicios de seguridad de la información sólo podrán ser contratados previa aprobación del Comité Corporativo de Seguridad de la Información.

Todas las alarmas del sistema asociadas con la seguridad de la información y los eventos de seguridad generados se registran y archivan diariamente.

Cuando se presenta un Evento de Seguridad, se debe activar el Comité de Seguridad de la Información mediante el proceso y procedimiento definido por el área de Seguridad de la Información.

Los controles del área de TI deben garantizar que todas las conexiones IP a Terceros estén protegidas por firewalls administrados por Tecnología y Operaciones o al menos enviados al Departamento de Seguridad y Cumplimiento.

Fecha última actualización/revisión: 10/01/2021

es_ESSpanish