1. Gestión de la seguridad de la información
Se define Seguridad de la Información como la preservación de la confidencialidad, disponibilidad e integridad de la información que es relevante para la organización (ISO-27000).
1.1 Objetivos y medición
Los objetivos generales para el Sistema de Gestión de Seguridad de la información de e-BUSINESS DISTRIBUTION S.A son los siguientes:
1. Crear una imagen de mercado que genere confianza a nuestros clientes y reducir el daño ocasionado por potenciales incidentes de seguridad de la información y ciberseguridad; las metas están en línea con los objetivos comerciales, con la estrategia y los planes de negocio de la organización.
2. Ofrecer servicios de Diseño de soluciones y tecnologías integradas, Servicios de implantación, soporte y mantención, Servicios de Ciberseguridad, Monitoreo y Consultorías, junto a Servicios Profesionales soportados por procesos y plataformas seguras, utilizando estándares internacionales de Seguridad de la información.
3. Lograr altos niveles de eficiencia, considerando el cumplimiento de la gestión de la Seguridad de la información, la Ciberseguridad y los requerimientos contractuales de los clientes en dicha materia.
4. Cumplir con los requisitos aplicables legales, regulatorios y contractuales de Seguridad de la información y Ciberseguridad.
Los objetivos para controles individuales de seguridad o grupos de controles son propuestos por el Comité de Seguridad de la Información (CSI), quien está a cargo de los controles sobre los riesgos, el cual sesionará incluyendo un representante de la alta dirección para aprobación de estos en la Declaración de aplicabilidad del SGSI.
Para garantizar el cumplimiento de los objetivos estos serán revisados al menos una vez al año.
La presente política responde al propósito de la organización, y se ajusta a los cambios en el entorno organizacional, circunstancias comerciales, condiciones normativas, legales o contractuales y entornos técnicos, a través de instrumentos de control del contexto de la organización y sus revisiones.
El Oficial de Seguridad de la Información (OSI) es el responsable de revisar y proponer estos objetivos generales del SGSI y de establecer nuevos. Para todos los efectos las aprobaciones de dichos objetivos son realizadas por el Comité de Seguridad de la información (CSI).
e-BUSINESS DISTRIBUTION S.A medirá el cumplimiento de todos los objetivos. El OSI es el responsable de definir el método para medirlo y la medición se realizará en intervalos planificados según el seguimiento definido para cada objetivo. Por otro lado, analizará y evaluará los resultados y los reportará a alta dirección y/o CSI como material para la revisión y aprobación.
1.2 Requisitos para la seguridad de la información
Esta Política, y todo el SGSI, propician el cumplimiento de los requisitos legales y normativos de la organización en el ámbito de la seguridad de la información, como también con las obligaciones contractuales.
En el documento control de obligaciones legales, normativas y contractuales se detallan los requisitos aplicables a e-BUSINESS DISTRIBUTION S.A.
1.3 Controles de seguridad de la información
El proceso de escoger los controles (protección) está definido en la metodología de evaluación y tratamiento de riesgos. Los controles seleccionados y su estado de implementación se detallan en la Declaración de Aplicabilidad y han sido seleccionados a partir de los requisitos creados por el entorno de amenazas a la seguridad actual y proyectada.
1.4 Principios
Para establecer, implementar, mantener y mejorar con éxito un SGSI nos apoyamos en los siguientes principios fundamentales:
1. Tomar conciencia de la necesidad de seguridad de la información
2. Asignar responsabilidades y roles en las tareas de la seguridad de la información;
3. Tener el compromiso e implicación de la dirección de la organización y de las partes interesadas.
4. Realizar evaluaciones de riesgo para determinar los controles apropiados para conseguir niveles aceptables de riesgo.
5. Incorporar los criterios de seguridad como un elemento esencial de las redes y sistemas de información.
6. Promover la anticipación y la detección de incidentes de seguridad de la información;
7. Evaluación continua de la seguridad de la información para realizar modificaciones cuando corresponda.
1.5 Responsabilidades
Las responsabilidades para el SGSI aplicadas a e-BUSINESS DISTRIBUTION S.A son las siguientes:
1. El Gerente General de eBD es el responsable de asegurar que el SGSI sea implementado y mantenido de acuerdo con esta Política y de asegurar que todos los recursos necesarios estén disponibles.
2. El Oficial de seguridad (OSI) es el responsable de la coordinación operativa del SGSI, como también de informar su desempeño.
3. El Comité de Seguridad de la información revisará el SGSI al menos una vez por año o cada vez que se produzca una modificación significativa, informada por el OSI; y elaborará actas de dichas reuniones. El objetivo de las verificaciones por parte del Comité es establecer la conveniencia, adecuación y eficacia del SGSI.
4. La protección de la integridad, disponibilidad y confidencialidad de los activos es responsabilidad del Propietario de cada activo asignado y este será asignado por el Comité de Seguridad de la información (CSI) según el inventario de activos.
5. Todos los eventos, incidentes o vulnerabilidad de seguridad de la información serán informados al Oficial de Seguridad de la información (OSI) mediante los canales de comunicación destinados para ello.
6. El CSI definirá qué comunicación relacionada con la seguridad de la información será informada a qué parte interesada (tanto interna como externa), por quién, cuándo y cómo.
7. El Oficial de Seguridad de la información (OSI) es el encargado de diseñar, implementar y ejecutar el Plan de capacitación y concienciación en Seguridad de la información, que corresponde a todas las personas, tanto internas como externas, que cumplen una función en la gestión de la seguridad de la información.
1.6 Comunicación de la Política
El Oficial de Seguridad de la información (OSI) se asegurará de que esta Política sea conocida por todos los trabajadores de e-BUSINESS DISTRIBUTION S.A. y por todos los participantes externos correspondientes.
1.7 Cumplimiento
El no cumplimiento de esta Política implicará la aplicación de un proceso disciplinario que incluye desde la capacitación y concienciación en seguridad de la información, hasta las sanciones que establece la legislación vigente.
2. Apoyo para establecer, implementar, mantener y mejorar el SGSI
A través de la presente Política, el Gerente General de e-BUSINESS DISTRIBUTION S.A. declara que la compañía mantendrá su compromiso con la implementación y mejora continua del Sistema de Gestión de la Seguridad de la Información, por lo que se contará con el apoyo de los recursos para lograr todos los objetivos establecidos en esta Política, como también para cumplir con todos los requisitos identificados con relación a la seguridad de la información.
— FIN DEL DOCUMENTO —