Política de Seguridad de la Información de Glencore

Marco de Seguridad de la Información de Glencore

Política de Seguridad de la Información Pág. 1/7

INTRODUCCION

Todos los sistemas de información de Glencore y los datos almacenados en ellos,

independientemente de su ubicación, son propiedad de Glencore. Los Sistemas de Datos y de
Información de Glencore son recursos vitales y siempre se deben utilizar de forma responsable.

Código de Conducta Glencore

Información y Seguridad de la Información

La información es fundamental para todas nuestras áreas de negocio y funciones de soporte.

Reconocemos que esta información:

 Varía en su importancia y sensibilidad para la empresa, y

 Existe en forma electrónica, impresa y verbal.

Cualquier información generada o intercambiada en el curso de la realización de negocios de

Glencore, o que de algún modo ha sido almacenada, procesada o transmitida en los sistemas de
Glencore se considera Información de la empresa y está regulada por la presente política.

La seguridad de la información, por extensión, es también considerada como crítica para Glencore;
esta incluye las prácticas que aseguran que la información de nuestro negocio esté entendida,
protegida y a disposición de las personas apropiadas en el momento adecuado.

Nuestro Compromiso
Reconocemos que la seguridad de la información es un aspecto importante del negocio mediante:
 El Cumplimiento de todas las leyes y regulaciones aplicables.
 Concediendo autoridad a nuestros equipos de TI para ser facilitadores de seguridad de la
información.

 Proveyendo a nuestros usuarios con los recursos para trabajar de manera segura.
Esta política tiene por objeto garantizar que todos seamos conscientes de los riesgos para la
información del negocio de Glencore, entender nuestras obligaciones y comprender las
consecuencias de no adherirse a esta Política.

Política de Seguridad de la Información Pág. 2/7

¿Quién debe seguir esta política?
Esta Política Corporativa es parte del Marco de Práctica Corporativa de Glencore y se aplica a todas
las operaciones con participación mayoritaria, o que son directa o indirectamente administradas por
Glencore International AG. Cada empleado o contratista que trabaja para Glencore,
independientemente de su función o ubicación, deben cumplir esta política.

En las empresas tipo “Joint Ventures” (de sociedad conjunta) en las que no somos el operador,
debemos tratar de influir en nuestros socios para que adopten políticas y procedimientos similares
en los casos en que sea posible. Cada uno de nosotros debe tomar medidas razonables para
asegurarse de que otras personas o grupos externos que apoyan a Glencore procedan del mismo
modo.

EL AMBITO DE SEGURIDAD DE LA INFORMACIÓN

Nuestras preocupaciones
Reconocemos que nuestra industria es susceptible de un conjunto de amenazas, y en virtud de
nuestro perfil somos un objetivo en la frontera geopolítica. También vemos una serie de tendencias
de TI que están cambiando los riesgos que enfrentamos:

 Mayor conectividad de TI: para nuestros sistemas, nuestros empleados y socios externos;
y
Un entorno de TI más complejo: con límites cada vez más difusos entre el uso personal
y de trabajo.

Si bien seguimos aprovechando las tecnologías de la información para nuestro negocio y para
conectarnos con colegas y socios globales, debemos ser precavidos en relación con el origen de
las amenazas de seguridad, por ejemplo:

 Dentro de la propia organización: los usuarios que intentan hacer su trabajo con buenas
intenciones, pero no siempre de la manera más apropiada, o colaboradores oportunistas que
abusan del acceso que se les ha otorgado.

 Desde fuera de nuestra organización: los atacantes cada vez más sofisticados quienes
están más organizando, como al usar mejores herramientas y/o técnicas, en busca de
recompensas económicas, políticas y sociales.

Protegiendo la Información de la Compañía

La seguridad de la información consiste en reconocer las amenazas e identificar y proteger nuestros
activos informáticos. Para Glencore, dichos activos incluyen:

Política de Seguridad de la Información Pág. 3/7

  La información de nuestra empresa: que existe a través de una serie de sistemas de
negocios y que es soportada por nuestras redes de TI e infraestructura de la comunicación.

 Nuestra gente: contamos con especialistas en roles claves en todas nuestras operaciones,
desde roles de marketing, industriales y administrativas, y el conocimiento del negocio de
estas personas debe ser protegido.

Clasificación de Información de Glencore

Para proteger mejor a nuestros activos informáticos hemos establecido la siguiente clasificación de
la información de la empresa:

 ESTRICTAMENTE CONFIDENCIAL: incluye información interna (crucial en términos de

tiempo) del negocio, o datos personales, cuya divulgación puede afectar la cotización de las
acciones de la empresa o la privacidad de los empleados, como por ejemplo potenciales
fusiones o adquisiciones de empresas (y la información relacionada), la divulgación previa
de los resultados financieros y del legajo de empleados.

 CONFIDENCIAL: información que es compartida dentro y entre las divisiones o equipos

internos para cumplir con nuestras tareas regulares de negocio. Consiste en el conjunto de
información interna de carácter privado y reservada (no pública) que debe ser protegida,
como por ejemplo los detalles de clientes o socios y la información técnica de los sistemas.

 PÚBLICA: que no es Estrictamente Confidencial ni Confidencial, o que ya es pública. Los

ejemplos incluyen la publicación de los resultados financieros y la información de nuestro
sitio web público.

Sea consciente de que cierta información del negocio es más delicada que otra, y debemos tomar
las medidas adecuadas para protegerla. Además, nuestro enfoque de seguridad de la información
debe atender a los diferentes riesgos de seguridad que afrontan nuestros empleados, ya sean
directivos, usuarios finales, terceros o dentro del área de tecnología.

NUESTROS MECANISMOS DE PROTECCIÓN

Esta Política de Seguridad de la Información se sustenta en un ámbito más profundo de seguridad

de TI y es parte del Marco de Gobernabilidad de Prácticas Corporativas de Glencore. Se alinea tanto
con Nuestros Valores como con el Código de Conducta. Dichos documentos deben ser considerados
siempre como nuestros principios fundamentales.

Política de Seguridad de la Información Pág. 4/7

La Seguridad de la Información es avalada por otras políticas corporativas y locales, como por
ejemplo las que abordan la retención, corrupción y la privacidad de la información, entre otras
consideraciones. Las implementaciones de seguridad del sitio incluyen procedimientos locales
vinculados con la propiedad y la responsabilidad para llevar a cabo con eficacia las actividades de
seguridad en todo el negocio.

Principios de la normativa de seguridad

Nuestro enfoque se basa en principios simples de seguridad de información:

1. La información de la empresa debe ser protegida. El conocimiento del negocio influye en

el éxito y el acceso a la información debe estar basado en la " necesidad de conocimiento ",
con los niveles de protección adecuados.

2. La seguridad de la información debe ser relevante y sencilla, no debería obstaculizar el

negocio por ser demasiado compleja, costosa o poco práctica.

3. Esperamos que nuestros empleados actúen de manera responsable. Avalamos esta

premisa con políticas simples y claras, una sólida gestión, y la capacitación pertinente para
comprender los riesgos de TI y para utilizar tecnología de manera efectiva.

Al aplicar estos principios en forma colectiva, podemos garantizar que los procesos y herramientas
detalladas de nuestro marco sean apropiados en todos los niveles del negocio.

Nuestro Marco de Seguridad de la Información

Esta política es la base para el Marco de Seguridad de la Información de Glencore que se aplica en
toda la organización. Asegura la aplicación de controles uniformes y efectivos para proteger nuestros
activos globales de información. Las bases del Marco de Seguridad de la Información son:

Las Responsabilidades
Cada persona es individualmente responsable por la seguridad de la información de la empresa.
Todos los empleados, consultores, contratista o socios con acceso a nuestros sistemas informáticos,
deben cumplir los respectivos Acuerdos de Servicios de TI. Además, debemos tener conocimiento y
apoyar a las siguientes funciones de seguridad:

 Los Propietarios de la Información y los Sistemas: Glencore cuenta con responsables

de la custodia de los datos y sistemas clave. Dichas funciones permiten comprender los
riesgos relacionados con los sistemas y sostener las tecnologías y los procesos necesarios
para asegurar sus datos.

Política de Seguridad de la Información Pág. 5/7

  Los equipos de TI: Muchos controles del Marco de Seguridad de la Información de
Glencore están directamente configurados en nuestros sistemas de TI y procesos de apoyo.
Su Mesa de ayuda local y su Gerente de TI son los facilitadores de seguridad y deben ser el
primer punto de contacto para cualquier consulta o inconveniente de seguridad de TI.

 Otras funciones de control interno: Recursos Humanos, Legales, Cumplimiento

Normativo y Auditoría Interna tienen conocimientos especializados y también trabajan con
los equipos de TI para garantizar la seguridad de la información de la empresa.

Las Tecnologías y Procesos

La seguridad de la información de la empresa también depende de las tecnologías y los procesos
del negocio.

Para garantizar la seguridad de nuestro ámbito de TI, son necesarios sistemas y configuraciones de
seguridad especializados, el mantenimiento y el monitoreo es esencial. Todos tenemos el deber de
respaldar la implementación de los controles técnicos y de los procesos por parte de nuestros
equipos de TI y reducir al mínimo los riesgos para los activos de información.

Nuestros procesos de seguridad son amplios y también se centran en nuestra gente a través de
cursos simples y eficaces de capacitación en seguridad de la información. Este es un requisito
reconocido por la Comisión de Auditoría del Directorio e implementado mundialmente, que refuerza
la postura de seguridad de la empresa.

INQUIENTUDES SOBRE SEGURIDAD E INCUMPLIMIENTO

Planteo de inquietudes sobre la seguridad de información

A pesar de nuestros mejores esfuerzos, pueden ocurrir situaciones que pueden impactar la seguridad
de nuestros activos de información. Si Usted se encuentra con un incidente de seguridad de la
información debe presentar su inquietud a la Mesa de Ayuda o al departamento de Tecnología de la
Información local.

Si su inquietud fuese más amplia, comuníquese con su supervisor o gerente inmediato u otro gerente
que corresponda (recursos humanos, legales, o el cuerpo directivo). Si su inquietud continúa sin
resolución, sírvase remitir a la sección “Como Plantear Inquietudes” del Código de Conducta de
Glencore.

Política de Seguridad de la Información Pág. 6/7

Consecuencias del incumplimiento

El incumplimiento de esta política, de los acuerdos de servicios de TI o al Marco de Seguridad de la

Información general expone a Glencore a riesgos de negocio que podrían provocar importantes
pérdidas materiales, financieras, afectar su reputación y (en sitios industriales) lesiones y
enfermedades al personal.

El incumplimiento, con sujeción a la legislación vigente aplicable, puede dar lugar a una acción
disciplinaria incluyendo la terminación del empleo o de los contratos de servicios de terceros y
consecuencias personales, tales como acciones judiciales personales y/o investigaciones penales.

Sin embargo, el apoyo activo de esta Política, y su implementación en nuestro Marco de Seguridad
de la Información puede reducir los riesgos colectivos de seguridad de información que enfrentamos
y garantizar el éxito continuo de Glencore en un mundo cada vez más conectado electrónicamente.

Política de Seguridad de la Información Pág. 7/7