PA-IT-DOC-002

Sistemas IT
Pág. 1 de 7

PetroAlianza Seguridad de la Informacion Rev. 1

Definiciones Clasificación y Fecha: 27/12/2021
Administración
Emitio: Reviso: Aprobó:

IT HSEQ Gerencia General

PROCEDIMIENTO PARA LA SEGURIDAD

DE LA INFORMACIÓN, DEFINICIONES
CLASIFICACIÓN Y ADMINISTRACIÓN
 PA-IT-DOC-002
Sistemas IT
Pág. 2 de 7

PetroAlianza Seguridad de la Información Rev. 1

Definiciones Clasificación y Fecha: 27/12/2021
Administración

1. Objeto:

Dar a conocer las normas sobre la Seguridad de la Información que se administra en

PetroAlianza.

Definir de manera clara y precisa el uso correcto de la información que se genera en

cada departamento en pro del desenvolvimiento de sus actividades.

2. Alcance:

Desarrollar un procedimiento que se base sobre los estándares internacionales ISO/IEC

17799 e ISO/IEC 27001, en concordancia que permita utilizar de la mejor manera a
nivel organizacional las distintas técnicas de seguridad de IT, el cual serán aplicadas
dentro de la organización basado en esta norma.

3. Responsables:

Todo el personal que utiliza recursos informáticos y de comunicaciones, dirigidos

específicamente a:

• Ingenieros de Campo.
• Ingenieros de Ventas.
• Ingeniero de soporte IT.
• Gerentes de Línea de Servicio.
• Gerencia de Talento Humano.
• Gerencia CxC y RRII
• Coordinadores de Área (HSEQ, GTH, IT, Lineas de Servicio).
• Supervisores de Operaciones.
• Gerencia de División.
• Asistentes de Operaciones, Contador.
• Controller.
• Analistas de Negocio
• Analistas en General

4. Procedimiento:

4.1 Definiciones:

Informacion – Es un activo como otros activos comerciales importantes, es esencial

para el negocio de una organización y en consecuencia necesita ser protegido
adecuadamente. La información puede existir de muchas formas, puede estar impresa,
PA-IT-DOC-002-Rev.0 Seguridad de la información, Definiciones, Clasificación y Administración
 PA-IT-DOC-002
Sistemas IT
Pág. 3 de 7

PetroAlianza Seguridad de la Información Rev. 1

Definiciones Clasificación y Fecha: 27/12/2021
Administración

o escrita en un papel, almacenada electrónicamente, transmitida por correo o utilizando

medios electrónicos.

Informacion Publica – Información que puede ser compartida con cualquiera en el

mundo. Típicamente es la información publicada en la página web externa, marketing,
informes de prensa, información a los accionistas, etc.

Informacion Abierta – Información solo a ser compartida con aquellos con los cuales
PetroAlianza tiene relaciones de negocios. Ejemplo: socios, sub-contratistas, socios y
empleados de PetroAlianza en general. Típicamente información relacionada con los
servicios, programas, políticas, análisis de riesgo, salud y medio ambiente e información
similar, para conocimiento general de los servicios y oficinas.

Informacion Interna – Información a ser compartida solamente en forma interna con

empleados de PetroAlianza. Ejemplo: políticas y procedimientos, información de los
servicios tales como estimaciones, descripción de metodologías e información similar.

Informacion Restringida – Información solo a ser compartida con un grupo específico

de interesados (internos o externos) sobre una base de conocimiento necesario.
Típicamente información financiera, planes de negocio, estrategias comerciales,
contratos, informes de HSEQ, presupuesto e información similar.

Informacion Confidencial – Información solo para ser compartida con personas

específicas (internas o externas) sobre una base de conocimiento necesario.
Típicamente estructura financiera, informe anual antes de su publicación, información
de Directorio, revisiones de desempeño, venta de Empresas, desinversión, condiciones
laborales y salariales, información relacionada con servicios e información similar.

Seguridad de la Informacion – Protección de la información de un rango amplio de

amenazas para asegurar la continuidad de la organización, minimizar el riesgo
comercial, y maximizar el retorno de las inversiones y las oportunidades comerciales.
Preservación de confidencialidad, integración y disponibilidad de la información,
además de involucrar otras propiedades como autenticidad, responsabilidad, no-
repudiación y confiabilidad.

Medios de Procesamiento de la información – Cualquier sistema, servicio o

infraestructura de procesamiento de la información o los locales físicos donde se
resguardan.

Por defecto toda la información debe ser clasificada como Interna con la posibilidad de
cambiar el estado por parte del propietario. El software de encriptamiento y borrado
seguro de información digital debe ser solicitado a su departamento de Sistemas IT.

PA-IT-DOC-002-Rev.0 Seguridad de la información, Definiciones, Clasificación y Administración

 PA-IT-DOC-002
Sistemas IT
Pág. 4 de 7

PetroAlianza Seguridad de la Información Rev. 1

Definiciones Clasificación y Fecha: 27/12/2021
Administración

Manejo de la Información

Clase de Información
Área
Publica Abierta Interna Restringida Confidencial
Quien clasifica
inicialmente Propietario de la información
Quien decide Sin Sin No debe ser Solo para ser Solo para ser
sobre la restricciones restricciones distribuida distribuida distribuida a
distribución fuera de fuera del grupo otras personas
PetroAlianza con permiso del con permiso del
propietario. propietario
Archivo Con llave en Caja fuerte
(Papel o medios Sin restricciones gabinete cerrada
no encriptados) metálico.

Datos en Sin restricciones Encriptado solamente

Disco rígido
local
Datos en Sin restricciones RestriccionesEncriptado solamente
Servidores de acceso
aplicada al
servidor.
Fotocopias e Sin restricciones Permitido para uso propio pero
Impresiones para otros con permiso del
propietario.
Email Sin restricciones No debe ser enviado por email.
Premisas fuera Sin restricciones • Nunca dejar desatendido en
de PetroAlianza lugares públicos.
• Guardado en caja fuerte en hoteles
o no dejar desatendido.
• Siempre ser llevado como equipaje
de mano.
• Medios digitales deben estar
encriptados.
Destrucción de Reciclado Destruido
información en
papel
Destrucción de El medio magnético o dispositivo digital (Disco duro), debe ser borrado con
información software especial o ser destruido.
digital
Marcado PUBLICA ABIERTA INTERNA RESTRINGIDA CONFIDENCIAL
Marcado
Manual P A I R C
R

PA-IT-DOC-002-Rev.0 Seguridad de la información, Definiciones, Clasificación y Administración

 PA-IT-DOC-002
Sistemas IT
Pág. 5 de 7

PetroAlianza Seguridad de la Información Rev. 1

Definiciones Clasificación y Fecha: 27/12/2021
Administración

4.2 Enfoque del Proceso de Gestión de seguridad de la información: (SGSI)

Basado en el estándar ISO/IEC 27001:2005, el diseño e implementación del

SGSI en PetroAlianza, es influenciado por sus necesidades y objetivos, requerimientos
de seguridad. Es por ello que los procesos dentro de la organización, junto a la
identificación y las interacciones de estos procesos, y su gestión se considera, un
enfoque del proceso.

Un enfoque del proceso para la gestión de la seguridad de la información

presentado en este procedimiento, se fomenta que los usuarios enfaticen la importancia
de:
• Extender los requerimientos de seguridad de la información de la
organización y administrarlo correctamente basado en el tipo de información
visto anteriormente.
• Implementar controles para manejar los riesgos de la seguridad de la
información, es por ello que es responsabilidad del usuario solicitar al
departamento de Sistemas IT, un backup de su información, para evitar
perdida de archivos y sean resguardados en un servidor de la organización
administrado por el departamento de Sistemas IT, y bajo la supervisión del
Controller y/o Gerencia General, de acuerdo al procedimiento PA-IT-DOC-
0001.

4.3. Control de Documentos: Los documentos e información administrado en la

organización, deben ser protegidos y controlados, es por ello que el
departamento de IT, en conjunto con los usuarios debe:

• El usuario debe solicitar su respaldo de información, en caso de que no lo

pida, el departamento IT, establecerá una planificación para efectuar el
backup de la información del personal, basado en su nivel organizacional,
semanal, quincenal, mensual, trimestral, anual.
• La información que será respaldada en los servidores de la organización,
debe ser solo laboral, no incluye información personal del usuario, IT no está
en la obligación de respaldar fotografías, música, videos u otros archivos
que no sean organizacionales.
• Se debe asegurar que se identifiquen los cambios conforme sea necesario,
y verificar el estatus de la revisión actual de los documentos.
• Asegurar que las versiones respaldadas en los servidores, sean las más
recientes y más relevantes. Gerencia General y Controller, pueden solicitar
a IT la información cuando sea requerida.
• Bajo ningún concepto los respaldos serán ejecutados en discos duros
portátiles, solo en Servidores portátiles. De utilizarse la nube My Cloud para
PA-IT-DOC-002-Rev.0 Seguridad de la información, Definiciones, Clasificación y Administración
 PA-IT-DOC-002
Sistemas IT
Pág. 6 de 7

PetroAlianza Seguridad de la Información Rev. 1

Definiciones Clasificación y Fecha: 27/12/2021
Administración

un respaldo para envío de un archivo que supere los 10 MB de tamaño,

debe ser notificado a IT, y aprobado por la Gerencia General para su envío
y distribución.
• Bajo ningún concepto el usuario puede enviar correos electrónicos que
contengan información confidencial a dominios públicos (ej.: Hotmail, Gmail,
Yahoo! entre otros), sin la respectiva aprobación de la Gerencia General.
• La administración y envío archivos adjuntos en correos electrónicos, no
debe superar la cantidad de 4 Mb.
• Queda prohibido la administración del envío de correo electrónico para uso
de chat con otra persona. Es por ello que IT recomienda las aplicaciones
Skype, Meets, Zoom. Cabe destacar que el mismo es utilizado para
videollamadas multipunto, conversaciones. Bajo ningun concepto se debe
utilizar la herramienta para otros fines con el correo electrónico corporativo
como ID principal.
• Asegurar que los documentos se mantengan legibles y fácilmente
identificables.
• Asegurar que los documentos estén disponibles para el usuario cuando lo
requiera, en caso de pérdida de su información en el computador, debe ser
canalizado por escrito explicando por qué necesita de una copia de la
misma.
• Evitar el uso indebido de documentos obsoletos, y aplicarles una
identificación adecuada si se van a retener por algún propósito.
• En caso de que una persona deje de laborar en la organización, los
documentos personales que se encuentran en el equipo, solo podrá
extraerlo a través del departamento de Sistemas IT

4.4. Organización de la seguridad de la información

4.4.1. Organización Interna: Manejo de la seguridad de la información dentro de la

organización es por ello que:
• La Gerencia General, en conjunto al departamento de IT, promueve dentro
de la organización a través de una dirección claramente definida,
compromiso demostrado, asignación explicita y reconocimiento de las
responsabilidades de la seguridad de la información.
• Las actividades de la seguridad de la información deben ser coordinadas
por representantes de las diferentes partes de la organización con las
funciones y roles laborales relevantes, definidos en el ítem 3 de este
procedimiento.
• El enfoque de la organización para manejar la seguridad de la información
y su implementación (es decir, objetivos de control, Controles, políticas,
procesos y procedimientos), debe estar en constante revisión a intervalos
planeados, o cuando ocurra un cambio en la implementación de seguridad.
PA-IT-DOC-002-Rev.0 Seguridad de la información, Definiciones, Clasificación y Administración
 PA-IT-DOC-002
Sistemas IT
Pág. 7 de 7

PetroAlianza Seguridad de la Información Rev. 1

Definiciones Clasificación y Fecha: 27/12/2021
Administración

4.4.2. Organización Externa: Manejo de la seguridad de la información de la

organización y los medios de procesamiento de información a los cuales tienen
acceso o son comunicados o manejados por entidades externas.
• Se debe identificar el tipo de información a divulgar, tomando en cuenta los
distintos riesgos y su correcta administración basado en el ítem 4.1 de este
procedimiento, implementando el control más apropiado antes de otorgar
algún acceso, a una entidad externa a la organización, el cual debe ser
autorizada por la Gerencia General.
• Caso particular ingenieros de Ventas, el tratamiento de la seguridad cuando
se trabaja con clientes, se deben tratar todos los requerimientos de
seguridad, identificando el tipo de información a suministrar basado en el
ítem 4.1 de este procedimiento, antes de otorgar a los clientes un acceso a
la información.
• El tratamiento de seguridad en terceras personas a la información o los
medios de información de la organización, deben abarcar los requerimientos
de seguridad necesarios relevantes y tomar en cuenta el ítem 4.1 de este
procedimiento para su correcta administración y aplicación.

PA-IT-DOC-002-Rev.0 Seguridad de la información, Definiciones, Clasificación y Administración