Documentos de Académico
Documentos de Profesional
Documentos de Cultura
03
Índice
APROBACIÓN ..................................................................................................................... 1
1. INTRODUCCIÓN ........................................................................................................... 3
2. DEFINICIONES .............................................................................................................. 3
3. RESPONSIBILIDADES ................................................................................................. 4
6. SEGURIDAD .................................................................................................................11
Página 1 de 14
Entrada en vigencia 5 April 2022 Documento n.° SPO-MDG-ICT-0004-S Rev. 03
Aprobación
Aprobación Fecha de
Revisor Aprobador
electrónica aprobación
Steven Naude Andre van Deventer
ID - 28153 29/03/2022
Gerente de TIC del Grupo Director financiero
Historial de revisión
Rev. n° Cambios Fecha
00 Documento Nuevo 31/10/2016
Se agregó: 7.4 Los accesos a las funciones serán
revisados según sea necesario, 7.18 7.18. Las
01 contraseñas no se almacenarán mediante cifrado 20/03/2019
reversible. Se eliminó: 7.11. Las contraseñas expirarán
después de 60 días y deben ser únicas.
Documento actualizado con los siguientes cambios:
• Se cambió el nombre de Política de seguridad de TI a
Política de protección de la información.
02 22/02/2021
• Se cambió 1.
• Se eliminó 2.7. y 7.
• Se añadió 3.2.7 – 3.2.10 y 4 – 5.
Documento actualizado:
• Se cambió 4.6.10.
• Se añadió 4.6.12, 4.6.13, 4.6.17, 4.6.19, 4.6.21 –
03 28/03/2022
4.6.23
• Se eliminó 6.1.6. de Rev.02.
• Se añadió 6.2.56. y 6.2.57.
Página 2 de 14
Entrada en vigencia 5 April 2022 Documento n.° SPO-MDG-ICT-0004-S Rev. 03
1. INTRODUCCIÓN
1.1. El propósito de esta política es definir medidas de protección según lo siguiente:
1.1.1. la sensibilidad relacionada con la seguridad,
1.1.2. el valor empresarial y la trascendencia de la información,
1.1.3. independientemente de la forma en que aparezca la información: en computadoras o en
almacenamientos extraíbles y
1.1.4. durante la transmisión a través de la red.
1.2. El objetivo de la política es prevenir o mitigar las consecuencias de los incidentes
relacionados con la seguridad al mínimo posible y garantizar operaciones comerciales
ininterrumpidas.
2. DEFINICIONES
2.1. Control del acceso - Proceso de limitación del acceso a los recursos de un sistema
únicamente a los programas, procesos u otros sistemas autorizados.
2.2. Registro de auditoría - Registro cronológico de las actividades del sistema que es
suficiente para permitir la reconstrucción, revisión y análisis de la secuencia de entornos y
actividades que rodean o conducen a una operación, un procedimiento o un evento en una
transacción desde su inicio hasta los resultados finales.
2.3. Autorización - La función de establecer los niveles de privilegio de un individuo para
acceder y/o manejar información.
2.4. Disponibilidad - Asegurar que la información está lista y apta para su uso.
2.5. Confidencialidad - Asegurar que la información se mantiene en estricta privacidad.
2.6. Firewall - Dispositivo y/o software que evita el tránsito no autorizado e inapropiado de
acceso e información de una red a otra.
2.7. Hub - Dispositivo de red para repetir paquetes de red de información alrededor de la red.
2.8. Información - Información que Master Drilling recoge, posee o a la que tiene acceso, sin
considerar su fuente. Esto incluye información contenida en documentos impresos u otros
medios, comunicados a través de redes de voz o datos, o intercambiados en
conversaciones.
2.9. Integridad - Asegurar la exactitud, totalidad y consistencia de la información.
2.10. PBX - Central Secundaria Privada Automática – Pequeña central telefónica utilizada
internamente dentro de una organización.
2.11. Acceso no autorizado - Consultar, revisar, copiar, modificar, eliminar, analizar o manejar
información sin la autorización adecuada y la necesidad comercial legítima.
2.12. SAI - Sistema de alimentación ininterrumpida. Dispositivo que contiene baterías que
protege el equipo eléctrico de sobrecargas en la red eléctrica y actúa como fuente
temporal de energía en caso de un fallo de red.
Página 3 de 14
Entrada en vigencia 5 April 2022 Documento n.° SPO-MDG-ICT-0004-S Rev. 03
2.13. Virus - Software informático que se replica a sí mismo y a menudo corrompe programas y
datos informáticos.
3. RESPONSABILIDADES
3.1. El departamento de TI será responsable de proporcionar la protección y confidencialidad
adecuadas de todos datos corporativos y los sistemas informáticos, ya sea reteniéndolos
principalmente en un centro de datos, en medios de almacenamiento locales o a distancia,
para garantizar la disponibilidad continua de datos y sistemas a todo el personal
autorizado y garantizar la integridad de todos los datos y controles de configuración.
3.2. Se espera que todo el personal:
3.2.1. Clasifique la información de la que cada uno es responsable, según corresponda.
3.2.2. Acceda a la información solo cuando sea necesario para satisfacer necesidades
comerciales legítimas.
3.2.3. No divulgue, copie, libere, venda, preste, altere o destruya ninguna información sin un
propósito comercial y/o autorización válida.
3.2.4. Proteja la confidencialidad, integridad y disponibilidad de la información de manera
consistente con el tipo de información.
3.2.5. Proteja cualquier clave física, tarjeta de identificación, cuenta de computadora o cuenta de
red que le permita a cada uno acceder a la información.
3.2.6. Deseche los medios que contengan información de manera consistente con el tipo de
información y cualquier requisito de retención aplicable de Master Drilling. Esto incluye
información contenida en cualquier documento impreso (como un memorándum o informe)
o en cualquier medio de almacenamiento electrónico, magnético u óptico (como una tarjeta
de memoria, CD, disco duro, cinta magnética o disco).
3.2.7. Desempeño incorrecto y sospechoso de los sistemas.
3.2.8. Infracciones intencionadas y no intencionadas relacionadas con la seguridad.
3.2.9. Fallas, virus y errores de los sistemas.
3.2.10. Deficiencias observadas relacionadas con la seguridad.
Página 4 de 14
Entrada en vigencia 5 April 2022 Documento n.° SPO-MDG-ICT-0004-S Rev. 03
Política de prevención
Información confidencial Orden
de pérdida de datos
Número de seguridad social de EE.UU. (SSN)
Ley de seguro médico Número de la Administración de control de drogas (DEA)
0
de EE.UU. (HIPAA) Clasificación internacional de enfermedades (ICD-9-CM)
Clasificación internacional de enfermedades (ICD-10-CM)
Ley de acceso a
Número del servicio nacional de salud del Reino Unido
informes médicos del 1
Número de seguro nacional del Reino Unido (NINO)
Reino Unido
Número de pasaporte de Canadá
Ley de información Número de seguridad social de Canadá
médica de Canadá Número de servicio médico de Canadá 2
(HIA) Número de identificación personal de salud de Canadá
(PHIN)
Ley de registros de
Número de identificación fiscal de Australia
salud de Australia 3
Número de cuenta médica de Australia
(HRIP)
Número de tarjeta de crédito
Información financiera
Número de cuenta bancaria de EE.UU. 4
de EE.UU.
Número de ruta ABA
Número de tarjeta de crédito
Información financiera
Número de tarjeta de débito de la UE 5
del Reino Unido
Código SWIFT
Información financiera Número de tarjeta de crédito
6
de Alemania Número de tarjeta de débito de la UE
Información financiera Número de tarjeta de crédito
7
de Canadá Número de cuenta bancaria de Canadá
Código SWIFT
Información financiera Número de identificación fiscal de Australia
8
de Australia Número de cuenta bancaria de Australia
Número de tarjeta de crédito
Leyes estatales de Número de tarjeta de crédito
EE.UU. para Número de cuenta bancaria de EE.UU.
9
notificación de Número de licencia de conducir de EE.UU.
infracciones Número de seguridad social de EE.UU. (SSN)
Número de identificación personal del contribuyente de
Información de
EE.UU. (ITIN)
identificación personal 10
Número de seguridad social de EE.UU. (SSN)
(PII) de EE.UU.
Número de pasaporte de EE.UU. / Reino Unido
Número de tarjeta de crédito
Número de cuenta bancaria de EE.UU.
US Patriot Act Número de identificación personal del contribuyente de 11
EE.UU. (ITIN)
Número de seguridad social de EE.UU. (SSN)
Número de seguro nacional del Reino Unido (NINO)
Ley de protección de
Número de pasaporte de EE.UU. / Reino Unido 12
datos del Reino Unido
Código SWIFT
Página 5 de 14
Entrada en vigencia 5 April 2022 Documento n.° SPO-MDG-ICT-0004-S Rev. 03
Política de
prevención de Información confidencial Orden
pérdida de datos
Información de
Número de licencia de conducir de Alemania
identificación personal 13
Número de pasaporte de Alemania
(PII) de Alemania
Número de seguridad social de Francia (INSEE)
Información de
Número de licencia de conducir de Francia
identificación personal 14
Número de pasaporte de Francia
(PII) de Francia
Documento nacional de identidad de Francia (CNI)
Número de licencia de conducir de Canadá
Número de cuenta bancaria de Canadá
Información de Número de pasaporte de Canadá
identificación personal Número de seguridad social de Canadá 15
(PII) de Canadá Número de servicio médico de Canadá
Número de identificación personal de salud de Canadá
(PHIN)
Información de
Número de identificación fiscal de Australia
identificación personal 16
Número de licencia de conducir de Australia
(PII) de Australia
Información de
identificación personal Número de identificación de Sudáfrica 17
(PII) de Sudáfrica
Información de
Número de cuenta permanente de India (PAN)
identificación personal 18
Número de identificación único de India (Aadhaar)
(PII) de India
Información de
identificación personal Número de documento de identidad de Chile 19
(PII) de Chile
Información de
Número de tarjeta de identidad de residente en China
identificación personal 20
(RPC)
(PII) de China
Información de Número de identificación fiscal de Brasil (CPF)
identificación personal Número de persona jurídica de Brasil (CNPJ) 21
(PII) de Brasil Documento nacional de identidad de Brasil (RG)
Información de
Documento nacional de identidad de Suecia
identificación personal 22
Número de pasaporte de Suecia
(PII) de Suecia
Información de
identificación personal Número de licencia de conducir de Italia 23
de Italia
4.2. Clasificación de información
4.2.1. La clasificación de información permite a Master Drilling identificar el valor comercial de los
datos no estructurados en el momento de su creación, separar la información valiosa que
puede ser objeto de un ataque de la información menos valiosa y tomar decisiones
Página 6 de 14
Entrada en vigencia 5 April 2022 Documento n.° SPO-MDG-ICT-0004-S Rev. 03
Página 7 de 14
Entrada en vigencia 5 April 2022 Documento n.° SPO-MDG-ICT-0004-S Rev. 03
Página 8 de 14
Entrada en vigencia 5 April 2022 Documento n.° SPO-MDG-ICT-0004-S Rev. 03
Página 9 de 14
Entrada en vigencia 5 April 2022 Documento n.° SPO-MDG-ICT-0004-S Rev. 03
5. DESCUBRIMIENTO Y RESPUESTA
5.1. Auditoría
5.1.1. Un registro de auditoría es un conjunto de registros cronológicos relevantes para la
seguridad que proporcionan evidencia de la secuencia de actividades que han afectado en
cualquier momento una operación, procedimiento o evento específico (por ejemplo, quién
accedió a un documento específico o eliminó un elemento de su buzón).
5.1.2. Los registros de auditoría se guardan durante 90 días y registran los siguientes tipos de
actividades de usuarios y administradores.
a) Actividad de usuario en SharePoint Online y OneDrive for Business.
b) Actividad de usuario en Exchange Online (registro de auditoría de buzón de
Exchange).
c) Actividad de administrador en SharePoint Online.
d) Actividad de administrador en Azure Active Directory (servicio de directorio para
Microsoft 365).
e) Actividad de administrador en Exchange Online (registro de auditoría de administrador
de Exchange).
f) Actividades de eDiscovery en el centro de seguridad y cumplimiento.
g) Actividad de usuario y administrador en Power BI.
h) Actividad de usuario y administrador en Microsoft Teams.
i) Actividad de usuario y administrador en Dynamics 365.
j) Actividad de usuario y administrador en Yammer.
k) Actividad de usuario y administrador en Microsoft Power Automate.
l) Actividad de usuario y administrador en Microsoft Stream.
m) Actividad de analista y administrador en Microsoft Workplace Analytics.
n) Actividad de usuario y administrador en Microsoft Power Apps.
o) Actividad de usuario y administrador en Microsoft Forms.
p) Actividad de usuario y administrador para etiquetas de confidencialidad para sitios que
usan SharePoint o Microsoft Teams.
5.2. Investigaciones de datos
5.2.1. Una fuga de datos ocurre cuando un documento que contiene información confidencial,
sensible o maliciosa se publica en un entorno que no es de confianza.
5.2.2. Cuando se detecta una fuga (de forma manual o gracias al control del sistema), es
importante contener rápidamente el entorno, evaluar la extensión y lugares de la fuga,
examinar las actividades relacionadas de los usuarios y tomar medidas correctivas.
5.2.3. El uso de herramientas de investigación de datos (eDiscovery) permite buscar datos
confidenciales, maliciosos o extraviados, investigar lo sucedido y tomar las medidas
adecuadas para remediar la fuga.
Página 10 de 14
Entrada en vigencia 5 April 2022 Documento n.° SPO-MDG-ICT-0004-S Rev. 03
5.2.4. La investigación de datos que involucren a un trabajador solo puede ser solicitada por
Recursos Humanos.
5.2.5. Las solicitudes de investigación de datos que contengan propiedad intelectual y/o que se
requieran para investigaciones y/o auditorías formales solo pueden ser realizadas por el
Director financiero o el Director general.
5.3. Solicitudes de los interesados
5.3.1. Master Drilling otorga derechos a los trabajadores para que gestionen datos personales
que hayan sido recolectados en la red corporativa, esto incluye la obtención de copias,
solicitud de cambios, restricción del procesamiento y la eliminación.
5.3.2. Los trabajadores pueden pedir una DSR (solicitud del interesado) a través del servicio de
asistencia de DSR.
6. SEGURIDAD
6.1. General
6.1.1. El acceso a Internet y a otros servicios externos está restringido únicamente al personal
autorizado.
6.1.2. El acceso a los datos de todas las computadoras debe asegurarse mediante cifrado u
otros medios, para garantizar la confidencialidad de los datos en caso de pérdida o robo
del equipo.
6.1.3. Únicamente se puede instalar software autorizado y con licencia, y la instalación
solamente puede realizarla el departamento de TI.
6.1.4. Está prohibido el uso de software no autorizado. En el caso de que se descubra un
software no autorizado, este se borrará inmediatamente de la computadora y se puede
tratar en virtud del proceso disciplinario.
6.1.5. Se deben verificar todos los dispositivos extraíbles de fuentes externas para detectar si
hay virus antes de ser usados dentro de Master Drilling.
6.1.6. Las configuraciones de la computadora únicamente pueden ser cambiadas por el
departamento de TI.
6.2. Infraestructura
6.2.1. El departamento de TI dispondrá de un software de detección de virus actualizado para
poder detectar y eliminar sospechas de virus.
6.2.2. Los servidores corporativos estarán protegidos con software antivirus.
6.2.3. Las computadoras estarán protegidas por un software de escaneo de virus.
6.2.4. Todos los programas informáticos y antivirus del servidor se actualizarán periódicamente
por el departamento de TI con las últimas actualizaciones del antivirus.
6.2.5. No se utilizará ningún disco o dispositivo extraíble incorporado desde fuera de Master
Drilling hasta que el departamento de TI lo haya escaneado.
Página 11 de 14
Entrada en vigencia 5 April 2022 Documento n.° SPO-MDG-ICT-0004-S Rev. 03
6.2.6. Todos los sistemas se construirán a partir de copias maestras originales y limpias, cuya
protección contra escritura siempre ha estado en su lugar. Únicamente se utilizarán copias
maestras originales hasta que se haya realizado el escaneo de virus.
6.2.7. Todas las demostraciones/presentación de proveedores se ejecutarán en sus máquinas y
no en las de Master Drilling.
6.2.8. El nuevo software comercial se escaneará antes de que se instale.
6.2.9. El departamento de TI escaneará todos los dispositivos extraíbles traídos a Master Drilling
antes de que se puedan utilizar.
6.2.10. Para permitir que los datos sean recuperados en caso de un brote de virus, el
departamento de TI realizará copias de respaldo regularmente.
6.2.11. Se notificará a los usuarios sobre incidentes de virus.
6.2.12. En caso de una posible infección por virus, el usuario debe informar inmediatamente al
departamento de TI. El departamento de TI analizará el equipo infectado y cualquier
dispositivo extraíble u otros bienes y/o recursos a los que el virus pueda haberse
propagado para erradicarlo.
6.2.13. Todo hardware informático estará visiblemente marcado por un adhesivo de activos fijos
aprobado.
6.2.14. Los chasis de computadora o los gabinetes provistos de cerraduras siempre se
mantendrán cerrados.
6.2.15. Siempre que sea posible, el equipo informático se mantendrá como mínimo a 2 metros de
las ventanas exteriores en situaciones de alto riesgo.
6.2.16. Todas las ventanas externas a las salas que contienen equipos informáticos en la planta
baja, o que de otro modo sean visibles al público, estarán provistas de persianas o de una
lámina oscura.
6.2.17. Las salas del servidor estarán situadas en una habitación específicamente construida para
este fin.
6.2.18. La sala del servidor tendrá un sistema de aire acondicionado adecuado con el fin de
proporcionar un entorno operativo estable para reducir el riesgo de fallos del sistema
debido al fallo del componente.
6.2.19. Ningún sistema de agua, agua de lluvia o tuberías de drenaje funcionará dentro o por
encima de la sala del servidor con la finalidad de reducir el riesgo de inundación.
6.2.20. Las tomas de corriente en las salas de servidores se elevarán desde el suelo para permitir
que se apaguen sin problemas los sistemas informáticos en caso de inundación.
6.2.21. Siempre que sea posible, se proporcionará energía del generador a las salas de
servidores para ayudar a proteger los sistemas en caso de que la red eléctrica falle.
6.2.22. El acceso a las salas de servidores estará restringido al personal del departamento de TI.
6.2.23. Todos los contratistas que trabajen en salas de servidores deben ser supervisados en todo
momento y el departamento de TI debe ser notificado de su presencia y recibir detalles de
todos los trabajos a realizar, al menos 48 horas antes de su inicio.
Página 12 de 14
Entrada en vigencia 5 April 2022 Documento n.° SPO-MDG-ICT-0004-S Rev. 03
6.2.24. Los equipos de red de área local, hubs, puentes, repetidores, enrutadores e interruptores
se mantendrán en gabinetes seguros. Estos gabinetes se mantendrán cerrados en todo
momento y el acceso estará restringido solamente al personal del departamento de TI.
Otros empleados y contratistas que requieran acceso a los gabinetes notificarán al
departamento de TI con antelación para que se pueda programar la supervisión necesaria.
6.2.25. Se deben apagar todas las computadoras que no se utilizan fuera de las horas de trabajo.
6.2.26. Se implementarán sistemas de detección de intrusos para detectar el acceso no
autorizado a la red.
6.2.27. Todos los servidores y equipos de red estarán equipados con SAI que también
condicionen la fuente de alimentación.
6.2.28. En el caso de que la red eléctrica falle, los SAI tendrán suficiente potencia para mantener
la red y los servidores funcionando hasta que el generador tome el control.
6.2.29. El software se instalará en todos los servidores para implementar una desactivación
ordenada en caso de un fallo total de energía.
6.2.30. Todos los SAI se probarán periódicamente.
6.2.31. Los equipos de red de área local inalámbricos usarán las instalaciones de cifrado y
autenticación más seguras disponibles.
6.2.32. Los enrutadores y firewalls utilizarán las instalaciones de cifrado y autenticación más
seguras disponibles.
6.2.33. Los usuarios no instalarán su propio equipo inalámbrico bajo ninguna circunstancia.
6.2.34. Los protocolos innecesarios se eliminarán de los enrutadores y firewalls.
6.2.35. El método preferido de conexión al exterior de Master Drilling es mediante una conexión
SSL segura.
6.2.36. Las conexiones permanentes a Internet se harán a través de un firewall con el fin de
regular el tráfico de la red.
6.2.37. El equipo de red se configurará para que cierre las sesiones inactivas.
6.2.38. El acceso de los usuarios a Internet se realizará a través de un servidor proxy y un
escáner de contenido web.
6.2.39. Todo el correo electrónico entrante será escaneado por el escáner de contenido de correo
electrónico.
6.2.40. Las direcciones IP serán incluidas en la lista blanca cuando corresponda.
6.2.41. Los sistemas operativos se mantendrán actualizados y se actualizarán periódicamente.
6.2.42. Los servidores se verificarán diariamente en busca de virus.
6.2.43. Los servidores se guardarán en una sala segura.
6.2.44. El uso de las cuentas del administrador se mantendrá a un mínimo.
6.2.45. El acceso de los usuarios a datos y aplicaciones estará limitado por las funciones de
control de acceso.
Página 13 de 14
Entrada en vigencia 5 April 2022 Documento n.° SPO-MDG-ICT-0004-S Rev. 03
Página 14 de 14