Documentos de Académico
Documentos de Profesional
Documentos de Cultura
POLÍTICA CORPORATIVA DE
SEGURIDAD DE LA INFORMACIÓN Y
CIBERSEGURIDAD
1. OBJETIVO ........................................................................................................................ 3
2. ALCANCE ......................................................................................................................... 3
5. RESPONSABILIDADES ................................................................................................... 3
6. DEFINICIONES ................................................................................................................ 4
2. ALCANCE
La presente política aplica sobre todos los activos de información que se encuentran
bajo la responsabilidad de la Organización, incluyendo la gestionada o alojada por
terceros. Por lo tanto, su cumplimiento es obligatorio para todos los colaboradores y
terceros, que interactúan de una manera habitual u ocasional en el ciclo de vida de la
información (creación, procesamiento, transmisión, distribución, almacenamiento y
disponibilidad).
3. VIGENCIA Y REVISIÓN
4. REFERENCIAS INTERNAS
5. RESPONSABILIDADES
Responsable Actividad
• Aprobar las políticas y lineamientos para la implementación de una
adecuada Gestión de Seguridad de la Información y Ciberseguridad,
incluyendo su mejora continua.
Alta Dirección
• Asignar los recursos técnicos, de personal, financieros requeridos para
(Gerencia
su implementación y adecuada Gestión de Seguridad de la Información
General,
y Ciberseguridad.
Vicepresidentes
• Aprobar la organización, roles y responsabilidades para la Gestión de
Corporativos)
Seguridad de la Información y Ciberseguridad, incluyendo los
lineamientos de difusión y capacitación que contribuyan a un mejor
conocimiento de los riesgos involucrados.
(*) No incluye a la Gerencia de Seguridad de la Información y Ciberseguridad, cuyas funciones se indican por
separado.
6. DEFINICIONES
e. Toda información que por su necesidad deba ser compartida y/o procesada con
usuarios u organizaciones externas debe realizarse asegurando el acceso
limitado solo a las personas autorizadas y para el fin previsto, a través de medios
aprobados. Toda entrega de información debe darse bajo acuerdos de
confidencialidad formalizados.
g. Todo plan de tratamiento de riesgo debe contar con la aceptación formal del
propietario del riesgo y las actividades de tratamiento deben implementarse de
acuerdo con su planificación.
c. Todo acceso a los activos de información que se realice tanto en el entorno físico,
digital o inclusive de manera remota debe gestionarse oportunamente y debe
contar con los controles necesarios que eviten los accesos no autorizados.
d. Toda conexión entre redes internas, industriales y/o redes externas debe siempre
considerar el origen, destino, servicio, protocolo, justificación y autorización, no
debe permitirse las conexiones y accesos que cumplan con lo antes mencionado.
f. Las credenciales que posean altos privilegios deben estar restringidas solo al
personal estrictamente necesario y habilitadas solo cuando exista una necesidad
y justificación explicita.
g. Todo componente tecnológico debe contar con una interfaz de autenticación que
permita la verificación de las identidades y credenciales. Así mismo, se debe
emplear como mecanismo de autenticación robusta las contraseñas seguras.
Cuando no exista factibilidad técnica se podrán implementar controles
compensatorios de igual o mayor efectividad.
e. Se debe controlar los accesos y hacer seguimiento a todas las actividades que
realicen los visitantes dentro de las instalaciones e infraestructuras de la
organización. Así mismo, se debe cuestionar las actividades que realizan los
visitantes y reportar ante eventos sospechosos.
a. El perímetro digital que limita con las redes externas a la organización debe contar
con los controles necesarios que permitan controlar los accesos a las redes,
prevenir frente a intentos de intrusión y la protección frente a amenazas
avanzadas.
b. Se debe asegurar que todas las redes cuenten con los controles de protección
necesarios (por ejemplo, firewall de red, IPS, entre otros), incluyendo, las redes
dentro de servicios en la nube o redes industriales. Adicionalmente, las redes
críticas deben ser identificadas y en base a los riesgos asociados contar con
controles de protección más robustos.
p. Las actividades laborales que se realicen en modalidad remota deben contar con
la respectiva autorización y considerar las medidas de seguridad necesarias para
proteger la información, como, por ejemplo, herramientas contra software
malicioso, filtro de contenido para la navegación por internet, conexiones VPN,
entre otros.