Política de Seguridad de la Información de Glencore

Marco de Seguridad de la Información de Glencore

INTRODUCCION

Todos los sistemas de información de Glencore y los datos almacenados en ellos,

independientemente de su ubicación, son propiedad de Glencore. Los Sistemas de Datos y de
Información de Glencore son recursos vitales y siempre deben ser utilizados en forma responsable.

Código de Conducta de Glencore

Información y Seguridad de la Información

La información es crucial para todas nuestras áreas de negocio y funciones de soporte.
Reconocemos que dicha información:
 Varía en su importancia y sensibilidad para la empresa, y
 Existe en forma electrónica, impresa y verbal.
Cualquier información generada o intercambiada en el transcurso de los negocios de Glencore, o
que de algún modo ha sido almacenada, procesada o transmitida en los sistemas de Glencore se
considera Información de la Empresa y se encuentra regida por la presente política.
La seguridad de la información, por extensión, es también considerada crucial para Glencore;
incluye las prácticas que aseguran que la información de nuestro negocio sea comprendida,
protegida y se encuentre a disposición de las personas apropiadas en el momento adecuado.

Nuestro Compromiso
Reconocemos que la seguridad de la información es un aspecto importante del negocio mediante:
 El cumplimiento de todas las leyes y reglamentaciones aplicables;
 Concediendo autoridad a nuestros equipos de TI para ser facilitadores de seguridad de la
información; y
 Proveyendo a nuestros usuarios los recursos para trabajar de una manera segura.
Esta política tiene por objeto garantizar que todos seamos conscientes de los riesgos para la
información de negocio de Glencore, entender nuestras obligaciones y comprender las
consecuencias de no adherirse esta Política.

¿Quién debe seguir esta política?

Esta Política Corporativa es parte del Marco de Práctica Corporativa de Glencore y se aplica a todas
las operaciones con participación mayoritaria, o que son directa o indirectamente administradas
por Glencore International AG. Cada empleado o contratista que trabaja para Glencore,
independientemente de su función o ubicación, deben cumplir esta política.

Política de Seguridad de la Información Pág 2/6 © Glencore - Marzo 2015

En las empresas tipo “Joint Ventures” (unión de empresas) en las que no somos el operador,
debemos tratar de influir en nuestros socios para que adopten políticas y procedimientos similares
en los casos en que sea posible. Cada uno de nosotros debe tomar medidas razonables para
asegurarse de que otras personas o grupos externos relacionados a Glencore procedan del mismo
modo.

EL AMBITO DE SEGURIDAD DE LA INFORMACIÓN

Nuestras preocupaciones
Reconocemos que el sector es susceptible de un conjunto de amenazas, y en virtud de nuestro perfil
somos un objetivo en la frontera geopolítica. También observamos una serie de tendencias de TI
que están modificando los riesgos que enfrentamos:
 Mayor conectividad de TI: para nuestros sistemas, empleados y socios externos; y
 Un entorno más complejo de TI: con el desdibujamiento de los límites personales y
laborales.
Si bien seguimos aprovechando las tecnologías de la información para nuestro negocio y para
conectarnos con colegas y socios globales, debemos ser precavidos en relación con el origen de las
amenazas de seguridad, por ejemplo:
 Dentro de la propia organización: los usuarios que intentan hacer su trabajo con
buenas intenciones, pero no siempre de la manera más apropiada, o colaboradores
oportunistas que abusan del acceso que se les ha otorgado.
 Desde fuera de nuestra organización: de atacantes cada vez más sofisticados que se
están organizando gradualmente y utilizando mejores herramientas y/o técnicas, en busca
de recompensas económicas, políticas y sociales.

Cómo Proteger la Información de la Compañía

La seguridad de la información consiste en reconocer las amenazas e identificar y proteger
nuestros activos informáticos. Para Glencore, dichos activos incluyen:
 La información de nuestra empresa: que existe en una serie de sistemas de negocios con
el soporte de nuestras redes de TI e infraestructura de comunicación; y
 Nuestra gente: contamos con especialistas en puestos clave en todas nuestras operaciones,
desde funciones de marketing, industriales y administrativas, y se debe proteger el
conocimiento práctico del negocio de dichas personas.

Clasificación de Información de Glencore

Para proteger mejor nuestros activos informáticos hemos establecido la siguiente clasificación de la
información de la empresa:

Política de Seguridad de la Información Pág 3/6 © Glencore - Marzo 2015

  ESTRICTAMENTE CONFIDENCIAL: incluye información interna (crucial en términos
de tiempo) del negocio, o datos personales, cuya divulgación puede afectar la cotización de
las acciones de la empresa o la privacidad de los empleados, como por ejemplo potenciales
fusiones o adquisiciones de empresas (y la información relacionada), la divulgación previa
de los resultados financieros y del legajo de los empleados.
 CONFIDENCIAL: información que es compartida dentro y entre las divisiones o equipos
internos para cumplir con nuestras tareas regulares de negocio. Consiste en el conjunto de
información interna de carácter privado y reservada (no pública) que debe protegida, como
por ejemplo los detalles de los clientes o socios y la información técnica de los sistemas.
 PÚBLICA: que no es ni Estrictamente Confidencial ni Confidencial, o que ya es de
dominio público, como por ejemplo la publicación de los resultados financieros y la
información de nuestro sitio web público.
Sea consciente de que cierta información del negocio es más delicada que otra, y debemos tomar las
medidas adecuadas para protegerla. Además, nuestro enfoque de seguridad de la información debe
atender a los diferentes riesgos de seguridad que afrontan nuestros empleados, ya sean directivos,
usuarios finales, terceros o dentro del área de tecnología.

NUESTROS MECANISMOS DE PROTECCIÓN

Esta Política de Seguridad de la Información se sustenta en un ámbito más profundo de seguridad

de TI y es parte del Marco de Gobernabilidad de Prácticas Corporativas de Glencore. Se alinea tanto
con Nuestros Valores como con el Código de Conducta. Dichos documentos deben ser
considerados siempre como nuestros principios fundamentales.
La Seguridad de la Información es avalada por otras políticas corporativas y locales, como por
ejemplo las que abordan la retención, corrupción y la privacidad de la información, entre otras
consideraciones. Las implementaciones de seguridad del sitio incluyen procedimientos locales
vinculados con la propiedad y la responsabilidad para llevar a cabo con eficacia las actividades de
seguridad en todo el negocio.

Principios del Marco de Seguridad

Nuestro enfoque se basa en principios simples de seguridad de información:
1. La información de la empresa debe ser protegida. El conocimiento del negocio influye en
el éxito y el acceso a la información debe estar basado en la " necesidad de conocimiento ",
con los niveles de protección adecuados.
2. La seguridad de la información debe ser relevante y sencilla, no debería obstaculizar el
negocio por ser demasiado compleja, costosa o poco práctica.
3. Esperamos que nuestros empleados actúen de manera responsable. Avalamos esta
premisa con políticas simples y claras, una sólida gestión y la capacitación pertinente para
comprender los riesgos de TI y para utilizar la tecnología de manera efectiva.

Política de Seguridad de la Información Pág 4/6 © Glencore - Marzo 2015

 Al aplicar estos principios en forma colectiva, podemos garantizar que los procesos y
herramientas detalladas de nuestro marco sean apropiados en todos los niveles del negocio.

Nuestro Marco de Seguridad de la Información

Esta política es la base para el Marco de Seguridad de la Información de Glencore que se aplica en
toda la organización. Asegura la aplicación de controles uniformes y efectivos para proteger
nuestros activos globales de información. Las bases del Marco de Seguridad de la Información son:

Las Responsabilidades
Cada persona es individualmente responsable por la seguridad de la información de la empresa.
Todos los empleados, consultores, contratistas o socios con acceso a nuestros sistemas informáticos,
deben cumplir los respectivos Convenios de Servicios de TI. Además, debemos tener conocimiento
y apoyar a las siguientes funciones de seguridad:
 Los Propietarios de la Información y los Sistemas: Glencore cuenta con responsables de
la custodia de los datos y sistemas clave. Dichas funciones permiten comprender los riesgos
relacionados con los sistemas y sostener las tecnologías y los procesos necesarios para
asegurar sus datos.
 Los equipos de TI: Muchos controles del Marco de Seguridad de la Información de
Glencore están directamente configurados en nuestros sistemas de TI y procesos de apoyo.
Su Mesa de ayuda local y su Gerente de TI son los facilitadores de seguridad y deben ser el
primer punto de contacto para cualquier consulta o inconveniente de seguridad de TI.
 Otras funciones de control interno: Recursos Humanos, Legales, Cumplimiento
Normativo y Auditoría Interna tienen conocimientos especializados y también trabajan con
los equipos de TI para garantizar la seguridad de la información de la empresa.

Las Tecnologías y Procesos

La seguridad de la información de la empresa también depende de las tecnologías y los procesos

del negocio. Para garantizar la seguridad de nuestro ámbito de TI, son necesarios sistemas y
configuraciones de seguridad especializados, y son esenciales su mantenimiento y vigilancia. Todos
tenemos el deber de respaldar la implementación de los controles técnicos y de los procesos por
parte de los equipos de TI, y reducir al mínimo los riesgos para los activos de información.
Nuestros procesos de seguridad son amplios y también se centran en nuestra gente a través de
cursos simples y eficaces de capacitación en seguridad de la Información. Este es un requisito
reconocido por la Comisión de Auditoría del Directorio e implementado mundialmente, que
refuerza la postura de seguridad de la empresa.

INQUIETUDES SOBRE SEGURIDAD E INCUMPLIMIENTO

Planteo de inquietudes sobre la seguridad de la información

Política de Seguridad de la Información Pág 5/6 © Glencore - Marzo 2015

A pesar de los esfuerzos realizados, pueden presentarse situaciones que pueden afectar la
seguridad de nuestros activos de información. En dicho caso, debe plantear su inquietud a su área
de IT local.
Si su inquietud fuese más amplia, comuníquese con su supervisor o gerente inmediato u otro
gerente que corresponda (recursos humanos, legales o el cuerpo directivo). Si su inquietud continúa
sin resolución, sírvase remitir a la sección “Cómo Plantear Inquietudes” del Código de Conducta de
Glencore.

Consecuencias del incumplimiento

El incumplimiento de esta política, de los respectivos acuerdos de servicios de TI o del Marco de

Seguridad de la Información general expone a Glencore a riesgos de negocio que podrían provocar
importantes pérdidas financieras, afectar su prestigio y (en plantas industriales ) lesiones y
enfermedades al personal.
El incumplimiento puede dar lugar a sanciones disciplinarias como por ejemplo la rescisión del
contrato de trabajo o de servicios de terceros y consecuencias personales, tales como acciones
judiciales y/o investigaciones penales.
Sin embargo, el apoyo activo de esta Política y su implementación en nuestro Marco de Seguridad
de la Información puede reducir los riesgos colectivos de seguridad de información que
enfrentamos; y garantizar el éxito continuo de Glencore en un mundo cada vez más conectado
electrónicamente.

Política de Seguridad de la Información Pág 6/6 © Glencore - Marzo 2015