Política De Seguridad De La Información
Esta política de seguridad de la información es un componente clave del marco general de gestión de seguridad de la información de Yours Clothing Limited.
Los sistemas de información y datos son vitales para el negocio. Cualquier incidente que implique la pérdida de confidencialidad, integridad o disponibilidad de la información puede resultar costoso. Los incidentes graves, que podrán incluir el incumplimiento de la legislación en materia de información, pueden también ser perjudiciales para la reputación del negocio.
1. Objetivos, finalidad y alcance
1.1. Objetivos
Los objetivos de la política de seguridad de la información de Yours Clothing Limited son:
- Confidencialidad - El acceso a los datos se limitará a aquellos con autoridad correspondiente, y se protegerá contra el acceso no autorizado.
- Integridad – La información debe estar completa y ser exacta. Todos los sistemas, activos y redes funcionarán correctamente, de acuerdo a las especificaciones.
- Gestión de riesgos — Se toman medidas adecuadas para gestionar los riesgos relacionados con la disponibilidad y la divulgación de la información.
- Cumplimiento – Garantiza el cumplimiento de las leyes, normas y contratos. *No cumplir con la política de seguridad de la información de Yours Clothing Limited podría originar una acción disciplinaria.
1.2. Finalidad de la política
La finalidad de esta política es establecer y mantener la seguridad de información de las personas, sistemas de información, aplicaciones y redes propiedad de o mantenidos por Yours Clothing Limited:
- Garantizar que todos los miembros del personal conocen y cumplen totalmente con la legislación pertinente como se describe en esta y otras políticas.
- Explicar los principios de la seguridad y la forma en que se llevarán a cabo en la organización.
- Garantizar que todos los miembros del personal comprenden plenamente sus propias responsabilidades para conseguir un enfoque coherente de la seguridad.
- Crear y mantener un nivel de sensibilización respecto a la necesidad de seguridad de la información como parte integral del día a día del negocio.
- Proteger los activos de información.
1.3. Alcance
- Esta política se aplica a toda información, sistemas de información, redes, aplicaciones, lugares y usuarios de Yours Clothing Limited o suministrado según contrato.
2. Responsabilidades de la seguridad de la información
2.1. La responsabilidad final de la seguridad de la información recae sobre la Junta Directiva de Yours Clothing, quien será responsable de gestionar y supervisar la aplicación de la política y los procedimientos relacionados.
2.2. Los supervisores directos son responsables de asegurar que el personal permanente y temporal y los contratistas sean conscientes de:
- Las áreas de la política de seguridad de la información aplicables en su departamento
- Responsabilidades personales para la seguridad de la información
- Dónde encontrar y cómo acceder al asesoramiento en materia de seguridad de la información 2.3. Todo el personal deberá cumplir con los procedimientos de seguridad de la información incluyendo el mantenimiento de la confidencialidad e integridad de los datos.
2.4. La política de seguridad de la información será mantenida, revisada y actualizada anualmente como corresponda. 2.5. Los supervisores directos serán responsables de la seguridad del entorno físico de su departamento, donde la información sea accesible, tratada o almacenada.
2.6. Cada miembro del personal será responsable de la seguridad operacional de los sistemas de información que utilizan.
2.7. Cada usuario del sistema deberá cumplir con los requisitos de seguridad que están actualmente en vigor, y deberán también garantizar que la confidencialidad, integridad y disponibilidad de la información que utilizan es del más alto nivel.
2.8. Deberán existir contratos en vigor antes de permitir el acceso de contratistas externos a los sistemas de información de la organización. Estos contratos aseguran que el personal o los subcontratistas de la organización externa cumplen con todas las políticas de seguridad apropiadas.
3. Legislación
3.1. Yours Clothing Limited está obligado a acatar toda la legislación pertinente del Reino Unido y de la Unión Europea. El requisito de cumplir con esta legislación se transfiriere a empleados y agentes, quienes pueden ser considerados personalmente responsables de cualquier violación de la seguridad de la información.
4. Marco reglamentario
4.1. Gestión de la seguridad
- La responsabilidad de la seguridad de la información reside en la Junta Directiva.
- Los jefes de departamento son responsables de la implementación, supervisión, documentación y comunicación de los requisitos de seguridad dentro de sus equipos en la organización.
4.2. Formación en materia de sensibilización sobre la seguridad de la información
- Se incluirá un programa de formación sobre la seguridad de la información en el proceso de inducción del personal.
- Se revisará, reforzará y actualizará la sensibilización del personal según sea necesario.
4.3. Contratos de empleo
- Todos los contratos de empleo deberán contener una cláusula de confidencialidad. Se incluirán las expectativas de seguridad de la información de los empleados en el manual del empleado y el programa de inducción.
4.4. Control de seguridad de los activos
- A cada activo de TI (es decir, equipos, programas y aplicaciones) se le asignará una persona responsable de la seguridad de la información de ese activo.
4.5. Controles de acceso
- Solamente el personal autorizado que tenga una justificada necesidad empresarial tendrá autorización para acceder a áreas restringidas que contengan sistemas de información o datos almacenados.
4.6. Control de acceso a ordenadores
- La facilidad de acceso a ordenadores estará restringida a usuarios autorizados que tengan necesidades empresariales para su uso.
4.7. Control de acceso a las aplicaciones
- El acceso a los datos, utilidades del sistema y bibliotecas de programas fuentes estará controlado y restringido a aquellos usuarios autorizados que tengan una necesidad empresarial legítima, por ejemplo, administradores de sistemas o bases de datos.
4.8. Seguridad de los equipos
- Con el fin de minimizar la pérdida o el daño a los activos, los equipos estarán protegidos físicamente contra riesgos y peligros ambientales.
4.9. Procedimientos informáticos y de redes
- La gestión de los ordenadores y las redes estará controlada a través de procedimientos estándar documentados que hayan sido autorizados por la Junta.
4.10. Evaluación de riesgos de la información
- La gestión y evaluación de riesgos requiere la identificación y cuantificación de los riesgos de seguridad de la información en cuanto al valor percibido de los activos, la gravedad del impacto y la probabilidad de ocurrencia.
- Una vez identificados, los riesgos de seguridad de la información se introducirán en un registro central de riesgos empresariales y planes de acción ideado para gestionar de manera efectiva esos riesgos. El registro de riesgos y todas las acciones relacionadas serán revisados con regularidad. Así mismo se revisarán regularmente todas las disposiciones de seguridad de la información implementadas. Estas revisiones ayudarán a identificar las áreas de mejores prácticas continuadas y los posibles puntos débiles, así como riesgos potenciales que puedan haber surgido desde que se completó la última revisión.
4.11. Problemas y defectos en materia de seguridad de la información
- Se comunicarán todos los problemas y defectos relacionados con la seguridad de la información. Estos serán investigados para establecer su causa y consecuencias a fin de evitar eventos similares o futuros.
4.12. Protección contra software malicioso
- Yours Clothing utilizará procedimientos de gestión y medidas compensatorias en relación con cualquier programa utilizado, a fin de protegerse contra la amenaza de software malicioso. Los usuarios no deben instalar software en los equipos propiedad de la organización sin el permiso del supervisor de TI, o un director.
4.13. Medios del usuario
- Los medios extraíbles de todo tipo que contengan software o datos procedentes de fuentes externas, o que se han utilizado en equipos externos, requieren la aprobación del supervisor de TI o un director antes de que puedan utilizarse con sistemas de Yours Clothing. Dichos medios deben también ser revisados detalladamente para descartar cualquier tipo de virus antes de utilizarlos en equipos de la organización.
4.14. Monitorización del acceso y uso de sistemas
- Se mantendrá un registro de auditoría del acceso y el uso de datos por parte de los empleados.
- Yours Clothing comprueba periódicamente el cumplimiento de esta y otras políticas. Además se reserva el derecho de vigilar toda actividad si sospecha que ha habido una violación de la política. La Ley de Regulación de los Poderes Investigadores del año 2000 (Regulation of Investigatory Powers Act) permite la monitorización y grabación de las comunicaciones electrónicas de los empleados (incluidas las comunicaciones telefónicas) por las siguientes razones:
Determinar la existencia de hechos
Detección e investigación de cualquier uso no autorizado
Prevención y detección de delitos
Determinar o demostrar los estándares logrados o que deben lograrse por las personas que utilizan el sistema (control de calidad y formación)
Intereses de seguridad nacional
Cumplimiento de las prácticas o procedimientos reglamentarios
Garantizar el funcionamiento eficaz de los sistemas.
Todas las funciones de monitorización se realizarán conforme a la ley mencionada así como a la Ley de Derechos Humanos
4.15. Acreditación de sistemas de información.
- Yours Clothing se asegurará de que todos los sistemas de información, aplicaciones y redes nuevos incluyan un plan de seguridad y sean aprobados por la Junta previo al inicio de su funcionamiento.
4.16. Control de cambio de sistemas
- Cualquier cambio en los sistemas de información, aplicaciones o redes deberá ser revisado y aprobado por el supervisor de TI y la Junta.
4.17. Derechos de propiedad intelectual
- Yours Clothing se asegurará de que todos los productos de información cuenten con la correspondiente licencia y hayan sido aprobados. Los usuarios no deben instalar software en los equipos propiedad de la organización sin el permiso del supervisor de TI, o un director.
4.18. Planes para la continuidad de las operaciones y la recuperación en caso de desastre
- La organización se asegurará de que existan planes de acción para la evaluación del impacto comercial, y la continuidad de las operaciones y la recuperación en caso de desastre, que abarquen toda la información de misión crítica, aplicaciones, redes y sistemas.
4.19. Informes
- El supervisor de TI mantendrá informada a la Junta acerca del estado de seguridad de la información de la organización por medio de informes periódicos.