Taller de Sistemas.

...

Política de Seguridad

Por lo analizado en este documento que da a conocer los activos de la empresa, se determinarán las políticas de seguridad de nuestra empresa para mitigar posibles amenazas en los procesos y en particular el más crítico ya mencionado.

- Cumplimiento general de la política de seguridad de la empresa.

- Toda persona que tenga relación con los procesos de la empresa debe regirse bajo las políticas señaladas en este documento, el cuál debe ser entregado en una copia del mismo acusando recibo y conformidad con lo que en él aparece.

- Confidencialidad de la información.

- Toda información a la que tenga acceso el personal interno o externo se considerará por defecto como de carácter confidencial. Sólo se podrá considerar información no-confidencial aquella que sea publicada por la empresa a medios como el portal de la misma o medios de comunicación.

- Se evitará la divulgación, modificación, destrucción o mal uso de la información de la empresa, no importando el soporte que esta tenga, digital, físico u otro que no caiga en estas categorías.

- Se guardará por tiempo indefinido, y con máxima reserva de emitir al exterior, toda información confidencial hasta que sea debidamente autorizada para su exposición.

- Ningún colaborador debe poseer o compartir, dentro o fuera de la empresa, para uso propio o de terceros información que pertenezca a la empresa.

- Ningún colaborador debe poseer o compartir con otro colaborador información o material confidencial que no sea propia de su responsabilidad o de la responsabilidad de un tercero.

- En caso de que un colaborador externo necesite acceso a información, recursos o materiales de la empresa, debe estar autorizado tanto por la entidad externa que representa, y por la empresa, teniendo un acceso de carácter temporal y restringido a sus funciones.

- Continuidad operativa de la empresa.

- Todo servicio externo contratado debe considerar un segundo servicio de respaldo en caso de que el primero presente inconvenientes. En caso de no existir otro proveedor de servicios, se debe generar una medida de contingencia.

- Todo rol que exista dentro de la empresa debe estar completamente definido con las tareas específicas y repetitivas que debe desempeñar.

- Toda tarea o proceso debe estar debidamente documentado de tal manera que cualquier colaborador competente pueda realizar dicha tarea o proceso.

- Debe existir un repositorio digital o en papel que contenga toda la documentación de los procesos y tareas.

- Debe existir un registro en soporte de papel o digital para cada una de las transacciones de la empresa.

- Controles de Acceso

- Todo personal contratado dentro de la organización, sea externo y/o interno tendrá como deber utilizar en todo momento credencial única para transitar dentro del recinto, la cual mantendrá un chip de acceso codificado, el cual servirá para abrir puertas dentro del recinto.

- El personal contratado con credencial de acceso activa, deberá tener perfilado su nivel de acceso al recinto, el cual será acorde a las funciones y privilegios de este.

- El personal con acceso a bodega o almacén de activos será restringido, el cual solo podrá tener acceso, registrando su identificación y autorización otorgada a la entrada de este.

- Como parte de su obligación contractual, todo personal contratado sea interno y/o externo, deberá firmar los términos y condiciones en la manipulación de contraseñas personales, teniendo como principal obligación el uso personal e intransferible sobre claves de acceso a los sistemas de la organización.

- Documentación Operativa.

- Los departamentos de la organización deberá definir un perfil de cargo con las funciones y obligaciones de este, los cuales deberán ser documentados y dejar a disposición de la organización en su totalidad.

- Cada personal contratado interno y/o externo, tendrá como obligación documentar cada procedimiento y laborales habituales con el fin de conocer en detalle las operaciones realizadas por el perfil. Esta documentación debe estar depositado o recopilado con acceso público dentro de la organización o departamento según corresponda.

- Procedimientos Operacionales.

- Parte de las obligaciones de los procedimientos habituales, el personal deberá entregar una planificación y organización de las entregas antes de comenzar las labores cotidianas, entregando o enviando esta planificación al dirigente según corresponda.

- Dentro de las planificaciones de entregas, se deberá mantener un plan de contingencia elaborado con anterioridad, el cual deberá ser usado en los casos de borde para cualquier situación de anomalía.

- Disponibilidad de sistemas Productivos.

- Todo software operativo dentro de la organización debe tener como obligación la documentación correspondiente, explicándose detalladamente características técnicas y funcionales de este.

- Ante una indisponibilidad de los sistemas productivos dentro de la organización, se deberá recurrir a la documentación completa de los procedimientos explicados en el punto 3 y 5, con la finalidad de continuar con el flujo operacional.

- Ante la indisponibilidad sobre el software de ventas y/o contables, el profesional deberá dar la continuidad operacional de forma manual, dejando registro escrito para luego ingresar estos al sistema una vez restablecidos oficialmente.

Conclusiones

En vista del análisis realizado logramos determinar cuáles son los activos más críticos de la empresa a partir del proceso más importante clasificándolos por tipo, lo que nos permitió determinar cuáles son los controles que se deben aplicar desde la ISO27001 seleccionando los que abarcan más activos y a la vez los más críticos.

Al determinar los controles más importantes logramos clasificar e implementar las políticas de seguridad bases de nuestra empresa acogidas actualmente por la ley en chile.