POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

Esta política tiene como objetivo definir el propósito, la dirección, los principios y las reglas fundamentales de la gestión de la seguridad de la información, de acuerdo con las características y necesidades de los negocios de la Imprensa Nacional – Casa da Moeda (INCM) y sus partes interesadas.

Aplicable a toda la organización, incluyendo todas las partes interesadas, entidades que mantengan cualquier tipo de relación comercial/contractual con la INCM (empleados, clientes, proveedores, prestadores de servicios) que tengan acceso, derecho de uso o control sobre activos de información propiedad de la INCM y/o los recursos asociados a ellos.

Todos los interesados ​​deben conocer y actuar de conformidad con esta Política y demás documentos relacionados con la Seguridad de la Información, según aplicable y adecuado.

Todos los interesados ​​cubiertos que violen deliberadamente esta política están sujetos a sanciones y otras acciones, que pueden llegar hasta la resolución del contrato y/o denunciar ante las autoridades policiales o judiciales situaciones que indiquen la comisión de un delito.

La Política de Seguridad de la Información expresa las consideraciones de la INCM en materia de seguridad de la información sobre los siguientes aspectos:

La gestión de la seguridad de la información y de los sistemas que la soportan se realiza asegurando, mediante un enfoque basado en la gestión de riesgos y la mejora continua, la confidencialidad, integridad y disponibilidad de la información. en este sentido la INCM se compromete a:

1. Garantizar la seguridad de la información que posee, así como de todos los recursos asociados a la misma, ya sean procedimentales, tecnológicos o humanos.
2. Asegurar el establecimiento y seguimiento de los principios descritos en esta política, así como su aprobación, publicación y comunicación a todos los empleados y entidades externas relevantes;
3. Asegurar los recursos necesarios para la operacionalización de los procesos y actividades de gestión de la seguridad de la información;
4. Asegurar la definición, implementación y revisión de la estrategia de gestión de la seguridad de la información y asegurar el correcto alineamiento con las políticas y objetivos estratégicos de la INCM;
5. Asegurarse de que el SGSI logre los resultados previstos;
6. Promover, de forma estructurada y sistemática, la mejora continua.

Definiendo los activos de seguridad de la información como cualquier recurso de valor para la organización, se clasifican según su sensibilidad en relación con sus atributos, a saber, confidencialidad, integridad y disponibilidad, con el fin de aplicar los controles adecuados para su resguardo.

Se aplican medidas de seguridad en el uso de dispositivos móviles para garantizar la confidencialidad, integridad y disponibilidad de la información empresarial para que pueda ser accedida (local o remotamente) y/o procesada por estos dispositivos.

Los activos de información propiedad de la INCM son utilizados para garantizar su protección, evitando su exposición a riesgos de Seguridad de la Información con el potencial impacto de comprometer la continuidad del negocio de la INCM.

INCM otorga a sus empleados y visitantes el derecho a utilizar sus propios equipos, siempre y cuando se cumplan los lineamientos internos.

Los proveedores son evaluados para garantizar relaciones contractuales con entidades que contribuyan a obtener acceso a materiales y servicios adecuados para el negocio de la INCM.

Los términos de referencia elaborados por la INCM para la adjudicación de contratos de suministro de bienes o servicios incluyen aspectos que garantizan la Seguridad de la Información, estipulando las responsabilidades y deberes del proveedor.

Se implementan controles de acceso físicos y lógicos que permiten la gestión de identidades a través de procesos de identificación y autenticación de usuarios y que, a su vez, permiten implementar reglas de restricción basadas en criterios de seguridad.

Los diferentes perfiles, privilegios y niveles de acceso físico y lógico se definen siguiendo el Principle of Least Privilege, es decir, asignando el nivel de acceso estrictamente necesario para que el usuario realice las funciones asignadas y no más.

INCM implementa mecanismos criptográficos para proteger la información lógica del acceso no autorizado.

La información considerada sensible, en formato físico o digital, se encuentra debidamente protegida mientras no esté en uso.

Se realizan copias de seguridad, las cuales ocurren con una frecuencia definida con el fin de resguardar la información.
Los empleados y visitantes son responsables de respaldar la información contenida en los equipos a su cargo.

La información se intercambia por canales de comunicación homologados siguiendo los requisitos de seguridad definidos según su clasificación de seguridad.

Los principios de desarrollo de sistemas de información seguros se aplican en todos los niveles de la arquitectura de sistemas (negocios, datos, aplicaciones y tecnología) equilibrando la necesidad de seguridad con la necesidad de accesibilidad/eficiencia funcional.

Los principios se consideran a lo largo del ciclo de vida de los sistemas de información desde una perspectiva evolutiva.

La seguridad de la información se aborda en la gestión de proyectos mediante la identificación de posibles riesgos de seguridad de la información asociados con el proyecto que se implementará.

Los riesgos que surgen de diversas fuentes de riesgo para sus activos de información se identifican, analizan, cuantifican/cualifican.

Los eventos que ponen en peligro o tienen el potencial de poner en peligro los compromisos de seguridad de la información se tratan como posibles incidentes de seguridad y se manejan de acuerdo con el proceso interno de gestión de incidentes.

La continuidad de la Seguridad de la Información está contemplada en la continuidad del negocio, de tal forma que contempla la pérdida de recursos de información a través de la implementación de controles preventivos y de recuperación.

Se definen los roles, responsabilidades y autoridades para hacer cumplir los compromisos de la INCM en materia de Seguridad de la Información.

La Política de Seguridad de la Información es responsabilidad del CISO – Chief Information Security Officer, quien es responsable de controlar y evaluar la implementación del SGSI, comunicar su desempeño a la alta dirección y asegurar que el sistema cumpla con los requisitos de la Norma.

La Política de Seguridad de la Información deberá ser revisada periódicamente, a fin de asegurar que continúe siendo adecuada a la INCM y deberá ser comunicada a todas las partes interesadas en el ámbito de su relación com la INCM.

Puede contactar laINCM para todos los asuntos relacionados con esta política a través de la siguiente dirección de correo electrónico: ciso@incm.pt o enviar su solicitud por carta a la dirección: Avenida de António José de Almeida, Edifício Casa da Moeda, 1000-042 Lisboa.