POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN
Introducción
La información que maneja INCM, sus procesos de soporte, sistemas, aplicaciones y redes son activos valiosos para la organización y, en este contexto, la seguridad de la información debe ser una prioridad, a fin de asegurar la continuidad de la actividad de la organización, minimizando los riesgos y maximizando el rendimiento y la prestación de servicios.
La seguridad de la información debe aplicarse en todas las etapas de su ciclo de vida, asegurando el mantenimiento permanente y equilibrado de un alto nivel de calidad y seguridad, previniendo la materialización de los riesgos inherentes, mitigando los daños potenciales causados por la explotación de vulnerabilidades e incidentes de seguridad, y asegurando que el negocio opere como se esperaba a lo largo del tiempo.
Es entendimiento de la INCM que la seguridad de la información es un supuesto fundamental para el éxito de los servicios que brinda, y es responsabilidad de todos, empleados, proveedores u otras entidades que tengan acceso a la información en todo momento, actuar de conformidad con las reglas definidas e impuestas por la política.
La Seguridad de la Información está soportada por un sistema de gestión denominado Sistema de Gestión de la Seguridad de la Información (SGSI), que consiste en un conjunto de políticas y procedimientos que garantizan los principios esenciales de información, disponibilidad, integridad y confidencialidad, de acuerdo con los requisitos comerciales, las leyes y los reglamentos pertinentes.
Objetivo
Esta política tiene como objetivo definir el propósito, la dirección, los principios y las reglas fundamentales de la gestión de la seguridad de la información, de acuerdo con las características y necesidades de los negocios de la Imprensa Nacional – Casa da Moeda (INCM) y sus partes interesadas.
Alcance/Público objetivo
Aplicable a toda la organización, incluyendo todas las partes interesadas, entidades que mantengan cualquier tipo de relación comercial/contractual con la INCM (empleados, clientes, proveedores, prestadores de servicios) que tengan acceso, derecho de uso o control sobre activos de información propiedad de la INCM y/o los recursos asociados a ellos.
Todos los interesados deben conocer y actuar de conformidad con esta Política y demás documentos relacionados con la Seguridad de la Información, según aplicable y adecuado.
Incumplimiento
Todos los interesados cubiertos que violen deliberadamente esta política están sujetos a sanciones y otras acciones, que pueden llegar hasta la resolución del contrato y/o denunciar ante las autoridades policiales o judiciales situaciones que indiquen la comisión de un delito.
Política de Seguridad de la Información
La Política de Seguridad de la Información expresa las consideraciones de la INCM en materia de seguridad de la información sobre los siguientes aspectos:
A. Aspectos elementales de la seguridad de la información:
La gestión de la seguridad de la información y de los sistemas que la soportan se realiza asegurando, mediante un enfoque basado en la gestión de riesgos y la mejora continua, la confidencialidad, integridad y disponibilidad de la información. en este sentido la INCM se compromete a:
- Garantizar la seguridad de la información que posee, así como de todos los recursos asociados a la misma, ya sean procedimentales, tecnológicos o humanos.
- Asegurar el establecimiento y seguimiento de los principios descritos en esta política, así como su aprobación, publicación y comunicación a todos los empleados y entidades externas relevantes;
- Asegurar los recursos necesarios para la operacionalización de los procesos y actividades de gestión de la seguridad de la información;
- Asegurar la definición, implementación y revisión de la estrategia de gestión de la seguridad de la información y asegurar el correcto alineamiento con las políticas y objetivos estratégicos de la INCM;
- Asegurarse de que el SGSI logre los resultados previstos;
- Promover, de forma estructurada y sistemática, la mejora continua.
B. Clasificación y Manejo de la Información:
Definiendo los activos de seguridad de la información como cualquier recurso de valor para la organización, se clasifican según su sensibilidad en relación con sus atributos, a saber, confidencialidad, integridad y disponibilidad, con el fin de aplicar los controles adecuados para su resguardo.
C. Uso de Dispositivos Móviles y Acceso Remoto:
Se aplican medidas de seguridad en el uso de dispositivos móviles para garantizar la confidencialidad, integridad y disponibilidad de la información empresarial para que pueda ser accedida (local o remotamente) y/o procesada por estos dispositivos.
D. Usos aceptables de los activos:
Los activos de información propiedad de la INCM son utilizados para garantizar su protección, evitando su exposición a riesgos de Seguridad de la Información con el potencial impacto de comprometer la continuidad del negocio de la INCM.
INCM otorga a sus empleados y visitantes el derecho a utilizar sus propios equipos, siempre y cuando se cumplan los lineamientos internos.
E. Relación con proveedores
Los proveedores son evaluados para garantizar relaciones contractuales con entidades que contribuyan a obtener acceso a materiales y servicios adecuados para el negocio de la INCM.
Los términos de referencia elaborados por la INCM para la adjudicación de contratos de suministro de bienes o servicios incluyen aspectos que garantizan la Seguridad de la Información, estipulando las responsabilidades y deberes del proveedor.
F. Controles de acceso físico y lógico
Se implementan controles de acceso físicos y lógicos que permiten la gestión de identidades a través de procesos de identificación y autenticación de usuarios y que, a su vez, permiten implementar reglas de restricción basadas en criterios de seguridad.
Los diferentes perfiles, privilegios y niveles de acceso físico y lógico se definen siguiendo el Principle of Least Privilege, es decir, asignando el nivel de acceso estrictamente necesario para que el usuario realice las funciones asignadas y no más.
G. Criptografía
INCM implementa mecanismos criptográficos para proteger la información lógica del acceso no autorizado.
H. Mesa y pantalla limpia
La información considerada sensible, en formato físico o digital, se encuentra debidamente protegida mientras no esté en uso.
I. Copias de seguridad
Se realizan copias de seguridad, las cuales ocurren con una frecuencia definida con el fin de resguardar la información.
Los empleados y visitantes son responsables de respaldar la información contenida en los equipos a su cargo.
J. Transferencia de Información
La información se intercambia por canales de comunicación homologados siguiendo los requisitos de seguridad definidos según su clasificación de seguridad.
K. Principios y políticas de ingeniería para el desarrollo de sistemas de información seguros:
Los principios de desarrollo de sistemas de información seguros se aplican en todos los niveles de la arquitectura de sistemas (negocios, datos, aplicaciones y tecnología) equilibrando la necesidad de seguridad con la necesidad de accesibilidad/eficiencia funcional.
Los principios se consideran a lo largo del ciclo de vida de los sistemas de información desde una perspectiva evolutiva.
L. Seguridad de la información en la gestión de proyectos
La seguridad de la información se aborda en la gestión de proyectos mediante la identificación de posibles riesgos de seguridad de la información asociados con el proyecto que se implementará.
M. Gestión de Riesgos y Gestión de Incidencias y Continuidad de Negocio
Los riesgos que surgen de diversas fuentes de riesgo para sus activos de información se identifican, analizan, cuantifican/cualifican.
Los eventos que ponen en peligro o tienen el potencial de poner en peligro los compromisos de seguridad de la información se tratan como posibles incidentes de seguridad y se manejan de acuerdo con el proceso interno de gestión de incidentes.
La continuidad de la Seguridad de la Información está contemplada en la continuidad del negocio, de tal forma que contempla la pérdida de recursos de información a través de la implementación de controles preventivos y de recuperación.
N. Perfiles, responsabilidades y autoridades del SGSI
Se definen los roles, responsabilidades y autoridades para hacer cumplir los compromisos de la INCM en materia de Seguridad de la Información.
Responsabilidades de seguridad de la información
La Política de Seguridad de la Información es responsabilidad del CISO – Chief Information Security Officer, quien es responsable de controlar y evaluar la implementación del SGSI, comunicar su desempeño a la alta dirección y asegurar que el sistema cumpla con los requisitos de la Norma.
Mantenimiento y comunicación de Políticas de Seguridad de la Información
La Política de Seguridad de la Información deberá ser revisada periódicamente, a fin de asegurar que continúe siendo adecuada a la INCM y deberá ser comunicada a todas las partes interesadas en el ámbito de su relación com la INCM.
Control de Cambios
Revisión nº. |
FECHA |
RAZÓN |
---|---|---|
0 |
12/11/2020 | Creación de la Política de Seguridad de la Información Externa |
1 |
17/05/2021 | Introducción del control de cambios |
Háblanos
Puede contactar laINCM para todos los asuntos relacionados con esta política a través de la siguiente dirección de correo electrónico: ciso@incm.pt o enviar su solicitud por carta a la dirección: Avenida de António José de Almeida, Edifício Casa da Moeda, 1000-042 Lisboa.