Objetivo
El Objetivo del presente documento es definir los procedimientos de seguridad de aplicación en Grupo Iris, para estandarizar las buenas prácticas y recomendaciones definidas por la normativa ISO 27001:
“Mantenga una política que aborde la seguridad de la información para todo el personal.”
Alcance
Estos procedimientos tienen como ámbito de aplicación todos aquellos equipos y activos de información de Grupo Iris que se consideren dentro del alcance del estándar ISO 27001.
Asimismo, es de obligado cumplimiento por todos los empleados de Grupo Iris que de alguna u otra forma tengan acceso directo al entorno. Algunos de los puntos de la misma afectan también a proveedores y a personal externo.
Responsabilidades y Roles
La Seguridad de la Información requiere que se asuman responsabilidades específicas a todos los niveles respetando las Políticas asumidas y conociendo los mecanismos puestos a su disposición para poder cumplir con el modelo de Seguridad de la Información adoptado por Grupo Iris.
Se espera que todos los empleados comprendan y cumplan con las políticas y procedimientos de seguridad establecidos. Esto incluye la participación activa en programas de formación y concienciación, la adopción de buenas prácticas de seguridad en el manejo de información, y la notificación inmediata de cualquier incidente o vulnerabilidad percibida.
Responsabilidades de la Dirección
La dirección asume un papel fundamental en garantizar la seguridad de la información. Esto incluye la asignación de recursos adecuados, la definición de objetivos claros de seguridad y el respaldo continuo a iniciativas que fortalezcan la postura de seguridad. Además, la alta dirección tiene la responsabilidad de establecer un marco organizativo que promueva la cultura de la seguridad de la información en todos los niveles, integrando la seguridad como un componente clave en la toma de decisiones estratégicas.
Responsabilidades del personal
Se espera que todos los empleados comprendan y cumplan con las políticas y procedimientos de seguridad establecidos. Esto incluye la participación activa en programas de formación y concienciación, la adopción de buenas prácticas de seguridad en el manejo de información, y la notificación inmediata de cualquier incidente o vulnerabilidad percibida.
Funciones del Equipo de Seguridad de la Información
El Equipo de Seguridad de la Información está encargado de liderar y coordinar todas las iniciativas relacionadas con la seguridad. Esto incluye la identificación y evaluación de riesgos, el desarrollo y mantenimiento de políticas y controles de seguridad, la respuesta efectiva a incidentes, y la supervisión constante de la infraestructura tecnológica. Además, el equipo desempeña un papel esencial en la comunicación proactiva de las mejores prácticas de seguridad, proporcionando orientación y apoyo a todos los niveles de la organización para asegurar la integridad, confidencialidad y disponibilidad de la información.
Clasificación y Manejo de la Información
La clasificación y manejo de la información son elementos fundamentales para preservar su integridad y confidencialidad. Para asegurar que la información se clasifique adecuadamente, la organización aplicará controles específicos según la sensibilidad de los datos, garantizando un acceso y manejo apropiado.
Control de Acceso
La gestión eficaz del acceso a sistemas y datos es esencial para proteger la información crítica. Este apartado establece políticas claras sobre autenticación, autorización y monitoreo de accesos. La implementación de medidas robustas garantiza que solo los usuarios autorizados obtengan acceso a recursos específicos, mientras que la auditoría constante contribuye a la detección temprana de actividades inusuales o maliciosas.
Gestión de Activos
El inventariado y mantenimiento adecuado de activos de información son cruciales para su protección. Al asegurar que los activos se mantengan actualizados y respaldados de manera regular, la organización minimiza la pérdida de datos y garantiza la continuidad operativa.
Uso Aceptable de Activos
Grupo Iris ha establecido una política formal y procedimientos para dar soporte y apoyar a los procesos de uso de recursos tecnológicos.
Seguridad Física
La seguridad física complementa las medidas tecnológicas al proteger las instalaciones y equipos que almacenan información sensible. Este apartado aborda la implementación de controles físicos, como sistemas de vigilancia y acceso restringido, para prevenir el acceso no autorizado a áreas críticas. La gestión adecuada de dispositivos móviles también se aborda, asegurando la protección de información fuera de las instalaciones físicas de la organización.
Gestión de Incidentes y Respuesta a Incidentes
La preparación y respuesta efectiva a incidentes son vitales para minimizar el impacto de posibles amenazas. Al fomentar la detección y la respuesta rápida, la organización puede limitar los daños y restablecer la operatividad normal de manera eficiente.
Notificación de Incidentes
El personal tiene la obligación de notificar sin demora injustificada, cualquier incidencia que tenga conocimiento al Responsable para su conocimiento y aplicación de medidas correctivas para remediar y mitigar los efectos que hubiera podido ocasionar. Las incidencias deberán documentarse por la persona que la notifica con una descripción detallada de la misma y la fecha y hora en que se ha producido o se ha tenido conocimiento de ella.
Por ello, cualquier usuario que tenga conocimiento de una incidencia es responsable de la comunicación de la misma utilizando las vías de comunicación que Grupo Iris ofrece tanto a usuarios como a empleados
El conocimiento y la no-notificación de una incidencia por parte de un usuario serán considerados como una falta contra la seguridad de los datos por parte de ese usuario.
Una incidencia no comunicada, puede suponer un riesgo para la viabilidad de la operativa del Responsable, de los sistemas o datos de los clientes de la empresa, así como un riesgo económico para la misma, pues podría acarrear alguna sanción. Por ello es importante la concienciación y la comunicación ante las incidencias.
Plan de Respuesta a Incidentes
Grupo Iris ha desarrollado e implementado una Política de Respuesta a Incidentes exhaustiva que incluye las categorías y da soporte a las actividades listadas más adelante. Estas directrices serán llevadas a cabo por Grupo Iris para asegurar que el Plan de Gestión de Incidencias es llevado a cabo y ejecutado de una manera formal y consistente para todos los componentes del sistema que se encuentran dentro del entorno, así como otros recursos críticos de Grupo Iris.
Monitoreo y Evaluación de la Seguridad
La supervisión constante y la evaluación periódica son esenciales para mantener una postura de seguridad efectiva. Al mantener un monitoreo proactivo, la organización puede identificar y abordar de manera oportuna las posibles vulnerabilidades y mejorar continuamente su postura de seguridad.
Gestión de Proveedores de Servicios
Grupo Iris ha implementado y desarrollado un sistema de gestión de proveedores exhaustivo que incluye las categorías y da soporte a las actividades listadas más adelante. Estas directrices serán llevadas a cabo por Grupo Iris para asegurar que las iniciativas de gestión de proveedores son llevadas a cabo y ejecutadas de una manera formal y consistente.
Grupo Iris es responsable de revisar, al menos una vez al año, el estado de cumplimiento de la normativa de todos los proveedores de servicio implicados.
En caso de que el proveedor de servicios no cumpla con la normativa, Grupo Iris deberá:
-
- Comprobar si el proveedor de servicios en cuestión dispone de un plan de adaptación a la normativa.
-
- Determinar el impacto y riesgo de seguir trabajando con dicho proveedor.
Formación y Concienciación en Seguridad
El programa formal de concienciación sobre la seguridad definido por Grupo Iris tiene como objetivo permitir a todo el personal con acceso al entorno conocer sus responsabilidades de seguridad, las defensas y procesos de seguridad que se han implementado y evitar que la operativa diaria vuelva ineficaz la respuesta del personal de Grupo Iris ante incidentes de seguridad
La formación y concienciación del personal son pilares fundamentales para crear una cultura de seguridad sólida. Al capacitar a los usuarios y fomentar una comprensión sólida de los riesgos, la organización fortalece la primera línea de defensa contra posibles amenazas.
Grupo Iris realiza la formación anual de concienciación a través de diferentes herramientas, entre ellas presentación online, el cual les otorga luego de realizar la formación un certificado con la culminación y aprobación del mismo.
Revisión y Actualización de la Política
Esta política y los procedimientos asociados serán revisados al menos una vez al año, y se actualizarán siempre que sea necesario para reflejar cambios en la operativa que afecten a sus contenidos, siendo estos cambios siempre acordes con el estándar ISO 27001 vigente.