La administración de la seguridad de la información en Digital Solutions S.A. está basada en la versión 2022 de la Norma ISO/IEC 27001 y su operación es responsabilidad de todo el personal, quienes deben ejecutar sus actividades con estricta sujeción a los lineamientos y normativas vigentes en Digital Solutions S.A., para prevenir o responder a eventos de seguridad de la Información.

Las políticas incluidas en este documento se constituyen como parte fundamental del Sistema de Gestión de Seguridad de la Información de Digital Solutions S.A. y se convierten en la base para la implantación de los controles, procedimientos y estándares definidos.

b. Política. Es la definición de principios generales que la empresa se compromete a cumplir. En ella se dan una serie de reglas y directrices básicas acerca del comportamiento que se espera de sus colaboradores.

c. Principios básicos de seguridad. Fundamentos que deben regir toda acción orientada a asegurar la información y los servicios.

d. Confidencialidad. Es la garantía de que sólo el personal autorizado accede a la información preestablecida.

e. Integridad. Es la garantía de mantener la totalidad y exactitud de la información y de los métodos de procesamiento;

f. Disponibilidad. Es la garantía de que los usuarios autorizados tienen acceso a la información cada vez que lo requieran a través de los medios adecuados que satisfagan sus necesidades.

g. Cumplimiento. Se refiere a la observancia de las leyes, regulaciones y acuerdos contractuales a los que los procesos de las instituciones controladas están sujetos.

h. Responsable de la información. Persona que tiene la potestad de establecer los requisitos de una información en materia de seguridad.

i. Sistema de información. Conjunto organizado de recursos para que la información se pueda recoger, almacenar, procesar o tratar, mantener, usar, compartir, distribuir, poner a disposición, presentar o transmitir.

j. Gestión de incidentes. Acciones para atender las incidencias que se den. Además de resolverlas debe incorporar medidas de desempeño que permitan conocer la calidad del sistema de protección y detectar tendencias antes de que se conviertan en grandes problemas.

k. Gestión de riesgos. Actividades coordinadas para dirigir y controlar una organización con respecto a los riesgos.

l. Incidente de seguridad. Suceso inesperado o no deseado con consecuencias en detrimento de la seguridad de la información.

m. Administración de la continuidad. Es un proceso permanente que garantiza la continuidad de las operaciones del negocio a través de la efectividad del mantenimiento del plan de continuidad.

a. Área Responsable y con autoridad para implementar, actualizar y vigilar el cumplimiento de estas políticas: Comité de Seguridad de la Información.

b. Área responsable de normalización de este documento: Comité de Seguridad de la Información.

c. Áreas responsables de conocer y aplicar estas políticas: Todas las áreas de Digital Solutions S.A.

a. ISO/IEC 27001:2013. Sistemas de Gestión de la Seguridad de la Información (SGSI). Requisitos.

b. ISO/IEC 27002:2013. Código de Practica para Controles de Seguridad de la Información.

c. PRD-PCV-OPE-GOPS-03. Procedimiento Gerencia de Operaciones

d. PRD-PCV-OPE-DIGI-04. Procedimiento de Digitación, Digitalización, Indexación y

e. REGL-PDA-THU-INT-TRAB-01. Reglamento Interno de Trabajo de Digital Solutions S.A.

 

b. La promoción activa de una cultura de seguridad.

c. El aseguramiento de los recursos adecuados para implementar y mantener las políticas de seguridad de la información.

d. La mejora continua del Sistema de Gestión de Seguridad de la Información (SGSI) aplicando mejores prácticas para proteger la confidencialidad, integridad y disponibilidad de la información.

 

 

Digital Solutions S.A. establecerá un esquema de seguridad de la información en donde existan roles y responsabilidades definidos que consideren actividades de administración, operación y gestión de la seguridad de la información.

Digital Solutions S.A. proveerá las condiciones para el manejo de los dispositivos móviles (teléfonos, inteligentes y tabletas, entre otros) y personales que hagan uso de servicios de la organización. Así mismo, velará porque los colaboradores hagan un uso responsable de los servicios y equipos proporcionados por la entidad.

Digital Solutions S.A. establecerá las circunstancias y requisitos para el establecimiento de conexiones remotas a la plataforma tecnológica de la organización; así mismo, suministrará las herramientas y controles necesarios para que dichas conexiones se realicen de manera segura.

Digital Solutions S.A. reconoce la importancia que tiene el factor humano para el cumplimiento de sus objetivos misionales y, con el interés de contar con el personal mejor calificado, garantizará que la vinculación de nuevos colaboradores se realizará siguiendo un proceso formal de selección, acorde con la legislación vigente, el cual estará orientado a las funciones y roles que deben desempeñar los colaboradores en sus funciones.

Digital Solutions S.A. en su interés por proteger su información y los recursos de procesamiento de la misma demostrará el compromiso de la Alta Dirección en este esfuerzo, promoviendo que el personal cuente con el nivel deseado de conciencia en seguridad de la información para la correcta gestión de los activos de información y ejecutando el proceso disciplinario necesario cuando se incumplan las políticas de seguridad de la información de la organización.

Todos los colaboradores de Digital Solutions S.A. deben ser cuidadosos de no divulgar información confidencial en lugares públicos, en conversaciones o situaciones que pongan en riesgo la seguridad y el buen nombre de la organización.

Digital Solutions S.A. asegurará que sus colaboradores y el personal provisto por terceros serán desvinculados o reasignados para la ejecución de nuevas labores de una forma ordenada, controlada y segura.

Digital Solutions S.A. como propietaria de la información física, así como de la información generada, procesada, almacenada y transmitida con su plataforma tecnológica, otorgará responsabilidad a las áreas sobre sus activos de información, asegurando el cumplimiento de las directrices que regulen el uso adecuado de la misma.

La información, los sistemas, los servicios y los equipos (ej. estaciones de trabajo, equipos portátiles, impresoras, redes, Internet, correo electrónico, herramientas de acceso remoto, aplicaciones, teléfonos, entre otros) propiedad de Digital Solutions S.A., son activos de la organización y se proporcionan a los colaboradores y terceros autorizados, para cumplir con los propósitos del negocio.

Toda la información sensible de Digital Solutions S.A. así como los activos donde ésta se almacena y se procesa deben ser asignados a un responsable delegado, inventariados y posteriormente clasificados, de acuerdo con los requerimientos y los criterios que dicte la Alta Dirección a través del Representante por la Dirección para el SGSI. Los propietarios de los activos de información deben llevar a cabo el levantamiento y la actualización permanente del inventario de activos de información al interior de sus procesos o áreas.

Digital Solutions S.A. definirá los niveles para clasificar su información de acuerdo con su sensibilidad, y generará lineamientos para la clasificación de la información, con el fin que los propietarios de la misma la cataloguen y determinen los controles requeridos para su protección.

Toda la información de Digital Solutions S.A. debe ser identificada, clasificada y documentada de acuerdo con los lineamientos de clasificación de la información establecidos por la Alta Dirección a través del Representante por la Dirección para el SGSI.

Una vez clasificada la información, la organización proporcionará los recursos necesarios para la aplicación de controles en busca de preservar la confidencialidad, integridad y disponibilidad de la misma, con el fin de promover el uso adecuado por parte de los colaboradores de la organización y personal provisto por terceras partes que se encuentre autorizado y requiera de ella para la ejecución de sus actividades.

El uso de periféricos y medios de almacenamiento en los recursos de la plataforma tecnológica de Digital Solutions S.A. será reglamentado por las Gerencias o Jefaturas responsables de administrar dicha plataforma, considerando las labores realizadas por los colaboradores y su necesidad de uso.

La Gerencia de TI, responsable de administrar la plataforma tecnológica, las redes de datos y los recursos de red de la organización, deben propender porque dichas redes sean debidamente protegidas contra accesos no autorizados a través de mecanismos de control de acceso lógico.

Digital Solutions S.A. establecerá privilegios para el control de acceso lógico de cada usuario o grupo de usuarios a las redes de datos, los recursos tecnológicos y los sistemas de información de la organización. Así mismo, velará porque los colaboradores y el personal provisto por terceras partes tengan acceso únicamente a la información necesaria para el desarrollo de sus labores y porque la asignación de los derechos de acceso esté regulada por normas y procedimientos establecidos para tal fin.

Los usuarios de los recursos tecnológicos y los sistemas de información de Digital Solutions S.A. realizarán un uso adecuado y responsable de dichos recursos y sistemas, salvaguardando la información a la cual les es permitido el acceso.

Digital Solutions S.A. asegurará que la información será cifrada de acuerdo con lo definido en los lineamientos establecidos para el manejo de activos de información.