Política de Seguridad de la Información

1.1 Introducción

Gtd es una compañía del sector TIC con más de 46 años de trayectoria, con presencia en Chile, Perú, Colombia, España, Ecuador, México e Italia. En su compromiso con la gestión integral de la Seguridad, Gtd ha establecido una Política General de Seguridad, la cual es revisada y aprobada por el Chief Information Security Officer (CISO) en representación del Comité de Seguridad.

Esta Política tiene como propósito dar cumplimiento a los requerimientos específicos en materia de seguridad, en los siguientes ámbitos: seguridad organizacional, infraestructura física, infraestructura tecnológica, ciberseguridad, seguridad de la información, protección de datos y seguridad de los servicios entregados a clientes.

Gtd mantiene un enfoque basado en la gestión oportuna del riesgo, promoviendo la mejora continua de sus prácticas de seguridad y ciberseguridad la cual se alinea con adherir y adoptar estándares internacionales como ISO/IEC 2700:20221, NIST Cybersecurity Framework y PCI DSS para fortalecer su compromiso en proteger la confidencialidad, integridad y disponibilidad de la información como un objetivo estratégico garantizando la protección de sus activos y la confianza de nuestros clientes.

Cumplir con los estándares de seguridad que hoy día demanda el mercado, nos permite satisfacer normas y regulaciones vigentes, resguardar nuestra reputación corporativa y en consecuencia evitar pérdidas económicas e implicancias legales.

Esta política debe ser comunicada a toda la organización y a las principales partes interesadas de Gtd.

1.2 Política de Seguridad de la información

El objetivo general es declarar el compromiso de Gtd, y las empresas que la integran, con la protección y el resguardo de los activos de información. Este compromiso se extiende al uso adecuado de dichos activos, así como la aplicación de buenas prácticas que garanticen la integridad, confidencialidad y disponibilidad en conformidad con los requisitos de seguridad de la información.

Gtd asume los siguientes compromisos de actuación en materia de seguridad, ciberseguridad y privacidad:

1. La seguridad de las personas es el bien más valioso para Gtd.
2. Los bienes físicos tales como instalaciones administrativas, técnicas, centros de datos e infraestructura física de red deben ser protegidos de manera adecuada contra los riesgos de naturaleza, actos deliberados y aquellas amenazas que puedan comprometer la confidencialidad, integridad y disponibilidad de los activos que la albergan y soportan.
3. La información, los sistemas de información y los servicios entregados a clientes a través de las tecnologías e infraestructura de red, son activos valiosos para Gtd, los que deben ser protegidos contra amenazas o riesgos internos y externos, para resguardar su disponibilidad, integridad y confidencialidad.
4. La Ciberseguridad constituye una función esencial para proteger los activos digitales de Gtd y la infraestructura tecnológica que sustenta la entrega de los servicios a los clientes frente a los riesgos y amenazas provenientes del ciberespacio.
5. La seguridad de los activos de Gtd, incluida la información contenida, es responsabilidad de los dueños funcionales de los activos, así como de todos los empleados, contratistas y proveedores, independientemente del cargo que desempeñan.
6. Todo empleado, contratista y proveedor debe acceder únicamente a la información, sistemas y recursos que sean estrictamente necesaria para el desempeño de sus funciones conforme al principio de necesidad de conocer.
7. Todo empleado, contratista y proveedor tiene el deber y obligación de notificar cualquier actividad o situación que afecte o que pueda afectar la seguridad de la información de los activos de Gtd.
8. La organización reconoce que la sensibilización, capacitación y formación continua de su personal en las materias de Seguridad y Ciberseguridad son actividades prioritarias, esenciales y permanentes para la gestión eficaz del riesgo y la protección de los activos de información.
9. La organización establece un conjunto de políticas, planes y procedimientos específicos en materias de Seguridad de la Información y Ciberseguridad los cuales constituyen componentes complementarios e integrados de la presente política. Este Marco Normativo proporciona lineamientos de gobierno y operativos para garantizar el cumplimiento de los objetivos de seguridad, la gestión de riesgos y la protección de los activos de información.
10. El Comité de Seguridad es responsable de entregar direccionamiento estratégico en los objetivos de Seguridad y Ciberseguridad teniendo la autoridad para su implementación, control y seguimiento garantizando la mejora continua en esta materia.
11. La organización debe asegurar y velar que las políticas de seguridad de la información sean difundidas de manera efectiva a todas las partes interesadas. Los colaboradores tienen el deber de conocer, comprender y aplicar la presente Políticas de Seguridad.
12. El incumplimiento de las Políticas de Seguridad de la Información y su Marco Normativo será considerado una infracción a las normas Corporativas y que podrá ser sancionada conforme a lo establecido en el reglamento interno de trabajo de Gtd, así como a la normativa legal vigente.
13. La organización se compromete a adherir, adoptar y mantener las mejores prácticas de Seguridad de la Información y Ciberseguridad mediante la implementación de marcos de referencia internacionalmente reconocidos para la Gestión de Riesgos, el cumplimiento normativo y la mejora continua.
14. La organización declara su decisión de cumplir con la legislación, reglamentación y normativa vigente en materias de Seguridad de la Información, Ciberseguridad y Protección de Datos.

1.3 Alcance del documento

En base a las necesidades detectadas y en conjunto con los requerimientos de las partes interesadas se han definido los siguientes ámbitos de trabajo:

• Seguridad organizacional.
• Seguridad de la infraestructura física.
• Seguridad de la infraestructura tecnológica.
• Seguridad de la información y los datos propios y de nuestros clientes.
• Ciberseguridad
• Seguridad de los servicios provistos a clientes

1.4 Ámbitos y Dominios

1.4.1 Gobierno y Organización de la Seguridad

Para la gestión efectiva de la seguridad de la información, Gtd debe establecer y mantener una estructura organizacional de seguridad con roles, responsabilidades y autoridades claramente definidos. Esta estructura incluye la designación de equipos responsables de seguridad y ciberseguridad, quienes lideran las acciones para alcanzar los objetivos establecidos en esta política y garantizar la operatividad del Sistema de Gestión de Seguridad de la Información (SGSI).

1.4.2 Seguridad Organizacional y de las Personas

Los colaboradores de Gtd, constituyen el capital humano más valioso de la compañía. Reconociendo que una parte importante de los incidentes de seguridad puede originarse por acciones involuntarias, desconocimiento o descontento de empleados, por ello se deben definir y establecer mecanismos para mitigar estos riesgos. Esto incluye concientización, formación continua, control de acceso y la definición clara de roles, responsabilidades, además del fomento de un ambiente de trabajo seguro y colaborativo para el personal interno y externo.

1.4.3 Gestión de Activos

Los activos de información de Gtd, tanto físicos cómo lógicos deben ser identificados e inventariados y gestionados adecuadamente en los términos establecidos por la organización. La gestión del ciclo de vida debe incluir la asignación de responsabilidades, revisión periódica y eliminación segura reduciendo los riesgos asociados. Estos activos son fundamentales para el logro de los objetivos del negocio y la entrega de los servicios de clientes por lo que deben ser clasificados según su criticidad y protegidos mediante controles apropiados que aseguren la protección de su integridad, confidencialidad e integridad.

1.4.4 Control de Acceso

Los activos gestionados por Gtd son críticos para la operación segura y eficiente de la organización. En consecuencia, el acceso a estos activos debe estar estrictamente controlado, autorizado previamente y sujeto a seguimiento o monitoreo. El acceso debe ser otorgado únicamente bajo el principio de necesidad de conocer y en función de la responsabilidad especifica de cada parte interesada, por defecto el acceso debe ser negado hasta que se justifique y apruebe su necesidad de conocer. Asimismo, deben aplicarse mecanismos de autenticación robusta y gestionar los privilegios de acceso de manera que se limite el uso de activos al mínimo necesario reduciendo los riesgos de accesos no autorizados o indebidos.

1.4.5 Criptografía y Enmascaramiento

La información confidencial de Gtd y sus clientes, así como la información personal debe estar resguardada de accesos no autorizados o uso indebido mediante la implementación de controles criptográficos o enmascaramiento aplicables, durante la transmisión y almacenamiento de los mismos.

1.4.6 Seguridad Física y Ambiental

Las medidas de seguridad físicas deben implementarse y mantenerse operativas para proteger la integridad de las personas, las instalaciones, la infraestructura de red, TI y los centros de procesamiento de datos. Estas medidas deben ser proporcionales y estar de acuerdo con el nivel de sensibilidad de los activos físicos y de la información que estos contienen alineado con su clasificación. La protección debe incluir las salvaguardas necesarias frente a las amenazas internas y externas que garanticen un entorno seguro para la operación continua del negocio.

1.4.7 Administración de Operaciones

La administración eficaz de operaciones y recursos tecnológicos de los sistemas de información son esenciales con el fin de mantener la calidad y continuidad de los servicios de los clientes que operan con Gtd. Para mantener el control y la seguridad en las operaciones se deben establecer e implementar requisitos de seguridad específicos así cómo métricas de control adecuadas que permitan evaluar el desempeño de los procesos críticos. Asimismo, se deben incorporar sistemas de monitoreo continuo sobre la operación de los sistemas de información e infraestructura tecnológica con el fin de identificar, proteger, detectar, responder y recuperarse oportunamente frente a los riesgos y amenazas ya sea de origen interno o externo que pueden comprometer la seguridad, la continuidad operacional o la ciberseguridad asegurando la entrega y la calidad de los servicios a los clientes de Gtd.

1.4.8 Administración de Comunicaciones

La administración de las comunicaciones se debe estructurar de modo tal de garantizar que los datos transmitidos a través de las redes de Gtd y terceros estén adecuadamente protegidos frente a accesos no autorizados, alteración o perdida. Para ello se deben implementar y establecer controles técnicos y de gestión que aseguren una segmentación efectiva de la red y un nivel de protección proporcional a la criticidad de la información procesada.
La infraestructura de telecomunicaciones utilizada para a la entrega de servicios TIC debe estar respaldada por equipos, sistemas, procesos, personal capacitado y tecnologías que permitan mantener un alto nivel de seguridad, de los centros de datos, nodos e infraestructura de red asegurando la integridad, confidencialidad y la disponibilidad de las comunicaciones.

1.4.9 Desarrollo, Mantención e Implementación de Sistemas

El diseño de la infraestructura tecnológica y la implementación de aplicaciones de negocios deben cumplir, de manera formal y documentada con todos los requerimientos de seguridad establecidos por Gtd. Estos requerimientos deben ser integrados desde las etapas iniciales del ciclo de vida incluyendo análisis, desarrollo, pruebas, implementación y mantenimiento asegurando que los productos, servicios y sistemas se construyan bajo los principios de seguridad en su defecto. La incorporación temprana de controles de seguridad permite mitigar oportunamente riesgos, reducir vulnerabilidades y garantizar que los sistemas implementados cumplan con los niveles de seguridad exigidos por la organización y las normativas vigentes.

1.4.10 Relación con Proveedores

Se debe asegurar que el proceso de gestión de proveedores incluya de manera explícita los requisitos de seguridad de la información y/o ciberseguridad, con el objetivo de garantizar que los servicios entregados por terceros cumplen con los lineamientos de seguridad definidos por Gtd. Estos deben incluir el resguardo de los activos propios y de clientes, así como el cumplimiento de las políticas internas, los estándares de seguridad aplicables y los compromisos contractuales y normativos. En los acuerdos con proveedores deben establecerse proporcionalmente al nivel de riesgo considerando mecanismos de evaluación, monitoreo y revisión de desempeño en seguridad.

1.4.11 Respuestas a incidentes

Se debe garantizar que todos los eventos e incidentes de ciberseguridad sean notificados de manera oportuna y precisa en los canales definidos por Gtd y de partes interesadas relevantes. El objetivo es permitir una pronta evaluación, efectiva de los incidentes, mitigar los riesgos asociados y fortalecer la capacidad de respuesta ante futuros incidentes.
La organización debe mantener acuerdos de colaboración con entidades especializadas para responder ante eventos de ciberseguridad. Lo anterior de acuerdo con los más altos estándares internacionales tales como NIST, PCI DSS y el conjunto de normas ISO 27000 asegurando un enfoque estructurado, coordinado y de mejora continua.
En conformidad a lo establecido en la ley marco de ciberseguridad de Chile, los ciberincidentes que afecten los servicios esenciales estipulados en la ley deben ser reportados al CSIRT de la Agencia Nacional de Ciberseguridad dentro de los plazos legales establecidos. Del mismo modo se debe dar cumplimiento a las obligaciones establecidas por ley para los organismos de importancia vital (OIV) de ser requerido

1.4.12 Administración de la Continuidad del Negocio

La compañía debe contar con un sistema formal de gestión para asegurar la continuidad de la seguridad de la información y la recuperación oportuna frente incidentes, desastres o interrupciones inesperadas de los servicios. El plan de continuidad del negocio y el plan de recuperación debe incluir a las personas, los procesos, procedimientos documentados, roles definidos y mecanismos de prueba definidos que permitan garantizar la redundancia de las operaciones y los procesos críticos del negocio dentro de los tiempos establecidos con el fin de minimizar el impacto sobre los activos de información y la entrega de los servicios de los clientes de Gtd. Información adicional se puede encontrar en la Política de Continuidad del Negocio Gtd.

1.4.13 Cumplimiento

Gtd debe cumplir con todas las reglas y regulaciones aplicables por la ley, en lo que respecta a resguardo de información. Esto incluye aspectos penales o civiles, estatutos, reglamentos u obligaciones contractuales hechas a nombre del Gtd. Satisfacer los requerimientos de seguridad incorporado en las leyes, así como la protección de la información propia del Gtd y/o datos de colaboradores, clientes y proveedores.

1.5 Roles y Responsabilidades

El Directorio de Gtd mandata a la administración, encabezada por su Gerente General, establecer los lineamientos/directrices generales y asignar los recursos humanos y técnicos adecuados.
Gtd cuenta con una estructura de gobierno y de gestión de la seguridad en base a tres niveles. Un nivel estratégico, táctico y operativo de gestión. En el nivel estratégico se establecen los objetivos estratégicos, se coordina y aprueban los lineamientos generales de Seguridad. Proveyendo los recursos humanos, tecnológicos y financieros requeridos para cumplir con la presente política.
En el nivel táctico se definen, priorizan y evalúan los proyectos, riesgos e iniciativas de seguridad en cada uno de los ámbitos antes mencionados. En el nivel operacional y de gestión se ejecutan e implementan los controles definidos, se monitorean y supervisan los indicadores principales de la seguridad que permiten identificar oportunamente los riesgos y amenazas en cada uno de los ámbitos establecidos de esta Política con el propósito de responder oportuna y adecuadamente ante eventos e incidentes de seguridad.
Todos los empleados de Gtd deben participan, colaborar activa y responsablemente desde su rol y función específica, en la mantención de la seguridad de la compañía.

1.6 Política de Cumplimiento

La adecuada implementación y articulación de esta Política debe ser auditada periódicamente tanto en sus alcances técnicos u organizacionales. Los hallazgos detectados deben ser informados a las áreas respectivas para su pronta solución.
Infracciones al cumplimiento de esta Política serán tratadas de acuerdo con el Reglamento Interno de trabajo y de acuerdo con las definiciones del Manual de Buenas Prácticas Empresariales o Código de Ética.