CORPORACIÓN PERUANA DE AEROPUERTOS Y …€¦ · Políticas de seguridad de la información en...

CORPORACIÓN PERUANA DE AEROPUERTOS Y AVIACIÓN COMERCIAL S.A.

Elaborado y Visado Comité de Gestión de

Seguridad de la Información

Revisado Gerencia de Tecnología de la

Información

Revisado Área de Organización y

Métodos

Aprobado Gerencia General

POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN EN CORPAC S.A.

Políticas de seguridad de la información en CORPAC S.A.

.

Código: OM-P-02 -2013 Diciembre 2013

Revisión: 01

Pág. 3 de 11

Elaborado por: Revisado por:

Área de Organización y Métodos

Í N D I C E

Pág.

PRESENTACIÓN 04 I. OBJETIVO 05

II. FINALIDAD 05 III. ALCANCE 05 IV. VIGENCIA 05 V. BASE LEGAL Y/O ADMINISTRATIVA 05

VI. DEFINICIÓN DE TÉRMINOS 05 VII. ROLES Y RESPONSABILIDADES 06

VIII. DISPOSICIONES GENERALES 07 IX. POLÍTICAS Y LINEAMIENTOS 08 X. SANCIONES PREVISTAS POR INCUMPLIMIENTO 10

XI. DISPOSICIONES FINALES 11


.


Revisión: 01

Pág. 4 de 11



PRESENTACIÓN “Las Políticas de Seguridad de la Información en CORPAC S.A.”, es un documento institucional que integra los lineamientos que establecen el marco referencia sobre el cual se sustentan las normas y procedimientos, que son, en este caso, el canal formal de actuación del personal en relación con los recursos y servicios de la información, enunciando lo que deseamos proteger y el porqué. Cada política de seguridad de la información es un lineamiento de la organización a cada uno de sus miembros internos y externos, para reconocer a la información como uno de sus principales activos, así como un motor de intercambio y desarrollo en el ámbito de sus funciones. Tal lineamiento debe concluir en una posición consiente y vigilante del personal respecto al uso y limitaciones de los recursos y servicios de información de la organización. Las políticas de seguridad de la información que forman parte integrante del presente documento por sí solas no constituyen garantía para la seguridad de la información, sino que dependen principalmente de todo el personal tanto interno como externo garantizar por su cumplimiento. El presente documento ha sido elaborado por el Comité de Gestión de Seguridad de la Información en coordinación con el Área de Organización y Métodos diseñado sobre la base de las recomendaciones y lineamientos de SANS INSTITUTE (USA) y del ISO 9000 SYSTEM FORMAT. Considerando que toda organización es dinámica, este documento está sujeto a permanente revisión y actualización en forma periódica, dependiendo de los cambios en la organización y los avances de las tecnologías de la información, su seguridad y protección.


.


Revisión: 01

Pág. 5 de 11



I. OBJETIVO

Establecer las políticas de seguridad de la información que se administran en CORPAC S.A. para asegurar el cumplimiento de la confidencialidad, integridad, disponibilidad, legalidad y confiabilidad de la información.

II. FINALIDAD

Dotar a CORPAC S.A. de un instrumento normativo que oriente la adecuada

administración de la información, garantizando un alineamiento con su misión y visión.

Dar a conocer a todo el personal de CORPAC S.A. y personal externo que tiene un vínculo con CORPAC S.A. la existencia y operación del Sistema de Gestión de la Seguridad de Información, así como la exigencia en el cumplimiento de todo su marco regulatorio de soporte.

III. ALCANCE

El presente documento es de aplicación a:

Personal de CORPAC S.A. Personal de otras empresas que brindan servicios dentro de las instalaciones de

CORPAC S.A.

IV. VIGENCIA El presente documento tendrá vigencia a partir del día siguiente de su aprobación por la Gerencia General.

V. BASE LEGAL Y/O ADMINISTRATIVA

Resolución Ministerial 129-2012-PCM aprueban el uso obligatorio de la “NTP-ISO/ IEC 27001:2008.

Norma Técnica Peruana NTP-ISO/IEC 27001:2008 EDI Tecnología de la Información. Técnicas de seguridad. Sistemas de gestión de seguridad de la información.

Norma Técnica Peruana NTP-ISO/IEC 17799:2007 EDI Tecnologías de la Información. Código de buenas prácticas para la gestión de la seguridad de la información.

Resolución de GG.065.2012.R aprueban la conformación de comité y designar al coordinador de seguridad de la información.

VI. DEFINICIÓN DE TÉRMINOS

Para efectos de presente documento, se definen los siguientes términos:

a) Confidencialidad De acuerdo a la norma ISO/IEC 27001:2011, es aquella característica que permite garantizar que la información en cualquier medio sólo será vista y accedida por personas autorizadas.

b) Control De acuerdo a la NTP-ISO/IEC 17999:2007, es una herramienta de gestión del riesgo, que incluye normas, procedimientos, estándares, estructuras organizacionales, de naturaleza administrativa, técnica, gerencial o legal.


.


Revisión: 01

Pág. 6 de 11



c) Comité de Seguridad de la Información

Responsable de revisar y proponer la presente Política y la estructuración, recomendación, seguimiento y mejora del Sistema de Gestión de Seguridad de la Institución.

d) Disponibilidad De acuerdo a la norma ISO/IEC 27001:2011, es aquella característica que permite garantizar que la información en cualquier medio siempre estará disponible en el momento que se necesite consultar o acceder.

e) Información Es un conjunto organizado de datos en cualquier forma con inclusión de formas textuales, numéricas, gráficas etc., y en cualquier medio, ya sea magnético, en papel, en pantallas de computadora u otro.

f) Integridad De acuerdo a la norma ISO/IEC 27001:2011, es aquella característica que permite garantizar que la información en cualquier medio sólo será modificada por personas autorizadas.

g) Oficial o Coordinador de Seguridad de la Información Responsable de impulsar la implementación y cumplimiento de la presente Política en coordinación con el Comité de Seguridad de la Información.

h) Propietario de la Información Es cualquier persona o entidad a la cual se le asigna la responsabilidad formal de custodiar y asegurar un activo de información o un conjunto de ellos.

i) SGSI Sistema de Gestión de Seguridad de la Información.

VII. ROLES Y RESPONSABILIDADES

7.1 Oficial o Coordinador de Seguridad de Información

a) Gestionar el SGSI de CORPAC S.A., haciendo un monitoreo permanente de los principales indicadores que miden su desempeño, tomando las medidas necesarias en las situaciones que lo ameriten.

b) Revisar y mantener actualizado el marco regulatorio de soporte a la presente Política.

c) Revisar y actualizar el mapa de riesgos asociados al SGSI. d) Monitorear el desempeño de los controles asociados al SGSI. e) Informar periódicamente al Comité de Seguridad de Información de la situación y

avances actuales del SGSI. f) Convocar al Comité de Seguridad de Información en situaciones extraordinarias, a

partir de una situación que amerite dicha convocatoria. g) Proponer la adquisición y uso de herramientas de Tecnología de Información

como apoyo a la gestión del SGSI. h) Desarrollar de forma periódica, charlas de capacitación y concientización en temas

de Seguridad de Información para el personal nuevo y antiguo de la institución. i) Atender auditorías internas y externas de aspectos asociados a la Seguridad de

Información. j) Presidirá la investigación de incidentes que afecten la seguridad de la información.


.


Revisión: 01

Pág. 7 de 11



7.2 Comité de Seguridad de Información a) Revisar, evaluar y aprobar el alcance vigente de SGSI de CORPAC S.A. b) Revisar, evaluar y aprobar la versión vigente de la Política de Seguridad de

Información de CORPAC S.A. c) Revisar, evaluar y aprobar el conjunto de metodologías, normas, estándares y

procedimientos que constituyen el marco regulatorio que da soporte a la presente Política de Seguridad de Información.

d) Revisar, evaluar y aprobar las medidas a ejecutarse en situaciones que amenacen la Seguridad de Información de CORPAC S.A.

7.3 Gerencias a) Aceptar por escrito la adhesión a la presente política y su marco regulatorio de

soporte. b) Incentivar a todo el personal a su cargo, el cumplimiento permanente del marco

regulatorio asociado a la operación del SGSI de CORPAC S.A. c) Informar al Oficial o Coordinador de Seguridad de Información de situaciones que

ameriten una investigación o revisión. d) Autorizar al personal a su cargo a asistir a las capacitaciones y charlas de

concientización que se programen. e) Asistir a las convocatorias de reuniones de trabajo y requerimientos de

información, emitidos por el Oficial o Coordinador de Seguridad de Información, asignando a personal responsable cuando se solicite.

7.4 Personal Interno a) Aceptar por escrito la adhesión a la presente política y su marco regulatorio de

soporte. b) Cumplir con lo estipulado en el marco regulatorio del SGSI de CORPAC S.A. c) Asistir a las charlas de concientización y capacitación a los que sea convocado. d) Reportar al Oficial o Coordinador de Seguridad de Información situaciones que

amenacen la Seguridad de Información de CORPAC S.A. e) Participar de las reuniones de trabajo a las que sea convocado.

7.5 Personal Externo

a) Aceptar por escrito la adhesión a la presente política y su marco regulatorio de soporte.

b) Cumplir con lo estipulado en el marco regulatorio del SGSI de CORPAC S.A., en lo que respecta a su relación con terceros.

VIII. DISPOSICIONES GENERALES

8.1 CORPAC S.A. garantizará la aplicación de las medidas de seguridad de la

información establecidas y optimizará su gestión mediante el Comité de Seguridad de la Información, el Oficial o Coordinador de Seguridad de Información, propietarios y custodios de la información.

8.2 El Comité de Seguridad de la Información mediante Resolución de Gerencia General

N° GG.065.2012.R estará integrado por : 1. Un representante de la Gerencia General de CORPAC S.A. (Presidente). 2. El Gerente de la Gerencia de Tecnología de la Información, quien actuará

como Secretario. 3. El Gerente de la Gerencia Central de Aeronavegación. 4. El Gerente de la Gerencia de Asuntos Jurídicos. 5. El Gerente de la Gerencia de Personal. 6. El Jefe del Área de Planeamiento y Proyectos.


.


Revisión: 01

Pág. 8 de 11



8.3 La Gerencia de Logística, Gerencia de Seguridad y Área de Organización y Métodos son consideradas unidades de apoyo al Comité de Seguridad de la Información.

8.4 La Alta Dirección reconoce como activos de información estratégicos de CORPAC S.A., la información contenida en cualquier medio y sistemas que la soportan. Por lo tanto las políticas de seguridad de la información es de aplicación obligatoria para todo el personal de CORPAC S.A.

8.5 Para la ejecución y despliegue de las políticas de seguridad de la información, la

organización se apoyará en los profesionales y asistentes de gestión de los órganos y unidades orgánicas de CORPAC S.A.

8.6 Cuando exista la necesidad de otorgar algún acceso lógico y físico a los servicios aeronáuticos y de tecnologías de la información u oficinas de CORPAC S.A. a personas o empresas que no tengan ningún vínculo directo y/o contrato con CORPAC S.A. , deberán ejecutarse medidas que garanticen la seguridad de la información, las cuales serán establecidas previamente por el Oficial o Coordinador de Seguridad en coordinación con la Gerencia de Seguridad y los responsables de las unidades orgánicas de la entidad.

8.7 En todos los contratos suscritos ya sea por prestación de servicios personales,

servicios para la administración y control de los sistemas de información, redes y/o ambientes de procesamiento de información, consultorías, servicios entre otros, se deberá establecer la inclusión de términos relacionados a la seguridad de la información.

8.8 La presente política será revisada anualmente por el Comité de Seguridad de

Información, para establecer la necesidad de actualización o reafirmación de la vigencia.

8.9 El Oficial o Coordinador de Seguridad de Información será la persona autorizada de

responder las consultas respecto a la presente política, en temas asociados a la seguridad de la información.

IX. POLÍTICAS Y LINEAMIENTOS

Las políticas de seguridad de la información, contenidas en este documento serán adecuadas a los cambios que se presenten de acuerdo a mejoras tecnológicas. 9.1 POLÍTICA DE CLASIFICACIÓN Y CONTROL DE LA INFORMACIÓN

Lineamientos para garantizar que los activos de información reciban un apropiado nivel de protección y uso, en función al grado de sensibilidad que presenten

Se implementará sobre todo dato y/o información impresa o escrita en papel,

almacenada electrónicamente, transmitida por algún medio electrónico, o de conocimiento específico del personal involucrado.

Cada uno de estos medios debe contemplar todas las medidas necesarias para asegurar la confidencialidad, integridad y disponibilidad de la información, de acuerdo a lo estipulado en el alcance del SGSI de la Corporación, se implementarán los controles de tipo y cantidad necesarios, que permitan hacer frente a los principales riesgos a los que se haya expuesta la información, tomando en cuenta la clasificación y el valor que ésta representa para CORPAC S.A.


.


Revisión: 01

Pág. 9 de 11



9.2 POLÍTICA DE FOMENTO DE CULTURA DE SEGURIDAD DE INFORMACIÓN Lineamientos para asegurar que el personal tenga presente sus roles y responsabilidades y considere los riesgos de seguridad de la información, así como para definir el marco apropiado para el entrenamiento del personal en los aspectos de seguridad relacionados con su actividad.

Esta política abarca a toda la información utilizada en CORPAC S.A. para el

desarrollo de sus actividades y es aplicable, obligatoriamente, por el personal así como a las entidades proveedoras de servicios involucradas en la utilización de la información y los sistemas que la soportan.

Los proveedores de servicios deben designar un responsable ejecutivo que coordinará y reportará sus acciones al Oficial o Coordinador de Seguridad de CORPAC S.A. El responsable ejecutivo debe tener el más alto nivel jerárquico dentro de la organización del servicio.

9.3 POLÍTICA DE SEGURIDAD FÍSICA Y AMBIENTAL Lineamientos para prevenir accesos no autorizados a los ambientes físicos de CORPAC S.A., donde se almacena y/o procesa información sensible y para evitar daño, modificación, pérdida o mal uso de la información o de los equipos que la soportan. Toda utilización, ingreso, copia o interferencia indebida con fines de alterar,

dañar o destruir los recursos informáticos existentes en CORPAC S.A., podrá ser considerada y catalogada como “Delito Informático”, según el Capítulo X, artículos 207-A y 207-B del Código Penal.

Si los actos antes indicados se han ejecutado haciendo uso de información privilegiada o si alguna persona pone en peligro la seguridad nacional, estas acciones podrían ser catalogadas como “Delito Informático Agravado”, según el Capítulo X, artículo 207-C del Código Penal.

9.4 POLÍTICA DE CONTROL DE ACCESO

Lineamientos para controlar que el acceso a los datos, sistemas de información, instalaciones de procesamiento sea otorgado en función de las tareas y responsabilidades de cada usuario y para definir las reglas de autorización. CORPAC S.A. se reserva el derecho de revocar el privilegio de acceso a la

información y a las tecnologías que la soportan al personal que considere pertinente, tanto de CORPAC S.A., como proveedores de servicios.

Concientizar a los usuarios respecto de su responsabilidad frente a la utilización de contraseñas y equipos.

9.5 POLÍTICAS DE SEGURIDAD LÓGICA EN LOS SISTEMAS INFORMÁTICOS

Lineamientos para asegurar que todos los sistemas de información actuales y nuevos incluyan requerimientos de seguridad para proteger la confidencialidad, integridad y disponibilidad de los datos que manejan.


.


Revisión: 01

Pág. 10 de 11



9.6 POLÍTICA DE GESTIÓN DE LOS INCIDENTES DE SEGURIDAD Lineamientos para asegurar que el personal afectado comunique oportunamente a los responsables de seguridad, los eventos o debilidades asociados con la seguridad de información. El personal debe alertar, de manera oportuna y adecuada, cualquier incidente

que atente contra lo establecido en las políticas de seguridad. El responsable inmediato superior deberá analizar cada caso y consultarlo o reportarlo al Oficial o Coordinador de Seguridad de manera que se adopten las medidas correspondientes para evitar su repetición.

9.7 POLÍTICA PARA LA GESTIÓN DE LA CONTINUIDAD DE LAS OPERACIONES

Lineamientos para responder ante interrupciones y proteger los procesos críticos ante los efectos de una falla mayor por problemas relacionados a la seguridad de la información. CORPAC S.A. garantiza y asegura el soporte tecnológico al SGSI de la

Corporación, acorde con los avances y especialización en el campo de la seguridad de la información, en busca de una gestión ágil y eficiente.

CORPAC S.A. garantiza y asegura una permanente capacitación, consultorías y asesorías para el personal detrás de la gestión integral del SGSI de la Corporación.

9.8 POLÍTICA DE CUMPLIMIENTO

Lineamientos para asegurar el cumplimiento de las políticas y normativa de seguridad de información por todos órganos y unidades orgánicas de CORPAC S.A. y terceros. CORPAC S.A., exigirá a todos sus proveedores de bienes y servicios que se

adhieran obligatoriamente a lo establecido en el marco regulatorio de soporte del SGSI de la Corporación.

CORPAC S.A. se reserva el derecho de tomar medidas administrativas y acciones legales, conforme a lo que establece el Reglamento Interno de Trabajo y el marco contractual para los proveedores.

X. SANCIONES PREVISTAS POR INCUMPLIMIENTO

El comité de seguridad tomará conocimiento de los incidentes y propondrá las sanciones a la Gerencia de Personal a partir de un proceso de investigación y comprobación fehaciente de hechos, de acuerdo a los lineamientos y normas vigentes. Las sanciones serán públicas o reservadas, según sea el caso, garantizando el cumplimiento de las normas y leyes aplicables en la Corporación.


.


Revisión: 01

Pág. 11 de 11



XI. DISPOSICIONES FINALES

PRIMERA El Área de Organización y Métodos se encargará de la actualización del presente documento en coordinación con el Comité de Gestión de Seguridad de la Información. SEGUNDA El Área de Organización y Métodos queda encargada de la difusión mediante el buzón de correo informativo corporativo del presente documento, así como realizar las gestiones para su publicación a través de la intranet de CORPAC S.A. TERCERA El Comité de Gestión de Seguridad de la Información, aplicará el control interno correspondiente para verificar el cumplimiento de las políticas descritas en el presente documento. CUARTA El Órgano de Control Institucional verificará y cautelará el estricto cumplimiento del presente documento, debiendo informar las inobservancias a las gerencias pertinentes. QUINTA Quedan sin efecto las disposiciones administrativas que se opongan o contravengan a lo dispuesto en el presente documento.

CORPORACIÓN PERUANA DE AEROPUERTOS Y …€¦ · Políticas de seguridad de la información en...

Documents

Transcript of CORPORACIÓN PERUANA DE AEROPUERTOS Y …€¦ · Políticas de seguridad de la información en...