Forward business on the way

Facebook-f

INTRODUCCIÓN

Con el propósito de mejorar la estrategia de Seguridad de la información de FORWARD, surge la necesidad de buscar un modelo base que permita alinear los procesos hacia un mismo objetivo de seguridad en el manejo de la información.

Para tal fin, se establece una Política de la Seguridad de la Información, como marco de trabajo de la organización en lo referente al uso adecuado de los recursos, buscando niveles adecuados de protección y resguardo de la información, definiendo sus lineamientos, para garantizar el debido control y minimizar los riesgos asociados.

OBJETIVOS:

Con el objetivo de mejorar la seguridad de la información FORWARD cumplirá con los siguientes objetivos:

  • Optimización de los procesos documentales en operaciones de exportación e importación permitiendo una planificación de operaciones de comercio exterior y a nivel operativo como herramienta de seguimiento y control.
  • Garantizar el grado de confidencialidad necesario a cada clase de Información.
  • Aumentar la satisfacción de sus clientes, a través de la diferenciación, innovación y calidad en sus productos y servicios.
  • Mantener la integridad de la información, de modo que no sufra alteraciones o modificaciones.
  • Asegurar la disponibilidad de la Información, en todos los soportes y siempre que sea necesaria, asegurando la continuidad de la empresa y el cumplimiento de cuantas obligaciones sean exigibles.
  • Propiciar la mejora continua de la eficacia del sistema integrado de gestión de la calidad, seguridad en el trabajo y ambiente, fomentando en sus operaciones el enfoque a procesos y el pensamiento basado en riesgos.
  • Mantenernos como un departamento líder en los servicios que ofrecemos.

ALCANCES:

El documento de Política de Seguridad de la Información reglamenta el rastreo y seguimiento de los productos embarcados, así como también la protección de la mercancía ante posibles riesgos por pérdida o deterioro y por tanto está dirigido a colaborar y apoyar a los usuarios a reducir los costos de importación.

PRINCIPIOS DE SEGURIDAD DE LA INFORMACIÓN

  • Esta empresa afronta la toma de riesgos y tolera aquellos que, en base a la información disponible, son comprensibles, controlados y tratados cuando es necesario.
  • La Información se clasificará en función a su valor, importancia y criticidad para la empresa, de forma que las medidas de protección se adecúen al nivel de clasificación de cada activo de información. Del mismo modo, la clasificación de los activos de Información se realizará tomando en consideración los requisitos legales, operacionales y las buenas prácticas y estándares al respecto.
  • Se tendrán en cuenta aquellas posibilidades de fraude relacionadas con el uso abusivo de los sistemas de información dentro de la gestión global de los sistemas de información.
  • Se desarrollarán los procedimientos de control de la puesta a disposición y acceso por terceros a la Información relativa
  • Se harán disponibles informes regulares con información de la situación de la seguridad.
  • Los riesgos en seguridad de la información serán objeto de seguimiento y se adoptarán medidas relevantes cuando existan cambios que impliquen un nivel de riesgo no aceptable.
  • Las situaciones que puedan exponer a la organización a la violación de las leyes y normas legales no serán toleradas.

RESPONSABILIDADES

La responsabilidad de la protección de la Información y de los Sistemas que la tratan, almacenan o transmiten se extiende a todos los niveles organizativos y funcionales de FORWARD.

El equipo directivo es el responsable de asegurar que la seguridad de la información se gestiona adecuadamente en toda la organización

El uso de los Sistemas o servicios digitales por parte de los empleados, incluyendo expresamente el correo electrónico y los servicios de mensajería instantánea, estará limitado a fines lícitos y exclusivamente profesionales, para la realización de tareas relacionadas con el puesto de trabajo. En consecuencia, estos medios y sistemas no están destinados para uso personal ni podrán utilizarse para ninguna finalidad ilícita.

El responsable de seguridad asesora al equipo directivo, proporciona apoyo especializado al personal de la organización y garantiza que los informes sobre la situación de la seguridad de la información están disponibles. Cada miembro del personal tiene la responsabilidad de mantener la seguridad de información dentro de las actividades relacionadas con su trabajo.

GLOSARIO:

Para los propósitos de este documento se aplican los siguientes términos y definiciones:

  • Activo: Cualquier bien que tenga valor para la organización.
  • Acuerdo de Confidencialidad: Documento que debe suscribir todo usuario con el objeto de lograr el acceso a recursos informáticos.
  • Administradores: Usuarios a quienes se les ha dado la tarea de administrar los recursos informáticos y poseen un identificador que les permite tener privilegios administrativos sobre los recursos informáticos de la entidad, quienes estarán bajo el control del Coordinador de Sistemas.
  • Amenaza: Causa potencial de un incidente no deseado, que puede ocasionar daño a un sistema u organización.
  • Backup: Copia de la información en un determinado momento, que puede ser recuperada con posterioridad.
  • Contraseña: Clave de acceso a un recurso informático.
  • Control: Medios para gestionar el riesgo, incluyendo políticas, procedimientos, directrices, prácticas o estructuras de la organización que pueden ser de naturaleza administrativa, técnica, de gestión o legal.
  • Directrices: Descripción que aclara lo que se debería hacer y cómo hacerlo, para alcanzar los objetivos establecidos en las políticas.
  • Servicios de procesamiento de la información: Cualquier servicio, infraestructura o sistema de procesamiento de información o los sitios físicos que los albergan.
  • Seguridad de la Información: Preservación de la confidencialidad, integridad y disponibilidad de la información, además, otras propiedades tales como autenticidad, responsabilidad, no repudio y confiabilidad pueden estar involucradas.
  • Evento de seguridad de la información: Es la presencia identificada de un estado del sistema, del servicio o de la red que indica un posible incumplimiento de la política de seguridad de la información, una falla de controles, o una situación previamente desconocida que puede ser pertinente para la seguridad.
  • Firewall: Conjunto de recursos de hardware y software que protegen recursos informáticos de accesos indebidos.
  • Incidente de seguridad de la información: Está indicado por un solo evento o una serie de eventos inesperados o no deseados de seguridad de la información que tienen una probabilidad significativa de comprometer las operaciones de FORWARD y amenazar la seguridad de la información.
  • Información confidencial (RESERVADA): Información administrada por FORWARD en cumplimiento de sus deberes y funciones y que en razón de aspectos legales debe permanecer reservada y puede ser únicamente compartida con previa autorización del titular de la misma.
  • Información confidencial (CONFIDENCIAL): Información generada por FORWARD en cumplimiento de sus deberes y funciones y que debe ser conocida exclusivamente por un grupo autorizado de funcionarios por esta. El acceso a este tipo de información debe ser restringido y basado en el principio del menor privilegio. Su divulgación a terceros requiere permiso del titular de la misma y de acuerdos de confidencialidad. Así mismo, su divulgación no autorizada puede causar daños importantes a la Empresa.
  • Información pública: Es la información administrada por FORWARD en cumplimiento de sus deberes y funciones que está a disposición del público en general.
  • LAN: Grupo de computadores y dispositivos asociados que comparten un mismo esquema de comunicación y se encuentran dentro de una pequeña área geográfica (un edificio o una oficina).
  • Licencia de Software: Es la autorización o permiso concedido por el dueño del programa al usuario para utilizar de una forma determinada y de conformidad con unas condiciones convenidas. La licencia precisa los derechos (de uso, modificación, o redistribución) concedidos a la persona autorizada y sus límites, además puede señalar el lapso de duración y el territorio de aplicación.
  • Software Libre: Software que una vez obtenido puede ser usado, copiado, modificado, o redistribuido libremente, en el cual la licencia expresamente especifica dichas libertades.
  • Software pirata: Es una copia ilegal de aplicativos o programas que son utilizados sin tener la licencia exigida por ley.
  • Software de Dominio Público: Tipo de software en que no se requiere ningún tipo de licencia y cuyos derechos de explotar, usar y demás acciones son para toda la humanidad, sin que con esto afecte a su creador, dado que pertenece a todos por igual. En términos generales software de dominio público es aquel en el cual existe una libertad total de usufructo de la propiedad intelectual.
  • Módem (Modulador – Demodulador de señales): Elemento de comunicaciones que permite transferir información a través de líneas telefónicas.
  • Monitoreo: Verificación de las actividades de un usuario con respecto a los recursos informáticos de FORWARD.
  • Plan de contingencia: Plan que permite el restablecimiento ágil en el tiempo de los servicios asociados a los Sistemas de Información de FORWARD en casos de desastres y otros casos que impidan el funcionamiento normal.
  • Política: Toda intención y directriz expresada formalmente por la dirección.
  • Proxy: Servidor que actúa como puerta de entrada a la Red Internet.
  • Recursos informáticos: Elementos de tecnología de Información tales como: computadores servidores de aplicaciones y de datos, computadores de escritorio, computadores portátiles, elementos de comunicaciones, elementos de los sistemas de imágenes, elementos de almacenamiento de información, programas y datos.
  • Riesgo: Combinación de la probabilidad de un evento y sus consecuencias.
  • Análisis de Riesgos: Uso sistemático de la información para identificar las fuentes y estimar el riesgo.
  • Evaluación de Riesgos: Todo proceso de análisis y valoración del riesgo.
  • Valoración del Riesgo: Proceso de comparación del riesgo estimado frente a criterios de riesgo establecidos para determinar la importancia del riesgo.
  • Gestión del riesgo: Actividades coordinadas para dirigir y controlar una organización con respecto al riesgo.
  • Sistema de detección de intrusos (IDS): Es un conjunto de hardware y software que ayuda en la detección de accesos e intentos de acceso no autorizados a los recursos informáticos.
  • Sistema de encripción: Elementos de hardware o software que permiten cifrar la información, para evitar que usuarios no autorizados tengan acceso a la misma.
  • Banco de datos personales de administración privada: Es aquel conjunto organizado de datos personales, automatizado o no, cualquiera fuere el soporte sobre el que se encuentre y la forma o modalidad de su creación, formación, almacenamiento, organización y acceso; cuya titularidad corresponde a una persona natural o jurídica de derecho privado.
  • Datos personales: Toda información sobre una persona natural que la identifica o la hace identificable a través de medios que pueden ser razonablemente utilizados.
  • Datos sensibles: Son aquellos datos constituidos por los datos biométricos que por sí mismos pueden identificar al titular, datos referidos al origen racial y étnico, ingresos económicos, opinión política, religiosa, filosófica o moral, afiliación sindical e información referida a la salud o a la vida sexual.
  • Vulnerabilidad: Debilidad de un activo o grupo de activos que puede ser aprovechada por una o más a usuarios.

COMPROMISO DE LA DIRECCIÓN

La dirección debe brindar evidencia de su compromiso con el establecimiento, implementación, operación, seguimiento, revisión, mantenimiento y mejora de los mecanismos para asegurar información.

PROCEDIMIENTO

La persona encargada de la protección de la seguridad de la información, consciente que los recursos de información son utilizados de manera permanente por los usuarios que acceden a sus servicios, definidos en este documento, ha considerado oportuno transmitir a los mismos las normas de comportamiento básicas en la utilización de los equipos de cómputo y demás recursos tecnológicos y de información.

APLICACIÓN DE LAS POLÍTICAS DE SEGURIDAD:

Las políticas de seguridad informática se orientan a reducir el riesgo de incidentes de seguridad y minimizar su efecto. Establecen las reglas básicas con las cuales la organización debe operar sus recursos informáticos. El diseño de las políticas de seguridad informática está encaminado a disminuir y eliminar muchos factores de riesgo.

USO DE LA INFORMACIÒN DE LOS DATOS PERSONALES

En caso de optar por la utilización del Sitio Web, FORWARD podrá solicitarle cierta información personal. Por ejemplo, cuando Usted se registra para utilizar el Sitio Web, cuando suscribe cualquier servicio proporcionado a través de este, o cuando realiza alguna reserva de pedido o consulta.

Su información personal permitirá a FORWARD ofrecerle el acceso a todas las áreas que integran el Sitio Web y suministrarle los servicios que ha requerido. También permitirá a FORWARD realizar gestiones de cobranza y mantener contacto con Usted en caso de que sea necesario por el uso del Sitio Web.

FINALIDAD DEL TRATAMIENTO DE LOS DATOS

Los datos se tratan con el objetivo de proporcionar acceso a los contenidos en la página web así como atender las solicitudes de los usuarios, llevar un registro de visitas (direcciones IP, datos del navegador, país, página accedida, etc) a efectos estadísticos, aplicar medidas encaminadas a la seguridad de la web, así como en su caso enviarle por medios electrónicos información comercial sobre nuestros productos y servicios.

En caso de cumplimentar alguno de los formularios será necesario facilitar determinados datos personales, los cuales se tratarán para la finalidad para la que se solicitan.

CONTROL

FORWARD se reserva expresamente el derecho de adoptar, con proporcionalidad, las medidas de vigilancia y control necesarias para comprobar la correcta utilización de los Sistemas que pone a disposición de sus usuarios, incluyendo el contenido de las comunicaciones y dispositivos, respetando, en todo caso, la legislación vigente.

COMUNICACIÓN DE LA POLÍTICA

La presente Política estará disponible en la web corporativa para todas las personas interesadas. Asimismo, la Política será objeto de las adecuadas acciones de comunicación, formación y sensibilización para su oportuna comprensión y puesta en práctica.

ACTUALIZACIÓN Y REVISIÓN DE LA POLÍTICA

La Política será revisada y actualizada cuando proceda, con el fin de adaptarla a los cambios que puedan surgir en el modelo de negocio o en el contexto donde opere la Empresa, garantizando en todo momento su efectiva implantación.