Política de la seguridad de la información

La información es el activo más preciado de TELENOR COMUNICACIONES, por tanto, se deben tomar todas las precauciones necesarias para mantener y preservar la información. Para ello, TELENOR COMUNICACIONES ha venido desarrollando y evolucionando su modelo de seguridad de la información soportado en tres pilares fundamentales: confidencialidad, integridad y disponibilidad; así como adoptando buenas prácticas en cuanto a la gestión de las Tecnologías de la Información.

TELENOR COMUNICACIONES, consiente de los riesgos actuales decidió implantar el sistema de gestión de Seguridad de la Información (SGSI) en base a la norma UNE-EN ISO IEC 27001, la cual nos permite identificar y minimizar los riesgos a que está expuesta nuestra información y sus procesos de gestión. Dado el gran esfuerzo y recursos que requiere el SGSI, TELENOR COMUNICACIONES ha venido adoptando transicionalmente una serie de políticas y medidas que le permitan ir avanzando hasta alcanzar el nivel de madurez necesario. Por lo anterior, la política y el desarrollo del SGSI serán revisadas con regularidad como parte del proceso de revisión por la dirección, o en la medida que se sugieran cambios en el desarrollo del negocio, estructura, objetivos o estrategias que involucren aspectos afines.

La Política de Seguridad de la Información es la declaración general que representa la posición de la dirección de TELENOR COMUNICACIONES con respecto a la protección de los todos activos de información (de información, físicos, de software, de servicios y de personas), a la implementación del Sistema de Gestión de Seguridad de la Información y al apoyo, generación y publicación de sus políticas e instrucciones. TELENOR COMUNICACIONES, establece la función de Seguridad de la Información en la Entidad, con el objetivo de:

  • Minimizar el riesgo en las funciones más importantes y críticas.
  • Cumplir con los principios de seguridad de la información.
  • Cumplir con los principios de la función administrativa.
  • Mantener la confianza de sus clientes, socios y empleados.
  • Apoyar la innovación tecnológica.
  • Implementar el sistema de gestión de seguridad de la información ajustado a las necesidades y dimensión de la entidad.
  • Proteger los activos de información.
  • Establecer las políticas e instrucciones en materia de seguridad de la información.
  • Garantizar la continuidad del negocio frente a incidentes.

Para el desarrollo del SGSI nos hemos basado en el ciclo PDCA, desde la planificación, la realización de las acciones planificadas, la comprobación de cómo se han hecho y finalmente la implementación de los cambios pertinentes para seguir mejorando y no volver a incurrir en fallos pasados.

Ciclo Demming o PDCA

Las responsabilidades frente a la seguridad de la información serán definidas, compartidas, publicadas y aceptadas por cada uno de los empleados, proveedores y socios.

Se espera que, todas las personas de TELENOR COMUNICACIONES se rijan por el SGSI definido y cumplan las buenas prácticas, políticas de uso, instrucciones y demás protocolos de seguridad que soportan el SGSI.

1.   OBJETIVO

El objetivo principal es establecer las directrices necesarias para gestionar y proteger la información y los servicios de TELENOR COMUNICACIONES mediante la implementación, mantenimiento y mejora del SGSI. Este sistema cumple con los requisitos de la norma UNE ISO/IEC 27001 y se adapta a las necesidades de las partes interesadas dentro del marco regulatorio vigente.

2.   ALCANCE

El SGSI abarca todos los activos de información, incluyendo los físicos, los de software, los servicios y las personas. Esto se aplica a procesos internos y a los siguientes servicios ofrecidos a los clientes:

  • Instalación de redes de telecomunicaciones.
  • Definición e implantación de proyectos de ciberseguridad.
  • Apoyo en IT: soporte y consultoría.

3.   POLÍTICA DEL SGSI

En vista de la importancia para el correcto desarrollo de los procesos de negocio, los sistemas de información deben estar protegidos adecuadamente.

Una protección fiable permite a la organización percibir mejor sus intereses y llevar a cabo eficientemente sus obligaciones en seguridad de la información. La inadecuada protección afecta al rendimiento general de una empresa y puede afectar negativamente a la imagen, reputación y confianza de los clientes, pero, también, de los inversores que depositan su confianza, para el crecimiento estratégico de nuestras actividades a nivel internacional.

El objetivo de la seguridad de la información es asegurar la continuidad del negocio en la organización y reducir al mínimo el riesgo de daño mediante la prevención de incidentes de seguridad, así como reducir su impacto potencial cuando sea inevitable.

Para lograr este objetivo, la organización ha desarrollado una metodología de gestión del riesgo que permite analizar regularmente el grado de exposición de nuestros activos importantes frente a aquellas amenazas que puedan aprovechar ciertas vulnerabilidades e introduzcan impactos adversos a las actividades de nuestro personal o a los procesos importantes de nuestra organización.

El éxito en el uso de esta metodología parte de la propia experiencia y aportación de todos los empleados en materia de seguridad, y mediante la comunicación de cualquier consideración relevante a sus responsables directos en las reuniones semestrales establecidas por parte de la dirección, con el objeto de localizar posibles cambios en los niveles de protección y evaluar las opciones más eficaces en coste/beneficio de gestión del riesgo en cada momento, y según el caso.

Los principios presentados en la política de seguridad que acompaña a esta política fueron desarrollados por el grupo de gestión de la información de seguridad con el fin de garantizar que las futuras decisiones se basen en preservar la confidencialidad, integridad y disponibilidad de la información relevante de la organización. La organización cuenta con la colaboración de todos los empleados en la aplicación de las políticas y directivas de seguridad propuestas.

El uso diario de los ordenadores por el personal determina el cumplimiento de las exigencias de estos principios y un proceso de inspección para confirmar que se respetan y cumplen por parte de toda la organización.

Adicionalmente a esta política, y a la política de seguridad de la organización, se disponen de políticas específicas para las diferentes actividades.

Todas las políticas de seguridad vigentes permanecerán disponibles en la intranet de la organización y se actualizarán regularmente. El acceso es directo desde todas las estaciones de trabajo conectadas a la red de la organización en el apartado Seguridad de la Información. El objetivo de la política es proteger los activos de información de la organización en contra de todas las amenazas y vulnerabilidades internas y externas, tanto si se producen de manera deliberada como accidental.

LA DIRECCIÓN EJECUTIVA DE LA EMPRESA ES LA RESPONSABLE DE APROBAR UNA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN QUE ASEGURE QUE:

  1. La información estará protegida contra cualquier acceso no autorizado.
  2. La confidencialidad de la información, especialmente aquella relacionada con los datos de carácter personal de los empleados y clientes.
  3. La integridad de la información se mantendrá con relación a la clasificación de la información (especialmente la de “uso interno”).
  4. La disponibilidad de la información cumple con los tiempos relevantes para el desarrollo de los procesos críticos de negocio.
  5. Se cumplen con los requisitos de cliente, legales y reglamentarios en materia de seguridad de la información.
  6. Los planes de continuidad de negocio serán mantenidos, probados y actualizados al menos con carácter anual.
  7. La capacitación en materia de seguridad se cumple y se actualiza suficientemente para todos los empleados.
  8. Todos los eventos que tengan relación con la seguridad de la información, reales como supuestos, se comunicarán al responsable de seguridad y serán investigados.

Adicionalmente, se dispone de procedimientos de apoyo que incluyen el modo específico en que se deben acometer las directrices generales indicadas en las políticas y por parte de los responsables designados.

En cualquier caso, de duda, aclaración o para más información sobre el uso de esta política y la aplicación de su contenido, por favor, consulte por teléfono o e-mail al responsable del SGSI designado formalmente en el Organigrama corporativo.

3.1. Liderazgo y compromiso de la dirección

La Dirección de TELENOR COMUNICACIONES está comprometida a proporcionar los recursos necesarios para el establecimiento, implementación, mantenimiento y mejora del SGSI. Además, se comprometen a:

  • Asegurar que la política y los objetivos de seguridad de la información estén alineados con la estrategia de la empresa.
  • Integrar y cumplir con los requisitos del SGSI en todos los procesos de la organización.
  • Comunicar la importancia de una gestión eficaz de la seguridad.
  • Promover la mejora continua en todos los aspectos del SGSI.
  • Apoyar a todos los roles pertinentes en la implementación de medidas de seguridad.

3.2. Principios Clave de Seguridad

CONFIDENCIALIDAD: La información estará protegida contra accesos no autorizados, garantizando que solo personas autorizadas tengan acceso.

INTEGRIDAD: Se mantendrá la exactitud y completitud de la información, protegiéndola contra modificaciones no autorizadas.

DISPONIBILIDAD: La información estará accesible y utilizable cuando sea necesario, asegurando la continuidad de los procesos críticos de negocio.

AUTENTICIDAD: Se verificará que los usuarios son quienes dicen ser, asegurando la legitimidad de los accesos.

TRAZABILIDAD: Todas las acciones realizadas sobre la información serán registradas y asociadas de manera inequívoca a una persona o entidad.

3.3. Metodología de Gestión del Riesgo

TELENOR COMUNICACIONES ha desarrollado una metodología para gestionar los riesgos que implica analizar regularmente el grado de exposición de los activos importantes frente a amenazas y vulnerabilidades. El objetivo es prevenir incidentes de seguridad y minimizar el impacto cuando estos sean inevitables. La colaboración y comunicación de todos los empleados es crucial para la identificación y gestión eficaz de estos riesgos.

3.4. Capacitación y Comunicación

Se proporciona formación continua en seguridad a todos los empleados para asegurar que estén actualizados y capacitados en las mejores prácticas de seguridad de la información. Además, se requiere que todos los eventos relacionados con la seguridad ya sean reales o supuestos, se comuniquen al responsable de seguridad y se investiguen a fondo.

3.5. Revisión y Mejora Continua

El SGSI será revisado regularmente para asegurar que sigue siendo eficaz y adecuado frente a los cambios en el negocio y las nuevas amenazas. Esto incluye la actualización de políticas, la implementación de mejoras y la evaluación constante del sistema para evitar fallos y mantener altos estándares de seguridad.

 

 

Actualizado y Aprobado

01/07/2024 Gerencia Telenor Comunicaciones

Las cookies de este sitio web se usan para personalizar el contenido y los anuncios, ofrecer funciones de redes sociales y analizar el tráfico. Puedes obtener más información y configurar sus preferencias en nuestra Política de cookies

Configurar cookies Aceptar cookies