Volver
Póliticas de Seguridad

Última revisión: 01 de Enero de 2022.

INTRODUCCION

En Beble Digital Solutions S.A.P.I de C.V. (Beble) se identifica la información como un componente indispensable en la conducción y consecución de los objetivos definidos por la estrategia de la Organización, razón por la cual es necesario establecer un marco en el cual se asegure que la información es protegida de manera adecuada, independientemente de la forma en la que ésta sea manejada, procesada, transportada o almacenada.

Este documento describe las políticas y normas de seguridad de la información definidas por Beble. Para la elaboración del mismo, se toman como base las leyes y demás regulaciones aplicables a la norma ISO 27001:2013.

Las políticas incluidas en este manual constituyen parte fundamental del sistema de gestión de seguridad de la información de Beble y se convierten en la base para la implantación de los controles, procedimientos y estándares definidos.

La seguridad de la información es una prioridad para Beble y por tanto es responsabilidad de todos velar por que no se realicen actividades que contradigan la esencia y el espíritu de cada una de estas políticas.

OBJETIVO

Establecer las políticas de seguridad de la información de Beble, con el fin de regular la gestión de la seguridad de la información en la Organización.

ALCANCE

Las políticas de seguridad de la información cubren todos los aspectos administrativos y de control que deben ser cumplidos por los Directivos y todo el personal de la Organización que laboren en Beble, así como sus partes interesadas, para conseguir un adecuado nivel de protección de seguridad y calidad de la información relacionada con nuestros Clientes.

DEFINICIONES

Activo de información: cualquier componente (humano, tecnológico, software, documental o de infraestructura) que soporta uno o más procesos de negocios de la Organización y, en consecuencia, debe ser protegido.

Acuerdo de Confidencialidad: es un documento en los que los empleados de Beble o los provistos por terceras partes manifiestan su voluntad de mantener la confidencialidad de la información de la Organización, comprometiéndose a no divulgar, usar o explotar la información confidencial a la que tengan acceso en virtud de la labor que desarrollan dentro o fuera de la misma.

Análisis de riesgos de seguridad de la información: proceso sistemático de identificación de fuentes, estimación de impactos, probabilidades y comparación de dichas variables contra criterios de evaluación para determinar las consecuencias potenciales de pérdida de confidencialidad, integridad y disponibilidad de la información.

Autenticación: es el procedimiento de comprobación de la identidad de un usuario o recurso tecnológico al tratar de acceder a un recurso de procesamiento o sistema de información.

Capacity Planning: es el proceso para determinar la capacidad de los recursos de la plataforma tecnológica que necesita la entidad para satisfacer las necesidades de procesamiento de dichos recursos de forma eficiente y con un rendimiento adecuado.

Cifrado: es la transformación de los datos mediante el uso de la criptografía para producir datos ininteligibles (cifrados) y asegurar su confidencialidad. El cifrado es una técnica muy útil para prevenir la fuga de información, el monitoreo no autorizado e incluso el acceso no autorizado a los repositorios de información.

Confidencialidad: es la garantía de que la información no está disponible o divulgada a personas, entidades o procesos no autorizados.

Control: es toda actividad o proceso encaminado a mitigar o evitar un riesgo. Incluye políticas, procedimientos, guías, estructuras organizacionales y buenas prácticas, que pueden ser de carácter administrativo, tecnológico, físico o legal.

Criptografía: es la disciplina que agrupa a los principios, medios y métodos para la transformación de datos con el fin de ocultar el contenido de su información, establecer su autenticidad, prevenir su modificación no detectada y/o prevenir su uso no autorizado.

Custodia del activo de información: es la unidad organizacional o proceso, designado por los propietarios, encargado de mantener las medidas de protección establecidas sobre los activos de información confiados.

Derechos de Autor: es un conjunto de normas y principios que regulan los derechos morales y patrimoniales que la ley concede a los autores por el solo hecho de la creación de una obra literaria, artística o científica, tanto publicada o que todavía no se haya publicado.

Disponibilidad: es la garantía de que los usuarios autorizados tienen acceso a la información y a los activos asociados cuando lo requieren.

Equipo de cómputo: dispositivo electrónico capaz de recibir un conjunto de instrucciones y ejecutarlas realizando cálculos sobre los datos numéricos, o bien compilando y correlacionando otros tipos de información.

Guías de clasificación de la información: directrices para catalogar la información de la Organización y hacer una distinción entre la información que es crítica y aquella que lo es menos o no lo es y, de acuerdo con esto, establecer diferencias entre las medidas de seguridad a aplicar para preservar los criterios de confidencialidad, integridad y disponibilidad de la información.

Hacking ético: es el conjunto de actividades para ingresar a las redes de datos y voz de la Organización con el objeto de lograr un alto grado de penetración en los sistemas, de forma controlada, sin ninguna intensión maliciosa, ni delictiva y sin generar daños en los sistemas o redes, con el propósito de mostrar el nivel efectivo de riesgo al cual está expuesta la información, y proponer eventuales acciones correctivas para mejorar el nivel de seguridad.

Incidente de Seguridad: es un evento adverso, confirmado o bajo sospecha, que haya vulnerado la seguridad de la información o que intente vulnerarla, sin importar la información afectada, la plataforma tecnológica, la frecuencia, las consecuencia, el número de veces ocurrido o el origen (interno o externo).

Integridad: es la protección de la exactitud y estado completo de los activos.

Inventario de activos de información: es una lista ordenada y documentada de los Activos de información pertenecientes a la Organización.

Licencia de software: es un contrato en donde se especifican todas las normas y cláusulas que rigen el uso de un determinado producto de software, teniendo en cuenta aspectos como: alcances de uso, instalación, reproducción y copia de estos productos.

Medio removible: es cualquier componente extraíble de hardware que sea usado para el almacenamiento de información; los medios removibles incluyen cintas, discos duros removibles, Cd’s, DVD y unidades de almacenamiento USB, entre otras.

Perfiles de usuario: son grupos que concentran varios usuarios con similares necesidades de información y autorizaciones idénticas sobre los recursos tecnológicos o los sistemas de información a los cuales se les concede acceso de acuerdo con las funciones realizadas. Las modificaciones sobre un perfil de usuario afectan a todos los usuarios incluidos dentro de él.

Propiedad intelectual: es el reconocimiento de un derecho particular en favor de un autor u otros titulares de derechos, sobre las obras del intelecto humano. Este reconocimiento es aplicable a cualquier propiedad que se considere de naturaleza intelectual y merecedora de protección, incluyendo las invenciones científicas y tecnológicas, las producciones literarias o artísticas, las marcas y los identificadores, los dibujos y modelos industriales y las indicaciones geográficas.

Propietario de la información: es la unidad organizacional o proceso donde se crean los activos de información.

Recursos tecnológicos: son aquellos componentes de hardware y software tales como: servidores (de aplicaciones y de servicios de red), estaciones de trabajo, equipos portátiles, dispositivos de comunicaciones y de seguridad, servicios de red de datos y bases de datos, entre otros, los cuales tienen como finalidad apoyar las tareas administrativas necesarias para el buen funcionamiento y la optimización del trabajo al interior de Beble.

Registros de Auditoría: son archivos donde son registrados los eventos que se han identificado en los sistemas de información, recursos tecnológicos y redes de datos de la Organización. Dichos eventos pueden ser, entre otros, identificación de usuarios, eventos y acciones ejecutadas, terminales o ubicaciones, intentos de acceso exitosos y fallidos, cambios a la configuración, uso de utilidades y fallas de los sistemas.

Responsable por el activo de información: es la persona o grupo de personas, designadas por los propietarios, encargados de velar por la confidencialidad, la integridad y disponibilidad de los activos de información y decidir la forma de usar, identificar, clasificar y proteger dichos activos a su cargo.

SGSI: Sistema de Gestión de Seguridad de la Información.

Sistema de información: es un conjunto organizado de datos, operaciones y transacciones que interactúan para el almacenamiento y procesamiento de la información que, a su vez, requiere la interacción de uno o más activos de información para efectuar sus tareas. Un sistema de información es todo componente de software ya sea de origen interno, es decir desarrollado por Beble o de origen externo ya sea adquirido por la Organización como un producto estándar de mercado o desarrollado para las necesidades de ésta.

Sistemas de control ambiental: son sistemas que utilizan la climatización, un proceso de tratamiento del aire que permite modificar ciertas características del mismo, fundamentalmente humedad y temperatura y, de manera adicional, también permite controlar su pureza y su movimiento.

Software malicioso: es una variedad de software o programas de códigos hostiles e intrusivos que tienen como objeto infiltrarse o dañar los recursos tecnológicos, sistemas operativos, redes de datos o sistemas de información.

Terceros: todas las personas, jurídicas o naturales, como proveedores, contratistas o consultores, que provean servicios o productos a la Organización.

Vulnerabilidades: son las debilidades, hoyos de seguridad o flaquezas inherentes a los activos de información que pueden ser explotadas por factores externos y no controlables por la Organización (amenazas), las cuales se constituyen en fuentes de riesgo.

Evaluación de Riesgos: Se entiende por evaluación de riesgos a la evaluación de las amenazas y vulnerabilidades relativas a la información y a las instalaciones de procesamiento de la misma, la probabilidad de que ocurran y su potencial impacto en la operación de la Organización.

Administración de Riesgos: Se entiende por administración de riesgos al proceso de identificación, control y minimización o eliminación, a un costo aceptable, de los riesgos de seguridad que podrían afectar a la información. Dicho proceso es cíclico y debe llevarse a cabo en forma periódica.

ANEXO A

A.5 Política de seguridad de información

En Beble la información es un activo fundamental para la prestación de sus servicios y la toma de decisiones eficientes, razón por la cual existe un compromiso expreso de protección de sus propiedades más significativas como parte de una estrategia orientada a la continuidad del negocio, la administración de riesgos y la consolidación de una cultura de seguridad.

Consciente de las necesidades actuales, Beble implementa un modelo de gestión de seguridad de la información como la herramienta que permite identificar y minimizar los riesgos a los cuales se expone la información, ayuda a la reducción de costos operativos y financieros, establece una cultura de seguridad y garantiza el cumplimiento de los requerimientos legales, contractuales, regulatorios y de negocio vigentes.

El Personal de Oficinas, Personal externo, proveedores y todos aquellos que tengan responsabilidades sobre las fuentes, repositorios y recursos de procesamiento de la información de Beble, deben adoptar los lineamientos contenidos en el presente documento y en los documentos relacionados con él, con el fin de mantener la confidencialidad, la integridad y asegurar la disponibilidad de la información.

El Manual de Política de Seguridad de la Información de Beble se encuentra soportado por políticas, normas y procedimientos específicos los cuales guiarán el manejo adecuado de la información de la Organización. Adicionalmente, se establecerán políticas específicas de seguridad de la información las cuales se fundamentan en los dominios y objetivos de control del Anexo A de la norma internacional ISO 27001:2013.

El Comité Integral tendrá la autoridad de modificar el Manual de Políticas de Seguridad de la Información o las Políticas Específicas de Seguridad de la Información de acuerdo con las necesidades de revisión establecidas periódicamente o a la aplicabilidad de las mismas.

5.1 Política de Seguridad de Información

Las Políticas de Seguridad de la Información pretende instituir y afianzar una cultura de seguridad de la información entre los Empleados, personal externo, proveedores y partes interesadas de Beble. Por tal razón, a las violaciones a las Políticas Seguridad de la Información serán tratadas como acciones correctivas como lo describe el procedimiento de acciones correctivas y preventivas de la organización y derivado del análisis de dichas acciones se aplicaran medidas correctivas a fin de mitigar posibles afectaciones contra la seguridad de la información. Las medidas correctivas pueden considerar las descritas en el reglamento interior de trabajo y pueden ser desde Actas administrativas, hasta acciones de orden disciplinario o penal, de acuerdo con las circunstancias, si así lo ameritan.

5.1.1 Políticas de Seguridad de información

El Director General, Director de Operaciones y el Coordinador de Sistemas, deben vigilar el cumplimiento de lo establecido en ésta Política.

El Director de Operaciones, los Coordinadores y Supervisores de áreas operativas, así como, el personal de Beble, deberán cumplir con lo que les corresponda, de acuerdo a lo establecido en ésta Política.

El Comité Integral está compuesto por los representantes de los distintos departamentos de Beble y el representante de la Alta Dirección. Este Comité está encargado de elaborar y actualizar las políticas, normas, pautas y procedimientos relativos a seguridad de la Información. También es responsable de coordinar el análisis de riesgos, planes de contingencia y prevención de desastres. Durante sus reuniones programadas, el Comité efectuará la evaluación y revisión de la situación de la organización en cuanto a la Seguridad de la Información, incluyendo el análisis de incidentes ocurridos y que afecten la seguridad.

El Área Sistemas es responsable de implantar y velar por el cumplimento de las políticas, normas, pautas, y procedimientos de seguridad de la información en toda la organización, todo esto en coordinación con la Alta Dirección. También es responsable de evaluar e implantar productos de seguridad de la información, y realizar las demás actividades necesarias para garantizar un ambiente informático seguro. Además debe ocuparse de proporcionar apoyo técnico y administrativo en todos los asuntos relacionados con la seguridad de la información y en particular en los casos de infección de virus, penetración de hackers, fraudes y otros percances.

El Administrador de Sistemas es responsable de establecer los controles de acceso apropiados para cada usuario, supervisar el uso de los recursos informáticos, revisar las bitácoras de acceso y de llevar a cabo las tareas de seguridad relativas a los sistemas que administra, como por ejemplo, aplicar inmediatamente los parches correctivos cuando le llegue la notificación del fabricante del producto. El Administrador de Sistemas también es responsable de informar al Comité Integral sobre toda actividad sospechosa o evento insólito.

Los usuarios son responsables de cumplir con todas las políticas de Beble relativas a la seguridad de la información.

5.1.2 Revisión de las Política de Seguridad de Información

La Alta Dirección de Beble aprueba este Manual de Políticas de Seguridad de la Información como muestra de su compromiso y apoyo en el diseño e implementación de políticas eficientes que garanticen la seguridad de la información de la Organización.

La Alta Dirección de la Organización demuestra su compromiso a través de:

  • La revisión y aprobación de las Políticas de Seguridad de la Información contenidas en este documento por lo menos una vez al año.
  • La promoción activa de una cultura de seguridad.
  • Facilitar la divulgación de este Manual de Políticas de Seguridad de la información a todos los empleados de la Organización.
  • El aseguramiento de los recursos adecuados para implementar y mantener las políticas de seguridad de la información.
  • La verificación del cumplimiento de las políticas aquí mencionadas.

A.6 Gestión De La Seguridad De La Información

6.1 Organización Interna

Beble establecerá un esquema de seguridad de la información en donde existan roles y responsabilidades definidos que consideren actividades de administración, operación y gestión de la seguridad de la información.

6.1.1 Roles Y Responsabilidades Sobre Seguridad De La Información

Las violaciones a las Políticas y Controles de Seguridad de la Información serán reportadas, registradas y monitoreadas a través del procedimiento de Acciones correctivas de la organización.

Normas Dirigidas a: ALTA DIRECCIÓN

  • Debe definir y establecer los roles y responsabilidades relacionados con la seguridad de la información en niveles directivo y operativo.
  • Debe definir y establecer el procedimiento de contacto con las autoridades en caso de ser requerido, así como los responsables para establecer dicho contacto.
  • Debe revisar y aprobar las Políticas de Seguridad de la Información contenidas en este documento.
  • Debe promover activamente una cultura de seguridad de la información en la Organización.
  • Debe facilitar la divulgación de las Políticas de Seguridad de la Información a todas las partes interesadas de la Organización.
  • Deben asignar los recursos, la infraestructura física y el personal necesario para la gestión de la seguridad de la información de la Organización.

Normas Dirigidas a: COMITÉ INTEGRAL

  • Debe actualizar y presentar ante la Alta Dirección las Políticas de Seguridad de la Información, la metodología para el análisis de riesgos de seguridad y la metodología para la clasificación de la información, según lo considere pertinente.
  • Debe analizar los incidentes de seguridad que le son escalados y activar el procedimiento de contacto con las autoridades, cuando lo estime necesario.
  • Debe verificar el cumplimiento de las Políticas de seguridad de la información aquí mencionadas.
  • Debe liderar la generación de lineamientos para gestionar la seguridad de la información de Beble y el establecimiento de controles técnicos, físicos y administrativos derivados de análisis de riesgos de seguridad.
  • Debe validar y monitorear de manera periódica la implantación de los controles de seguridad establecidos.
  • Debe planear y ejecutar las auditorías internas al Sistema de integral de Gestión de Beble a fin de determinar si las Políticas, procesos, procedimientos y controles establecidos están conformes con los requerimientos institucionales, requerimientos de seguridad y regulaciones aplicables.
  • Debe ejecutar revisiones totales o parciales de los procesos o áreas que hacen parte del alcance del Sistema de Gestión de Seguridad de la Información, con el fin de verificar la eficacia de las acciones correctivas cuando sean identificadas las no conformidades.
  • Debe informar a las áreas responsables los hallazgos de las auditorías.

Normas dirigidas a: COORDINACIÓN DE SISTEMAS

  • Debe asignar las funciones, roles y responsabilidades, a los empleados para la operación y administración de la plataforma de la Organización. Dichas funciones, roles y responsabilidades deben encontrarse documentadas y apropiadamente segregadas.

Normas dirigidas a: TODOS LOS USUARIOS

  • Los empleados que realicen labores en Beble, tienen la responsabilidad de cumplir con las Políticas, normas, procedimientos y estándares referentes a la seguridad de la información.

6.1.2 Segregación De Tareas

  • Toda tarea en la cual los Usuarios tengan acceso a la infraestructura tecnológica y a los sistemas de información, debe contar con una definición clara de los roles y responsabilidades, así como del nivel de acceso y los privilegios correspondientes, con el fin de reducir y evitar el uso no autorizado o modificación sobre los activos de información de la Organización, estos se encuentran definidos en la carta “designación de Responsabilidades”.
  • Todos los sistemas de disponibilidad crítica o media de la Organización, deben implementar las reglas de acceso de tal forma que haya segregación de tareas entre quien administre, opere, mantenga, audite y, en general, tenga la posibilidad de acceder a los sistemas de información, así como entre quien otorga el privilegio y quien lo utiliza.
  • Deben estar claramente segregadas las tareas de Sistemas, Coordinación y Operación.
  • Las tareas y áreas de responsabilidad deben estar segregados para reducir las oportunidades de una modificación no-autorizada o mal uso no-intencional o mal uso de los activos de la organización.
  • Se debe tener cuidado que nadie pueda tener acceso, modificar o utilizar los activos sin autorización o detección.
  • Se debe separar la iniciación de un evento de su autorización.
  • Se debe considerar la posibilidad de colusión en el diseño de los controles.

6.1.3 Contacto Con Las Autoridades

  • El Área Administrativa deberá tener actualizado el Directorio de las Autoridades y Grupos de Interés especial de la Organización.
  • En caso de contactar con las autoridades, estas se deberán de aplicar de acuerdo a los Incidentes determinados en la Tabla de Análisis de Riesgos.
  • Reportar de forma inmediata a la Policía Cibernética a la siguiente cuenta de correo (policia_cibernetica@ssp.gob.mx) o a los siguientes números telefónicos 01-800-440-3690; en el D. F. al 51-40-36-90 en caso de encontrase bajo la amenaza de Ciberataque.
  • Cualquier comunicado escrito recibido de las autoridades regulatorias deberá ser recibido y atendido únicamente por personal del área administrativa contable, el Contador de la Empresa y/o Representante Legal.
  • Para la comunicación de las autoridades regulatorias vía electrónica, solamente se les proporcionará el correo electrónico del Contador y/o Representante Legal, para que por este medio sean recibidos los comunicados.
  • Se deberá tener actualizado el directorio de los servicios de emergencia y publicado en las áreas de Vigilancia y Recepción para mantener el contacto.

6.1.4 Contacto Con Grupos De Especial Interés

  • El Área Administrativa deberá tener actualizado el Directorio de los Grupos de Interés especial de la Organización.

Empleados

  • Propiciar acciones de aprendizaje dirigidas a desarrollar los conocimientos y habilidades necesarias para garantizar un óptimo desempeño, logrando al mismo tiempo el desarrollo de los colaboradores.
  • Garantizar el respeto a su dignidad e individualidad y facilitar un ambiente para su bienestar y desarrollo.

Accionistas

  • Buscar proporcionar una rentabilidad razonable de manera sostenida.
  • Transparencia en la información y mayor generación de valor para nuestros accionistas.

Clientes

  • Conocer a sus clientes para poder ofrecer el producto/servicio que sea más acorde a sus necesidades.
  • Brindar un servicio profesional y buscar apoyarlos en su crecimiento y desarrollo, a través del valor de nuestros servicios y experiencia.
  • Velar por la seguridad y la confidencialidad de sus clientes y su información.
  • Dar un trato amable y cordial, mostrando interés por todos sus clientes.
  • Entregar toda la información necesaria de nuestros productos y servicios, para una mejor toma de decisiones por parte de nuestros clientes, de manera clara, transparente y oportuna.

Proveedores

  • El personal de Compras no utilizará la influencia sobre las decisiones de contratación para su beneficio personal.
  • Se deberá promover la igualdad de oportunidades a todos los proveedores para que oferten sus productos y/o servicios en los procesos de compra.
  • Hacer una revisión periódica a los proveedores contratados centralizadamente, así como del cumplimiento de sus compromisos.
  • Mantener relaciones cordiales, propiciar su desarrollo y cubrir el costo de sus servicios de acuerdo a los términos contractuales acordados.

Competencia

  • Contender de manera vigorosa y objetiva, basándonos en prácticas de comercio legales.

Gobierno

  • Generar un ambiente de cumplimiento de las legislaciones vigentes donde operamos, promover una relación y comunicación cercana y respetuosa, colaborar en proyectos e iniciativas en beneficio a la comunidad.
  • Atender los requerimientos de información durante la visita de inspección en cada unidad de la empresa por parte de los organismos reguladores y/o de supervisión.
  • Responder a los requerimientos de información financiera, así como los informes complementarios solicitados por los organismos reguladores y/o de supervisión.
  • Responder de manera adecuada y dentro de los plazos definidos, las notificaciones que los organismos reguladores y/o de supervisión emiten como resultado de las visitas de inspección y asimismo, se efectúe el seguimiento a la implementación de las modificaciones que permitan superar las observaciones producto de dichas visitas.
  • Comunicar a los organismos reguladores y/o de supervisión sobre eventualidades en la empresa que le impidan cumplir con los plazos de entrega de información financiera y/o que afecte el curso normal de sus actividades.
  • Cumplimiento de la Ley y buenas relaciones con el Gobierno.

Medio Ambiente

  • Apoyar iniciativas que promuevan el respeto y preservación del medio ambiente.
  • Organismos Empresariales.
  • Compartir experiencias y mejores prácticas en un ambiente de cordialidad y respeto.

6.1.5 Seguridad De Información En La Gestión De Proyectos

  • En todos los nuevos proyectos de la Organización se deberá firmar un Convenio de Confidencialidad.
  • Se deberá firmar el NDA (Convenio de Confidencialidad) con todos los prospectos de Clientes con el objetivo de compartir material confidencial, conocimientos e información de la Organización.
  • Se deberá firmar el NDA (Convenio de Confidencialidad) con los prospectos de proveedores de la Organización.
  • Se deberá firmar el aviso de privacidad para todos los posibles candidatos que pretendan colaborar en la organización.

6.2 Dispositivos Móviles Y Teletrabajo

Objetivo: Garantizar el uso de los dispositivos móviles y la seguridad del teletrabajo (Conexiones Remotas)

6.2.1 Política de Dispositivos Móviles

Beble proveerá las condiciones para el manejo de los dispositivos móviles (teléfonos Inteligentes, lap tops) institucionales que se utilizan en la Organización. Así mismo, velará porque los usuarios hagan un uso responsable de los servicios y equipos proporcionados por la Organización, se hará la revisión por lo menos 1 vez al mes vía remota.

Normas para uso de dispositivos móviles

Normas dirigidas a: SISTEMAS

  • El área de Sistemas debe investigar y probar las opciones de protección de los dispositivos móviles institucionales que hagan uso de los servicios provistos por Beble.
  • El Área de Sistemas debe establecer las configuraciones aceptables para los dispositivos móviles institucionales o personales que hagan uso de los servicios provistos por Beble.
  • El Área de Sistemas debe establecer un método de bloqueo (por ejemplo, contraseñas, biométricos, patrones) para los dispositivos móviles institucionales que serán entregados a los usuarios. Se debe configurar estos dispositivos para que pasado un tiempo de inactividad se active el bloqueo de la pantalla el cual requerirá el método de desbloqueo configurado.
  • El Área de Sistemas debe activar la opción de cifrado de la memoria de almacenamiento (interna o externa) de los dispositivos móviles institucionales haciendo imposible la copia o extracción de datos si no se conoce el método de desbloqueo.
  • El Área de Sistemas debe configurar la opción de conexión remota en los dispositivos móviles institucionales, con el fin de eliminar los datos de dichos dispositivos y restaurarlos a los valores de fábrica, de forma remota, evitando así divulgación no autorizada de información en caso de pérdida o hurto.
  • El Área de Sistemas debe instalar un software de antivirus en los dispositivos móviles institucionales que hagan uso de los servicios provistos por Beble.
  • El Área de Sistemas debe activar los códigos de seguridad de la tarjeta SIM para los dispositivos móviles institucionales antes de asignarlos a los usuarios y almacenar estos códigos en un lugar seguro.

Normas dirigidas a: TODOS LOS USUARIOS

  • Los usuarios deben evitar usar los dispositivos móviles institucionales en lugares que no les ofrezcan las garantías de seguridad física necesarias para evitar pérdida o robo de estos.
  • Los usuarios no deben modificar las configuraciones de seguridad de los dispositivos móviles institucionales bajo su responsabilidad, ni desinstalar el software provisto con ellos al momento de su entrega.
  • Los usuarios deben evitar la instalación de programas desde fuentes desconocidas; se deben instalar aplicaciones únicamente desde los repositorios oficiales de los dispositivos móviles institucionales.
  • Los usuarios deben, cada vez que el sistema de sus dispositivos móviles institucionales notifique de una actualización disponible, aceptar y aplicar la nueva versión.
  • Los usuarios deben evitar hacer uso de redes inalámbricas de uso público, así como deben desactivar el Bluetooth, en los dispositivos móviles institucionales asignados.
  • Los usuarios deben evitar conectar los dispositivos móviles institucionales asignados por puerto USB a cualquier computadora pública, de hoteles o cafés internet, entre otros.
  • Los usuarios no deben almacenar videos, fotografías o información personal en los dispositivos móviles institucionales asignados.

6.2.2 Teletrabajo

Beble establecerá las circunstancias y requisitos para el establecimiento de conexiones remotas a la plataforma tecnológica de la Organización; así mismo, suministrará las herramientas y controles necesarios para que dichas conexiones se realicen de manera segura.

Normas para uso de conexiones remotas

Normas dirigidas a: SISTEMAS

  • El Área de Sistemas, deben analizar y aprobar los métodos de conexión remota a la plataforma tecnológica de Beble.
  • El Área de Sistemas debe implantar los métodos y controles de seguridad para establecer conexiones remotas hacia la plataforma tecnológica de Beble.
  • El Área de Sistemas debe restringir las conexiones remotas a los recursos de la plataforma tecnológica; únicamente se deben permitir estos accesos a personal autorizado y por periodos de tiempo establecidos, de acuerdo con las labores desempeñadas y debe de ser autorizado por el Director General de acuerdo a la matriz de facultades.
  • En caso de requerir conexiones remotas estas solo podrán efectuarse a través de vpn seguras.
  • El Área de Sistemas debe verificar la efectividad de los controles aplicados sobre las conexiones remotas a los recursos de la plataforma tecnológica de Beble de manera permanente.
  • El Área de Sistemas debe, dentro de su autonomía, realizar auditorías sobre los controles implantados para las conexiones remotas a la plataforma tecnológica de Beble.

Normas dirigidas a: TODOS LOS USUARIOS

  • Los usuarios que realizan conexión remota deben contar con las aprobaciones requeridas para establecer dicha conexión a los dispositivos de la plataforma tecnológica del Beble y deben acatar las condiciones de uso establecidas para dichas conexiones.
  • Los usuarios únicamente deben establecer conexiones remotas en computadoras previamente identificadas y, bajo ninguna circunstancia, en computadoras públicas, de hoteles o cafés internet, entre otros.

A.7 Seguridad De Los Recursos Humanos

7.1 Previo Al Empleo

Beble en su interés por proteger su información y los recursos de procesamiento de la misma demostrará el compromiso de la Alta Dirección en este esfuerzo, promoviendo que el personal cuente con el nivel deseado de conciencia en seguridad de la información para la correcta gestión de los activos de información y ejecutando el proceso disciplinario necesario cuando se incumplan las Políticas de seguridad de la información de la Organización.

Todos los empleados de Beble deben ser cuidadosos de no divulgar información confidencial en lugares públicos, en conversaciones o situaciones que pongan en riesgos la seguridad y el buen nombre de la Organización.

Beble reconoce la importancia que tiene el factor humano para el cumplimiento de sus objetivos misionales y, con el interés de contar con el personal mejor calificado, garantizará que la vinculación de nuevo personal se realizara siguiendo un proceso formal de selección, acorde con la legislación vigente, el cual estará orientado a las funciones y roles que deben desempeñar los usuarios en sus cargos.

Controles para reducir los riesgos de error humano, robo, fraude y utilización abusiva de los equipamientos. Desde la vinculación del personal, se deben tener controles que permitan verificar la idoneidad e identidad, ética profesional y conducta.

Los términos y condiciones de empleo o trabajo deben establecer la responsabilidad de los empleados, por la seguridad de los activos de información, que van más allá de la finalización de la relación laboral o contractual, por lo que se debe firmar un acuerdo de confidencialidad que se hace extensivo a los proveedores y terceros que tengan acceso a la información.

Deben existir mecanismos de información y capacitación para los usuarios en materia de seguridad, así como de reporte de incidentes que puedan afectarla. Los empleados deben cooperar con los esfuerzos por proteger la información y ser responsables de actualizarse en cada materia, así como consultar con el encargado de la seguridad de la información, en caso de duda o desconocimiento de un procedimiento formal, ya que esto no lo exonera de una acción disciplinaria que deba llevarse a cabo cuando se incurra en violaciones a las Políticas o normas de seguridad.

  • Al momento de asignar un activo a un usuario, este debe hacerse responsable de el mismo y comprometerse a reportar cualquier falla y entregarlo en perfecto estado.
  • Los propietarios de la información deben definir los niveles de acceso de cada usuario.
  • Todos los empleados deben firmar su contrato laboral que contienen el acuerdo de confidencialidad.
  • Se deben realizar capacitaciones periódicas sobre los sistemas de información y el uso de la misma.
  • Se debe realizar capacitación a empleados sobre aspectos de seguridad de la información.
  • Los usuarios de servicios de información, al momento de tomar conocimiento directo o indirectamente acerca de una debilidad de seguridad, son responsables de registrar y comunicar las mismas al Comité Integral.

Generalidades

La seguridad de la información se basa en la capacidad para preservar su integridad, confidencialidad y disponibilidad, por parte de los elementos involucrados en su tratamiento: equipamiento, software, procedimientos, así como de los recursos humanos que utilizan dichos componentes.

En este sentido, es fundamental educar e informar al personal desde su ingreso y en forma continua, cualquiera que sea su situación, acerca de las medidas de seguridad que afectan al desarrollo de sus funciones y de las expectativas depositadas en ellos en materia de seguridad y asuntos de confidencialidad. De la misma forma, es necesario definir las sanciones que se aplicarán en caso de incumplimiento.

La implementación de las Políticas de Seguridad de la Información tiene como meta minimizar la probabilidad de ocurrencia de incidentes. Es por ello que resulta necesario implementar un mecanismo que permita reportar las debilidades y los incidentes tan pronto como sea posible, a fin de subsanarlos y evitar eventuales replicaciones. Por lo tanto, es importante analizar las causas del incidente producido y aprender del mismo, a fin de corregir las prácticas existentes, que no pudieron prevenirlo, y evitarlo en el futuro.

Objetivo

Reducir los riesgos de error humano, uso inadecuado de instalaciones y recursos, y manejo no autorizado de la información.

Explicar las responsabilidades en materia de seguridad de la información en la etapa de reclutamiento de personal e incluirlas en los acuerdos a firmarse y verificar su cumplimiento durante el desempeño del individuo como empleado.

Garantizar que los usuarios estén al corriente de las amenazas e incumbencias en materia de seguridad de la información, y se encuentren capacitados para respaldar las Políticas de Seguridad de la información de Beble en el transcurso de sus tareas normales.

Establecer Compromisos de Confidencialidad con todo el personal de las instalaciones de procesamiento de información.

Establecer las herramientas y mecanismos necesarios para promover la comunicación de debilidades existentes en materia de seguridad de la información, así como de los incidentes ocurridos, con el objeto de minimizar sus efectos y prevenir su reincidencia.

7.1.1 Investigación De Antecedentes

Los responsables de cada área junto con la Dirección de la Organización deben definir los perfiles de cualificación que definen las funciones y responsabilidades de seguridad de la organización, adecuados a los requisitos del puesto a ocupar, en los que se especificará las competencias que deben cubrir las personas que ocupen el puesto de trabajo en cuestión con base en la Carta de Designación de Responsabilidades

La selección de personal se realizará siguiendo estos perfiles e informando de las obligaciones y responsabilidades al empleado, junto a los términos y condiciones de contratación conforme indica el Procedimiento de Reclutamiento y Selección de Personal

Normas relacionadas con la vinculación de Empleados

Normas dirigidas a: RECURSOS HUMANOS

  • Debe de realizar un Estudio Socioeconómico al Empleado antes de ingresar y ocupar un cargo en Beble, y validar sus Referencias Personales y Laborales, así como su Carta de Antecedentes No Penales de acuerdo a lo establecido en el procedimiento de Reclutamiento y selección de personal.
  • Debe realizar las verificaciones necesarias para confirmar la veracidad de la información suministrada por el personal candidato a ocupar un cargo en Beble, antes de su vinculación definitiva.
  • Debe certificar que los empleados de la Organización firmen una Carta de Confidencialidad, Carta Responsiva de Claves y Facultades de Acceso a los Sistemas, Carta Responsiva de Claves y Facultades de Acceso a OWA y Mail, Carta Responsiva de Software y Carta de Designación de Responsabilidades; estos documentos deben ser anexados a los demás documentos relacionados con la ocupación del cargo y deberán estar anexados en el Expediente de cada uno de los empleados de la Organización.

7.1.2 Términos Y Condiciones Del Empleo

Se deberán de apegar a lo establecido en el Procedimiento de Reclutamiento y Selección de Personal y al modelo de contrato laboral donde se establecen los términos y condiciones de la relación laboral así como las responsabilidades del empleado en materia de seguridad de la información.

Cuando corresponda, los términos y condiciones de empleo establecerán que estas responsabilidades se extienden más allá de los límites de la sede de la Organización y del horario normal de trabajo.

Los derechos y obligaciones del empleado relativos a la seguridad de la información, por ejemplo en relación con las leyes de Propiedad Intelectual o la legislación de protección de datos, se encontrarán aclarados e incluidos en los términos y condiciones de empleo.

7.2 Durante El Empleo

Durante la vida laboral, todo el personal de Beble, deberá recibir una formación y concientización adecuada y actualizada del Sistema integral de Gestión, así como el “Manual de Políticas de Seguridad de la Información”, adaptada según el puesto de trabajo y las necesidades de seguridad que vayan siendo detectadas por parte de los responsables del área al que pertenezca el empleado.

La formación deberá de aplicarse con base al procedimiento de capacitación de la organización, y debe incluir requisitos de seguridad, responsabilidades legales y controles de negocio, así como formación en el uso correcto de los recursos de tratamiento de la información.

7.2.1 Responsabilidades Gerenciales

El Responsable del Área de Recursos Humanos incluirá las funciones relativas a la seguridad de la información en las descripciones de puestos de los empleados, informará a todo el personal que ingresa de sus obligaciones respecto del cumplimiento de las Políticas de Seguridad de la Información, gestionará los Compromisos de Confidencialidad con el personal y coordinará las tareas de capacitación de usuarios respecto de la presente Política.

El Área de Sistemas tiene a cargo el seguimiento, documentación y análisis de los incidentes de seguridad de la información reportados, así como su comunicación al Comité Integral y a los propietarios de la información.

El Comité Integral será responsable de implementar los medios y canales necesarios para que el Área de Sistemas maneje los reportes de incidentes y anomalías de los sistemas. Así mismo, dicho Comité, tomará conocimiento, efectuará el seguimiento de la investigación, controlará la evolución e impulsará la resolución de los incidentes relativos a la seguridad de la información.

El Área de Administración participará en la confección del Compromiso de Confidencialidad a firmar por los empleados y terceros que desarrollen funciones en la Organización, en el asesoramiento sobre las sanciones a ser aplicadas por incumplimiento de la presente Política y en el tratamiento de incidentes de seguridad de la información que requieran de su intervención.

Todo el personal de Beble es responsable del reporte de debilidades e incidentes de seguridad que oportunamente se detecten.

Las funciones y responsabilidades en materia de seguridad de la Información serán incorporadas en la descripción de las responsabilidades de los puestos de trabajo (Carta de Designación de Responsabilidades)

Éstas incluirán las responsabilidades generales relacionadas con la implementación y el mantenimiento de la Política de Seguridad, y las responsabilidades específicas vinculadas a la protección de cada uno de los activos, o la ejecución de procesos o actividades de seguridad determinadas.

7.2.2 Concientización, Educación Y Capacitación En La Seguridad De La Información

Todos los empleados de Beble y cuando sea pertinente, que desempeñen funciones en la Organización, recibirán una adecuada capacitación y actualización periódica en materia de la política, normas y procedimientos de Beble. Esto comprende los requerimientos de seguridad y las responsabilidades legales, así como la capacitación referida al uso correcto de las instalaciones de procesamiento de información y el uso correcto de los recursos en general, como por ejemplo su Estación de Trabajo con base en la Política Uso Aceptable de los Activos.

El Responsable de Capacitación será el encargado de coordinar las acciones de capacitación que surjan de la presente Política.

Cada semestre se revisará el material correspondiente a la capacitación, a fin de evaluar la pertinencia de su actualización, de acuerdo al estado del material de ese momento.

El personal que ingrese a Beble recibirá el material, indicándosele el comportamiento esperado en lo que respecta a la seguridad de la información, antes de serle otorgados los privilegios de acceso a los sistemas que correspondan.

Por otra parte, se arbitrarán los medios técnicos necesarios para comunicar a todo el personal, eventuales modificaciones o novedades en materia de seguridad, que deban ser tratadas con un orden preferencial por medio del Boletín Interno y Capacitación.

Beble en su interés por proteger su información y los recursos de procesamiento de la misma demostrará el compromiso de la Alta Dirección en este esfuerzo, promoviendo que el personal cuente con el nivel deseado de conciencia en seguridad de la información para la correcta gestión de los activos de información y ejecutando el proceso disciplinario necesario cuando se incumplan las Políticas de seguridad de la información de la Organización.

Todos los empleados de Beble deben ser cuidadosos de no divulgar información confidencial en lugares públicos, en conversaciones o situaciones que pongan en riesgos la seguridad de la información y el buen nombre de la Organización.

  • La Alta Dirección debe demostrar su compromiso con la seguridad de la información por medio de su aprobación de las Políticas, normas y demás lineamientos que desee establecer la Organización.
  • La Alta Dirección debe promover la importancia de la seguridad de la información entre los empleados de Beble así como motivar el entendimiento, la toma de conciencia y el cumplimiento de las Políticas, normas, procedimientos y estándares para la seguridad de la información establecidos.
  • La Alta Dirección definió y estableció el proceso disciplinario a través del reglamento interior de trabajo de la organización donde se establece el proceso disciplinario existente en la organización, el tratamiento de las faltas de cumplimiento a las Políticas de seguridad o los incidentes de seguridad que lo ameriten.
  • El Área de Sistemas debe diseñar y ejecutar de manera permanente un programa de concientización en seguridad de la información, con el objetivo de apoyar la protección adecuada de la información y de los recursos de procesamiento la misma.
  • Se debe capacitar a los empleados de Beble en el programa de concientización en seguridad de la información para evitar posibles riesgos de seguridad de acuerdo a lo establecido en el procedimiento de capacitación de la organización.
  • Se debe aplicar el proceso disciplinario de la Organización cuando se identifiquen violaciones o incumplimientos a las Políticas de seguridad de la información de acuerdo a lo establecido en el reglamento interior de trabajo.
  • Se debe convocar a los empleados a las capacitaciones y eventos programados como parte del programa de concientización en seguridad de la información, proveer los recursos para la ejecución de las capacitaciones y controlar la asistencia a dichas charlas y eventos, aplicando las sanciones pertinentes por la falta de asistencia no justificada.
  • Los empleados que por sus funciones hagan uso de la información de Beble, deben dar cumplimiento a las Políticas, normas y procedimientos de seguridad de la información, así como asistir a las capacitaciones que sean referentes a la seguridad de la información.
  • Todos los empleados de Beble y, cuando sea pertinente, que desempeñen funciones en la Organización, recibirán una adecuada capacitación y actualización periódica en materia de la política, normas y procedimientos de Beble. Esto comprende los requerimientos de seguridad de la información y las responsabilidades legales, así como la capacitación referida al uso correcto de las instalaciones de procesamiento de información y el uso correcto de los recursos en general, como por ejemplo su Estación de Trabajo.
  • El personal que ingrese a Beble recibirá el material y equipo necesario, indicándosele el comportamiento esperado con base en la política de Gestión de Activos, antes de serle otorgados los privilegios de acceso a los sistemas que correspondan.
  • El Responsable de Capacitación será el encargado de coordinar las acciones de capacitación que surjan de la presente Política.
  • El Responsable de Capacitación revisará el material correspondiente a la capacitación, a fin de evaluar la pertinencia de su actualización, de acuerdo al estado del material de ese momento.

Por otra parte, se arbitrarán los medios técnicos necesarios para comunicar a todo el personal, eventuales modificaciones o novedades en materia de seguridad, que deban ser tratadas con un orden preferencial por medio del Boletín Interno y Capacitación.

7.2.3 Proceso Disciplinario

  • Todos los empleados de la Organización deben mantener en absoluta reserva la información, documentación y sistemas a la cual tendrán acceso, guardando secreto profesional y preservando en todo momento la Seguridad de la Información.
  • Todos los empleados de la Organización deberán reconocer que la herramienta es propiedad de Beble y se obligan a no hacer mal uso de la información a la que tendrán acceso, papel, medio magnético o electrónico, entendiéndose por uso indebido de la información cualquier acto u omisión que cause daño en su patrimonio al sujeto del que se posea información. Cualquier acción que se traduzca en daño el patrimonio al sujeto del que se posea información, cualquier acción que se traduzca en daño al patrimonio o reputación de Beble Digital Solution, SAPI de C.V. y cualquiera de las partes interesadas de la organización, así como cualquier acción que derive en un beneficio patrimonial.
  • Todos los empleados de la Organización deberán cumplir con las normas éticas y Políticas sobre conflictos de interés en su relación Beble Digital Solution, SAPI de C.V y las partes interesadas.
  • Ningún empleado de la Organización deberá recibir ofrecimientos de incentivos o regalos de persona alguna que quiera beneficiarse de la información exclusiva de Beble Digital Solution, SAPI de C.V y de las partes interesadas.
  • Ningún empleado de la Organización deberá reproducir por medios propios o de terceros ya sea parcial o totalmente la información contenida en dichos Reportes para su uso manejo y comercialización fuera y dentro de las instalaciones de Beble Digital Solution, SAPI de C.V.
  • Ningún empleado de la Organización deberá hacer uso comercial de la información a la que tendrá acceso ya sea por medios físicos, medios magnéticos o electrónicos.

7.3.1 Terminación o Cambio de Empleo

Todos los empleados de la organización deberán de apegarse al procedimiento de desvinculación laboral para los casos relacionados con el cese del puesto de trabajo, todos los empleados, deben devolver todos los activos (componentes software, documentos y equipos prestados) de la organización que tengan en su posesión y estén relacionados con su empleo con base en la Carta de Designación de Responsabilidades. Así mismo, se deberán revocar todos los privilegios al usuario cesado en todos los entornos de producción o accesibles desde el exterior de la organización.

El objetivo es asegurar que los empleados, salgan de la organización o cambien de empleo de una forma ordenada.

Beble asegurará que sus empleados serán desvinculados o reasignados para la ejecución de nuevas labores de una forma ordenada, controlada y segura, requisitando al 100% el formato de Altas, Bajas y Cambios (ABC).

Normas para la desvinculación, vacaciones o cambios de labores de los empleados:

  • Recursos Humanos debe realizar el proceso de desvinculación, vacaciones o cambio de labores de los empleados de la Organización llevando a cabo los procedimientos y ejecutando los controles establecidos para tal fin.
  • Recursos Humanos debe monitorear y reportar de manera inmediata la desvinculación o cambio de labores de los empleados al área de Sistemas.
  • Recursos Humanos debe verificar los reportes de desvinculación o cambio de labores y posteriormente debe solicitar la modificación o inhabilitación de usuarios del Área de Sistemas.

Hacer un seguimiento del uso del Correo Electrónico del empleado antes de salir definitivamente de la empresa, por si llegaran a sacar información confidencial (sujeto a las Políticas aplicables y a consideraciones legales sobre privacidad).

En los casos relacionados con el cambio de puesto de trabajo dentro de la organización el Administrador del Sistema deberá revocar todos los privilegios excesivos que el usuario tuviera en el puesto actual respecto al nuevo puesto a desempeñar de acuerdo la matriz de facultades.

Cambios en la responsabilidad y empleos dentro de la organización deben ser manejados como la terminación de la respectiva responsabilidad o empleo, en línea con esta sección.

A.8 Gestión De Activos

8.1 Responsabilidad sobre Activos

Beble como propietario de la información física así como de la información generada, procesada, almacenada y transmitida con su plataforma tecnológica, otorgará responsabilidad a las áreas sobre sus activos de información con base en la Carta de Designación de Responsabilidades, asegurando el cumplimiento de las directrices que regulen el uso adecuado de la misma.

La información, archivos físicos, los sistemas, los servicios y los equipos (ej. estaciones de trabajo, equipos portátiles, impresoras, redes, Internet, correo electrónico, herramientas de acceso remoto, aplicaciones, teléfonos, entre otros) propiedad de Beble, son activos de la Organización y se proporcionan a los empleados, para cumplir con los propósitos del negocio, mediante Carta de Designación de Responsabilidades.

Toda la información sensible de Beble, así como los activos donde ésta se almacena y se procesa deben ser asignados a un responsable, inventariados y posteriormente clasificados, de acuerdo con los requerimientos y los criterios establecidos en la Matriz de Facultades. El área de compras debe llevar a cabo el levantamiento y la actualización permanente del inventario de activos de la Organización.

8.1.1 Inventario de Activos

  • El Director General de Beble, actúa como propietario de la información física y electrónica de la Organización, ejerciendo así la facultad de aprobar o revocar el acceso a su información con los perfiles adecuados para tal fin.
  • El área de compras debe generar un inventario de activos de información para las áreas o procesos de la Organización, acogiendo las indicaciones de las guías de clasificación de la información; así mismo, deben mantener actualizado el inventario de sus activos de información.

8.1.2 Dueños de Activos

  • Los propietarios de los activos de información deben monitorear periódicamente la validez de los usuarios y sus perfiles de acceso a la información.
  • Los propietarios de los activos de información deben ser conscientes que los recursos de procesamiento de información de la Organización, se encuentran sujetos a auditorias.
  • El Área de Sistemas es la propietaria de los activos de información correspondientes a la plataforma tecnológica de Beble y, en consecuencia, debe asegurar su apropiada operación y administración.
  • El Área de Sistemas en conjunto con la Alta Dirección, son quienes deben autorizar la instalación, cambio o eliminación de componentes de la plataforma tecnológica de Beble.
  • El Área de Sistemas debe establecer una configuración adecuada para los recursos tecnológicos, con el fin de preservar la seguridad de la información y hacer un uso adecuado de ellos.
  • El Área de Sistemas es responsable de preparar las estaciones de trabajo fijas y/o portátiles de los empleados y de hacer entrega de las mismas.
  • El Área de Sistemas es responsable de recibir los equipos de trabajo fijo y/o portátil para su reasignación o disposición final, y generar copias de seguridad de la información de los empleados que se retiran o cambian de labores, cuando les es formalmente solicitado.
  • El Área de Sistemas debe realizar una prueba de Vulnerabilidad cuando menos dos veces al año, sobre los procesos de Beble.
  • El Área de Sistemas debe definir las condiciones de uso y protección de los activos de información, tanto los tecnológicos como aquellos que no lo son.
  • El Área de Sistemas debe realizar revisiones periódicas de los recursos de la plataforma tecnológica y los sistemas de información de la Organización.
  • La Alta Dirección y Los Coordinadores de Área deben autorizar a sus empleados el uso de los recursos tecnológicos, previamente preparados por el Área de Sistemas.
  • Los Coordinadores de Área en conjunto con el área de Sistemas, deben recibir los recursos tecnológicos asignados a sus colaboradores cuando estos se retiran de la Organización o son trasladados de área con base en la Carta de Designación de Responsabilidades.
  • En el momento de desvinculación o cambio de labores, los empleados deben realizar la entrega de su puesto de trabajo al Coordinador de Área en conjunto con el Personal del área de Sistemas; así mismo, se deberá realizar la entrega de los recursos tecnológicos y otros activos de información suministrados en el momento de su vinculación con base en la Carta de Designación de Responsabilidades.

8.1.3 Uso Aceptable de Activos

  • Los empleados no deben consumir alimentos y bebidas en los lugares de trabajo, para evitar derrames de líquidos sobre los activos de información.
  • Los empleados no deben utilizar sus equipos de cómputo y dispositivos móviles personales para desempeñar las actividades laborales.
  • Los empleados no deben utilizar software no autorizado o de su propiedad en la plataforma tecnológica del Beble.
  • Los empleados deben asegurarse del bloqueo de los activos de información cuando no los estén utilizando.
  • Los empleados no deben conectar ningún dispositivo ajeno a la organización en ningún activo de información bajo su responsabilidad.
  • Los empleados de desconectar o reubicar ningún activo de información de la Organización.
  • Los empleados no deben de utilizar los activos de información para actividades distintas de acuerdo con las características de fábrica.
  • Los empleados no deben compartir aquellos activos de información que les fueron asignados de forma individual con base en la Carta de Designación de Responsabilidades.
  • La información proporcionada por los empleados en los activos de información debe de ser correcta, verídica, oportuna, clara.
  • Los recursos tecnológicos de Beble, deben ser utilizados de forma ética y en cumplimiento de las leyes y reglamentos vigentes y las condiciones de uso y protección de los activos de información definida por el área de sistemas, con el fin de evitar daños o pérdidas sobre la operación o la imagen de la Organización.
  • Los recursos tecnológicos de Beble provistos a los empleados, son proporcionados con el único fin de llevar a cabo las labores de la Organización; por consiguiente, no deben ser utilizados para fines personales o ajenos a este.
  • Todas las estaciones de trabajo, dispositivos móviles y demás recursos tecnológicos son asignados a un responsable con base en la Carta de Designación de Responsabilidades, por lo cual es su compromiso hacer uso adecuado y eficiente de dichos recursos y las condiciones de uso y protección de los activos de información.

8.1.4 Retorno de los Activos

  • Tras la desvinculación de un empleado de Beble, se cancelan los derechos de acceso a los activos asociados con los sistemas de información y a los servicios de la organización.
  • Los cambios en un empleo deben reflejarse en la retirada de todos los derechos de acceso que no sean aprobados para el nuevo empleo.
  • Los derechos de acceso deben ser retirados o adaptados, incluyendo acceso físico y lógico, llaves, instalaciones del proceso de información y retirada de cualquier documentación que los identifica como un miembro actual de la organización.

Los derechos de acceso para activos de información y equipos se deben reducir o retirar antes que el empleo termine o cambie, dependiendo de la evaluación de los factores de riesgo como:

a) Si la finalización o cambio es iniciado por el empleado, contratista o usuario de tercero, o por la gerencia y la razón de la finalización.

b) Las responsabilidades actuales del empleado u otro usuario.

c) El valor de los activos a los que se accede actualmente.

8.2 Clasificación de Activos

Beble definirá los niveles más adecuados para clasificar su información de acuerdo con su sensibilidad, y generará una guía de Clasificación de la Información para que los propietarios de la misma la cataloguen y determinen los controles requeridos para su protección.

8.2.1 Guías de Clasificación

Toda la información de Beble debe ser identificada, clasificada y documentada de acuerdo con las guías de Clasificación de la Información establecidas por el Comité Integral.

Una vez clasificada la información, Beble proporcionará los recursos necesarios para la aplicación de controles en busca de preservar la confidencialidad, integridad y disponibilidad de la misma, con el fin de promover el uso adecuado por parte de los empleados de la Organización que se encuentren autorizados y requieran de ella para la ejecución de sus actividades.

Normas para la clasificación y manejo de la información

  • El Comité Integral debe recomendar los niveles de clasificación de la información propuestos por el área de Sistemas y la tabla de clasificación de la Información de Beble para que sean aprobados por la Alta Dirección.
  • El área de Sistemas definió los niveles de clasificación de la información para Beble y se encuentran descritos en la tabla de clasificación de la Información.
  • El área de Sistemas debe dar a conocer la tabla de clasificación de la Información a los empleados de la Organización.
  • El área de Sistemas debe monitorear con una periodicidad establecida la aplicación de la tabla de clasificación de la Información.
  • El Área de Sistemas debe proveer los métodos de cifrado de la información, así como debe administrar el software o herramienta utilizado para tal fin.
  • El Área de Sistemas debe efectuar la eliminación segura de la información con base en la política de Desecho de Medios, a través de los mecanismos necesarios en la plataforma tecnológica, ya sea cuando son dados de baja o cambian de usuario.
  • El Área de Sistemas deben definir los métodos de cifrado de la información de la organización de acuerdo al nivel de clasificación de los activos.
  • Los propietarios de los activos de información deben clasificar su información de acuerdo con la tabla de clasificación de la Información establecida.
  • Los propietarios de los activos de información son responsables de monitorear periódicamente la clasificación de sus activos de información y de ser necesario realizar su re-clasificación.
  • Los usuarios deben acatar la tabla de clasificación de la Información para el acceso, divulgación, almacenamiento, copia, transmisión, etiquetado y eliminación de la información contenida en los recursos tecnológicos, así como de la información física de la Organización.
  • La información física y digital de Beble debe tener un periodo de almacenamiento que puede ser dictaminado por requerimientos legales o misionales; este período debe ser indicado en la Tabla de Control de Documentos y Registros y cuando se cumpla el periodo de expiración, toda la información debe ser eliminada adecuadamente con base en la política de Desecho de Medios.
  • Los usuarios deben tener en cuenta estas consideraciones cuando impriman, escaneen, y saquen copias: verificar las áreas adyacentes a impresoras, escáneres y fotocopiadoras para asegurarse que no quedaron documentos relacionados o adicionales; así mismo, recoger de las impresoras, escáneres y fotocopiadoras inmediatamente los documentos confidenciales para evitar su divulgación no autorizada.
  • Los empleados deben asegurarse que en el momento de ausentarse de su puesto de trabajo, sus escritorios se encuentren libres de documentos y medios de almacenamiento, utilizados para el desempeño de sus labores; estos deben contar con las protecciones de seguridad necesarias de acuerdo con su nivel de clasificación.
  • La información que se encuentra en documentos físicos debe ser protegida, a través de controles de acceso físico y las condiciones adecuadas de almacenamiento y resguardo.

TABLA DE CLASIFICACION DE LA INFORMACION