Última revisión: 01 de Enero de 2022.
INTRODUCCION
En Beble Digital Solutions S.A.P.I de C.V. (Beble) se identifica la información como un componente indispensable en la conducción y consecución de los objetivos definidos por la estrategia de la Organización, razón por la cual es necesario establecer un marco en el cual se asegure que la información es protegida de manera adecuada, independientemente de la forma en la que ésta sea manejada, procesada, transportada o almacenada.
Este documento describe las políticas y normas de seguridad de la información definidas por Beble. Para la elaboración del mismo, se toman como base las leyes y demás regulaciones aplicables a la norma ISO 27001:2013.
Las políticas incluidas en este manual constituyen parte fundamental del sistema de gestión de seguridad de la información de Beble y se convierten en la base para la implantación de los controles, procedimientos y estándares definidos.
La seguridad de la información es una prioridad para Beble y por tanto es responsabilidad de todos velar por que no se realicen actividades que contradigan la esencia y el espíritu de cada una de estas políticas.
OBJETIVO
Establecer las políticas de seguridad de la información de Beble, con el fin de regular la gestión de la seguridad de la información en la Organización.
ALCANCE
Las políticas de seguridad de la información cubren todos los aspectos administrativos y de control que deben ser cumplidos por los Directivos y todo el personal de la Organización que laboren en Beble, así como sus partes interesadas, para conseguir un adecuado nivel de protección de seguridad y calidad de la información relacionada con nuestros Clientes.
DEFINICIONES
Activo de información: cualquier componente (humano, tecnológico, software, documental o de infraestructura) que soporta uno o más procesos de negocios de la Organización y, en consecuencia, debe ser protegido.
Acuerdo de Confidencialidad: es un documento en los que los empleados de Beble o los provistos por terceras partes manifiestan su voluntad de mantener la confidencialidad de la información de la Organización, comprometiéndose a no divulgar, usar o explotar la información confidencial a la que tengan acceso en virtud de la labor que desarrollan dentro o fuera de la misma.
Análisis de riesgos de seguridad de la información: proceso sistemático de identificación de fuentes, estimación de impactos, probabilidades y comparación de dichas variables contra criterios de evaluación para determinar las consecuencias potenciales de pérdida de confidencialidad, integridad y disponibilidad de la información.
Autenticación: es el procedimiento de comprobación de la identidad de un usuario o recurso tecnológico al tratar de acceder a un recurso de procesamiento o sistema de información.
Capacity Planning: es el proceso para determinar la capacidad de los recursos de la plataforma tecnológica que necesita la entidad para satisfacer las necesidades de procesamiento de dichos recursos de forma eficiente y con un rendimiento adecuado.
Cifrado: es la transformación de los datos mediante el uso de la criptografía para producir datos ininteligibles (cifrados) y asegurar su confidencialidad. El cifrado es una técnica muy útil para prevenir la fuga de información, el monitoreo no autorizado e incluso el acceso no autorizado a los repositorios de información.
Confidencialidad: es la garantía de que la información no está disponible o divulgada a personas, entidades o procesos no autorizados.
Control: es toda actividad o proceso encaminado a mitigar o evitar un riesgo. Incluye políticas, procedimientos, guías, estructuras organizacionales y buenas prácticas, que pueden ser de carácter administrativo, tecnológico, físico o legal.
Criptografía: es la disciplina que agrupa a los principios, medios y métodos para la transformación de datos con el fin de ocultar el contenido de su información, establecer su autenticidad, prevenir su modificación no detectada y/o prevenir su uso no autorizado.
Custodia del activo de información: es la unidad organizacional o proceso, designado por los propietarios, encargado de mantener las medidas de protección establecidas sobre los activos de información confiados.
Derechos de Autor: es un conjunto de normas y principios que regulan los derechos morales y patrimoniales que la ley concede a los autores por el solo hecho de la creación de una obra literaria, artística o científica, tanto publicada o que todavía no se haya publicado.
Disponibilidad: es la garantía de que los usuarios autorizados tienen acceso a la información y a los activos asociados cuando lo requieren.
Equipo de cómputo: dispositivo electrónico capaz de recibir un conjunto de instrucciones y ejecutarlas realizando cálculos sobre los datos numéricos, o bien compilando y correlacionando otros tipos de información.
Guías de clasificación de la información: directrices para catalogar la información de la Organización y hacer una distinción entre la información que es crítica y aquella que lo es menos o no lo es y, de acuerdo con esto, establecer diferencias entre las medidas de seguridad a aplicar para preservar los criterios de confidencialidad, integridad y disponibilidad de la información.
Hacking ético: es el conjunto de actividades para ingresar a las redes de datos y voz de la Organización con el objeto de lograr un alto grado de penetración en los sistemas, de forma controlada, sin ninguna intensión maliciosa, ni delictiva y sin generar daños en los sistemas o redes, con el propósito de mostrar el nivel efectivo de riesgo al cual está expuesta la información, y proponer eventuales acciones correctivas para mejorar el nivel de seguridad.
Incidente de Seguridad: es un evento adverso, confirmado o bajo sospecha, que haya vulnerado la seguridad de la información o que intente vulnerarla, sin importar la información afectada, la plataforma tecnológica, la frecuencia, las consecuencia, el número de veces ocurrido o el origen (interno o externo).
Integridad: es la protección de la exactitud y estado completo de los activos.
Inventario de activos de información: es una lista ordenada y documentada de los Activos de información pertenecientes a la Organización.
Licencia de software: es un contrato en donde se especifican todas las normas y cláusulas que rigen el uso de un determinado producto de software, teniendo en cuenta aspectos como: alcances de uso, instalación, reproducción y copia de estos productos.
Medio removible: es cualquier componente extraíble de hardware que sea usado para el almacenamiento de información; los medios removibles incluyen cintas, discos duros removibles, Cd’s, DVD y unidades de almacenamiento USB, entre otras.
Perfiles de usuario: son grupos que concentran varios usuarios con similares necesidades de información y autorizaciones idénticas sobre los recursos tecnológicos o los sistemas de información a los cuales se les concede acceso de acuerdo con las funciones realizadas. Las modificaciones sobre un perfil de usuario afectan a todos los usuarios incluidos dentro de él.
Propiedad intelectual: es el reconocimiento de un derecho particular en favor de un autor u otros titulares de derechos, sobre las obras del intelecto humano. Este reconocimiento es aplicable a cualquier propiedad que se considere de naturaleza intelectual y merecedora de protección, incluyendo las invenciones científicas y tecnológicas, las producciones literarias o artísticas, las marcas y los identificadores, los dibujos y modelos industriales y las indicaciones geográficas.
Propietario de la información: es la unidad organizacional o proceso donde se crean los activos de información.
Recursos tecnológicos: son aquellos componentes de hardware y software tales como: servidores (de aplicaciones y de servicios de red), estaciones de trabajo, equipos portátiles, dispositivos de comunicaciones y de seguridad, servicios de red de datos y bases de datos, entre otros, los cuales tienen como finalidad apoyar las tareas administrativas necesarias para el buen funcionamiento y la optimización del trabajo al interior de Beble.
Registros de Auditoría: son archivos donde son registrados los eventos que se han identificado en los sistemas de información, recursos tecnológicos y redes de datos de la Organización. Dichos eventos pueden ser, entre otros, identificación de usuarios, eventos y acciones ejecutadas, terminales o ubicaciones, intentos de acceso exitosos y fallidos, cambios a la configuración, uso de utilidades y fallas de los sistemas.
Responsable por el activo de información: es la persona o grupo de personas, designadas por los propietarios, encargados de velar por la confidencialidad, la integridad y disponibilidad de los activos de información y decidir la forma de usar, identificar, clasificar y proteger dichos activos a su cargo.
SGSI: Sistema de Gestión de Seguridad de la Información.
Sistema de información: es un conjunto organizado de datos, operaciones y transacciones que interactúan para el almacenamiento y procesamiento de la información que, a su vez, requiere la interacción de uno o más activos de información para efectuar sus tareas. Un sistema de información es todo componente de software ya sea de origen interno, es decir desarrollado por Beble o de origen externo ya sea adquirido por la Organización como un producto estándar de mercado o desarrollado para las necesidades de ésta.
Sistemas de control ambiental: son sistemas que utilizan la climatización, un proceso de tratamiento del aire que permite modificar ciertas características del mismo, fundamentalmente humedad y temperatura y, de manera adicional, también permite controlar su pureza y su movimiento.
Software malicioso: es una variedad de software o programas de códigos hostiles e intrusivos que tienen como objeto infiltrarse o dañar los recursos tecnológicos, sistemas operativos, redes de datos o sistemas de información.
Terceros: todas las personas, jurídicas o naturales, como proveedores, contratistas o consultores, que provean servicios o productos a la Organización.
Vulnerabilidades: son las debilidades, hoyos de seguridad o flaquezas inherentes a los activos de información que pueden ser explotadas por factores externos y no controlables por la Organización (amenazas), las cuales se constituyen en fuentes de riesgo.
Evaluación de Riesgos: Se entiende por evaluación de riesgos a la evaluación de las amenazas y vulnerabilidades relativas a la información y a las instalaciones de procesamiento de la misma, la probabilidad de que ocurran y su potencial impacto en la operación de la Organización.
Administración de Riesgos: Se entiende por administración de riesgos al proceso de identificación, control y minimización o eliminación, a un costo aceptable, de los riesgos de seguridad que podrían afectar a la información. Dicho proceso es cíclico y debe llevarse a cabo en forma periódica.
ANEXO A
A.5 Política de seguridad de información
En Beble la información es un activo fundamental para la prestación de sus servicios y la toma de decisiones eficientes, razón por la cual existe un compromiso expreso de protección de sus propiedades más significativas como parte de una estrategia orientada a la continuidad del negocio, la administración de riesgos y la consolidación de una cultura de seguridad.
Consciente de las necesidades actuales, Beble implementa un modelo de gestión de seguridad de la información como la herramienta que permite identificar y minimizar los riesgos a los cuales se expone la información, ayuda a la reducción de costos operativos y financieros, establece una cultura de seguridad y garantiza el cumplimiento de los requerimientos legales, contractuales, regulatorios y de negocio vigentes.
El Personal de Oficinas, Personal externo, proveedores y todos aquellos que tengan responsabilidades sobre las fuentes, repositorios y recursos de procesamiento de la información de Beble, deben adoptar los lineamientos contenidos en el presente documento y en los documentos relacionados con él, con el fin de mantener la confidencialidad, la integridad y asegurar la disponibilidad de la información.
El Manual de Política de Seguridad de la Información de Beble se encuentra soportado por políticas, normas y procedimientos específicos los cuales guiarán el manejo adecuado de la información de la Organización. Adicionalmente, se establecerán políticas específicas de seguridad de la información las cuales se fundamentan en los dominios y objetivos de control del Anexo A de la norma internacional ISO 27001:2013.
El Comité Integral tendrá la autoridad de modificar el Manual de Políticas de Seguridad de la Información o las Políticas Específicas de Seguridad de la Información de acuerdo con las necesidades de revisión establecidas periódicamente o a la aplicabilidad de las mismas.
5.1 Política de Seguridad de Información
Las Políticas de Seguridad de la Información pretende instituir y afianzar una cultura de seguridad de la información entre los Empleados, personal externo, proveedores y partes interesadas de Beble. Por tal razón, a las violaciones a las Políticas Seguridad de la Información serán tratadas como acciones correctivas como lo describe el procedimiento de acciones correctivas y preventivas de la organización y derivado del análisis de dichas acciones se aplicaran medidas correctivas a fin de mitigar posibles afectaciones contra la seguridad de la información. Las medidas correctivas pueden considerar las descritas en el reglamento interior de trabajo y pueden ser desde Actas administrativas, hasta acciones de orden disciplinario o penal, de acuerdo con las circunstancias, si así lo ameritan.
5.1.1 Políticas de Seguridad de información
El Director General, Director de Operaciones y el Coordinador de Sistemas, deben vigilar el cumplimiento de lo establecido en ésta Política.
El Director de Operaciones, los Coordinadores y Supervisores de áreas operativas, así como, el personal de Beble, deberán cumplir con lo que les corresponda, de acuerdo a lo establecido en ésta Política.
El Comité Integral está compuesto por los representantes de los distintos departamentos de Beble y el representante de la Alta Dirección. Este Comité está encargado de elaborar y actualizar las políticas, normas, pautas y procedimientos relativos a seguridad de la Información. También es responsable de coordinar el análisis de riesgos, planes de contingencia y prevención de desastres. Durante sus reuniones programadas, el Comité efectuará la evaluación y revisión de la situación de la organización en cuanto a la Seguridad de la Información, incluyendo el análisis de incidentes ocurridos y que afecten la seguridad.
El Área Sistemas es responsable de implantar y velar por el cumplimento de las políticas, normas, pautas, y procedimientos de seguridad de la información en toda la organización, todo esto en coordinación con la Alta Dirección. También es responsable de evaluar e implantar productos de seguridad de la información, y realizar las demás actividades necesarias para garantizar un ambiente informático seguro. Además debe ocuparse de proporcionar apoyo técnico y administrativo en todos los asuntos relacionados con la seguridad de la información y en particular en los casos de infección de virus, penetración de hackers, fraudes y otros percances.
El Administrador de Sistemas es responsable de establecer los controles de acceso apropiados para cada usuario, supervisar el uso de los recursos informáticos, revisar las bitácoras de acceso y de llevar a cabo las tareas de seguridad relativas a los sistemas que administra, como por ejemplo, aplicar inmediatamente los parches correctivos cuando le llegue la notificación del fabricante del producto. El Administrador de Sistemas también es responsable de informar al Comité Integral sobre toda actividad sospechosa o evento insólito.
Los usuarios son responsables de cumplir con todas las políticas de Beble relativas a la seguridad de la información.
5.1.2 Revisión de las Política de Seguridad de Información
La Alta Dirección de Beble aprueba este Manual de Políticas de Seguridad de la Información como muestra de su compromiso y apoyo en el diseño e implementación de políticas eficientes que garanticen la seguridad de la información de la Organización.
La Alta Dirección de la Organización demuestra su compromiso a través de:
A.6 Gestión De La Seguridad De La Información
6.1 Organización Interna
Beble establecerá un esquema de seguridad de la información en donde existan roles y responsabilidades definidos que consideren actividades de administración, operación y gestión de la seguridad de la información.
6.1.1 Roles Y Responsabilidades Sobre Seguridad De La Información
Las violaciones a las Políticas y Controles de Seguridad de la Información serán reportadas, registradas y monitoreadas a través del procedimiento de Acciones correctivas de la organización.
Normas Dirigidas a: ALTA DIRECCIÓN
Normas Dirigidas a: COMITÉ INTEGRAL
Normas dirigidas a: COORDINACIÓN DE SISTEMAS
Normas dirigidas a: TODOS LOS USUARIOS
6.1.2 Segregación De Tareas
6.1.3 Contacto Con Las Autoridades
6.1.4 Contacto Con Grupos De Especial Interés
Empleados
Accionistas
Clientes
Proveedores
Competencia
Gobierno
Medio Ambiente
6.1.5 Seguridad De Información En La Gestión De Proyectos
6.2 Dispositivos Móviles Y Teletrabajo
Objetivo: Garantizar el uso de los dispositivos móviles y la seguridad del teletrabajo (Conexiones Remotas)
6.2.1 Política de Dispositivos Móviles
Beble proveerá las condiciones para el manejo de los dispositivos móviles (teléfonos Inteligentes, lap tops) institucionales que se utilizan en la Organización. Así mismo, velará porque los usuarios hagan un uso responsable de los servicios y equipos proporcionados por la Organización, se hará la revisión por lo menos 1 vez al mes vía remota.
Normas para uso de dispositivos móviles
Normas dirigidas a: SISTEMAS
Normas dirigidas a: TODOS LOS USUARIOS
6.2.2 Teletrabajo
Beble establecerá las circunstancias y requisitos para el establecimiento de conexiones remotas a la plataforma tecnológica de la Organización; así mismo, suministrará las herramientas y controles necesarios para que dichas conexiones se realicen de manera segura.
Normas para uso de conexiones remotas
Normas dirigidas a: SISTEMAS
Normas dirigidas a: TODOS LOS USUARIOS
A.7 Seguridad De Los Recursos Humanos
7.1 Previo Al Empleo
Beble en su interés por proteger su información y los recursos de procesamiento de la misma demostrará el compromiso de la Alta Dirección en este esfuerzo, promoviendo que el personal cuente con el nivel deseado de conciencia en seguridad de la información para la correcta gestión de los activos de información y ejecutando el proceso disciplinario necesario cuando se incumplan las Políticas de seguridad de la información de la Organización.
Todos los empleados de Beble deben ser cuidadosos de no divulgar información confidencial en lugares públicos, en conversaciones o situaciones que pongan en riesgos la seguridad y el buen nombre de la Organización.
Beble reconoce la importancia que tiene el factor humano para el cumplimiento de sus objetivos misionales y, con el interés de contar con el personal mejor calificado, garantizará que la vinculación de nuevo personal se realizara siguiendo un proceso formal de selección, acorde con la legislación vigente, el cual estará orientado a las funciones y roles que deben desempeñar los usuarios en sus cargos.
Controles para reducir los riesgos de error humano, robo, fraude y utilización abusiva de los equipamientos. Desde la vinculación del personal, se deben tener controles que permitan verificar la idoneidad e identidad, ética profesional y conducta.
Los términos y condiciones de empleo o trabajo deben establecer la responsabilidad de los empleados, por la seguridad de los activos de información, que van más allá de la finalización de la relación laboral o contractual, por lo que se debe firmar un acuerdo de confidencialidad que se hace extensivo a los proveedores y terceros que tengan acceso a la información.
Deben existir mecanismos de información y capacitación para los usuarios en materia de seguridad, así como de reporte de incidentes que puedan afectarla. Los empleados deben cooperar con los esfuerzos por proteger la información y ser responsables de actualizarse en cada materia, así como consultar con el encargado de la seguridad de la información, en caso de duda o desconocimiento de un procedimiento formal, ya que esto no lo exonera de una acción disciplinaria que deba llevarse a cabo cuando se incurra en violaciones a las Políticas o normas de seguridad.
Generalidades
La seguridad de la información se basa en la capacidad para preservar su integridad, confidencialidad y disponibilidad, por parte de los elementos involucrados en su tratamiento: equipamiento, software, procedimientos, así como de los recursos humanos que utilizan dichos componentes.
En este sentido, es fundamental educar e informar al personal desde su ingreso y en forma continua, cualquiera que sea su situación, acerca de las medidas de seguridad que afectan al desarrollo de sus funciones y de las expectativas depositadas en ellos en materia de seguridad y asuntos de confidencialidad. De la misma forma, es necesario definir las sanciones que se aplicarán en caso de incumplimiento.
La implementación de las Políticas de Seguridad de la Información tiene como meta minimizar la probabilidad de ocurrencia de incidentes. Es por ello que resulta necesario implementar un mecanismo que permita reportar las debilidades y los incidentes tan pronto como sea posible, a fin de subsanarlos y evitar eventuales replicaciones. Por lo tanto, es importante analizar las causas del incidente producido y aprender del mismo, a fin de corregir las prácticas existentes, que no pudieron prevenirlo, y evitarlo en el futuro.
Objetivo
Reducir los riesgos de error humano, uso inadecuado de instalaciones y recursos, y manejo no autorizado de la información.
Explicar las responsabilidades en materia de seguridad de la información en la etapa de reclutamiento de personal e incluirlas en los acuerdos a firmarse y verificar su cumplimiento durante el desempeño del individuo como empleado.
Garantizar que los usuarios estén al corriente de las amenazas e incumbencias en materia de seguridad de la información, y se encuentren capacitados para respaldar las Políticas de Seguridad de la información de Beble en el transcurso de sus tareas normales.
Establecer Compromisos de Confidencialidad con todo el personal de las instalaciones de procesamiento de información.
Establecer las herramientas y mecanismos necesarios para promover la comunicación de debilidades existentes en materia de seguridad de la información, así como de los incidentes ocurridos, con el objeto de minimizar sus efectos y prevenir su reincidencia.
7.1.1 Investigación De Antecedentes
Los responsables de cada área junto con la Dirección de la Organización deben definir los perfiles de cualificación que definen las funciones y responsabilidades de seguridad de la organización, adecuados a los requisitos del puesto a ocupar, en los que se especificará las competencias que deben cubrir las personas que ocupen el puesto de trabajo en cuestión con base en la Carta de Designación de Responsabilidades
La selección de personal se realizará siguiendo estos perfiles e informando de las obligaciones y responsabilidades al empleado, junto a los términos y condiciones de contratación conforme indica el Procedimiento de Reclutamiento y Selección de Personal
Normas relacionadas con la vinculación de Empleados
Normas dirigidas a: RECURSOS HUMANOS
7.1.2 Términos Y Condiciones Del Empleo
Se deberán de apegar a lo establecido en el Procedimiento de Reclutamiento y Selección de Personal y al modelo de contrato laboral donde se establecen los términos y condiciones de la relación laboral así como las responsabilidades del empleado en materia de seguridad de la información.
Cuando corresponda, los términos y condiciones de empleo establecerán que estas responsabilidades se extienden más allá de los límites de la sede de la Organización y del horario normal de trabajo.
Los derechos y obligaciones del empleado relativos a la seguridad de la información, por ejemplo en relación con las leyes de Propiedad Intelectual o la legislación de protección de datos, se encontrarán aclarados e incluidos en los términos y condiciones de empleo.
7.2 Durante El Empleo
Durante la vida laboral, todo el personal de Beble, deberá recibir una formación y concientización adecuada y actualizada del Sistema integral de Gestión, así como el “Manual de Políticas de Seguridad de la Información”, adaptada según el puesto de trabajo y las necesidades de seguridad que vayan siendo detectadas por parte de los responsables del área al que pertenezca el empleado.
La formación deberá de aplicarse con base al procedimiento de capacitación de la organización, y debe incluir requisitos de seguridad, responsabilidades legales y controles de negocio, así como formación en el uso correcto de los recursos de tratamiento de la información.
7.2.1 Responsabilidades Gerenciales
El Responsable del Área de Recursos Humanos incluirá las funciones relativas a la seguridad de la información en las descripciones de puestos de los empleados, informará a todo el personal que ingresa de sus obligaciones respecto del cumplimiento de las Políticas de Seguridad de la Información, gestionará los Compromisos de Confidencialidad con el personal y coordinará las tareas de capacitación de usuarios respecto de la presente Política.
El Área de Sistemas tiene a cargo el seguimiento, documentación y análisis de los incidentes de seguridad de la información reportados, así como su comunicación al Comité Integral y a los propietarios de la información.
El Comité Integral será responsable de implementar los medios y canales necesarios para que el Área de Sistemas maneje los reportes de incidentes y anomalías de los sistemas. Así mismo, dicho Comité, tomará conocimiento, efectuará el seguimiento de la investigación, controlará la evolución e impulsará la resolución de los incidentes relativos a la seguridad de la información.
El Área de Administración participará en la confección del Compromiso de Confidencialidad a firmar por los empleados y terceros que desarrollen funciones en la Organización, en el asesoramiento sobre las sanciones a ser aplicadas por incumplimiento de la presente Política y en el tratamiento de incidentes de seguridad de la información que requieran de su intervención.
Todo el personal de Beble es responsable del reporte de debilidades e incidentes de seguridad que oportunamente se detecten.
Las funciones y responsabilidades en materia de seguridad de la Información serán incorporadas en la descripción de las responsabilidades de los puestos de trabajo (Carta de Designación de Responsabilidades)
Éstas incluirán las responsabilidades generales relacionadas con la implementación y el mantenimiento de la Política de Seguridad, y las responsabilidades específicas vinculadas a la protección de cada uno de los activos, o la ejecución de procesos o actividades de seguridad determinadas.
7.2.2 Concientización, Educación Y Capacitación En La Seguridad De La Información
Todos los empleados de Beble y cuando sea pertinente, que desempeñen funciones en la Organización, recibirán una adecuada capacitación y actualización periódica en materia de la política, normas y procedimientos de Beble. Esto comprende los requerimientos de seguridad y las responsabilidades legales, así como la capacitación referida al uso correcto de las instalaciones de procesamiento de información y el uso correcto de los recursos en general, como por ejemplo su Estación de Trabajo con base en la Política Uso Aceptable de los Activos.
El Responsable de Capacitación será el encargado de coordinar las acciones de capacitación que surjan de la presente Política.
Cada semestre se revisará el material correspondiente a la capacitación, a fin de evaluar la pertinencia de su actualización, de acuerdo al estado del material de ese momento.
El personal que ingrese a Beble recibirá el material, indicándosele el comportamiento esperado en lo que respecta a la seguridad de la información, antes de serle otorgados los privilegios de acceso a los sistemas que correspondan.
Por otra parte, se arbitrarán los medios técnicos necesarios para comunicar a todo el personal, eventuales modificaciones o novedades en materia de seguridad, que deban ser tratadas con un orden preferencial por medio del Boletín Interno y Capacitación.
Beble en su interés por proteger su información y los recursos de procesamiento de la misma demostrará el compromiso de la Alta Dirección en este esfuerzo, promoviendo que el personal cuente con el nivel deseado de conciencia en seguridad de la información para la correcta gestión de los activos de información y ejecutando el proceso disciplinario necesario cuando se incumplan las Políticas de seguridad de la información de la Organización.
Todos los empleados de Beble deben ser cuidadosos de no divulgar información confidencial en lugares públicos, en conversaciones o situaciones que pongan en riesgos la seguridad de la información y el buen nombre de la Organización.
Por otra parte, se arbitrarán los medios técnicos necesarios para comunicar a todo el personal, eventuales modificaciones o novedades en materia de seguridad, que deban ser tratadas con un orden preferencial por medio del Boletín Interno y Capacitación.
7.2.3 Proceso Disciplinario
7.3.1 Terminación o Cambio de Empleo
Todos los empleados de la organización deberán de apegarse al procedimiento de desvinculación laboral para los casos relacionados con el cese del puesto de trabajo, todos los empleados, deben devolver todos los activos (componentes software, documentos y equipos prestados) de la organización que tengan en su posesión y estén relacionados con su empleo con base en la Carta de Designación de Responsabilidades. Así mismo, se deberán revocar todos los privilegios al usuario cesado en todos los entornos de producción o accesibles desde el exterior de la organización.
El objetivo es asegurar que los empleados, salgan de la organización o cambien de empleo de una forma ordenada.
Beble asegurará que sus empleados serán desvinculados o reasignados para la ejecución de nuevas labores de una forma ordenada, controlada y segura, requisitando al 100% el formato de Altas, Bajas y Cambios (ABC).
Normas para la desvinculación, vacaciones o cambios de labores de los empleados:
Hacer un seguimiento del uso del Correo Electrónico del empleado antes de salir definitivamente de la empresa, por si llegaran a sacar información confidencial (sujeto a las Políticas aplicables y a consideraciones legales sobre privacidad).
En los casos relacionados con el cambio de puesto de trabajo dentro de la organización el Administrador del Sistema deberá revocar todos los privilegios excesivos que el usuario tuviera en el puesto actual respecto al nuevo puesto a desempeñar de acuerdo la matriz de facultades.
Cambios en la responsabilidad y empleos dentro de la organización deben ser manejados como la terminación de la respectiva responsabilidad o empleo, en línea con esta sección.
A.8 Gestión De Activos
8.1 Responsabilidad sobre Activos
Beble como propietario de la información física así como de la información generada, procesada, almacenada y transmitida con su plataforma tecnológica, otorgará responsabilidad a las áreas sobre sus activos de información con base en la Carta de Designación de Responsabilidades, asegurando el cumplimiento de las directrices que regulen el uso adecuado de la misma.
La información, archivos físicos, los sistemas, los servicios y los equipos (ej. estaciones de trabajo, equipos portátiles, impresoras, redes, Internet, correo electrónico, herramientas de acceso remoto, aplicaciones, teléfonos, entre otros) propiedad de Beble, son activos de la Organización y se proporcionan a los empleados, para cumplir con los propósitos del negocio, mediante Carta de Designación de Responsabilidades.
Toda la información sensible de Beble, así como los activos donde ésta se almacena y se procesa deben ser asignados a un responsable, inventariados y posteriormente clasificados, de acuerdo con los requerimientos y los criterios establecidos en la Matriz de Facultades. El área de compras debe llevar a cabo el levantamiento y la actualización permanente del inventario de activos de la Organización.
8.1.1 Inventario de Activos
8.1.2 Dueños de Activos
8.1.3 Uso Aceptable de Activos
8.1.4 Retorno de los Activos
Los derechos de acceso para activos de información y equipos se deben reducir o retirar antes que el empleo termine o cambie, dependiendo de la evaluación de los factores de riesgo como:
a) Si la finalización o cambio es iniciado por el empleado, contratista o usuario de tercero, o por la gerencia y la razón de la finalización.
b) Las responsabilidades actuales del empleado u otro usuario.
c) El valor de los activos a los que se accede actualmente.
8.2 Clasificación de Activos
Beble definirá los niveles más adecuados para clasificar su información de acuerdo con su sensibilidad, y generará una guía de Clasificación de la Información para que los propietarios de la misma la cataloguen y determinen los controles requeridos para su protección.
8.2.1 Guías de Clasificación
Toda la información de Beble debe ser identificada, clasificada y documentada de acuerdo con las guías de Clasificación de la Información establecidas por el Comité Integral.
Una vez clasificada la información, Beble proporcionará los recursos necesarios para la aplicación de controles en busca de preservar la confidencialidad, integridad y disponibilidad de la misma, con el fin de promover el uso adecuado por parte de los empleados de la Organización que se encuentren autorizados y requieran de ella para la ejecución de sus actividades.
Normas para la clasificación y manejo de la información
TABLA DE CLASIFICACION DE LA INFORMACION