RADIOGRÁFICA COSTARRICENSE S. A.
| Fecha de publicación | 26 Septiembre 2019 |
| Número de registro | IN2019384962 |
| Emisor | AVISOS |
RADIOGRÁFICA COSTARRICENSE S. A.
Con fundamento en el acuerdo tomado por la Junta Directiva, en el artículo 4° de la sesión ordinaria N° 2238, celebrada el 3 de setiembre del 2019, se aprueba el la Política de Seguridad de la Información de Radiográfica Costarricense S.A., de la siguiente manera:
POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN
DE RADIOGRÁFICA COSTARRICENSE S. A.
1. Generalidades. Proteger la información es una tarea cada vez más difícil y necesaria debido a los riesgos asociados, mismos que se incrementan paralelamente con los avances tecnológicos. Elementos como internet, conectividad, Internet de las Cosas (IoT), digitalización, medios de almacenamiento y cómputo en la nube vienen a apoyar la gestión del trabajo y del quehacer de las personas, empresas, instituciones y en general de la sociedad, pero constituyen a su vez espacios físicos o virtuales que pueden ser vulnerados, donde la información que es el activo más importante puede corromperse, extraviarse, volverse inútil o utilizarse en contra de su propietario, accidentalmente o con plena intención de causar cualquiera de las anteriores situaciones.
La información por lo tanto debe ser protegida porque constituye un activo estratégico para RACSA y debe ser identificada en sus distintos soportes para clasificarla de acuerdo con su confidencialidad, integridad y disponibilidad con el fin de implementar controles de acuerdo con su criticidad.
2. Objetivo. Regular los principios rectores de la gestión de seguridad de información de RACSA a partir de la legislación vigente y conforme a mejores prácticas internacionales tales como: los estándares ISO 27001 “Sistemas de Gestión de Seguridad de Información” y 27002 “Código para los Controles de Seguridad de información”.
3. Alcance. La Política de Seguridad de la Información de RACSA (en adelante la Política) es de acatamiento obligatorio para todo el personal, practicantes y contratistas con quienes RACSA desarrolle actividades conjuntas para la prestación de servicios los cuales tengan acceso a información empresarial a través de los documentos, equipos de cómputo, infraestructura tecnológica y canales de comunicación de la Empresa. También aquellas personas tanto físicas como jurídicas con quienes se firmen acuerdos de confidencialidad específicos con RACSA podrán ser sujetos de cumplimiento de los principios de la presente política y del cuerpo normativo que la instrumentalice.
4. Aprobación. Es responsabilidad de la Junta Directiva de RACSA, de acuerdo con el Reglamento vigente de ese Órgano Colegiado aprobado el 9 de abril de 2019 en la Sesión ordinaria N°2217, el dictar las políticas generales para el manejo seguro y confidencial de la información, según se indica en el artículo 9.4 del Reglamento en marras. El Gerente General de RACSA, es responsable de garantizar la existencia del proceso de seguridad empresarial encargado de la implementación y supervisión del cumplimiento transversal del Sistema de Gestión de Seguridad de Información y por ende de la Política de Seguridad de la Información.
5. Abreviaturas.
• RACSA: Radiográfica Costarricense S. A.
• ISO: International Organization for Standardization (Organización Internacional para la Estandarización).
• COBIT: Control Objectives for Information and related Technology (Objetivos de Control para la Información y Tecnologías Relacionadas).
• DTIC: Departamento de Tecnologías de Información y Comunicación.
6. Definiciones. Activo de información: es todo aquel elemento digital o físico que tiene o transfiere información para la empresa.
Administración de usuarios: son labores de creación, modificación, consulta, bloqueo, desbloqueo y eliminación de la cuenta de un usuario.
Análisis de riesgos: proceso en el que se estudia, a partir de una probabilidad de ocurrencia y un impacto estimado, el nivel de criticidad de una determinada amenaza que pueda afectar el logro de un objetivo de proceso o estratégico.
Confidencialidad: carácter que tiene la información industrial, comercial y económica que por motivos estratégicos de competencia debe procurarse su confidencialidad, de modo que no procede su divulgación, adquisición o utilización por parte de terceros, así como la información de tipo personal de los clientes.
Control: Acción que tiene como objetivo mitigar el impacto o reducir el nivel de riesgo que pueda presentar una determinada amenaza, en caso de que se materialice.
Disponibilidad: propiedad de la información de estar accesible y utilizable cuando sea requerido por una parte autorizada.
Encriptación: mecanismo de seguridad que permite almacenar datos utilizando algoritmos matemáticos de codificación o cifrado, con el fin de ocultar y proteger los datos contra accesos no autorizados. Este mecanismo requiere del uso de un software de encriptación para proteger los datos y una contraseña para tener acceso a la misma.
Evento de seguridad de la información: es cualquier situación identificada, que indique una posible brecha en las Políticas de Seguridad o falla en los controles y protecciones establecidas.
Incidente de seguridad de la información: evento que haya vulnerado la Política de Seguridad de la Información o cualquier lineamiento o normativa que la instrumentalice. También se cataloga como incidente cualquier intento de vulnerar la Política y su cuerpo normativo sin importar la información afectada, la plataforma tecnológica, la frecuencia, las consecuencias, el número de veces ocurrido o si el origen es interno o externo.
Información: conjunto organizado de datos procesados, que tienen un significado y valor en un momento y lugar determinados para los negocios de la Empresa, independiente de su soporte (físico, digital, conocimiento, entre otros).
Integridad: cualidad de salvaguardar la exactitud y completitud de los datos que hacen parte de la información, tal que solamente puedan modificarse por partes autorizadas.
Propietario de la información: titular subordinado responsable del activo de información que va a ser protegido, y quien genera y mantiene los datos que utiliza la compañía a través de un conjunto determinado de sistemas y que son utilizados por un proceso determinado.
Recursos tecnológicos: elementos de tecnología que pueden ser hardware y software, tales como: equipos de cómputo, servidores, impresoras, teléfonos, faxes, programas y aplicativos de software, dispositivos de almacenamiento Flash, entre otros.
Seguridad de la información: preservación de la confidencialidad, integridad y disponibilidad de la información. Tiene como característica la autenticidad, el no repudio y la confiabilidad.
Sistema de Gestión de Seguridad de la Información (SGSI): es el conjunto de elementos, relacionados entre sí, que se implementan para lograr el objetivo de proteger la seguridad de la información en la Empresa, compuesto por: políticas, estándares, procedimientos, estructura organizacional de gestión, recursos, planes y demás elementos que permitan lograr ese objetivo en un ciclo de mejora continua.
Sistema de información: conjunto de datos, aplicaciones, equipos, y recursos humanos que, en forma interrelacionada, proveen a la Empresa la información necesaria para la ejecución de las tareas y la toma de decisiones del nivel estratégico, táctico y operativo.
Terceros: toda persona, jurídica o física, como proveedores, contratistas, socios comerciales o consultores, que provean o intercambien servicios o productos con la Empresa.
Usuario: será aquella persona, jurídica o física, que, para ejercer sus funciones normales en el desempeño de sus actividades necesita acceder a la información de la Empresa y a sus recursos informáticos.
7. Responsabilidades.
Junta Directiva.
• Aprobar la Política de Seguridad de la...
Para continuar leyendo
Solicita tu prueba