RADIOGRÁFICA COSTARRICENSE S. A.
| Fecha de publicación | 03 Diciembre 2020 |
| Número de registro | IN2020505712 |
| Emisor | AVISOS |
RADIOGRÁFICA COSTARRICENSE S. A.
Con fundamento en el acuerdo tomado por la Junta Directiva, en el artículo 2º de la sesión ordinaria Nº 2296 celebrada el 4 de noviembre del 2020, se aprueba la Política para la Seguridad de la Información de Radiográfica Costarricense S. A., de la siguiente manera:
POLÍTICA DE LA SEGURIDAD DE LA
INFORMACIÓN DE RACSA
1º—Generalidades. Proteger la información es una tarea cada vez más difícil y necesaria debido a los riesgos asociados, mismos que se incrementan paralelamente con las tecnologías emergentes.
Internet, conectividad, Internet de las Cosas (IoT), digitalización, Blockchain, almacenamiento de datos, cómputo en la nube, entre otras cosas, son ejemplos de tecnologías consolidadas o emergentes que vienen a apoyar la gestión de los procesos y servicios desde y hacia las instituciones, empresas y la sociedad en general. Dichas tecnologías se constituyen a su vez en espacios físicos o cibernéticos que pueden ser vulnerados, en busca de sustraer, alterar o vulnerar la confidencialidad de la información de tal forma que se provoca un daño que puede ser de magnitudes críticas para el dueño o usuarios de esta información.
La información por lo tanto debe ser protegida porque constituye un activo estratégico para RACSA, debe ser identificada en sus distintos soportes para clasificarla de acuerdo con su confidencialidad, integridad y disponibilidad con el fin de implementar controles de acuerdo con su criticidad.
2º—Objetivo. Regular los principios rectores de la Gestión de Seguridad de Información de RACSA a partir de la legislación vigente y conforme a mejores prácticas internacionales tales como los estándares ISO 27001 “Sistemas de Gestión de Seguridad de Información” y sus normas complementarias.
3º—Alcance. La Política de Seguridad de la Información de RACSA (en adelante la política) es de acatamiento obligatorio para la Junta Directiva y todos los niveles jerárquicos de la organización, incluyendo unidades de apoyo, así como practicantes y contratistas con quienes RACSA desarrolle actividades conjuntas para la prestación de servicios los cuales tengan acceso a información empresarial a través de los documentos, equipos de cómputo, infraestructura tecnológica y canales de comunicación de la Institución. También aquellas personas tanto físicas como jurídicas con quienes se firmen acuerdos de confidencialidad específicos con RACSA podrán ser sujetos de cumplimiento de los principios de la presente política y del cuerpo normativo que la instrumentalice.
Para ver la imagen solo en La Gaceta con formato PDF
5º—Aprobación. Es responsabilidad de la Junta Directiva de RACSA de acuerdo con el artículo 9.4 del Reglamento aprobado el 9 de abril del 2019 en la sesión ordinaria Nº 2217, dictar las políticas generales para el manejo seguro y confidencial de la información.
El Gerente General de RACSA, es responsable de garantizar la existencia del Proceso de Gestión Integral de Seguridad de la Información, encargado de la implementación y supervisión del cumplimiento transversal del Sistema de Gestión de Seguridad de Información y por ende de la Política de Seguridad de la Información.
6º—Abreviaturas
COBIT: Control Objectives for Information and related Technology (Objetivos de Control para la Información y Tecnologías Relacionadas).
ISO: International Organization for Standardization (Organización Internacional para la Estandarización).
RACSA: Radiográfica Costarricense S. A.
7º—Definiciones
Activo de Información: se entiende por activo de Información todo aquel elemento digital o físico que tiene o transfiere información para la Empresa.
Confidencialidad: es la propiedad de la información, por la que se garantiza que está accesible únicamente a individuos, entidades o personal autorizado a acceder a dicha información.
Control: acción que tiene como objetivo mitigar el impacto o reducir el nivel de riesgo que pueda presentar una determinada amenaza, en caso de que se materialice.
Disponibilidad: propiedad de la información de estar accesible y utilizable cuando sea requerida por una parte autorizada.
Incidente de Seguridad de la Información: evento que haya vulnerado la Política de Seguridad de la Información o cualquier lineamiento o normativa que la instrumentalice. También se cataloga como incidente cualquier intento de vulnerar la Política y su cuerpo normativo sin importar la información afectada, la plataforma tecnológica, la frecuencia, las consecuencias, el número de veces ocurrido o si el origen es interno o externo.
Información: conjunto organizado de datos procesados, que tienen un significado y valor en un momento y lugar determinados para los negocios de la Empresa, independiente de su soporte (físico, digital, conocimiento, entre otros).
Integridad: cualidad de salvaguardar la exactitud y completitud de los datos que hacen parte de la información, tal que solamente puedan modificarse por partes autorizadas.
Seguridad de la Información: preservación de la confidencialidad, integridad y disponibilidad de la información. Tiene como característica la autenticidad, el no repudio y la confiabilidad.
Sistema de Gestión de Seguridad de la Información (SGSI): es el conjunto de elementos relacionados entre sí, que se implementan para lograr el objetivo de proteger la seguridad de la información en la Empresa, compuesto por políticas, estándares, procedimientos, estructura organizacional de gestión, recursos, planes y demás elementos que permitan lograr ese objetivo en un ciclo de mejora continua.
Terceros: se entiende por tercero a toda persona, jurídica o física, como proveedores, contratistas, socios comerciales o consultores, que provean o intercambien servicios o productos con la Empresa.
Usuario: persona física o jurídica que para ejercer sus funciones normales en el desempeño de sus actividades necesita acceder a la información de la Empresa y a sus recursos informáticos.
8º—Responsabilidades
Junta Directiva:
Aprobar la Política de Seguridad de la Información y sus futuras modificaciones.
Gerencia General:
Elevar a la Junta Directiva la política para su respectiva aprobación.
Aprobar la normativa interna que instrumentalice la Política de Seguridad de la Información.
Apoyar la gestión transversal empresarial del proceso Continuidad de Negocio y Seguridad de la Información.
Aprobar los recursos humanos y financieros necesarios para implementar la presente política.
Departamento de Estrategia y Transformación Digital:
En conjunto con el Departamento de Continuidad del Negocio, identificar y aplicar modificaciones a la presente política.
Realizar la inclusión, modificación, control de cambios y aprobaciones que se le realice a la política.
Velar para que la presente política se ajuste al formato y estructura propia de las guías, de acuerdo con la Guía para la Estructura y Contenido de los Documentos Aprobados.
Custodiar la última versión oficial aprobada del documento e incluirla en el sitio web oficial intranet.
Departamento de Continuidad del Negocio:
Promover e implementar una cultura de seguridad de la información en RACSA.
Elevar a la Gerencia General para su aprobación la normativa interna que instrumentalice la Política de Seguridad de la Información.
En conjunto con el Departamento de Estrategia y Transformación Digital definir las directrices estratégicas, la normativa y cualquier otra medida necesaria para la gobernabilidad y gestión de seguridad de la información, fundamentadas en el principio de eficiencia y en consideración del logro de los objetivos empresariales.
Presentar a la Gerencia General el requerimiento de recursos necesarios (presupuesto, capacitación empresarial, recurso humano, normativa) para la gestión de la seguridad de la información de RACSA.
Guiar transversalmente a la Empresa en el proceso de incorporación e implementación del Sistema de Gestión de Seguridad de la Información, conforme la norma ISO 27001.
Supervisar el cumplimiento de la normativa interna en las distintas Direcciones.
Evaluar el cumplimiento del Plan de Seguridad Empresarial en RACSA en las distintas dependencias.
Presentar la ejecución del Plan de Seguridad Empresarial de forma anual a la Gerencia General y al Comité de Tecnologías de Información.
Atender la Gestión de incidentes de seguridad de la información de acuerdo con el Lineamiento de Operación que lo rige.
Directores:
Proveer en tiempo y forma los requerimientos de información y recursos que solicite el Proceso de Gestión Integral de Seguridad de la Información para la instrumentalización de esta política y la gestión de incidentes de seguridad de información.
Elevar las declaratorias de confidencialidad en las áreas respectivas.
Apoyar la gestión de seguridad de información en todos los procesos a cargo.
Administrar los riesgos de seguridad de información de todos los procesos a cargo bajo la supervisión y acompañamiento del Proceso de Gestión Integral de Seguridad de la Información y del personal especialista.
Jefaturas:
Velar por el cumplimiento de esta política en las áreas de su competencia.
Identificar acciones de mejora de seguridad de la información concretas en su área.
Realizar la gestión de riesgos de seguridad de información en su proceso a cargo.
Identificar de acuerdo con la clasificación cual información deberá ser catalogada como pública, confidencial y privada.
Identificar y designar los roles asociados a la seguridad de la información de su área.
Reportar oportunamente, a través de los canales establecidos de la Empresa, los riesgos, eventos o sospechas de vulnerabilidades o amenazas de seguridad de la información.
Unidad de Prensa y Comunicación:
Brindar el soporte necesario para las campañas de divulgación de la presente política.
Fungir como el canal oficial de comunicación de RACSA para la gestión de incidentes de seguridad de información o comunicaciones relacionadas a seguridad de la información.
Funcionarios de RACSA:
Acatar en todos sus extremos la presente Política de Seguridad de la...
Para continuar leyendo
Solicita tu prueba