Esta Política de Seguridad de la Información (PSI) establece las directrices y requisitos para proteger la información de CONVERSYS frente a todas las amenazas, ya sean internas o externas, deliberadas o accidentales, garantizando la continuidad del negocio, minimizando los riesgos y maximizando el rendimiento de las inversiones y las oportunidades de negocio.
Esta política se aplica a todos los empleados, proveedores, contratistas y otras partes interesadas que tengan acceso a la información y a los sistemas de información de CONVERSYS, abarcando todas las formas de información, incluida la digital, física y verbal.
Para garantizar la claridad y facilitar la comprensión de esta política, presentamos los siguientes términos y definiciones:
La alta dirección de CONVERSYS se compromete a implantar, mantener y mejorar continuamente el Sistema de Gestión de la Seguridad de la Información (SGSI), garantizando la asignación adecuada de recursos y la revisión periódica de esta política.
CONVERSYS adopta los principios de confidencialidad, integridad y disponibilidad como fundamentales para la gestión de la seguridad de la información, buscando proteger la información de accesos no autorizados, asegurar la exactitud de la información y garantizar la disponibilidad de la información cuando sea necesario.
Compromiso con el SGSI: Garantizar el establecimiento, la implantación, el funcionamiento, la supervisión, la revisión, el mantenimiento y la mejora del SGSI.
Asignación de recursos: Proporcionar recursos suficientes para la seguridad de la información, incluyendo personal, tecnología y finanzas.
Definición de la política: Aprobar la política de seguridad de la información y cualquier cambio significativo en la misma.
Liderazgo del SGSI: Actuar como punto focal para la gestión de la seguridad de la información dentro de la organización.
Desarrollo de políticas y procedimientos: Desarrollar, aplicar y mantener políticas y procedimientos de seguridad de la información acordes con los objetivos de la organización.
Sensibilización y formación: Coordinar los programas de formación y concienciación sobre seguridad de la información para todos los empleados.
Aplicación de controles: Implantar y mantener controles técnicos de seguridad de acuerdo con las directrices establecidas por el CISO y las políticas de seguridad de la información.
Seguimiento y evaluación: Supervisar y evaluar la eficacia de los controles de seguridad de la información e informar de cualquier deficiencia o incidente al CISO.
Implantación del SGSI: Garantizar la aplicación y el cumplimiento de las políticas y procedimientos de seguridad de la información en sus respectivos departamentos.
Gestión de riesgos: Identificar y gestionar los riesgos para la seguridad de la información relacionados con las actividades de su departamento.
Cumplimiento de las políticas: Seguir todas las políticas y procedimientos de seguridad de la información pertinentes para sus actividades.
Notificación de incidentes: Notificar cualquier sospecha de incidente de seguridad de la información de acuerdo con los procedimientos establecidos.
Clasificación y protección: Clasificar la información de acuerdo con la política de clasificación de la organización y garantizar una protección adecuada según el nivel de clasificación.
Revisión del acceso: Revisar periódicamente el acceso a la información bajo su responsabilidad para asegurarse de que es adecuado.
Finalidad y uso apropiado: Los activos de información de CONVERSYS, incluidas las redes, los dispositivos, las aplicaciones y los datos, deben utilizarse exclusivamente con fines profesionales y empresariales, según lo autorizado por la empresa. Cualquier uso para fines personales, sin la debida autorización, está estrictamente prohibido.
Responsabilidad del usuarioLos usuarios son responsables de cualquier actividad realizada con sus credenciales y deben garantizar la seguridad y confidencialidad de sus contraseñas y dispositivos.
Seguridad de los datosEs obligatorio seguir todas las políticas y procedimientos de seguridad de la información para proteger los datos contra el acceso no autorizado, la divulgación, la alteración, la destrucción o el uso indebido.
Programas informáticos y aplicaciones: Los programas informáticos sólo deben instalarse en los dispositivos de la empresa con la aprobación del equipo informático. Los usuarios no deben instalar software sin licencia, pirateado o poco fiable para evitar riesgos de seguridad.
Acceso a Internet: El acceso a Internet debe realizarse de forma responsable y ética. Los sitios que contengan material ofensivo, peligroso o ilegal o que infrinjan las políticas de la empresa están estrictamente prohibidos.
Comunicación electrónica: Las comunicaciones electrónicas deben utilizarse de manera profesional. La información sensible o confidencial debe compartirse de forma segura y preferiblemente encriptada.
Supervisión y cumplimiento: Los usuarios deben ser conscientes de que las actividades realizadas en los sistemas y redes de CONVERSYS pueden ser supervisadas para garantizar el cumplimiento de las políticas de uso aceptable.
La política de Clean Screen y Clean Desk de CONVERSYS tiene por objeto reducir el riesgo de exposición accidental de información sensible o confidencial. Estas prácticas son esenciales para mantener la seguridad de la información en el lugar de trabajo, ya sea en la oficina o a distancia. Las prácticas recomendadas se detallan a continuación:
Cierre automático: Configura tus dispositivos para que se bloqueen automáticamente tras un periodo de inactividad. Así se minimiza el riesgo de que la información quede expuesta si te alejas del dispositivo.
Cierre de las sesiones: Finaliza siempre las sesiones activas en aplicaciones y servicios web cuando no estén en uso, especialmente en dispositivos compartidos o públicos.
Protector de pantalla: Utiliza salvapantallas que oculten el contenido de la pantalla cuando el dispositivo esté bloqueado.
Comprobación del entorno: Antes de abandonar tu puesto de trabajo o finalizar una videollamada, comprueba que no haya información sensible visible en la pantalla para otras personas.
Documentos y notas: Guarda los documentos impresos, las notas y el material sensible en armarios o cajones cerrados con llave cuando no los utilices. No dejes estos materiales sobre la mesa cuando no estés.
Dispositivos móviles y soportes de almacenamiento: Guarda los dispositivos móviles, las memorias flash, los discos externos y cualquier otro soporte de almacenamiento en un lugar seguro y bajo llave cuando no los utilices.
Limpieza al final del día: Al final del día, asegúrate de que tu mesa está limpia de cualquier material que contenga información sensible. Esto incluye la limpieza de las pizarras utilizadas para reuniones o lluvias de ideas.
Eliminación segura: Utilice trituradoras de papel o puntos de recogida seguros para deshacerse de los documentos confidenciales. No tire nunca los documentos sensibles intactos a los contenedores de basura normales.
Impresiones sensibles: La información sensible o confidencial, una vez impresa, debe retirarse inmediatamente de la impresora.
Almacenamiento de la información: La información de Conversys debe almacenarse 100% en la nube, incluso cuando el usuario está en la oficina en casa.
Gestión de equipos corporativos: Todos los equipos deben estar vinculados a la plataforma MDM (Intune) que gestiona los dispositivos.
Toda la información se clasificará en función de su valor, requisitos legales, sensibilidad y criticidad para CONVERSYS. Esta clasificación determinará el nivel de protección y las medidas de seguridad aplicables.
Las etiquetas de confidencialidad se utilizan para clasificar mensajes de correo electrónico, documentos, sitios web y mucho más.
Se han definido los niveles de clasificación:
Público (inferior): Documento público abierto a la presentación sin restricciones.
Sensible: Datos sensibles relativos a proyectos, finanzas, etc. Pueden compartirse con las debidas precauciones.
Interna: No debe compartirse fuera de la empresa.
Restringido: Información interna, restringida por grupo o área. No debe compartirse fuera de la empresa sin autorización. Para los documentos, es necesario definir un grupo de acceso.
Confidencial (más alto) - tiene 2 opciones:
Todos los Conversys: Información confidencial. No debe compartirse fuera de la empresa sin autorización del consejo de administración.
Determinado: Información confidencial restringida a un grupo. Para los documentos, seleccione grupos con permiso de acceso.
El acceso a la información y a los sistemas de información se concederá sobre la base del mínimo privilegio y de la necesidad de conocer, con el fin de minimizar los riesgos de acceso no autorizado.
Todos los empleados y partes interesadas son responsables de notificar inmediatamente cualquier sospecha de incidente de seguridad de la información. CONVERSYS cuenta con un proceso establecido para la gestión de incidentes, destinado a responder, investigar y remediar dichos incidentes de forma eficaz.
CONVERSYS mantiene planes de continuidad de negocio que incluyen estrategias de recuperación para garantizar la disponibilidad continuada de información y sistemas críticos.
CONVERSYS se compromete a cumplir todas las leyes, reglamentos y requisitos contractuales aplicables a la seguridad de la información, incluida la protección de los datos personales y la propiedad intelectual.
Este PSI se revisará anualmente y después de cualquier acontecimiento significativo que pueda afectar al SGSI, para garantizar su continuidad, adecuación y eficacia.
CONVERSYS promueve programas regulares de concienciación, educación y formación en materia de seguridad de la información para garantizar que todos los empleados y partes interesadas sean conscientes de sus responsabilidades.
La gestión de los riesgos para la seguridad de la información es un proceso continuo en CONVERSYS, que implica la identificación, el análisis y el tratamiento de los riesgos para garantizar que se mantienen dentro de niveles aceptables.
Esta política entra en vigor inmediatamente y es vinculante para todas las partes mencionadas. Se anima a todos a familiarizarse con esta política y a integrar los principios de seguridad de la información en sus actividades diarias para proteger la información de CONVERSYS.
