Introducción, objeto y Alcance

El objetivo de esta política de seguridad de la información de alto nivel (en adelante la “Política”) es definir el propósito, la dirección, los principios, procesos y las reglas básicas para la gestión de la seguridad de la información en Orofino S.A. (en adelante “Orofino” o la “Organización”).
La información debe ser siempre protegida, tanto en su almacenamiento, comunicación, o en cualquier forma en que sea compartida, cualquiera que sea el medio en el que esté contenida.
La información puede existir en diversas formas: impresa o escrita en papel, almacenada electrónicamente, transmitida por correo o por medios electrónicos, mostrada en proyecciones o en forma oral en las conversaciones.
La seguridad de la información es la protección de la información contra una amplia gama de amenazas con el fin de garantizar la continuidad del negocio, minimizar los riesgos empresariales y maximizar el retorno de las inversiones y oportunidades de negocio.
Esta Política se aplica y apoya a todo el marco de procesos establecidos en los Sistemas de Gestión de Seguridad de la Información (en adelante “SGSI”) implementados en la Organización.
La Política alcanzará a todos los colaboradores de Orofino, así como las partes externas pertinentes.

Responsabilidades

Las responsabilidades en relación al SGSI son las siguientes:

– La Dirección será responsable de asegurar que el SGSI sea implementado y mantenido de acuerdo con esta Política, y de asegurar que todos los recursos necesarios estén disponibles
– El Comité de Seguridad de la Información será responsable de la coordinación operativa del SGSI, así como de la presentación de informes sobre el desempeño del SGSI
– La Dirección debe revisar el SGSI al menos una vez al año o cada vez que ocurre un cambio significativo. El propósito de la revisión por la Dirección es establecer la idoneidad, adecuación, eficiencia y eficacia del SGSI.
– El Comité de Seguridad de la Información implementará programas de capacitación y concientización sobre la seguridad de la información para los integrantes de la Organización, en lo pertinente.
– La protección de la integridad, disponibilidad y confidencialidad de los activos es responsabilidad del propietario de cada activo.
– Todo el personal será informado y responsable de la seguridad de la información, según sea relevante para el desempeño de su trabajo.
– Cada gerente es responsable de controlar que las personas que trabajan bajo su control protegen la información de acuerdo con las normas establecidas por la organización.
– Todos los incidentes o debilidades de seguridad deben ser reportados al Comité de Seguridad de forma inmediata.

Política

La presente Política tiene para sí los siguientes objetivos:

Velar por la seguridad de la información manteniendo la integridad, disponibilidad y privacidad de esta última.

En todos los casos la seguridad de la información se caracterizará por la preservación de:

-Su confidencialidad, asegurando que sólo quienes estén autorizados puedan acceder a la información;
-Su integridad, asegurando que la información y sus métodos de proceso sean veraces, exactos y completos;
-Su disponibilidad, asegurando que los usuarios autorizados tengan acceso a la información cuando lo requieran.
Los detalles de la metodología adoptada para la evaluación del riesgo y su tratamiento se encuentran descritos en la política del SGSI.

Velar por el cumpliendo de la normativa legal vigente
Evitar la destrucción, divulgación, modificación y utilización no autorizada de toda información, comprometiéndose a desarrollar, implantar, mantener y mejorar continuamente un SGSI.
Asegurar la mejora continua del SGSI mediante los siguientes ejes centrales:

-Velar para que todos los integrantes de Orofino sean responsables de registrar y reportar las violaciones a la seguridad, confirmadas o sospechadas de acuerdo a los procedimientos correspondientes.
-Mantener una comunicación fluida con todas las áreas de la Organización, con el fin de anticiparse a problemas futuros y/o alertar a las personas sobre posibles acciones que atenten contra la seguridad de la información.
-Generar espacios de reflexión mediante la capacitación a todos los integrantes de la Organización, en lo pertinente, que facilite la toma de conciencia sobre los diferentes riesgos y el impacto de los mismos, con el objetivo de prevenir situaciones que provocan fuga de datos y/o otro tipo de información o cualquier otro incidente en la seguridad de la información.
-Asegurar el acceso general y la disponibilidad de la presente política a todos los integrantes de la Organización
-Asegurar el correcto procedimiento en cuanto a la constatación, manejo y comunicaciones pertinentes respecto de los incidentes de seguridad que ocasionen, entre otras, la divulgación, destrucción, pérdida o alteración accidental o ilícita de datos
personales, o la comunicación o acceso no autorizados a dichos datos.

Los riesgos en seguridad de la información serán objeto de seguimiento y se adoptarán medidas relevantes cuando existan cambios que impliquen un nivel de riesgo no aceptable.