Política de gestión del Programa de Seguridad

Política de gestión del programa de seguridad
Programa de seguridad de la información
Política de gestión
Seguridad de la información de BlueNotary
Seguridad de la Información
Política
Propietario del documento
Fecha de entrada en vigor Versión 1.0 Aprobador del documento
01 Visión General y Alcance
01.01 Descripción general
De acuerdo con los requisitos de seguridad de la organización establecidos y aprobados por
y aprobados por la dirección, BlueNotary ha establecido una Política y Procedimientos formales de Gestión del Programa de Seguridad de la Información.
de Seguridad de la Información. Esta Política integral se implementa inmediatamente junto con todos
procedimientos pertinentes y aplicables.
El Propietario de la Política es el propietario de esta Política y es responsable de su revisión anual y de cualquier cambio importante que se produzca en BlueNotary.
anualmente y después de cualquier cambio importante en el entorno de datos sensibles de BlueNotary para garantizar
para garantizar que sigue cumpliendo sus objetivos organizativos. El propietario de la política también es responsable de
garantizar que el Procedimiento de Gestión del Programa de Seguridad de la Información se revise y
actualizado anualmente y después de cualquier cambio importante.
01.02 Objetivo
Esta Política y los Procedimientos que la respaldan están diseñados para proporcionar a BlueNotary una política de seguridad de la información formalizada para cumplir con diversas normativas.
una política de seguridad de la información formalizada para cumplir con diversos
reglamentarios y empresariales. Además, esta Política sirve como manual principal de seguridad de la información para toda la empresa.
de seguridad de la información. El cumplimiento de la Política establecida y los procedimientos de apoyo
ayuda a garantizar la seguridad y protección de todos los componentes del sistema de BlueNotary en el entorno de datos sensibles, así como en cualquier otro entorno que se considere aplicable.
así como cualquier otro entorno que se considere aplicable.
01.03 Ámbito de aplicación
Esta Política y los Procedimientos de apoyo cubren todos los componentes del sistema dentro del entorno de datos sensibles
propiedad de BlueNotary, operados, mantenidos y controlados por BlueNotary. Esta Política y
Procedimientos de apoyo cubren todos los demás componentes del sistema (tanto internos como externos) que
interactúan con estos sistemas y con todos los demás sistemas relevantes:
● Los componentes internos del sistema son aquellos que son propiedad de, operados, mantenidos y controlados por
BlueNotary, incluidos todos los dispositivos de red (cortafuegos, enrutadores, conmutadores, equilibradores de carga,
otros dispositivos de red), servidores (tanto servidores físicos como virtuales, junto con los
sistemas operativos y aplicaciones que residen en ellos), así como cualquier otro componente del sistema
componentes del sistema que se consideren dentro del ámbito de aplicación; y
● Los componentes externos del sistema son aquellos que son propiedad, están operados, mantenidos y controlados por
cualquier entidad distinta de BlueNotary. Estos sistemas externos pueden afectar a la confidencialidad
integridad y disponibilidad (CIA) y la seguridad general del entorno de datos sensibles,
junto con cualquier otro entorno que se considere aplicable.

Tenga en cuenta al hacer referencia a los términos "componente(s) del sistema" o "recurso(s) del sistema" que
implican lo siguiente: Cualquier componente de red, servidor o aplicación incluido o
conectado al entorno de datos sensibles, o cualquier otro entorno pertinente que se considere incluido en el ámbito de aplicación
a efectos de seguridad de la información.
Esta Política y los Procedimientos que la sustentan cubren a todos los empleados, becarios, voluntarios y
contratistas. (Todas estas personas se denominarán "Empleados" en esta Política y en estos Procedimientos, a menos que se indique lo contrario).
y los procedimientos, a menos que se indique lo contrario. Tanto la Política como los Procedimientos se pondrán
se pondrán a disposición de los Empleados, quienes deberán firmar un reconocimiento de que han leído esta Política y estos Procedimientos y de que están de acuerdo con ellos.
esta Política y estos Procedimientos y aceptan acatarlos.
01.04 Supervisión y aplicación
BlueNotary supervisa periódicamente la adhesión a esta Política para ayudar a garantizar el cumplimiento de
leyes, requisitos y acuerdos contractuales aplicables a los datos de clientes y consumidores.
clientes y consumidores.
Las sanciones por incumplimiento de las políticas y procedimientos de BlueNotary podrían dar lugar a
disciplinarias y / o medidas de ejecución contra los individuos y dar lugar a sanciones interpuestas
contra BlueNotary. Dependiendo de la gravedad de la infracción, las medidas de ejecución podrían
civiles y/o penales contra los infractores.
01.05 Compromiso de la dirección
La dirección de BlueNotary se compromete y asume la responsabilidad de aplicar
salvaguardias técnicas y organizativas apropiadas para garantizar la protección de la información confidencial (incluida la información de identificación personal).
sensible (incluida la información de identificación personal). BlueNotary también se compromete a
a demostrar que todo tratamiento de información sensible (incluida la información personal
personal) cumple con toda la normativa aplicable. Las medidas aplicadas serán
revisadas y actualizadas según sea necesario.
01.06 Funciones y responsabilidades
Dirección
La dirección demostrará su compromiso y liderazgo en los sistemas de gestión de seguridad y
seguridad y privacidad de BlueNotary garantizando lo siguiente:
● Establecimiento de políticas y objetivos de seguridad y privacidad alineados con la
dirección estratégica de BlueNotary;
● Integración de los requisitos de seguridad y privacidad en los procesos de BlueNotary;
● Disponibilidad de recursos de seguridad y privacidad;
● Comunicación de la importancia de la seguridad y la privacidad a empleados, terceros y partes interesadas tanto
partes interesadas tanto internas como externas, así como la conformidad con los requisitos de seguridad y privacidad
requisitos de seguridad y privacidad;
● Consecución de los resultados previstos de los programas de seguridad y privacidad;
● Contribución del personal directivo y de apoyo a la eficacia de los programas de seguridad y
programas de seguridad y privacidad;
● Mejora continua de los programas de seguridad y privacidad;
● Apoyo a otras funciones directivas en la demostración de liderazgo aplicado a sus áreas
de responsabilidades;
● Asignación y comunicación de responsabilidades y autoridades para los programas de seguridad y
● Asignación y comunicación de responsabilidades y autoridades para los programas de seguridad y
● Asignación y comunicación de responsabilidades y autoridades para los programas de seguridad y privacidad
● Establecimiento de una supervisión y aplicación adecuadas de las políticas y procedimientos.
Usuarios con privilegios
Los usuarios con privilegios son empleados con acceso elevado a los sistemas (como los administradores de sistemas) o personas con funciones y responsabilidades asignadas en materia de seguridad y protección de datos.
sistema) o personas con funciones y responsabilidades asignadas en materia de seguridad y privacidad.
seguridad y la privacidad. Los usuarios con privilegios deben cumplir y comprender las responsabilidades asignadas
relacionadas con sus derechos de acceso elevados junto con sus limitaciones en el uso de estos privilegios.
Los usuarios con privilegios deben comprender sus obligaciones y responsabilidades en el uso de sus privilegios y
asegurarse de que respetan la separación de funciones en relación con las actividades de seguridad y privacidad.
Empleados
Los empleados son responsables de cumplir y comprender todas las políticas y procedimientos de BlueNotary relacionados con la seguridad y la privacidad.
procedimientos de BlueNotary relacionados con la seguridad y la privacidad. Los empleados deben firmar un
reconocimiento de que han leído y cumplirán estas políticas y procedimientos.
Los empleados podrán ser objeto de medidas disciplinarias, incluido el despido, por incumplimiento de estas políticas y procedimientos.
no respetar estas políticas y procedimientos.
Las responsabilidades incluyen adherirse a las políticas, procedimientos y prácticas de seguridad de la información de la organización,
y prácticas de la organización, y no emprender ninguna medida que altere dichas normas en ninguno de los
componentes del sistema BlueNotary. Además, los usuarios finales deben informar de los casos de incumplimiento
- Los usuarios finales, al realizar sus operaciones cotidianas, también pueden informar a las autoridades superiores de los casos de incumplimiento, especialmente los cometidos por otros usuarios.
operaciones diarias, también pueden detectar problemas que impidan la seguridad de los componentes del sistema BlueNotary.
seguridad de los componentes del sistema BlueNotary y deben informar de ello inmediatamente a las autoridades superiores.
superiores.
Terceros
Los terceros, como los proveedores de servicios externos, son responsables de cumplir las políticas y procedimientos de BlueNotary en materia de seguridad y privacidad.
de BlueNotary en materia de seguridad y privacidad. Los terceros deben firmar acuerdos con
BlueNotary sobre sus responsabilidades en la aplicación de salvaguardias para proteger la seguridad y la privacidad de los datos proporcionados por BlueNotary.
y privacidad de los datos proporcionados por BlueNotary. Los terceros que no cumplan con estos requisitos de seguridad y privacidad pueden ser objeto de acciones legales.
requisitos de seguridad y privacidad pueden ser objeto de acciones legales, incluida la rescisión de los contratos de
servicios.
Las responsabilidades de dichas personas y organizaciones son muy similares a las establecidas para los usuarios finales:
adhesión a las políticas, procedimientos y prácticas de seguridad de la información de BlueNotary, y no
no adoptar ninguna medida que altere dichas normas en ninguno de los componentes del sistema.
Director de Tecnología (CTO)
Sus responsabilidades incluyen proporcionar dirección general, orientación, liderazgo y apoyo para el
todo el entorno de los sistemas de información, al tiempo que asiste al resto del personal pertinente en sus
operaciones cotidianas. El CTO informa regularmente a otros miembros de la alta dirección
sobre todos los aspectos de la situación de los sistemas de información de la organización.
Director de Seguridad de la Información (CISO)
El CISO es el responsable de seguridad designado con la misión y los recursos para coordinar,
desarrollar, implementar y mantener un programa de seguridad de la información para toda la organización. El CISO
El CISO es responsable de las políticas, procedimientos y controles de seguridad necesarios para cumplir con los requisitos normativos y contractuales.
requisitos reglamentarios y contractuales. El CISO asistirá al CTO en la dirección general del entorno de los sistemas de información.
en la dirección general del entorno del sistema de información, al tiempo que asiste al resto del personal pertinente
en sus operaciones diarias. Esta función requiere una amplia identificación de las normativas del sector,
referencias, normas y marcos utilizados eficazmente por la organización para el aprovisionamiento,
reforzar, asegurar y bloquear los componentes críticos del sistema. Tras la
investigación de tales normas, el CISO supervisa el establecimiento de una serie de normas de
una serie de normas básicas de configuración que incluyan, entre otros, los siguientes componentes del sistema: dispositivos de red, sistemas operativos, aplicaciones, sistemas internos de seguridad, etc.
dispositivos de red, sistemas operativos, aplicaciones, software y sistemas desarrollados internamente y otras plataformas de hardware y software pertinentes.
plataformas de hardware y software relevantes. Dado que las configuraciones de referencia cambiarán, el
CISO actualizará las configuraciones aplicables, así como documentará todas las modificaciones y
modificaciones y mejoras. El CISO preside el Comité de Seguridad, compuesto por miembros de la alta dirección.
El CISO preside el Comité de Seguridad, compuesto por miembros de la alta dirección, y depende directamente del Consejero Delegado (CEO).
Responsable de Riesgos y Cumplimiento
El Consejero Delegado o, en su caso, el Consejo de Administración, nombrará al Responsable de Riesgos y Cumplimiento Normativo
de entre el personal directivo de BlueNotary. El Responsable de Riesgos y Cumplimiento informará
directamente al CEO, o al Consejo de Administración, y asumirá la responsabilidad de informar
directamente al Comité Ejecutivo al menos dos veces al año. Las principales responsabilidades
principales responsabilidades del Responsable de Riesgos y Cumplimiento son, entre otras:
● Desempeño, seguimiento y la aplicación del programa de riesgo y cumplimiento;
● Informar al menos dos veces al año al Comité de Riesgos de la organización y al Comité Ejecutivo
Comité Ejecutivo de la organización sobre los avances en la aplicación, y ayudar a las autoridades rectoras a establecer
mecanismos para mejorar la eficiencia y la calidad de los servicios de la empresa y reducir
la vulnerabilidad potencial al fraude, el abuso y el despilfarro;
● Revisar el programa, al menos anualmente, en función de los nuevos cambios publicados en
la legislación y las políticas y procedimientos de la Administración y los clientes; ● Establecer mecanismos para mejorar la
y procedimientos de la Administración y los clientes;
● Desarrollar y participar en programas educativos y de formación centrados en los
de los elementos del programa de cumplimiento y garantizar que todos los empleados y el personal directivo
personal directivo conozcan y cumplan las normas federales y estatales pertinentes.
y estatales pertinentes;
● Garantizar que los contratistas y agentes independientes que prestan servicios para la empresa sean
● Asegurarse de que los contratistas y agentes independientes que prestan servicios para la empresa son conscientes de los requisitos de la Política con respecto a las operaciones afectadas;
● Coordinar las cuestiones de personal con el Director de Operaciones (COO), el gerente y el
departamento de recursos humanos para garantizar que se han comprobado las referencias adecuadas con
respecto a todos los empleados, personal y contratistas independientes;
● Asistir al Director de Operaciones y a la dirección en la coordinación de las revisiones internas de cumplimiento y
actividades de supervisión, incluidas las revisiones trimestrales de los departamentos;
● Investigar de forma independiente y actuar en asuntos relacionados con el cumplimiento, incluyendo la
flexibilidad para diseñar y coordinar investigaciones internas (por ejemplo, responder a informes de
problemas o presuntas infracciones) y cualquier medida correctiva resultante con todos los
departamentos y, si procede, contratistas independientes; y
● Desarrollar políticas, procedimientos y programas que animen a directivos y empleados
a informar de sospechas de fraude y otras incorrecciones sin temor a represalias por parte de la
represalias por parte de la dirección.
El Responsable de Riesgos y Cumplimiento tiene la autoridad y la obligación de revisar todos y cada uno de los
documentos y otra información relevante y aplicable a las actividades de cumplimiento, incluyendo, pero
los registros de clientes, los registros de clientes, los registros relativos a los esfuerzos de marketing de la empresa y los acuerdos de la empresa con sus clientes.
empresa y los acuerdos de la empresa con otras partes, incluidos empleados
contratistas independientes, proveedores y agentes. Esta política prevé que el Responsable de Riesgos y Cumplimiento
Cumplimiento revise los contratos y obligaciones (solicitando el asesoramiento de un asesor jurídico
cuando proceda) que contengan cuestiones de pago que pudieran infringir las leyes pertinentes, así como
otros requisitos legales o reglamentarios.
Administrador de sistemas
Entre sus responsabilidades se incluye la aplicación de las normas de configuración básicas para todos los componentes del sistema incluidos en el ámbito de aplicación.
componentes del sistema. Para ello es necesario obtener un inventario actualizado y preciso de todos los
sistemas, evaluar su posición inicial con la línea base establecida e implementar las configuraciones necesarias.
configuraciones necesarias. Debido a la complejidad y profundidad que a menudo conllevan estas
actividades, numerosos miembros del personal designados como Administradores de Sistemas se
tareas de administración de sistemas.
Estas personas son responsables de supervisar el cumplimiento de la línea de base establecida
estándares de configuración, informar a la alta dirección de todos los casos de incumplimiento, y
informar de los esfuerzos realizados para corregir los problemas detectados. Dado que estas personas
la mayoría de los procedimientos operativos y técnicos de la organización, es fundamental
fundamental destacar otras funciones relevantes, como las siguientes:
● Evaluar y analizar las normas de configuración de referencia para garantizar que cumplen la intención
y rigor necesarios para la seguridad general (tanto lógica como física) de los
componentes críticos del sistema;
● Garantizar que el inventario de activos para todos los componentes del sistema en el ámbito de aplicación se mantiene actualizado y
preciso;
● Garantizar que los documentos de topología de red se mantienen actualizados y precisos;
● Facilitar las solicitudes de validación de configuraciones de referencia a efectos de evaluaciones y auditorías de cumplimiento normativo
cumplimiento normativo (por ejemplo, cumplimiento SOC-2, cumplimiento PCI, informes SSAE
16, HIPAA, FISMA, GLBA); y
● Garantizar la formación continua y la acreditación de certificación a efectos de mantener
un nivel aceptable de conocimientos de seguridad de la información necesarios para la gestión de la configuración.
necesaria para la gestión de la configuración.
Entre las funciones adicionales de los administradores de sistemas se incluyen las siguientes:
● Establecer un entorno de red mediante el diseño de la configuración del sistema; dirigir el sistema
● Establecer un entorno de red mediante el diseño de la configuración del sistema; dirigir la instalación del sistema; y definir, documentar y hacer cumplir las normas del sistema;
● Optimizar el rendimiento de la red mediante la supervisión del rendimiento, la solución de problemas de red
problemas e interrupciones de la red, programando actualizaciones y colaborando con arquitectos de redes
en la optimización de la red;
● Actualizar los conocimientos laborales participando en oportunidades educativas, leyendo
publicaciones profesionales, el mantenimiento de redes personales y la participación en
organizaciones profesionales;
● Asegurar los sistemas de red estableciendo y aplicando políticas y definiendo y
supervisión del acceso; y
● Informar sobre el estado operativo de la red recopilando y priorizando información y
gestión de proyectos.
Desarrolladores de software
Entre sus responsabilidades se incluye el desarrollo de sistemas seguros mediante la aplicación de las normas de configuración básicas necesarias en todos los sistemas y el ciclo de vida de desarrollo de software.
en todos los sistemas y actividades del ciclo de vida de desarrollo de software (SDLC).
Codificar para la seguridad, no para la funcionalidad, es un enfoque básico al que deben adherirse todos los desarrolladores de software.
adherirse. Son responsables de identificar cualquier otra configuración de base necesaria
necesarias cuando sea necesario. En última instancia, esto requiere eliminar, desactivar y no implementar
servicios, protocolos o puertos inseguros con el fin de facilitar su uso, lo que en última instancia podría
comprometer los sistemas aplicables que se están desarrollando. Los desarrolladores de software son responsables de
seguir un marco estructurado de gestión de proyectos utilizando un proceso SDLC documentado
con políticas, procesos y procedimientos de gestión de cambios bien definidos.
Además, este personal debe apoyar y coordinar todas las solicitudes necesarias para la validación de
las configuraciones de referencia que se desarrollan en sus sistemas con fines de cumplimiento
reglamentarias y/o auditorías internas.
Entre las funciones adicionales de los desarrolladores de software se incluyen las siguientes:
● Desarrollar soluciones de software estudiando las necesidades de información; consultando con los usuarios;
estudiar el flujo de sistemas, el uso de datos y los procesos de trabajo; investigar las áreas problemáticas;
y siguiendo el ciclo de vida de desarrollo de software;
● Determinar la viabilidad operativa mediante la evaluación de análisis, definiciones de problemas,
requisitos, desarrollo de soluciones y soluciones propuestas;
● Mantener una documentación adecuada mediante diagramas de flujo, diseños, diagramas, gráficos, código
comentarios, y código claro;
● Preparar e instalar soluciones diseñando eficazmente las especificaciones del sistema,
normas y programación;
● Mejorar las operaciones mediante la realización de análisis de sistemas y la recomendación de cambios en
políticas y procedimientos; y
● Obtener y licenciar software de proveedores.
Personal de gestión de cambios
Las responsabilidades incluyen revisar, aprobar y/o denegar todos los cambios a los componentes críticos del sistema
componentes críticos del sistema y, específicamente, a los efectos de cualquier cambio en los diversos
base. Aunque los cambios se asocian a menudo con la funcionalidad del usuario, muchas veces las cuestiones de
vulnerabilidad, parches y gestión de la configuración salen a la luz con las solicitudes de cambio. En
En tales casos, el personal autorizado de gestión de cambios debe analizar y evaluar exhaustivamente
estas cuestiones para garantizar la seguridad de los componentes del sistema de toda la organización.
02 Programa de Seguridad de la Información y Liderazgo
Función: PM-02
La dirección de BlueNotary designará a un alto cargo de seguridad de la información con la misión y los recursos necesarios para coordinar, desarrollar, implantar y mantener un programa de seguridad de la información.
recursos para coordinar, desarrollar, implementar y mantener un programa de seguridad de la información.
La dirección también establecerá funciones y responsabilidades definidas para supervisar la implantación
del entorno de seguridad y control. Para apoyar este esfuerzo, BlueNotary se asegurará de que el
organigrama esté documentado y defina la estructura organizativa y las líneas jerárquicas.
BlueNotary también se asegurará de que el organigrama se actualiza anualmente.
03 Medidas de rendimiento: PM-06
BlueNotary desarrollará, controlará e informará sobre los resultados de las medidas de seguridad y privacidad de la información.
de la información. Los directivos deben realizar evaluaciones del rendimiento de sus subordinados directos al menos una vez al año.
anualmente.
04 Arquitectura empresarial: PM-07
BlueNotary desarrollará y mantendrá una arquitectura empresarial teniendo en cuenta
seguridad de la información, la privacidad y el riesgo resultante para las operaciones de la organización. Para lograrlo
la organización se asegurará de que la arquitectura empresarial cumple los requisitos mínimos:
● Mantiene actualizados los diagramas de red y los diagramas de flujo de datos de la arquitectura empresarial
arquitectura empresarial y las funciones y servicios relacionados que ofrece la organización;
● Mantiene actualizados los diagramas de red que se revisan al menos anualmente ;
● Mantiene actualizados los diagramas de flujo de datos que se revisan al menos anualmente ; y
● Cuando sea necesario, describe, documenta y comunica el entorno y los
límites a los usuarios autorizados tanto internos como externos.
05 Programa de gestión de riesgos y liderazgo:
PM-09
BlueNotary establecerá y documentará un Programa de Gestión de Riesgos que:
● Gestione los riesgos de seguridad para las operaciones y activos de la organización, las personas, otras
individuos, otras organizaciones y la nación asociados con la operación y uso de los sistemas de la organización.
organizativos;
Gestione el riesgo para la privacidad de las personas derivado del procesamiento autorizado de
información de identificación personal;
● Aplica la estrategia de gestión de riesgos de forma coherente en toda la organización;
● Revisa y actualiza el Programa de Gestión de Riesgos anualmente o según sea necesario para abordar
cambios organizativos;
● Proporciona orientación sobre la identificación de amenazas potenciales, calificaciones de la importancia de
los riesgos asociados con las amenazas identificadas, y las estrategias de mitigación de esos riesgos;
● Establece un Comité de Riesgos con responsabilidades de supervisión de los controles internos;
● Garantiza que el Comité de Riesgos incluya directores independientes de la función de control interno
función de control interno;
● Asegura que el Comité de Riesgos se reúne mensualmente y mantiene formalmente
actas de las reuniones; y
● Asigna un alto cargo responsable de la gestión de riesgos de la empresa.
Documentos relacionados
● Procedimientos de gestión del programa de seguridad de la información
● Política de concienciación y formación
● Política de evaluación, autorización y supervisión
● Política de gestión de la configuración
● Política de evaluación de riesgos
● Política de gestión de riesgos de terceros
Control de cambios
Fecha Versión Cambio(s) Motivo del cambio(s) Cambio(s)
Hecho por
15/01/2023 v1 Cambios iniciales Cambios iniciales Rohit Patel
TÍTULO Política de gestión del programa de seguridad de la información
NOMBRE DEL ARCHIVO Política de gestión del programa de seguridad de la información.pdf
FECHA: 29/01/2023 a las 16:33:47
VERSIÓN V-2
PROPIETARIO Rohit Patel
APROBADOR Rohit Patel
Historial del documento
V-2 01/29/2023
a las 16:33:47
Modificado por: Andy Blue andy@bluenotary.us
Comentarios: todos los sistemas funcionan
V-1 01/15/2023
a las 20:10:34
Cambiado por: Rohit Patel rohit@bluenotary.us
Comentarios: Cambios iniciales

Actualizado el: 16/06/2023

¿Este artículo te resultó útil?

Comparte tu opinión

Cancelar

¡Gracias!