Política corporativa de seguridad de la información y ciberseguridad

 

Versión: 1.0

Clasificación y confidencialidad

Este documento es clasificado como "público".

El presente documento es propiedad del grupo Keralty y está restringido a los colaboradores de la organización que cuenten con la autorización expresa para su consulta.

No se permite la reproducción total o parcial de este documento, así como su transmisión a terceros sin la autorización del responsable designado por el grupo Keralty.

Lista de distribución

Este documento es de uso interno del grupo Keralty y su copia debe ser controlada y registrada de acuerdo con los procedimientos establecidos por la organización. Su distribución se debe realizar de acuerdo con la lista definida en la tabla de distribución maestra SGSI.

Todo cambio realizado a este documento debe ser controlado, documentado de acuerdo con el procedimiento de control documental y registrados en la tabla de control de cambios del presente documento.

 

Establecer una política corporativa de seguridad de la información que refleje los objetivos de negocio del grupo empresarial Keralty y que sea aplicable para cualquiera de las empresas y países donde este tenga presencia.

 

La política corporativa de seguridad de la información y ciberseguridad aplica a todas las empresas del Grupo Keralty, funcionarios, prestadores de servicio, terceros y demás partes interesadas que por sus funciones custodian, procesan, transportan y/o almacenan información del grupo y/o de terceros.

 

El Grupo empresarial Keralty consciente de la importancia de proteger los activos de información que procesa, transporta, almacena y/o custodia sin importar su presentación ya sea física o digital, establece esta "Política Corporativa de seguridad de la información y ciberseguridad", con el fin de salvaguardar la integridad, confidencialidad y disponibilidad de esta. La presente política está alineada al cumplimiento de los valores corporativos y de los requisitos legales, regulatorios y/o contractuales que deben cumplirse en cada uno de los países donde el grupo tiene presencia. Permitiendo así generar una cultura de protección de información, con el liderazgo y compromiso de la alta dirección, otorgando los recursos necesarios para la implementación, gestión, medición y mejora continua del sistema corporativo de gestión de seguridad de la información.

 

A continuación, se describen los cinco (5) objetivos rectores del Gobierno y del sistema de gestión corporativo de seguridad de la información del grupo Keralty:

  1. SIG-SI-OBJ-01: Reducir la superficie de riesgo mediante el diseño e implementación de controles de seguridad de la información y ciberseguridad de acuerdo con el tipo de activo, riesgo e información a proteger.
  2. SIG-SI-OBJ-02: Cumplir con los requisitos de seguridad de la información y ciberseguridad definidos por el grupo Keralty y/o establecidos por la legislación, regulación vigente y/o acuerdo contractual mediante la vigilancia continua del contexto interno y externo del grupo y a través procesos periódicos de validación y aseguramiento.
  3. SIG-SI-OBJ-03: Reducir el impacto de la materialización de riesgos de seguridad de la información y ciberseguridad a partir del diseño, implementación y operación de un proceso holístico de gestión de incidentes.
  4. SIG-SI-OBJ-04: Generar en todos los funcionarios, prestadores de servicio, terceros y demás partes interesadas una cultura de protección de información por medio de programas, capacitación y campañas de sensibilización en seguridad de la información.
  5. SIG-SI-OBJ-05: Mejorar las capacidades de Ciberresiliencia del grupo empresarial a través de la incorporación de procesos, mejores prácticas internacionales y tecnologías de ciberseguridad alineadas a los procesos corporativos.
 
  1. Como parte del proceso de diseño, implementación, operación y mejora continua del Sistema corporativo de Gestión de Seguridad de la información y ciberseguridad del grupo Keralty, se han establecido políticas específicas o de segundo nivel, las cuales se encuentran contenidas en el manual corporativo de políticas de seguridad de la información y ciberseguridad. Dicho manual presenta en detalle los lineamientos específicos de seguridad de la información y ciberseguridad que han sido implementados para dar cumplimento a los requisitos establecidos por los estándares ISO27001:2013 e ISO27032:2012 así como también al marco de gobierno y modelo controles establecidos en las mejores prácticas del Instituto Nacional de Estándares americano (NIST) y el Centro de seguridad de internet (CIS).

    A continuación, una declaración breve de las políticas específicas o de segundo nivel:

    1. SIG-SI-PL02 Política corporativa de organización interna en seguridad de la información: El grupo Keralty debe diseñar, implementar, gestionar, medir y mejorar de forma continua los controles referentes a los roles y responsabilidades en seguridad de la información, separación de deberes, comunicación con autoridades, contacto con grupo de interés y seguridad en gestión de proyectos, con el fin de garantizar una adecuada organización de seguridad de la información que permita el cumplimiento de los objetivos corporativos y del sistema de gestión.
    2. SIG-SI-PL03 Política corporativa de seguridad para el recurso humano: El grupo Keralty debe diseñar, implementar, gestionar, medir y mejorar de forma continua los controles aplicables a los recursos humanos antes, durante y después del empleo con el fin de garantizar una adecuada operación del Sistema de gestión de seguridad y una cultura corporativa de protección de información.
    3. SIG-SI-PL04 Política corporativa de seguridad para la gestión de activos: El grupo Keralty debe diseñar, implementar, gestionar, medir y mejorar de forma continua los controles referentes con el inventario, uso aceptable, clasificación de la información y el manejo de soportes para todos los activos de información que hacen parte del sistema de gestión de seguridad de la información.
    4. SIG-SI-PL05 Política corporativa de control de acceso lógico: El grupo Keralty debe diseñar, implementar, gestionar, medir y mejorar de forma continua los lineamientos de control de acceso y sus responsabilidades referentes a redes, sistemas, aplicaciones y usuarios.
    5. SIG-SI-PL06 Política corporativa de criptografía: El grupo Keralty debe diseñar, implementar, gestionar, medir y mejorar de forma continua los controles relacionados con el cifrado, la gestión de llaves y claves de acceso.
    6. SIG-SI-PL07 Política de seguridad física: El grupo Keralty debe diseñar, implementar, gestionar, medir y mejorar de forma continua los controlesde seguridad física para áreas seguras y equipos informáticos.
    7. SIG-SI-PL08 Política corporativa de seguridad en las operaciones: El grupo Keralty debe diseñar, implementar, gestionar, medir y mejorar de forma continua los controles necesarios para garantizar la seguridad de las operaciones, protección contra código malicioso, copias de respaldo, registro y seguimiento de operaciones, sistemas operativos, vulnerabilidades técnicas y auditorías de sistemas de información.
    8. SIG-SI-PL09 Política corporativa de seguridad de las comunicaciones: El grupo Keralty debe diseñar, implementar, gestionar, medir y mejorar de forma continua los controles relacionados con la gestión de seguridad de redes y la transferencia de información a través de estas.
    9. SIG-SI-PL10 Política corporativa de seguridad para la adquisición, desarrollo y mantenimiento de los sistemas de información: El grupo Keralty debe diseñar, implementar, gestionar, medir y mejorar de forma continua los controles de seguridad referentes a los requerimientos iniciales de seguridad, proceso seguro de desarrollo, soporte y datos de prueba.
    10. SIG-SI-PL11 Política corporativa de seguridad en relación con proveedores: El grupo Keralty debe diseñar, implementar, gestionar, medir y mejorar de forma continua los controles de seguridad de la información en el relacionamiento con proveedores y la gestión de servicios prestados por terceros.
    11. SIG-SI-PL12 Política corporativa de gestión de incidentes de seguridad de la información: El grupo Keralty debe diseñar, implementar, gestionar, medir y mejorar de forma continua los controles para garantizar la gestión de incidentes de seguridad de la información planeando, preparando, detectando, reportando, evaluando, respondiendo, documentando y corrigiendo con base en lecciones aprendidas.
    12. SIG-SI-PL13 Política corporativa de seguridad en la continuidad de negocios: El grupo Keralty debe diseñar, implementar, gestionar, medir y mejorar de forma continua los controles necesarios para que la operación de continuidad del negocio cumpla con los lineamientos mínimos de seguridad de la información en un desastre.
    13. SIG-SI-PL14 Política de cumplimiento regulatorio: El grupo Keralty debe diseñar, implementar, gestionar, medir y mejorar de forma continua los controles requeridos para el cumplimiento de los requisitos legales, regulatorios y/o contractuales, así como las revisiones de seguridad de la información.
    14. SIG-SI-PL15 Política de ciberseguridad: El grupo Keralty debe diseñar, implementar, gestionar, medir y mejorar de forma continua los controles requeridos para la protección de los sistemas de información e infraestructura tecnológica frente a accesos no autorizados, pérdida o daños durante el procesamiento de la información y otro tipo de ciberamenazas.
    15. SIG-SI-PL16 Política corporativa de riesgos de seguridad de la información: El grupo Keralty debe diseñar, implementar, gestionar, medir y mejorar de forma continua la gestión de riesgos asociadas a la seguridad de la información.
  2. El grupo empresarial Keralty podrá desarrollar otras políticas específicas de seguridad de la información para dar respuesta a requerimientos legales, regulatorios o contractuales específicos de cada país y su ámbito de aplicación será exclusivamente para este.
 
  1. La política corporativa de seguridad de la información del grupo Keralty debe estar disponible y ser comunicada dentro del grupo empresarial para todas las partes interesadas según sea apropiado y aplicable.
  2. La política corporativa de seguridad de la información, así como también las políticas secundarias de seguridad deben ser actualizadas como mínimo cada año y/o cuando se generen cambios en los objetivos de negocio, regulación existente y/o en el contexto interno o externo del grupo empresarial Keralty.
  3. Los funcionarios, prestadores y/o contratistas según aplique, deberán conocer y aceptar las políticas corporativas de seguridad de la información una vez ingresen a desarrollar actividades a la compañía, cada vez que éstas sean actualizadas y/o en el marco de aceptación anual del código de ética corporativa del grupo empresarial.
 

Se establece la siguiente estructura de aprobación para la política corporativa de seguridad de la información y las políticas específicas. Ver tabla aquí

 

Para medir la eficacia y la efectividad tanto del gobierno corporativo de seguridad de la información, así como del sistema de gestión de la seguridad, se han establecido los siguientes indicadores de desempeño alineados a cada uno de los cinco objetivos corporativos de seguridad:

  1. SIG-SI-KPI-001: Nivel de reducción de superficie de Riesgo.
  2. SIG-SI-KPI-002: Nivel de cumplimiento requisitos de seguridad.
  3. SIG-SI-KPI-003: Nivel de impacto de incidentes de seguridad de la información y ciberseguridad.
  4. SIG-SI-KPI-004: Nivel de apropiación cultural de seguridad de la información.
  5. SIG-SI-KPI-005: Nivel de madurez modelo de Ciberresiliencia organizacional.

A continuación, se observa la relación entre los objetivos de seguridad, las áreas de interés del gobierno de seguridad y los indicadores de desempeño del sistema de seguridad de la información del Grupo Keralty: Figura 1 Relación entre objetivos de seguridad de la información y áreas de interés

 

El gobierno corporativo de seguridad de la información del Grupo Keralty, se ha diseñado y establecido bajo los siguientes pilares:

  1. Predictivo: Permitiendo conocer de forma anticipada las amenazas a la seguridad de la información y su impacto en el negocio.
  2. Personalizado: Diseñando e implementando controles de acuerdo con el tipo de activo, riesgo e información a proteger.
  3. Participativo: Trabajando activamente con los grupos de interés en la protección de la información.
  4. Preventivo: Monitoreando de forma proactiva y actuando de manera oportuna para reducir la superficie de riesgo
  5. Permanente: Asegurando constantemente los procesos, personas y tecnologías.
 

Para la elaboración del marco de políticas de primer nivel y segundo nivel, lineamientos, procedimientos, estándares, guías e instructivos se han utilizado las siguientes normas y mejores prácticas de seguridad de la información y ciberseguridad.

  • ISO/IEC 27001:2013 Sistemas Gestión de la Seguridad de la Información.
  • ISO/IEC 27002:2013 Código de prácticas para la Seguridad de la información.
  • ISO/IEC 27005:2018 Gestión de riesgos de la Seguridad la Información.
  • ISO/IEC ISO27035:2016 Gestión de incidentes de seguridad de la información.
  • ISO/IEC ISO22301:2019 Gestión de la Continuidad de Negocio.
  • ISO/IEC ISO31000: 2019 Gestión de riesgos.
  • Marco de ciberseguridad NIST.
  • Modelo de controles CIS V 7.1
   

08/07/2021 - Versión inicial 1.0