Política de Uso Aceptable de la Información y Otros Activos Asociados
Introducción
El presente documento establece la política de uso aceptable de los activos de información para Gauss Control, de acuerdo al apartado 5.10 del estándar ISO 27002-2022. Esta política se aplica a todos los empleados, contratistas, proveedores y terceros que tengan acceso a los activos de información de Gauss Control, y establece las responsabilidades, directrices y consecuencias del incumplimiento de esta política. La implementación de esta política es esencial para garantizar la protección y uso adecuado de los activos de información de Gauss Control y para colaborar en la gestión efectiva de la seguridad de la información de la organización.
Objetivo
El objetivo de esta política es establecer las directrices para el uso aceptable de los activos de información de Gauss Control. Los activos de información incluyen cualquier tipo de información, datos, sistemas, equipos, dispositivos, software, documentos y materiales que sean propiedad de Gauss Control.
Alcance
Esta política se aplica a todos los empleados, contratistas, proveedores y cualquier otra persona que utilice los activos de información propiedad de Gauss Control. Los activos de información incluyen, entre otros, equipos de cómputo, dispositivos móviles, correo electrónico, software, redes, bases de datos y datos almacenados en cualquier medio electrónico.
Responsabilidades
Data Owners y Data Stewards:
Deben garantizar que los usuarios bajo su supervisión estén al tanto de la Política de Uso Aceptable de la Información y Otros Activos Asociados de Gauss Control y que la cumplan.
Deben tomar medidas disciplinarias en caso de incumplimiento de la política y notificar al encargado de seguridad de la información de Gauss Control en caso de incidentes o sospechas de incidentes de seguridad.
Deberán tener identificados e inventariados los activos de información necesarios para la prestación de los procesos de Gauss Control.
Realizar la clasificación de los activos en función del tipo de información que se vaya a tratar, de acuerdo con lo dispuesto en la Política de Clasificación y Etiquetado de Información.
Gerente de Tecnología:
Debe garantizar que los activos de Gauss Control estén protegidos contra daños, pérdidas o robos, y que los controles de seguridad establecidos en dichos activos estén funcionando adecuadamente.
Debe colaborar con el equipo de seguridad de la información de Gauss Control para actualizar regularmente esta Política y proporcionar orientación y capacitación a los usuarios autorizados de los activos de la organización.
Debe informar al encargado de seguridad de la información de Gauss Control de cualquier incidente o sospecha de incidente de seguridad relacionado con los activos de la organización.
Encargado de Seguridad de la Información:
Es responsable de revisar y actualizar regularmente la presente Política y de proporcionar orientación y capacitación sobre su contenido.
Debe colaborar con el Gerente de TI para garantizar que los controles de seguridad establecidos en los activos de Gauss Control estén funcionando adecuadamente y para gestionar los incidentes de seguridad.
Debe informar a la dirección de Gauss Control de cualquier incumplimiento significativo de esta política o cualquier incidente de seguridad importante que haya ocurrido.
Deben garantizar que los usuarios bajo su supervisión estén al tanto de la Política de Uso Aceptable de la Información y Otros Activos Asociados de Gauss Control y que la cumplan.
Deben tomar medidas disciplinarias en caso de incumplimiento de la política y notificar al encargado de seguridad de la información de Gauss Control en caso de incidentes o sospechas de incidentes de seguridad.
Deberán tener identificados e inventariados los activos de información necesarios para la prestación de los procesos de Gauss Control.
Realizar la clasificación de los activos en función del tipo de información que se vaya a tratar, de acuerdo con lo dispuesto en la Política de Clasificación y Etiquetado de Información.
Gerente de Tecnología:
Debe garantizar que los activos de Gauss Control estén protegidos contra daños, pérdidas o robos, y que los controles de seguridad establecidos en dichos activos estén funcionando adecuadamente.
Debe colaborar con el equipo de seguridad de la información de Gauss Control para actualizar regularmente esta Política y proporcionar orientación y capacitación a los usuarios autorizados de los activos de la organización.
Debe informar al encargado de seguridad de la información de Gauss Control de cualquier incidente o sospecha de incidente de seguridad relacionado con los activos de la organización.
Encargado de Seguridad de la Información:
Es responsable de revisar y actualizar regularmente la presente Política y de proporcionar orientación y capacitación sobre su contenido.
Debe colaborar con el Gerente de TI para garantizar que los controles de seguridad establecidos en los activos de Gauss Control estén funcionando adecuadamente y para gestionar los incidentes de seguridad.
Debe informar a la dirección de Gauss Control de cualquier incumplimiento significativo de esta política o cualquier incidente de seguridad importante que haya ocurrido.
Política
Uso Aceptable
Los activos de Gauss Control solo pueden utilizarse para fines del negocio legítimos y autorizados.
Los usuarios autorizados deben cumplir con todas las leyes, reglamentos y normas aplicables al uso de los activos de Gauss Control.
Los usuarios autorizados deben proteger los activos de Gauss Control de daños, pérdidas o robos, y deben notificar de inmediato cualquier incidente o sospecha de incidente de seguridad al equipo de seguridad de la información de Gauss Control.
Los usuarios autorizados no intentarán eludir o deshabilitar los controles de seguridad establecidos en los activos de Gauss Control.
Mal uso
El mal uso de los activos de Gauss Control puede resultar en medidas disciplinarias, incluyendo, pero no limitado a, la terminación del empleo, el enjuiciamiento civil o penal o el pago de daños y perjuicios.
El mal uso incluye, pero no se limita a, el acceso no autorizado, la divulgación no autorizada, la modificación no autorizada, la destrucción no autorizada o el daño a los activos de Gauss Control.
Los usuarios autorizados no deben intentar obtener acceso no autorizado a los activos de Gauss Control o divulgar información confidencial o propiedad de Gauss Control a terceros sin autorización.
Los activos de Gauss Control solo pueden utilizarse para fines del negocio legítimos y autorizados.
Los usuarios autorizados deben cumplir con todas las leyes, reglamentos y normas aplicables al uso de los activos de Gauss Control.
Los usuarios autorizados deben proteger los activos de Gauss Control de daños, pérdidas o robos, y deben notificar de inmediato cualquier incidente o sospecha de incidente de seguridad al equipo de seguridad de la información de Gauss Control.
Los usuarios autorizados no intentarán eludir o deshabilitar los controles de seguridad establecidos en los activos de Gauss Control.
Mal uso
El mal uso de los activos de Gauss Control puede resultar en medidas disciplinarias, incluyendo, pero no limitado a, la terminación del empleo, el enjuiciamiento civil o penal o el pago de daños y perjuicios.
El mal uso incluye, pero no se limita a, el acceso no autorizado, la divulgación no autorizada, la modificación no autorizada, la destrucción no autorizada o el daño a los activos de Gauss Control.
Los usuarios autorizados no deben intentar obtener acceso no autorizado a los activos de Gauss Control o divulgar información confidencial o propiedad de Gauss Control a terceros sin autorización.
Revisión de la Política
Gauss Control se reserva el derecho de auditar el uso de sus activos para asegurar el cumplimiento de la presente política y otras políticas y procedimientos aplicables.
La presente Política es parte de los términos y condiciones de empleo y se aplica a todos los usuarios autorizados de los activos.
Vigencia de la Política
Este documento tiene una vigencia de 1 año a partir de su última aprobación.
Revisiones
Una de las tareas que deberán ser ejecutadas por el Comité de Seguridad de la Información de Gauss Control, es la reevaluación de las políticas de la seguridad de la información. Esto deberá realizarse por lo menos una vez cada dos años o ante cualquier cambio significativo de tecnología, personal o evento que amerite su reevaluación para asegurar su continuidad, idoneidad, eficiencia y efectividad.