POLITICAS DE SEGURIDAD Y PRIVICIDAD DE LA INFORMACION
La Política de Seguridad y Privacidad de la Información es la declaración general que representa la posición de la administración de KIRA ISP S.A.S con respecto a la protección de los activos de información (los funcionarios, contratistas, terceros. la información, los procesos, las tecnologías de información incluido el hardware y el software), que soportan los procesos de la Entidad y apoyan la implementación del Sistema de Gestión de Seguridad de la Información, por medio de la generación y publicación de sus políticas, procedimientos e instructivos, así como de la asignación de responsabilidades generales y específicas para la gestión de la seguridad de la información.
KIRA ISP S.A.S, para asegurar la dirección estratégica de la Entidad, establece la compatibilidad de la política de seguridad de la información y los objetivos de seguridad de la información, estos últimos correspondientes a:
· Minimizar el riesgo de los procesos misionales de la entidad.
· Cumplir con los principios de seguridad de la información.
· Cumplir con los principios de la función administrativa.
· Mantener la confianza de los funcionarios, contratistas y terceros.
· Apoyar la innovación tecnológica.
· Implementar el sistema de gestión de seguridad de la información.
· Proteger los activos de información.
· Establecer las políticas, procedimientos e instructivos en materia de seguridad de la información.
· Fortalecer la cultura de seguridad de la información en los funcionarios, terceros, aprendices, practicantes y clientes del KIRA ISP S.A.S
· Garantizar la continuidad del negocio frente a incidentes.
Alcance/Aplicabilidad
· Esta política aplica a toda la entidad, sus funcionarios, contratistas y terceros del KIRA ISP S.A.S y la ciudadanía en general.
A continuación, se establecen 10 principios de seguridad que soportan el SGSI de KIRA ISP S.A.S:
Las responsabilidades frente a la seguridad de la información serán definidas, compartidas, publicadas y aceptadas por cada uno de los empleados, proveedores, socios de negocio o terceros.
• KIRA ISP S.A.S protegerá la información generada, procesada o resguardada por los procesos de negocio, su infraestructura tecnológica y activos del riesgo que se genera de los accesos otorgados a terceros (ej.: proveedores o clientes), o como resultado de un servicio interno en outsourcing.
• KIRA ISP S.A.S protegerá la información creada, procesada, transmitida o resguardada por sus procesos de negocio, con el fin de minimizar impactos financieros, operativos o legales debido a un uso incorrecto de esta. Para ello es fundamental la aplicación de controles de acuerdo con la clasificación de la información de su propiedad o en custodia.
• KIRA ISP S.A.S protegerá su información de las amenazas originadas por parte del personal.
• KIRA ISP S.A.S protegerá las instalaciones de procesamiento y la infraestructura tecnológica que soporta sus procesos críticos.
• KIRA ISP S.A.S controlará la operación de sus procesos de negocio garantizando la seguridad de los recursos tecnológicos y las redes de datos.
• KIRA ISP S.A.S implementará control de acceso a la información, sistemas y recursos de red.
• KIRA ISP S.A.S garantizará que la seguridad sea parte integral del ciclo de vida de los sistemas de información.
• KIRA ISP S.A.S garantizará a través de una adecuada gestión de los eventos de seguridad y las debilidades asociadas con los sistemas de información una mejora efectiva de su modelo de seguridad.
• KIRA ISP S.A.S garantizará la disponibilidad de sus procesos de negocio y la continuidad de su operación basada en el impacto que pueden generar los eventos.
• KIRA ISP S.A.S garantizará el cumplimiento de las obligaciones legales, regulatorias y contractuales establecidas.