top of page

Políticas específicas de
Seguridad de la Información


POLITICA DE DISPOSITIVOS MOVILES

 

  • El uso de dispositivos móviles sobre la infraestructura tecnológica para el procesamiento de información de GMP, ya sea de propiedad de la organización o de propiedad del usuario, debe estar autorizado mediante un correo electrónico o documento formal por el gerente / jefe del área.
     

  • Los usuarios que utilicen dispositivos móviles deben asegurarse de que estos tengan las configuraciones de control de seguridad mínimas como:

➢ Mecanismo de autenticación o inicio de sesión.

➢ Bloqueo de inactividad.

 

  • Todos los usuarios de dispositivos móviles que contengan información confidencial deben usar la última o la más segura versión de los productos de software. Los parches o actualizaciones serán obtenidos de manera formal, provenientes del fabricante.
     

  • El usuario utilizará el acceso a la información de la organización únicamente para fines laborales y solo podrá acceder a la información de GMP mediante los mecanismos de correo electrónico e internet.
     

  • El usuario tiene prohibido la copia, almacenamiento o envío de la información de la organización contenida en el dispositivo móvil a cualquier otro dispositivo mediante un servicio o medio que no sea propiedad de GMP.
     

  • En el caso que se pierda o extravié un dispositivo móvil, se deberá reportar al área de TI para la evaluación de riesgos correspondiente.
     

  • El usuario debe devolver el dispositivo móvil asignado, de propiedad de GMP, al área de TI al término de sus funciones o al cambio de puesto o cuando el servicio contratado culmine en las mismas condiciones en las que le fue entregado.



POLÍTICA DE TELETRABAJO | TRABAJO REMOTO

 

  • Con el fin de garantizar la confidencialidad, integridad y disponibilidad de la información en un entorno de teletrabajo | trabajo remoto, se establece que GMP debe proveer a los teletrabajadores | trabajo remoto los recursos necesarios, según su disponibilidad, para realizar su labor en el sitio que haya informado al responsable de TI de acuerdo a lo establecido en la normatividad nacional aplicable y vigente.
     

  • No es permitido que la sesión establecida de GMP sea utilizada por una persona diferente al colaborador autorizado.
     

  • No hacerlo desde un sitio de acceso público como un Café Internet, Aeropuerto y Restaurante, entre otros.
     

  • Cualquier usuario que requiera acceso a la red desde el exterior, sea por Internet o por acceso telefónico deberá estar debidamente autenticado y sus conexiones estarán encriptadas.
     

  • Reportar cualquier evento anormal al Oficial de Seguridad de la Información.


 


POLÍTICA PARA EL USO ACEPTABLE DE LOS ACTIVOS

 

  • El uso de la información y de los activos de información debe ser para propósitos de las actividades de GMP de acuerdo a las políticas, procedimientos o cualquier lineamiento que definan.
     

  • No se debe divulgar información que haya sido clasificada como confidencial, salvo autorización del propietario de información quien debe ser responsable de la divulgación.
     

  • Cualquier acceso, modificación o eliminación de información o de un activo de información debe ser expresamente autorizada por el propietario de información o propietario del activo de información.
     

  • Se deben cumplir con lo establecido en los requisitos legales nacionales, contractuales y normativos relativos al uso de activos de información.

 

  • El personal que ponga en riesgo los activos de información, se le aplicará medidas disciplinarias de acuerdo al proceso disciplinario vigente.
     

  • Todos los activos a los que tenga acceso un personal se encuentran bajo su responsabilidad y deben de proteger su integridad y confidencialidad.
     

  • Todo activo que contiene información no debe ser desatendido, debe quedar resguardado bajo llave o se deben utilizar bloqueos especiales para asegurarlo.
     

  • Todo incidente de seguridad de la información que involucre a información confidencial o a los activos que soportan dicha información deben ser reportados por los canales establecidos.



 

POLÍTICA PARA LA GESTIÓN DE MEDIOS REMOVIBLES


GMP ha establecido la siguiente política específica para el uso de medios removibles que contienen información clasificada como “confidencial”:

 

  • Para el uso de medios removibles como memorias USB, discos externos, DVDs y CDs, se debe solicitar el desbloqueo de los puertos de acceso de los equipos en uso.
     

  • Los usuarios que usen medios removibles como memorias USB, discos externos, DVDs y CDs deben evitar utilizarlos en equipos internos o externos que no cuenten con las medidas de seguridad mínimas requeridas como un antivirus y de ser necesario solicitar al área de TI la implementación de controles de cifrado. Además, son responsables del aseguramiento físico de estos, en tal sentido, cuando no se estén usando deben quedar resguardados en un cajón con llave u otro espacio seguro.
     

  • Los medios removibles no deben quedarse conectados en equipos desatendidos por largos períodos de tiempo.


POLÍTICA DE CONTROL DE ACCESOS

 

  • El control de acceso a los sistemas de información y aplicaciones debe realizarse por medio de códigos de identificación y contraseñas únicos para cada usuario. Las cuentas de usuario deben ser únicas para cada empleado y éste será responsable por toda actividad que sea realizada con dicho usuario.
     

  • El uso de contraseñas robustas debe estar configurado en los sistemas de información y aplicaciones.
     

  • Toda credencial de acceso de los usuarios es personal e intransferible y es de responsabilidad del usuario asegurar su confidencialidad.
     

  • Está prohibido intentar ingresar a la infraestructura tecnológica con la cuenta de usuario de otro empleado.
     

  • El nivel de acceso a un sistema de información se otorgará de acuerdo a:

➢ La clasificación de la información.

➢ Funciones del usuario.

➢ Perfiles de acceso estandarizados.

➢ Pedido, autorización y administración de acceso.

➢ Segregación de funciones.

➢ Revisión periódica.

➢ Retiro y modificación de derechos de acceso.

 

  • El personal de GMP solo debe tener acceso a servicios a los que fueron específicamente autorizados a utilizar.
     

  • El acceso a plataformas, aplicaciones, servicios y en general cualquier recurso de información debe ser asignado de acuerdo a la identificación previa de requerimientos de seguridad y de la organización, que se definan por los propietarios de los activos de información, así como normas legales o leyes aplicables a la protección de acceso a la información presente en los sistemas de información.
     

  • Para el acceso a información sensible, donde sea necesaria la autenticación fuerte, se deberán usar técnicas alternativas a las contraseñas, tales como criptografía, biometría, token u otros.
     

  • Periódicamente se debe revisar que los accesos de las cuentas de usuario de personal cesado hayan sido eliminados y/o deshabilitados.
     

  • Periódicamente se debe revisar que los accesos concedidos a los usuarios sean los que les corresponde de acuerdo a las funciones que desempeñan.
     

  • El acceso a repositorios con código fuente debe ser controlado.
     

  • Se deberá eliminar o deshabilitar las cuentas predeterminadas innecesarias antes de instalar algún sistema o equipo en la red.

 


POLÍTICA DE USO DE CONTROLES CRIPTOGRÁFICOS

 

  • Se emplearán controles criptográficos para la protección de información digital o electrónica clasificada como confidencial o sensible y para proteger la comunicación en sistemas de información, aplicaciones web o servicios que se ejecuten a través de internet.
     

  • Toda información gestionada por el colaborador y clasificada como confidencial, de ser posible será encriptada, previa autorización de su gerencia/jefatura y en coordinación con el Oficial de Seguridad de la Información.
     

  • Se puede implementar controles criptográficos al transferir información confidencial por medio de dispositivos extraíbles.


POLITICA ESPECÍFICA PARA ÁREAS SEGURAS

 

  • El perímetro de seguridad física debe estar claramente definido y demarcado. Las especificaciones técnicas dependerán del nivel de protección que se requiera implementar.
     

  • Los perímetros del edificio o del lugar que contenga instalaciones de procesamiento de información debe tener solidez física; los muros, paredes y pisos externos del lugar deberían ser sólidos.
     

  • Debe de existir un área de recepción atendida por persona u otros medios de control de acceso físico al área o edificio; dicho acceso debería restringirse solo al personal autorizado.
     

  • Se debe proteger las áreas donde funcionan las instalaciones de procesamiento de información, suministro de energía eléctrica, aire acondicionado y cualquier otra que sea considerada como crítica y que pudiera afectar el funcionamiento de los sistemas de información.​​
     


POLÍTICA DE EQUIPOS DE USUARIO DESATENDIDOS

 

  • Al dejar un equipo desatendido temporalmente, el usuario debe bloquear el acceso a su computador, laptop o servidores, independientemente del tiempo que permanezcan alejados.
     

  • Las estaciones de trabajo y terminales no deben estar activas cuando sean desatendidas y deben ser protegidas mediante uso de contraseñas u otros controles cuando no estén siendo utilizadas.
     

  • Se debe establecer un método de bloqueo (contraseñas, patrones, etc.) para los equipos que serán entregados a los usuarios, y que se bloquee pasado un tiempo no mayor a diez minutos de inactividad.
     

  • Al terminar la jornada de trabajo se deberá apagar el equipo, siempre y cuando no se encuentren ejecutándose procesos programados fuera de horario de oficina y respondan a labores propias del cargo del trabajador. En caso de ausentarse de la oficina por un período prolongado de tiempo, se deberán cancelar las sesiones de usuario dentro de las aplicaciones, además de bloquear la pantalla.
     

  • Todo usuario debe desconectarse de las aplicaciones o de servicios de red cuando ya no sea necesario.



POLÍTICA DE ESCRITORIO LIMPIO

 

  • Es responsabilidad de todo colaborador mantener sus escritorios o puestos de trabajo limpios y sin documentos fuera del horario de trabajo o en ausencia prolongada del sitio para evitar el acceso no autorizado o fuga de información.
     

  • Se debe evitar exponer información confidencial e interna en los módulos, escritorios o estaciones de trabajo de GMP.
     

  • El colaborador o proveedor no deberá tener escrito en un medio físico (papel adhesivo, papel convencional, superficies, etc.) su cuenta de red, credenciales de acceso de correo electrónico, aplicación, sistema de información, datos personales o información relevante que comprometa la seguridad de la información.
     

  • Al ausentarse del puesto de trabajo se deberá guardar en un lugar seguro información física o medios removibles que contengan información confidencial o sensible.
     

  • Los documentos digitales enviados a impresión, se deberá recoger inmediatamente, toda vez que esta sea considerada como confidencial o sensible.
     

  • No se arrojará al tacho de basura, documentos impresos que contengan información confidencial o sensible. Antes deben ser destruidos de forma irrecuperable.


POLÍTICA DE PANTALLA LIMPIA

 

  • No se deberá almacenar en la pantalla del escritorio de la estación de trabajo, información digital conteniendo credenciales personales o corporativas o información confidencial que pueda comprometer la seguridad de la información.
     

  • Se deberá mantener el escritorio del sistema operativo libre de archivos o iconos que saturen y confieran una práctica de almacenamiento riesgosa.
     

  • Los archivos que contengan información confidencial o sensible deben ser guardados en un repositorio de red que cuente con seguridad de acceso y respaldo.


POLÍTICA DE CIBERSEGURIDAD

 

  • Garantizar que los Sistemas de Información de que dispone GMP poseen el adecuado nivel de ciberseguridad y resiliencia.
     

  • Sensibilizar a todos los empleados, contratistas y colaboradores acerca de los riesgos de ciberseguridad y garantiza que disponen de los conocimientos, habilidades, experiencia y capacidades tecnológicas necesarias para sustentar los objetivos de ciberseguridad.
     

  • Potenciar las capacidades de prevención, detección, reacción, análisis, recuperación, respuesta, investigación y coordinación frente a las nuevas amenazas.
     

  • Impulsar la existencia de mecanismos de ciberseguridad y resiliencia adecuados para los sistemas y operaciones gestionados por terceros.
     

  • Dotar de procedimientos y herramientas que permiten adaptarse con agilidad a las condiciones cambiantes del entorno tecnológico y a las nuevas amenazas.
     

  • Colaborar con los organismos y agencias gubernamentales relevantes para la mejora de la ciberseguridad de la compañía, el cumplimiento de la legislación vigente y contribuye a la mejora de la ciberseguridad en el ámbito nacional e internacional.

 



POLÍTICA DE ETHICAL HACKING

 

  • Evitar fallas de seguridad o riesgo de vulnerabilidad a través de pruebas de penetración.
     

  • Evaluar vulnerabilidades a través de la identificación de debilidades provocadas por una mala configuración de las aplicaciones.
     

  • Analizar y categorizar las debilidades explotables, con base al impacto potencial y la posibilidad de que la amenaza se convierta en realidad.
     

  • Tomar acción en base a las prioridades para mitigar y eliminar las vulnerabilidades y así reducir el riesgo de ocurrencia de un evento desfavorable.
     

  • Sensibilizar a todos los empleados, contratistas y colaboradores acerca de los beneficios al practicar simulaciones de posibles escenarios controlados, para evaluar las vulnerabilidades mediante test de intrusión, y "demostrar" que un sistema es vulnerable.
     

  • Potenciar las capacidades de prevención, detección, reacción, análisis, recuperación, respuesta, investigación y coordinación frente a las actuales y nuevas amenazas.

Hombre de negocios, con, teléfono móvil

Dirección

Av. Alberto del Campo 411, Piso 10

Magdalena del Mar

Email

info@gmp.pe

Contáctenos!

En GMP ASESORES protegemos y tratamos sus datos personales de forma responsable y segura. La información que usted nos proporcione será utilizada únicamente para responder su consulta o comunicación, y no será empleada para otros fines.

Sus datos se almacenan en sistemas seguros y solo el personal autorizado tiene acceso a ellos. Nos comprometemos a garantizar la confidencialidad y el uso adecuado de su información.

En ningún caso se comunicará sus datos a terceras partes, más allá de las obligaciones legales que puedan derivarse del tratamiento, ni los utilizará con finalidades distintas a las indicadas, salvo autorización expresa y previa del titular de los mismos.

Si desea más información o ejercer sus derechos conforme a la ley, puede escribirnos a: privacidad@gmp.pe

© 2022 GMP Asesores

bottom of page