La Política de Seguridad de la Información y Protección de Datos de GRUPO I CAN se aplica a todos los empleados, prestadores de servicios (autónomos), proveedores, sistemas y servicios, incluidos los trabajos realizados externamente o por terceros, que utilicen el entorno de procesamiento de la Empresa, o accedan a información perteneciente a GRUPO I CAN.
Todos y cada uno de los usuarios de los recursos informáticos de la Empresa son responsables de resguardar la seguridad e integridad de la información y equipos de cómputo, ya sea en las instalaciones de GRUPO I CAN, en el servicio externo o en el trabajo a domicilio.
Una violación de esta política de seguridad es cualquier acto que:
- Exponer a la Compañía a pérdidas monetarias reales o potenciales a través del compromiso de la seguridad de los datos o la información o la pérdida de equipos.
- Involucrar la divulgación de datos confidenciales, derechos de autor, intercambios, patentes o uso no autorizado de datos corporativos.
- Implica el uso de datos para fines ilegales, que pueden incluir la violación de cualquier ley, regulación o cualquier otro dispositivo gubernamental.
Objeto de la Política de Seguridad de la Información:
Asegurar la disponibilidad, integridad, confidencialidad, legalidad, autenticidad y auditabilidad de la información necesaria para llevar a cabo los negocios de GRUPO I CAN.
Buscamos como referencia la ISO 27001 y los criterios de excelencia de la FPNQ.
Es deber de todos dentro del GRUPO YO PUEDO:
Considerar la información como un activo de la organización, uno de los recursos críticos para el desarrollo del negocio, que es de gran valor para GRUPO I CAN y siempre debe ser tratada con profesionalidad.
01 - CLASIFICACIÓN DE LA INFORMACIÓN
Es responsabilidad de cada área utilizar los criterios relacionados con el nivel de confidencialidad de la información (informes y/o medios) generados por su área de acuerdo a la siguiente tabla:
1 - Público
2 - Interno
3 - Confidencial
4 - Restringido
Conceptos:
Información Pública: Es toda información a la que pueden acceder los usuarios de la organización, clientes, proveedores, prestadores de servicios y el público en general.
Información Interna: Es toda información a la que solo pueden acceder los empleados de la organización. Es información que tiene un grado de confidencialidad que puede comprometer la imagen de la organización.
Información Confidencial: Es toda información a la que pueden acceder los usuarios de la organización y los socios de la organización. La divulgación no autorizada de esta información puede tener un impacto (financiero, de imagen u operativo) en el negocio de la organización o del socio.
Información Restringida: Es toda información a la que sólo pueden acceder los usuarios de la organización indicada explícitamente por el nombre o área a la que pertenece. La divulgación no autorizada de esta información puede causar daños graves al negocio y/o comprometer la estrategia comercial de la organización.
Todo Gerente/Supervisor debe orientar a su equipo a no circular información y/o medios considerados confidenciales y/o restringidos, así como a no dejar reportes en las impresoras, y medios en lugares de fácil acceso, teniendo siempre presente el “limpio concepto de mesa”, es decir, al terminar el trabajo, no dejen informes y/o medios confidenciales y/o restringidos sobre sus escritorios.
02 - DATOS PERSONALES DE LOS EMPLEADOS
GRUPO I CAN se compromete a no acumular o mantener intencionalmente Datos Personales de los Empleados que no sean los relevantes para la realización de sus negocios.
Todos los Datos Personales de los Empleados se considerarán datos confidenciales. Los Datos Personales de los Empleados bajo la responsabilidad de GRUPO I CAN no serán utilizados para fines distintos a aquellos para los que fueron recabados.
Los Datos Personales de los empleados no serán transferidos a terceros, excepto cuando así lo requiera nuestro negocio, y siempre que dichos terceros mantengan la confidencialidad de dichos datos, incluyendo, en este caso, la lista de direcciones electrónicas (correos electrónicos) utilizadas por los empleados del GRUPO. YO PUEDO.
03 - PROGRAMAS ILEGALES
Queda terminantemente prohibido el uso de programas ilegales (PIRATAS) en GRUPO I CAN. Los usuarios no podrán, en ningún caso, instalar este tipo de “software” (programa) en los equipos de la Empresa.
Periódicamente, el Sector de Tecnologías de la Información verificará los datos en los servidores y/o en los equipos de los usuarios, con el fin de garantizar la correcta aplicación de esta directriz.
04 - PERMISOS Y CONTRASEÑAS
Cuando exista la necesidad de dar de alta a un nuevo usuario para utilizar la "red", sistemas o equipos informáticos de la Empresa, el sector de origen del nuevo usuario deberá comunicar dicha necesidad al sector informático, mediante memorándum o correo electrónico, informando de qué tipo de rutinas y programas a los que tendrá acceso el nuevo usuario y cuáles estarán restringidos. Informática registrará e informará al nuevo usuario cuál será su primera contraseña, la cual deberá ser cambiada cada 45 (cuarenta y cinco) días.
Por seguridad, Informática recomienda que las contraseñas tengan siempre un mínimo de 8 (ocho) caracteres alfanuméricos.
Todos los usuarios responsables de la aprobación electrónica de documentos (ejemplo: órdenes de compra, solicitudes, poderes, etc.).
Los perfiles de acceso a la base de datos se definen en el 08 y respecto al uso del correo electrónico en el ítem 13.
05 - COMPARTIR CARPETAS Y DATOS
Los usuarios están obligados a revisar periódicamente todos los recursos compartidos existentes en sus estaciones de trabajo y asegurarse de que los datos considerados confidenciales y/o restringidos no estén disponibles para el acceso no autorizado.
06 - RESPALDO DEL SISTEMA INTEGRADO Y SERVIDORES DE RED
Las copias de seguridad del sistema integrado (Plataforma Cansystem) y de los servidores de la red son responsabilidad de Informática y deben realizarse diariamente.
Los datos de la Plataforma Cansystem se almacenan en un servidor contratado que también realiza una copia de seguridad mensual de los datos.
07 - PROPIEDAD INTELECTUAL
GRUPO I CAN es titular de todos los diseños, creaciones o procedimientos desarrollados por cualquier empleado en el transcurso de su relación laboral o de prestación de servicios por cuenta propia a GRUPO I CAN.
08 - USO DEL ENTORNO WEB (Internet)
Se autorizará el acceso a Internet a los usuarios que lo necesiten para el desempeño de sus actividades profesionales en GRUPO I CAN. No se debe acceder a sitios que no contengan información que sume conocimiento profesional y/o empresarial.
El uso de Internet será monitoreado por el Sector de Tecnologías de la Información, incluso a través de “logs” (archivos generados en el servidor) que informan qué usuario está conectado, el tiempo que usó Internet y a qué página accedió.
La definición de los empleados que podrán utilizar (navegar) Internet es responsabilidad de la Gerencia de la Empresa, con base en la recomendación del Supervisor de TI.
No está permitido instalar programas de Internet en las microcomputadoras de GRUPO I CAN, sin consentimiento expreso del sector TI, excepto programas ofrecidos por organismos públicos federales, estatales y/o municipales.
Los usuarios deben asegurarse de no realizar acciones que puedan infringir los derechos de autor, marcas comerciales, licencias de uso o patentes de terceros.
En la navegación por Internet, visualización, descarga, copia o cualquier otro tipo de acceso a los sitios web está prohibido:
De las estaciones de radio;
Contenido pornográfico o relacionado con el sexo;
Que aboguen por actividades ilícitas;
Que menosprecien, menosprecien o inciten a prejuzgar a determinadas clases;
Que promuevan la participación en salas de discusión sobre asuntos no relacionados con el negocio de GRUPO I CAN;
Que promuevan la discusión pública sobre los negocios de A GRUPO I CAN, salvo autorización de la Junta Directiva;
Que permitan la distribución de información de nivel “Confidencial”.
Que permitan la transferencia (descargas) de archivos y/o programas ilegales.
En los contratos con proveedores de servicios por cuenta ajena o por cuenta propia, se preverá el tema del uso de internet que no sea otorgado por el Grupo I CAN.
09 - USO DEL CORREO ELECTRÓNICO - ("e-mail")
El correo electrónico facilitado por GRUPO I CAN es un instrumento de comunicación interna y externa para el desarrollo de las actividades de GRUPO I CAN.
Los mensajes deben estar escritos en un lenguaje profesional, no deben comprometer la imagen de GRUPO I CAN, no pueden ser contrarios a la legislación vigente ni a los principios éticos de GRUPO I CAN.
El uso del correo electrónico es personal y el usuario es responsable de todos los mensajes enviados a su dirección.
Queda terminantemente prohibido enviar mensajes que:
Contener declaraciones difamatorias y lenguaje ofensivo;
Puede causar daño a otras personas;
Sea hostil y poco servicial;
Estén relacionados con “cadenas”, contenido pornográfico o equivalente;
Puede dañar la imagen de la organización;
Puede dañar la imagen de otras empresas;
Ser incompatible con las políticas de GRUPO I CAN.
Para incluir un nuevo usuario en el correo electrónico, la Gerencia respectiva deberá realizar una solicitud formal al Sector de Tecnologías de la Información, quien gestionará la inclusión del mismo.
El uso del “e-mail” debe ser juicioso, evitando que el sistema se congestione.
En caso de congestión en el sistema de correo electrónico, el Sector de Tecnologías de la Información auditará el servidor de correo y/o las estaciones de trabajo de los usuarios, con el fin de identificar la causa que ocasionó la misma.
No se permitirá el uso de correos electrónicos gratuitos (publicados en algunos sitios web) en las computadoras de GRUPO I CAN.
El Sector de Tecnologías de la Información podrá, con el fin de evitar la entrada de virus en GRUPO I CAN, bloquear la recepción de correos electrónicos de sitios web gratuitos.
El Sector TI es el responsable del desempeño del proveedor de correo electrónico corporativo.
10 - NECESIDADES DE NUEVOS SISTEMAS, APLICACIONES Y/O EQUIPOS
El Sector TI es responsable de aplicar la Política de GRUPO I CAN en relación con la definición de compra y reposición de “software” y “hardware”, correo electrónico corporativo, e-mail marketing, empresas de almacenamiento de datos.
Cualquier necesidad de nuevos programas (“software”) o nuevos equipos de tecnologías de la información (hardware), etc., deberá ser remitida a propuesta del Directorio del Grupo I CAN por el responsable del Sector de Tecnologías de la Información.
No se permite la compra o desarrollo de “software” o “hardware” directamente por parte de los usuarios.
11 - USO DE COMPUTADORAS PERSONALES (LAP TOP) PROPIEDAD DE GRUPO YO PUEDO
Los usuarios que tengan derecho a utilizar ordenadores personales (laptop o notebook), o cualquier otro equipo de cómputo propiedad de GRUPO I CAN, deben ser conscientes de que:
Los recursos de tecnología de la información, puestos a disposición de los usuarios, tienen como objetivo
realización de actividades profesionales.
La protección del recurso informático para uso individual es responsabilidad del usuario.
Es responsabilidad de cada usuario asegurar la integridad del equipo, la confidencialidad y disponibilidad de la información contenida en el mismo.
El usuario no debe cambiar la configuración del equipo recibido.
Algunas precauciones a tener en cuenta:
Fuera del trabajo:
Mantenga siempre el equipo con usted;
Atención en hall de hoteles, aeropuertos, aviones, taxi y etc.
Al transportar el equipo en un automóvil, utilice siempre la cajuela o un lugar no visible;
Tenga cuidado al transportar el equipo en la calle.
en caso de robo
Registrar el hecho en una comisaría;
Informar a su superior inmediato y al Sector de Tecnologías de la Información;
Enviar copia del incidente al Sector de Tecnologías de la Información.
El paquete Office Profesional fue adquirido por Grupo I CAN e instalado en notebooks. Este equipo se considera un activo (bien patrimonial).
Al recibir el equipo, el trabajador por cuenta ajena o por cuenta propia deberá firmar un Término de Custodia.
12 - RESPONSABILIDADES DE LOS GERENTES/SUPERVISORES
Los gerentes y supervisores son responsables de definir los derechos de acceso de sus empleados a los sistemas e información de la Compañía, y les corresponde verificar que estén accediendo exactamente a las rutinas compatibles con sus respectivas funciones, usando y manteniendo adecuadamente los equipos y manteniendo respaldo. copias de sus archivos individuales como se establece en esta política.
El Sector de Tecnologías de la Información realizará auditorías periódicas del acceso a la información de los usuarios, verificando:
A qué tipo de información puede acceder el usuario;
Quién está autorizado para acceder a determinada rutina y/o información;
Quién accedió a cierta rutina e información;
Quién autorizó al usuario a tener permiso de acceso a determinada rutina o información;
A qué información o rutina accedió un usuario en particular;
Cualquiera que intentara acceder a cualquier rutina o información sin estar autorizado.
13 - SISTEMA DE TELECOMUNICACIONES
El control de uso, otorgamiento de permisos y aplicación de restricciones en relación con las extensiones telefónicas de GRUPO I CAN, así como el uso de las extensiones virtuales instaladas en las computadoras, es responsabilidad del sector TI, de acuerdo con las definiciones de la Junta de GRUPO YO PUEDO.
El suministro de teléfonos celulares y chips estará sujeto a la aprobación de la Junta.
Al recibir el equipo o chip, el empleado o proveedor de servicios independiente debe firmar un Término de Custodia.
Al final de cada mes, para efectos de control, se enviarán reportes informando a cada gerencia cuánto se gastó por sucursal o por chip.
14 - USO DE ANTIVIRUS
Todos los archivos multimedia provenientes de una entidad externa a GRUPO I CAN deben ser escaneados por un programa antivirus.
Todo archivo recibido/obtenido a través del entorno de Internet debe ser escaneado por un programa antivirus. Todas las estaciones de trabajo deben tener un antivirus instalado. La actualización del antivirus será automática, programada por el departamento de TI, a través de la red.
El usuario no podrá, en ningún caso, deshabilitar el programa antivirus instalado en los puestos de trabajo.
15 - PENALIZACIONES
El incumplimiento de esta Política de Seguridad de la Información implica una falta grave y puede dar lugar a las siguientes acciones: amonestación, suspensión, terminación del empleo, otras medidas disciplinarias y/o procesos civiles o penales.
