Política de Seguridad de la Información

1. Presentación

Esta Política de Seguridad de la Información (PSI) establece directrices, responsabilidades y controles para proteger los activos de información del Grupo Disbral, asegurando la confidencialidad, integridad y disponibilidad de la información, así como la conformidad con la legislación vigente.

2. Objetivo

Definir principios y reglas para el uso adecuado de recursos, control de accesos, protección tecnológica y física, respuesta a incidentes, continuidad de negocios y responsabilidades, aplicables a todos los que interactúan con información del Grupo Disbral.

3. Bases Normativas y Referencias

Esta Política observa buenas prácticas y normas reconocidas, incluyendo, sin limitarse a:

• ISO/IEC 27001:2013, ANEXO A;
• Ley nº 13.709/2018 – Ley General de Protección de Datos Personales (LGPD);

4. Alcance

Se aplica a colaboradores, pasantes, temporales, terceros, proveedores, prestadores y cualquier persona que acceda a información, sistemas, redes, dispositivos o instalaciones del Grupo Disbral.

5. Principios de Seguridad

• Confidencialidad: acceso a la información solo por quien necesita saber;
• Integridad: protección contra alteración no autorizada;
• Disponibilidad: información y servicios accesibles cuando necesarios;
• Legalidad y Transparencia: conformidad con leyes y normas aplicables.

6. Clasificación y Etiquetado de Información

La información debe ser clasificada y etiquetada, como mínimo, en las siguientes clases:

• Pública: divulgación irrestricta;
• Interna: uso interno con divulgación controlada;
• Confidencial: acceso restringido a quien necesita saber;
• Confidencial Restringido: acceso altamente limitado y controlado.

Deben existir reglas de almacenamiento, transmisión, compartición y descarte seguro compatibles con la clasificación.

7. Responsabilidades

• Directorio/Comité de Compliance: patrocinio, aprobación y revisión de la PSI;
• Gestores: asegurar cumplimiento de la PSI en sus áreas y tratar desvíos;
• TI/SI: implementar y mantener controles técnicos y monitoreo;
• Usuarios: cumplir esta política y reportar incidentes o sospechas.

8. Uso Aceptable de los Recursos (Internet, E-mail, Sistemas)

• Recursos de TI se destinan primariamente a fines corporativos;
• Está prohibido compartir credenciales, burlar controles, diseminar contenido ilícito/ofensivo;
• E-mails institucionais deben contener aviso de confidencialidad;
• Instalaciones de software deben ser autorizadas por TI.

9. Control de Acceso y Usuarios Privilegiados

• Aplicar el principio del menor privilegio y segregación de funciones;
• Cuentas Corporativas separadas de las cuentas de uso personal;
• Revisiones periódicas de accesos y desactivación inmediata al momento del despido;
• Autenticación multifactor (MFA) en sistemas críticos y en el acceso remoto.

10. Seguridad Física – Mesa Limpia y Pantalla Limpia

• Bloquear la estación al ausentarse y proteger documentos físicos;
• Evitar exposición de información sensible en áreas comunes;
• Descarte seguro de medios y papeles.

11. Controles Técnicos

• Antivirus: solución homologada, actualizaciones y escaneos periódicos;
• Backups: rutinas definidas diarias y mensuales, pruebas de restauración y monitoreo de fallas;
• Vulnerabilidades: correcciones priorizadas por criticidad (CVSS) y ventanas de mantenimiento;
• Logs/Auditoría: registro de eventos relevantes y retención conforme requisitos legales y de negocio;
• Protección de Endpoints y Redes: políticas de firewall, encriptación cuando aplicable.

12. Gestión de Incidentes de Seguridad

Todos los incidentes (o sospechas) deben ser reportados inmediatamente al equipo responsable. El tratamiento debe incluir registro, clasificación, contención, erradicación, recuperación, lecciones aprendidas y comunicaciones internas/externas cuando aplicable.

13. Entrenamiento y Concientización

Promover programas periódicos de concientización en seguridad de la información para todos los públicos del alcance.

14. LGPD y Privacidad

• Tratamiento de datos personales basado en bases legales adecuadas;
• Atención a solicitudes de titulares por canal específico;
• Evaluaciones de impacto e registro de operaciones cuando aplicable.

15. Auditorías y Conformidad

Esta política está sujeta a auditorías internas/externas y verificaciones de conformidad. No conformidades deben generar plan de acción y plazos de corrección.

16. Penalidades

El incumplimiento de esta política puede resultar en medidas disciplinarias, civiles y/o penales, conforme normas internas y legislación.

17. Vigencia y Actualizaciones

Esta política será reevaluada cada 4 (cuatro) años o siempre que surjan nuevos requisitos tecnológicos, corporativos y/o legales.

18. Contacto

Para dudas sobre esta política contacte nuestro Encargado de Protección de Datos (DPO): [email protected].

Política de Seguridad de la Información: