Confidencialidad

CONFIDENCIAL

  1. PROPÓSITO:

La dirección de ANCABE entendiendo la importancia de una adecuada gestión de la información, se ha comprometido a tener la información de sus clientes, proveedores, empleados y partes interesadas de forma confidencial, buscando establecer un marco de confianza en el ejercicio de sus deberes con el Estado y los ciudadanos, todo enmarcado en el estricto cumplimiento de las leyes y en concordancia con la misión y visión de la entidad.

Para ANCABE, la protección de la información busca la disminución del impacto generado sobre sus activos, por los riesgos identificados de manera sistemática con objeto de mantener un nivel de exposición que permita responder por la integridad, confidencialidad y la disponibilidad de esta, acorde con las necesidades de los diferentes grupos de interés identificados.

De esa manera, el propósito de esta política es definir los estándares para salvaguardar la información contra uso no autorizado, divulgación o revelación, modificación, daño o pérdida y para asegurar el cumplimiento de regulaciones y leyes aplicables a ANCABE.

  1. ALCANCE:

Esta política aplica a todo el personal de ANCABE incluyendo, pero no limitado a directivos, gerentes, empleados, becarios, contratistas, consultores, personal temporal y cualquier otro colaborador.

  1. DEFINICIONES:

Información sensitiva – Esta información debe estar disponible a los empleados de la Cooperativa, pero no disponible al público.

Información restringida – Acceso a esta información debe estar limitada a una audiencia restringida, determinada por la Administración.

Información confidencial – Esta información debe estar solamente disponible a personas designadas.

  1. POLÍTICA Y PRINCIPIOS:

Dado a la naturaleza de la información que se maneja en ANCABE, se debe considerar la sensibilidad de los datos que residen en los sistemas de información para el debido control y acceso.  Pérdida o mal uso de esta información puede resultar en una variedad de daños, tales como pérdida de confidencialidad e incumplimiento de regulaciones y leyes aplicables a la ANCABE.

De acuerdo con lo anterior, esta política aplica a la entidad según como se defina en el alcance, sus funcionarios, terceros, aprendices, practicantes, proveedores y la ciudadanía en general, teniendo en cuenta que los principios sobre los que se basa el desarrollo de las acciones o toma de decisiones alrededor de los deberes de confidencialidad estarán determinadas por las siguientes premisas:

  • Minimizar el riesgo en las funciones más importantes de la entidad.
  • Cumplir con los principios de seguridad de la información.
  • Cumplir con los principios de la función administrativa.
  • Mantener la confianza de sus clientes, socios y empleados.
  • Apoyar la innovación tecnológica.
  • Proteger los activos tecnológicos.
  • Fortalecer la cultura de seguridad de la información en terceros, aprendices, practicantes y clientes de ANCABE
  • Garantizar la continuidad del negocio frente a incidentes.
  • ANCABE ha decidido definir, implementar, operar y mejorar de forma continua un Sistema de Gestión de Calidad, soportado en lineamientos claros alineados a las necesidades del negocio, y a los requerimientos regulatorios.
  • Gestión de activos, seguridad física y ambiental, control de accesos, etc.
  • Las responsabilidades frente a la seguridad de la información serán definidas, compartidas, publicadas y aceptadas por cada uno de los empleados, proveedores, socios de negocio o terceros.
  • ANCABE protegerá la información generada, procesada o resguardada por los procesos de negocio, su infraestructura tecnológica y activos del riesgo que se genera de los accesos otorgados a terceros (ej.: proveedores o clientes), o como resultado de un servicio interno en outsourcing.
  • ANCABE protegerá la información creada, procesada, transmitida o resguardada por sus procesos de negocio, con el fin de minimizar impactos financieros, operativos o legales debido a un uso incorrecto de esta. Para ello es fundamental la aplicación de controles de acuerdo con la clasificación de la información de su propiedad o en custodia (clientes y proveedores).
  • ANCABE protegerá su información de las amenazas originadas por parte del personal.
  • ANCABE protegerá las instalaciones de procesamiento y la infraestructura tecnológica que soporta sus procesos críticos.
  • ANCABE garantizará que la seguridad sea parte integral del ciclo de vida de los sistemas de información.
  • ANCABE garantizará a través de una adecuada gestión de los eventos de seguridad y las debilidades asociadas con los sistemas de información una mejora efectiva de su modelo de seguridad.
  • ANCABE garantizará la disponibilidad de sus procesos de negocio y la continuidad de su operación basada en el impacto que pueden generar los eventos.
  • ANCABE garantizará la seguridad intramuros mediante video vigilancia de circuito cerrado y la infraestructura cuenta con los accesos adecuados y los controles necesarios para una mayor seguridad de las partes interesadas.
  • ANCABE garantizará la seguridad de sus empleados mediante un plan de seguridad en todos los niveles.
  1. ACUERDOS OBLIGATORIOS DE CONFIDENCIALIDAD:

Todos y cada uno de los colaboradores de ANCABE y becarios incorporados a programas de becarías deberán suscribir un acuerdo amplio de confidencialidad que garantice la no divulgación de cualquier tipo de información a la que tengan acceso.

Dicho acuerdo deberá contener una definición amplia del concepto de confidencialidad, para asegurar la máxima protección legal posible sobre la mayor parte de la información que, sin ser de acceso público, sea conocida durante nuestras labores.

Asimismo, deberá incorporar el reconocimiento de la responsabilidad legal de tipo civil y penal en la que incurrirán todas aquellas personas que violenten los deberes de confidencialidad.

  1. ASPECTOS GENERALES

Todo documento, carpeta, y otros medios de almacenamiento que contienen información sensitiva, restringida o confidencial debe ser ubicada en áreas protegidas. Estos medios de almacenamiento de información nunca deben ser ubicados en un lugar donde visitantes pueda tener acceso a ellos.

Diversos tipos de datos presentan varios riesgos. Preste atención particular a cómo se guarda la información personal: números de Seguro Social, tarjetas de crédito o información financiera, y otros datos sensibles.  Si no existe una necesidad legítima de información personalmente identificable, para un proceso específico no la guarde.  Si existe una necesidad legítima de negocio de la información, guárdela solamente mientras sea necesario.

Los números de Seguro Social deben ser utilizados solamente para propósitos requeridos o legales.

Los medios de almacenamiento de información que contienen información sensitiva, restringida o confidencial debe ser guardada en un área segura a final de cada día laborable.

Las computadoras portátiles (“laptops”) y otros dispositivos portátiles (tales como memoria USB / pendrive, etc.) que contiene información de la ANCABE, debe tener instalado software de cifrado (“encryption”) y si no está siendo utilizada o no está en la posesión directa del usuario asignado, debe estar asegurada físicamente.

Toda información de respaldo de datos (“backup”) enviado o almacenado en medios de datos (por ejemplo. disquetes, CD, discos ópticos, etc.) debe ser protegido y debe ser manejado según los procedimientos aplicable de librerías de medios  políticas y seguridad vigentes en la institución.

Las infracciones de esta política pueden tener como resultado acciones disciplinarias conforme a políticas y procedimientos disciplinarios vigentes en la institución.

  1. PRÁCTICAS EN LAS ÁREAS DE OFICINAS

Todas las computadoras deben ser aseguradas cuando el área de trabajo está desocupada o desatendida. El área de sistemas y tecnologías de la información será responsable de aplicar un mecanismo automático para imponer esta práctica.

Todo documento, carpeta, y otros medios de almacenamiento que contienen información sensitiva, restringida o confidencial debe ser retirada del escritorio y asegurada en archivos de gaveta al final de la jornada de trabajo.

Cada usuario es responsable de asegurar todo documento y medio electrónico de almacenamiento que contenga información sensitiva o confidencial que esta esté ubicada en gavetas o archivos con llave.

Las contraseñas no pueden ser dejadas en notas en el escritorio ni en una ubicación accesible.

Los informes impresos que contienen información sensitiva, restringida o confidencial deben ser retirados inmediatamente de las impresoras.

Al momento de desechar, los documentos sensitivos o confidenciales deben ser destruidos en equipos “shredders”.

Controles de acceso y monitoreo deben ser aplicados en áreas de oficina e instalaciones de almacenaje donde resida información restringida o confidencial.

Las impresoras y los equipos para facsímil (“Fax”) deben ser localizados en áreas donde el público no pueda ver información sensitiva, restringida o confidencial.

  1. PROCESO DE BORRADO DE INFORMACIÓN CONFIDENCIAL

Cuando por alguna causa excepcional uno de nuestros colaboradores o becarios requiera utilizar equipos de cómputo o de su propiedad para llevar a cabo sus actividades, deberá informarlo inmediatamente al área de sistemas.

El colaborador o becario tendrán estrictamente prohibido resguardar información laboral en el disco duro de su equipo de cómputo y únicamente podrán realizar sus actividades directamente en la nube de Microsoft con la que opera ANCABE.

Una vez que el becario concluya sus actividades en el equipo de cómputo, el área de sistemas y tecnologías de la información en ANCABE deberá implementar el proceso siguiente:

  1. Realizar una búsqueda en los puntos de envío de información contenidos en el equipo utilizado, para verificar el registro de resguardo y de comunicaciones a través de los cuales haya podido enviarse información.
  2. Efectuar un proceso de búsqueda completa sobre el equipo utilizado, para asegurar que no existan archivos de información del trabajo y, de ser detectados éstos, eliminarlos.
  3. Llevar a cabo un proceso de borrado seguro y destrucción de datos (estándar NAVSO P-5239-26 (MFM) que garantiza la eliminación definitiva de los archivos de información del trabajo que sean detectados en el equipo, con la finalidad de imposibilitar que éstos archivos puedan ser recuperados de la memoria.
  4. PROCESO DE NOTIFICACIÓN

En eventos los cuales información sensitiva, restringida o confidencial es extraviada o es divulgada a entidades no autorizadas o si este acontecimiento incluye pérdida de cualquier equipo, medio electrónico de almacenamiento o componente tecnológico, se debe notificar inmediatamente a la Dirección de ANCABE, así como a Legal.

  1. DIVULGACIÓN DE LA POLÍTICA

La ANCABE en una base anual, le divulgará a todos sus becarios y colaboradores la política de confidencialidad en la información personal y financiera que estos suministran y es custodiada por la institución.

Esta divulgación de privacidad, será suministrada de igual forma, a toda persona que así lo solicite.

La política deberá ser publicada en el sitio web de ANCABE, con la finalidad de que pueda ser conocida y constantemente divulgada por toda la organización.

  1. MEDIDAS DISCIPLINARIAS

Las sanciones aplicables al personal, de acuerdo a la ocurrencia o severidad de la violación o infracción a esta política se regirá por la normatividad aplicable, pudiendo aplicarse incluso la baja del colaborador y el inicio de procedimientos de carácter civil y/o penal en su contra.

La ANCABE se reserva la facultad de aplicar la sanción más severa, en este caso el despido, en aquella ocasión en que la gravedad o seriedad de la infracción no amerite permitir que se repita en una futura ocasión.

  1. VIGENCIA

Esta Política deja sin efecto cualquier circular, carta o política anteriormente emitido sobre los aspectos aquí cubiertos.

La Dirección, mediante la implantación de esta política, debe asegurar que la debida diligencia sea ejercitada por todos los individuos involucrados en la operación de los sistemas de información presentes en la ANCABE.