Política de seguridad de la información
1. Objetivo y Alcance de la Política de Seguridad de la Información
La Política de Seguridad de la Información de la Fundación Sociedad Chilena de Seguridad de la Información (SOCHISI) tiene como principal objetivo proteger los activos de información contra amenazas internas y externas, asegurando la continuidad de operaciones, minimizando el daño y maximizando el retorno de las inversiones y oportunidades de negocio. Esto es coherente con lo establecido en las normas ISO/IEC 27001 y ISO/IEC 27002, que promueven la protección de la información desde una perspectiva de gestión del riesgo, aplicable a todos los empleados, contratistas, proveedores y cualquier otra parte que tenga acceso a los sistemas de información de la FSCSI.
2. Principios de Confidencialidad, Integridad y Disponibilidad
Estos principios son pilares fundamentales tanto en las normativas ISO mencionadas como en las políticas de seguridad de la información de cualquier organización. Son esenciales para garantizar que la información sea accesible sóloiones para aquellos autorizados, mantener la precisión y completitud de la información y los métodos de procesamiento, y asegurar que los usuarios autorizados tengan acceso a la información y a los activos asociados cuando lo necesiten.
3. Compromiso de la Dirección y Mejora Continua
El compromiso de la dirección es crucial para establecer, implementar, mantener y mejorar continuamente el Sistema de Gestión de Seguridad de la Información (SGSI). La mejora continua, respaldada por la norma ISO/IEC 27001, implica la revisión regular del SGSI para asegurar su eficacia y adecuación. La dirección debe asegurar la disponibilidad de recursos necesarios para el SGSI y promover la importancia de la seguridad de la información.
4. Formación, Concienciación y Gestión de Incidentes
La formación y concienciación sobre seguridad de la información son elementos esenciales para fomentar una cultura de seguridad en toda la organización. Esto incluye la realización de valoraciones de riesgos de seguridad de la información de forma regular para identificar y evaluar riesgos, así como la implementación de medidas de tratamiento de riesgos adecuadas.
La gestión eficaz de incidentes de seguridad de la información es fundamental para responder a incidentes de manera oportuna y mitigar cualquier daño potencial. Esto requiere un proceso establecido para la gestión de incidentes, incluyendo la notificación oportuna de incidentes y el seguimiento de procedimientos establecidos.
5. Legislación Chilena sobre Protección de Datos y Ciberseguridad
Las leyes chilenas, como la Ley 19628 sobre Protección de la Vida Privada y la Ley 21459 que establece normas sobre delitos informáticos, juegan un papel crucial en la regulación de la ciberseguridad y la protección de datos personales. Estas leyes establecen el marco legal para el tratamiento de datos personales, los derechos de los titulares de datos, y las responsabilidades de aquellos que manejan datos personales, alineándose con los principios de la política de seguridad de la información de la SOCHISI.
La integración de las normativas ISO/IEC 27001 y 27002, junto con el cumplimiento de la legislación chilena sobre protección de datos y ciberseguridad, proporciona una base sólida para proteger los activos de información de la SOCHISI contra amenazas y vulnerabilidades, asegurando la confidencialidad, integridad y disponibilidad de la información.
LIDIA HERRERA CISO - SOCHISI