NUESTRA
Política de seguridad de la información
1. Resumen de la política de seguridad de la Información
Esta política establece las directrices y responsabilidades de los empleados de la Cooperativa de Ahorro y Crédito La Dolorosa Ltda., en cumplimiento con la Ley Orgánica de Economía Popular y Solidaria, las regulaciones de la Superintendencia de Economía Popular y Solidaria (SEPS), y estándares internacionales como ISO 27001.
2. Alcance y Aplicabilidad
Esta política aplica a:
- Todos los empleados de la Cooperativa, independientemente de su nivel jerárquico.
- Personal temporal, practicantes y pasantes.
- Proveedores y terceros que tengan acceso a los sistemas de información de la Cooperativa.
- Todos los activos de información, incluyendo datos en formato físico y digital.
3. Marco Legal y Normativo
Esta política se rige por:
- Ley Orgánica de Economía Popular y Solidaria y su Reglamento.
- Normas de la Superintendencia de Economía Popular y Solidaria (SEPS).
- Ley Orgánica de Protección de Datos Personales.
- Código Orgánico Monetario y Financiero.
- Estándar ISO 27001 de Seguridad de la Información.
4. Principios Generales
- Confidencialidad: Los empleados deben mantener la confidencialidad de toda la información de la Cooperativa y de los clientes.
- Integridad: Se debe garantizar que la información no sea alterada de manera no autorizada.
- Disponibilidad: La información debe estar accesible para los usuarios autorizados cuando sea necesario.
5. Roles y Responsabilidades
5.1. Consejo de Administración:
- Aprobar la Política de Seguridad de la Información.
- Asignar recursos para la implementación de medidas de seguridad.
5.2. Gerencia General:
- Supervisar la implementación de la política.
- Fomentar una cultura de seguridad en la Cooperativa.
5.3. Oficial de Seguridad de la Información:
- Desarrollar, implementar y mantener la Política de Seguridad de la Información.
- Coordinar auditorías de seguridad y gestionar incidentes.
5.4. Departamento de Tecnología:
- Implementar medidas técnicas de seguridad.
- Gestionar los accesos a sistemas y aplicaciones.
5.5. Empleados:
- Cumplir con esta política y reportar incidentes de seguridad.
6. Uso de Sistemas y Equipos
6.1. Equipos de cómputo:
- Usar solo software autorizado y con licencia.
- No desactivar el antivirus ni el firewall.
- Bloquear la sesión al alejarse del equipo (Win+L).
6.2. Dispositivos móviles:
- No almacenar datos de la Cooperativa en dispositivos personales.
6.3. Correo electrónico:
- Usar solo para fines laborales.
- No abrir archivos adjuntos sospechosos.
- No reenviar información confidencial a cuentas personales.
6.4. Internet:
- Evitar sitios no relacionados con el trabajo.
- No descargar archivos de fuentes no confiables.
7. Clasificación de la Información
7.1. Niveles de clasificación:
- Pública: Información que puede ser compartida libremente.
- Interna: De uso dentro de la Cooperativa, no sensible.
- Confidencial: Información sensible de socios y operaciones.
- Altamente Confidencial: Información crítica (ej. claves de sistemas, estrategias).
7.2. Manejo según clasificación:
- Etiquetar claramente los documentos según su clasificación.
- Aplicar controles de acceso acordes al nivel de sensibilidad.
8. Control de Acceso
8.1. Gestión de cuentas:
- Solicitar accesos a través del formulario oficial, con aprobación del supervisor.
- Revisar los accesos trimestralmente.
- Revocar accesos inmediatamente al terminar la relación laboral.
8.2. Contraseñas:
- Longitud mínima de 12 caracteres.
- Combinar mayúsculas, minúsculas, números y símbolos.
- Cambiar contraseñas cada 90 días.
- No reutilizar las últimas 5 contraseñas.
8.3. Autenticación de dos factores:
- Obligatoria para acceso remoto y sistemas críticos.
9. Seguridad Física
9.1. Acceso a instalaciones:
- Usar credencial visible en todo momento.
- No prestar la credencial de acceso.
- Acompañar a visitantes en áreas restringidas.
9.2. Áreas seguras:
- Mantener bajo llave documentos confidenciales.
- No permitir el ingreso de cámaras o dispositivos de grabación al área de servidores.
10. Gestión de Incidentes
10.1. Reporte de incidentes:
- Informar inmediatamente al Departamento de Sistemas.
- Canales de reporte: correo ssuquitana@ladolorosa.fin.ec o extensión 141.
10.2. Respuesta a incidentes:
- Seguir el procedimiento establecido en el Manual de Gestión de Incidentes.
- Colaborar plenamente en la investigación.
10.3. Lecciones aprendidas:
- Participar en sesiones de retroalimentación post-incidente.
11. Continuidad del Negocio
11.1. Plan de recuperación ante desastres:
- Conocer su rol en el plan de continuidad.
- Participar en simulacros anuales.
11.2. Copias de seguridad:
- Realizar backups diarios de información crítica.
- Probar la restauración de backups trimestralmente.
Sanciones
El incumplimiento de esta política puede resultar en:
- Amonestación verbal o escrita.
- Suspensión temporal.
- Terminación del contrato de trabajo.
- Acciones legales en casos de violaciones graves.
CONTACTO
Si tiene cualquier duda o sugerencia sobre nuestra política de privacidad, no dude en ponerse en contacto a través de administrator@ladolorosa.fin.ec
Declaro haber leído, entendido y me comprometo a cumplir con esta Política de Seguridad de la Información.