Políticas de seguridad de la información

Intellischool se toma en serio la seguridad de la información. Esta política describe los procesos internos que utilizamos para garantizar que los datos de nuestros clientes permanezcan seguros.

Esta política define los requisitos de seguridad de la información de alto nivel de Intellischool basados ​​en el estándar ISO 27001: 2013, nuestro propio marco interno de seguridad cibernética y otras mejores prácticas de la industria, lo que permite a Intellischool minimizar el riesgo de seguridad de la información y responder de manera eficiente a los incidentes.

Además, esta política alinea los controles y la gobernanza de seguridad de la información de Intellischool con los requisitos legales y de cumplimiento.

Alcance

Esta Política se aplica a todos los empleados, contratistas y proveedores de servicios externos de Intellischool que realicen cualquier actividad que implique la creación, acceso, uso, almacenamiento, procesamiento o transferencia de información en poder de Intellischool.

Esta Política se aplica a todos los activos de información que son propiedad de Intellischool y / o están operados por Intellischool y / o están registrados en cualquier dominio del Sistema de Nombres de Dominio (DNS) propiedad de Intellischool y cualquier dispositivo conectado a la infraestructura de red de Intellischool, ya sea de propiedad u operado por Intellischool.

Esta Política también cubre cualquier activo de información que sea de terceros o alojado por proveedores de servicios de terceros, si dicho activo reside en un dominio propiedad de Intellischool o parece ser propiedad u operado por Intellischool.

Definiciones

  • Riesgo de seguridad de la información: los riesgos de seguridad cibernética y los relacionados con el sistema de información son aquellos riesgos que surgen por la pérdida de confidencialidad, integridad o disponibilidad de los activos de información y consideran los impactos en la organización (misión, funciones, imagen o reputación), individuos, otras organizaciones, el Estado y la Nación.
  • Riesgo empresarial de TI: riesgo empresarial asociado con la adopción y el uso de tecnología. Esto incluye riesgos de seguridad cibernética y de la información.
  • Información de activos: cualquier información que sea valiosa para la organización. Este término también incluye la infraestructura de soporte subyacente, como procesos comerciales, hardware, redes, almacenamiento, aplicaciones, proveedores externos y almacenamiento, entre otros.
  • Seguridad de la información: la protección de la información y los sistemas de información contra el acceso, uso, divulgación, interrupción, modificación o destrucción no autorizados para brindar confidencialidad, integridad y disponibilidad.
  • Transferencia de información: cualquier actividad que implique la transferencia de datos de una aplicación, sistema o terminal a otro. Las transferencias de información se consideran, entre otras, el correo electrónico, las transferencias de archivos y el tráfico web.
  • Información de autenticación / credenciales: cualquier forma de autenticación utilizada para validar la identidad de una persona. La información de autenticación común es: contraseñas, claves privadas, tickets, tokens, etc.
  • Cuenta: las cuentas proporcionan una forma de identificar y autenticar a las personas en un sistema.
  • Cuentas genéricas: cuentas que identifican una función o un grupo de personas.
  • Material de claves: los datos (p. Ej., Claves e IV) necesarios para establecer y mantener relaciones de claves criptográficas. En otras palabras, claves secretas de formato, longitud y cantidad (no especificadas).
  • Infraestructura de administración de claves o sistema de administración de claves criptográficas - Todas las partes - hardware, firmware, software y otros equipos y su documentación; instalaciones que albergan equipos y funciones relacionadas; y estándares, políticas, procedimientos y doctrina complementarios que forman el sistema que administra y respalda el pedido y la entrega de material criptográfico y productos y servicios de información relacionados a los usuarios.
  • SOE / MOE - (Entorno operativo estándar o Entorno operativo gestionado) El entorno operativo estándar o Entorno operativo gestionado es una implementación estándar de un sistema operativo y su software asociado.
  • Plan de continuidad del negocio: BCP prepara a Intellischool para interrupciones comerciales planificadas y no planificadas para que, en caso de una interrupción, Intellischool pueda pasar rápidamente de 'Preparación' a 'Respuesta' para mantener las actividades comerciales centrales y proteger los intereses de Intellischool.
  • Plan de recuperación ante desastres: DRP (Plan de recuperación ante desastres) se refiere a los procesos, políticas y procedimientos relacionados con la preparación para la recuperación o continuación de funciones y servicios críticos después de una falla del sistema, causada por un desastre natural o humano.
  • Vulnerabilidad: una falla en los procedimientos de seguridad, software, controles del sistema interno o implementación de un SI que podría afectar la integridad, confidencialidad, responsabilidad y / o disponibilidad de datos o servicios. Las vulnerabilidades incluyen fallas que pueden explotarse deliberadamente y aquellas que pueden causar fallas debido a acciones humanas involuntarias o desastres naturales.

Gobernanza de la seguridad de la información

  • Se logrará una gobernanza de seguridad de la información adecuada para garantizar que los activos de información estén adecuadamente protegidos en función de su clasificación y sensibilidad; se gestionan los riesgos; se logra el cumplimiento de los requisitos reglamentarios, legislativos y contractuales; y se alcanzan los objetivos comerciales estratégicos.
  • Se establecerá un Comité Asesor Digital (CAD) o equivalente como el órgano de gobierno responsable de garantizar que se establezca, mantenga, controle, mejore y alcance sus objetivos un gobierno de seguridad de la información adecuado.
  • Se adoptará un enfoque de riesgo empresarial para el riesgo de seguridad de la información. Intellischool debe definir un marco de gestión de riesgos de seguridad de la información adecuado para garantizar que los riesgos se identifiquen, analicen, evalúen, rastreen, gestionen y notifiquen correctamente.
  • Las funciones de seguridad de la información, como la gestión de riesgos y la gestión de políticas, no se subcontratarán.

Seguridad de los recursos humanos

  • Se implementarán procesos de recursos humanos apropiados (por ejemplo, contratación, incorporación, despido y disciplina) para reducir el riesgo de amenazas internas y divulgación no autorizada de información.
  • Los empleados, contratistas o proveedores de servicios externos que busquen acceso a los activos de información patentados o patentados de Intellischool deberán realizar verificaciones de antecedentes de acuerdo con las políticas y procedimientos de Intellischool, las leyes, las regulaciones y la ética pertinentes antes de que se les otorgue el acceso.
  • Los empleados, contratistas y proveedores de servicios externos que accedan o utilicen los activos de información de Intellischool estarán sujetos a actividades de concientización y educación, incluidos temas como políticas, responsabilidades, consecuencias del incumplimiento, posibles amenazas a la seguridad y cómo evitarlas.
  • La gerencia requerirá que los empleados, contratistas y proveedores de servicios externos hagan cumplir la seguridad de la información de acuerdo con esta Política y cumplan con los Estándares de seguridad de TI.
  • Los acuerdos laborales y los contratos relacionados con la seguridad de la información con empleados, contratistas y proveedores externos se mantendrán durante y después del empleo.

Seguridad de la gestión de activos

  • Los activos de información se utilizarán y protegerán de manera adecuada en función de la información que almacenen, procesen o transmitan.
  • Todos los activos de información serán identificados, clasificados, etiquetados y registrados en un inventario centralizado; Estar sujeto a revisiones periódicas para confirmar su existencia, adecuación de los controles implementados y clasificaciones definidas.
  • Los activos de información serán removidos, transferidos, desinfectados, destruidos y eliminados de manera segura en base a su clasificación y procedimientos establecidos. Todos los empleados, contratistas y proveedores de servicios externos devolverán los activos de Intellischool que estén en su posesión al terminar su empleo, contrato o acuerdo.
  • Los activos de información nunca se almacenarán en dispositivos locales como computadoras portátiles, tabletas, computadoras de escritorio o teléfonos inteligentes. Solo se accederá, consultará y manipulará los activos de información utilizando el entorno virtual seguro basado en la nube de Intellischool.
  • El uso de medios extraíbles no está permitido bajo ninguna circunstancia.
  • Todas las comunicaciones comerciales de Intellischool enviadas por correo electrónico se enviarán y recibirán utilizando la dirección de correo electrónico de una empresa de Intellischool.

Seguridad de control de acceso

  • Se establecerán procesos apropiados para aprovisionar, modificar, revocar y revalidar las cuentas de usuario con el fin de reducir el riesgo de acceso no autorizado a los activos de información.
  • El acceso a los activos de información se autenticará en función de una necesidad empresarial (principio de necesidad de saber) y se asignará a los privilegios mínimos requeridos (principio de privilegios mínimos).
  • Los empleados, contratistas y proveedores de servicios de terceros que acceden a los activos de información en poder o propiedad de Intellischool serán identificados de manera única.
  • El uso de cuentas de usuario genéricas no está permitido bajo ninguna circunstancia.
  • Se evitará el uso no autorizado de cuentas de usuario mediante la protección de las credenciales de autenticación y la implementación de controles técnicos.
  • No se compartirán las credenciales de autenticación.
  • Todas las actividades de identificación, autenticación y autorización de la cuenta de usuario serán registradas y monitoreadas.
  • El acceso temporal a los activos de información en poder o propiedad de Intellischool solo se otorgará en circunstancias excepcionales y será restringido y supervisado.

Seguridad de Cifrado

  • El material de codificación se gestionará y protegerá en consecuencia.
  • El material de codificación sospechoso de estar comprometido será:
    1. Comunicado de inmediato a los Co-Fundadores.
    2. Inmediatamente revocado cuando se sospecha de compromiso.
  • Se ha implementado un sistema de gestión de claves criptográficas y se gestiona bajo la autoridad de los cofundadores.
  • Se ha establecido una lista de algoritmos criptográficos aprobados (ACA) y protocolos criptográficos aprobados (ACP) para su uso en Intellischool y está disponible para el acceso de empleados, contratistas y terceros relevantes.

Seguridad física y ambiental

  • Los activos de información de propiedad y mantenidos de Intellischool están alojados en su totalidad por los proveedores de servicios en la nube de Intellischool y no son físicamente accesibles. Los proveedores de servicios en la nube de Intellischool imponen limitaciones estrictas al acceso físico a los equipos en sus centros de datos.
  • Los activos de información se protegerán para reducir los riesgos de las amenazas y peligros ambientales y las oportunidades de acceso no autorizado.
  • Las instalaciones de procesamiento de información y comunicación que albergan activos de información que son propiedad de Intellischool y son mantenidas por Intellischool estarán adecuadamente protegidas y diseñadas contra desastres naturales provocados por el hombre y ataques malintencionados.

Seguridad de operaciones

  • Los cambios en los activos de información de producción se controlarán mediante un proceso formal de gestión de cambios y transiciones.
  • Las capacidades de los activos de información serán monitoreadas, ajustadas y se harán proyecciones de los requisitos de capacidad futuros para garantizar que se logre el desempeño actual y futuro.
  • Se establecerán, implementarán y mantendrán herramientas y procedimientos que cubran la detección de posibles incidentes de ciberseguridad.
  • Las copias de seguridad de la información se realizarán en los activos de información aplicables según su clasificación comercial, disponibilidad y requisitos de salud.
  • Los eventos de activos de información se registrarán, conservarán, archivarán, protegerán y correlacionarán para detectar, investigar y responder a incidentes de seguridad. La configuración de registro y auditoría se definirá e implementará teniendo en cuenta los requisitos reglamentarios y las mejores prácticas.
  • Se definirán, diseñarán e implementarán entornos operativos gestionados (MOE) de modo que se logre un enfoque común, coherente y seguro. Todos los MOE evitarán la instalación de software y los cambios de configuración no autorizados.
  • Los MOE y las aplicaciones se configurarán para reducir el riesgo de ataques cibernéticos.
  • La confidencialidad, integridad y disponibilidad de los sistemas de bases de datos y su contenido se mantendrá en función de su calificación.
  • La información sobre las vulnerabilidades técnicas aplicables a los activos de información mantenidos y patentados de Intellischool se recopilará, evaluará y administrará oportunamente para reducir el riesgo de ataques cibernéticos.
  • Los requisitos de auditoría y las actividades que implican la verificación de los sistemas operativos se planificarán y acordarán cuidadosamente para minimizar las interrupciones en los procesos comerciales.

Seguridad de la comunicación

  • Las redes estarán diseñadas, configuradas y operadas de manera segura para prevenir ataques cibernéticos y minimizar las interrupciones.
  • Se implementarán controles de seguridad adecuados para minimizar el acceso no autorizado y los efectos de las interrupciones en la red y los servicios en línea. Se considerará un enfoque de defensa en profundidad mediante la implementación de múltiples niveles de controles.
  • La estrategia de detección y prevención de intrusiones se desarrollará, implementará y mantendrá para que Intellischool detecte de manera eficiente los incidentes y responda a los ciberataques.
  • Las transferencias de activos de información estarán protegidas en reposo y en tránsito según su clasificación. Se deben establecer acuerdos de transferencia y no divulgación entre los propietarios de empresas y las organizaciones de envío o recepción.
  • Los activos de información se configurarán para reducir el riesgo de ataques cibernéticos.
  • El tráfico de la red, incluidos los datos importados o exportados de un activo de información en poder de Intellischool o propiedad de Intellischool, será monitoreado para detectar contenido malicioso y violaciones de políticas.
  • Se controlarán, protegerán y supervisarán los dispositivos móviles y las tecnologías de la comunicación.

Seguridad de adquisición, desarrollo y mantenimiento de sistemas

  • Los requisitos de seguridad de la información se incluirán en los proyectos para entregar nuevos activos de información o mejoras a los activos de información existentes.
  • Los desarrolladores de software adoptarán principios y prácticas de programación seguras al desarrollar software.
  • Se establecerán y asegurarán entornos de desarrollo. Los entornos de producción estarán lógica o físicamente separados de los entornos de desarrollo.
  • Los nuevos sistemas de información, las actualizaciones y las nuevas versiones estarán sujetos a actividades de prueba, incluidas las pruebas de seguridad, antes de ser implementados en producción.
  • La información en entornos de producción, incluidos los datos de producción anónimos, no se utilizará en entornos de prueba o desarrollo a menos que los entornos de prueba o desarrollo estén protegidos al mismo nivel que el entorno de producción. Se aprobará el uso de la información de producción con fines de prueba o desarrollo y se aceptará el riesgo.

Seguridad de la relación con el proveedor

  • Los proveedores de servicios de terceros se adquirirán de acuerdo con las políticas y procedimientos de adquisición de Intellischool.
  • Los activos de información mantenidos o propiedad de Intellischool no serán almacenados, procesados ​​o transferidos fuera de la jurisdicción en la que reside el propietario de la información.
  • Los proveedores de servicios de terceros que acceden, almacenan, transmiten o procesan los activos de información en poder o propiedad de Intellischool estarán sujetos a una auditoría completa de seguridad de la información antes de contraer una obligación contractual.
  • Los controles asociados con la protección de los activos de información confiados a un proveedor de servicios externo, así como otros requisitos, se documentarán en cláusulas contractuales, un memorando de entendimiento o acuerdo formal equivalente entre las partes.
  • Las relaciones con los proveedores de servicios externos se gestionarán adecuadamente.
  • Los proveedores de servicios de terceros serán reevaluados periódicamente para fines de seguimiento de riesgos, cambios y cumplimiento.

Gestión de incidentes de seguridad de la información

  • Se establecerá un plan de respuesta a incidentes (IRP) y se probará periódicamente. El IRP considerará los incidentes comunes de seguridad cibernética para garantizar una respuesta eficiente y ordenada a los ataques cibernéticos.
  • Todos los incidentes de seguridad cibernética y de la información, como la divulgación no autorizada, el acceso o la eliminación / destrucción de activos de información (incluidas las aplicaciones o las credenciales de la red), se informarán a los cofundadores de Intellischool.

Continuidad y resiliencia del negocio

  • Se establecerá un plan de recuperación ante desastres (DRP) y se probará periódicamente para garantizar que los servicios críticos se puedan restaurar durante una interrupción prolongada importante que afecte las instalaciones de procesamiento primario de Intellischool u otras instalaciones del proveedor de servicios.
  • Los requisitos de disponibilidad se establecerán y acordarán para los servicios clave y se implementarán los controles necesarios para garantizar que se cumplan estos requisitos.

Cumplimiento

  • El cumplimiento de las políticas establecidas y los requisitos legales y reglamentarios aplicables será monitoreado y logrado de manera proactiva. Esto incluye derechos de propiedad intelectual, protección de registros, licencias de software, privacidad y controles criptográficos.
  • Las actividades de seguimiento del cumplimiento se mejorarán con revisiones independientes y procesos automatizados.
  • Los incumplimientos de la Política se identificarán, analizarán, evaluarán, rastrearán, gestionarán y notificarán.
  • La violación de esta Política puede resultar en la eliminación del acceso al correo electrónico y las redes de Intellischool, así como una posible acción disciplinaria en virtud del acuerdo o contrato de trabajo correspondiente.
  • Cualquier violación real o sospechada de esta Política debe informarse inmediatamente a los Co-Fundadores.
  • El cumplimiento de esta política es obligatorio en todas las circunstancias.