RADIOGRÁFICA COSTARRICENSE S. A.

Con fundamento en el acuerdo tomado por la Junta Directiva, en el artículo 4° de la sesión ordinaria N° 2238, celebrada el 3 de setiembre del 2019, se aprueba el la Política de Seguridad de la Información de Radiográfica Costarricense S.A., de la siguiente manera:

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

DE RADIOGRÁFICA COSTARRICENSE S. A.

1. Generalidades. Proteger la información es una tarea cada vez más difícil y necesaria debido a los riesgos asociados, mismos que se incrementan paralelamente con los avances tecnológicos. Elementos como internet, conectividad, Internet de las Cosas (IoT), digitalización, medios de almacenamiento y cómputo en la nube vienen a apoyar la gestión del trabajo y del quehacer de las personas, empresas, instituciones y en general de la sociedad, pero constituyen a su vez espacios físicos o virtuales que pueden ser vulnerados, donde la información que es el activo más importante puede corromperse, extraviarse, volverse inútil o utilizarse en contra de su propietario, accidentalmente o con plena intención de causar cualquiera de las anteriores situaciones.

La información por lo tanto debe ser protegida porque constituye un activo estratégico para RACSA y debe ser identificada en sus distintos soportes para clasificarla de acuerdo con su confidencialidad, integridad y disponibilidad con el fin de implementar controles de acuerdo con su criticidad.

2. Objetivo. Regular los principios rectores de la gestión de seguridad de información de RACSA a partir de la legislación vigente y conforme a mejores prácticas internacionales tales como: los estándares ISO 27001 “Sistemas de Gestión de Seguridad de Información” y 27002 “Código para los Controles de Seguridad de información”.

3. Alcance. La Política de Seguridad de la Información de RACSA (en adelante la Política) es de acatamiento obligatorio para todo el personal, practicantes y contratistas con quienes RACSA desarrolle actividades conjuntas para la prestación de servicios los cuales tengan acceso a información empresarial a través de los documentos, equipos de cómputo, infraestructura tecnológica y canales de comunicación de la Empresa. También aquellas personas tanto físicas como jurídicas con quienes se firmen acuerdos de confidencialidad específicos con RACSA podrán ser sujetos de cumplimiento de los principios de la presente política y del cuerpo normativo que la instrumentalice.

4. Aprobación. Es responsabilidad de la Junta Directiva de RACSA, de acuerdo con el Reglamento vigente de ese Órgano Colegiado aprobado el 9 de abril de 2019 en la Sesión ordinaria N°2217, el dictar las políticas generales para el manejo seguro y confidencial de la información, según se indica en el artículo 9.4 del Reglamento en marras. El Gerente General de RACSA, es responsable de garantizar la existencia del proceso de seguridad empresarial encargado de la implementación y supervisión del cumplimiento transversal del Sistema de Gestión de Seguridad de Información y por ende de la Política de Seguridad de la Información.

5. Abreviaturas.

• RACSA: Radiográfica Costarricense S. A.

• ISO: International Organization for Standardization (Organización Internacional para la Estandarización).

• COBIT: Control Objectives for Information and related Technology (Objetivos de Control para la Información y Tecnologías Relacionadas).

• DTIC: Departamento de Tecnologías de Información y Comunicación.

6. Definiciones. Activo de información: es todo aquel elemento digital o físico que tiene o transfiere información para la empresa.

Administración de usuarios: son labores de creación, modificación, consulta, bloqueo, desbloqueo y eliminación de la cuenta de un usuario.

Análisis de riesgos: proceso en el que se estudia, a partir de una probabilidad de ocurrencia y un impacto estimado, el nivel de criticidad de una determinada amenaza que pueda afectar el logro de un objetivo de proceso o estratégico.

Confidencialidad: carácter que tiene la información industrial, comercial y económica que por motivos estratégicos de competencia debe procurarse su confidencialidad, de modo que no procede su divulgación, adquisición o utilización por parte de terceros, así como la información de tipo personal de los clientes.

Control: Acción que tiene como objetivo mitigar el impacto o reducir el nivel de riesgo que pueda presentar una determinada amenaza, en caso de que se materialice.

Disponibilidad: propiedad de la información de estar accesible y utilizable cuando sea requerido por una parte autorizada.

Encriptación: mecanismo de seguridad que permite almacenar datos utilizando algoritmos matemáticos de codificación o cifrado, con el fin de ocultar y proteger los datos contra accesos no autorizados. Este mecanismo requiere del uso de un software de encriptación para proteger los datos y una contraseña para tener acceso a la misma.

Evento de seguridad de la información: es cualquier situación identificada, que indique una posible brecha en las Políticas de Seguridad o falla en los controles y protecciones establecidas.

Incidente de seguridad de la información: evento que haya vulnerado la Política de Seguridad de la Información o cualquier lineamiento o normativa que la instrumentalice. También se cataloga como incidente cualquier intento de vulnerar la Política y su cuerpo normativo sin importar la información afectada, la plataforma tecnológica, la frecuencia, las consecuencias, el número de veces ocurrido o si el origen es interno o externo.

Información: conjunto organizado de datos procesados, que tienen un significado y valor en un momento y lugar determinados para los negocios de la Empresa, independiente de su soporte (físico, digital, conocimiento, entre otros).

Integridad: cualidad de salvaguardar la exactitud y completitud de los datos que hacen parte de la información, tal que solamente puedan modificarse por partes autorizadas.

Propietario de la información: titular subordinado responsable del activo de información que va a ser protegido, y quien genera y mantiene los datos que utiliza la compañía a través de un conjunto determinado de sistemas y que son utilizados por un proceso determinado.

Recursos tecnológicos: elementos de tecnología que pueden ser hardware y software, tales como: equipos de cómputo, servidores, impresoras, teléfonos, faxes, programas y aplicativos de software, dispositivos de almacenamiento Flash, entre otros.

Seguridad de la información: preservación de la confidencialidad, integridad y disponibilidad de la información.

Tiene como característica la autenticidad, el no repudio y la confiabilidad.

Sistema de Gestión de Seguridad de la Información (SGSI): es el conjunto de elementos, relacionados entre sí, que se implementan para lograr el objetivo de proteger la seguridad de la información en la Empresa, compuesto por: políticas, estándares, procedimientos, estructura organizacional de gestión, recursos, planes y demás elementos que permitan lograr ese objetivo en un ciclo de mejora continua.

Sistema de información: conjunto de datos, aplicaciones, equipos, y recursos humanos que, en forma interrelacionada, proveen a la Empresa la información necesaria para la ejecución de las tareas y la toma de decisiones del nivel estratégico, táctico y operativo.

Terceros: toda persona, jurídica o física, como proveedores, contratistas, socios comerciales o consultores, que provean o intercambien servicios o productos con la Empresa.

Usuario: será aquella persona, jurídica o física, que, para ejercer sus funciones normales en el desempeño de sus actividades necesita acceder a la información de la Empresa y a sus recursos informáticos.

7. Responsabilidades.

Junta Directiva.

• Aprobar la Política de Seguridad de la Información y sus futuras modificaciones.

Gerencia General:

• Elevar a la Junta Directiva la presente política para su respectiva aprobación.

• Aprobar la normativa interna que instrumentalice la Política de Seguridad de la Información.

• Apoyar la gestión transversal empresarial del proceso Continuidad de Negocio y Seguridad de la Información.

• Aprobar los recursos humanos y financieros necesarios para implementar la presente Política.

Área de Seguridad y Continuidad:

• Promover e implementar una cultura de seguridad de la información en RACSA.

• Elevar a la Gerencia General para su aprobación la normativa interna que instrumentalice la Política de Seguridad de la Información.

• Definir las directrices estratégicas, la normativa y cualquier otra medida necesaria para la gobernabilidad y gestión de seguridad de la información, fundamentadas en el principio de eficiencia y en consideración del logro de los objetivos empresariales.

• Presentar a la Gerencia General el requerimiento de recursos necesarios (presupuesto, capacitación empresarial, recurso humano, normativa) para la gestión de la seguridad de la información de RACSA.

• Guiar transversalmente a la Empresa en el proceso de incorporación e implementación del Sistema de Gestión de Seguridad de la Información, conforme la norma ISO 27001.

• Identificar y aplicar modificaciones a la presente Política.

• Supervisar el cumplimiento de la normativa interna en las distintas Direcciones.

• Presentar el Plan de Seguridad Empresarial de forma anual a la Gerencia General y al Comité de Tecnologías de Información.

• Evaluar el cumplimiento del Plan de Seguridad Empresarial en RACSA en las distintas dependencias.

• Atender la gestión de incidentes de seguridad de la información de acuerdo con el Lineamiento de Operación que lo rige. Directores:

• Proveer en tiempo y forma los requerimientos de información y recursos que solicite el Área de Seguridad y Continuidad para la instrumentalización de esta política y la gestión de incidentes de seguridad de información.

• Aprobar las declaratorias de confidencialidad de cada una de las áreas respectivas.

• Apoyar la gestión de seguridad de información en todos los procesos a cargo.

• Administrar los riesgos de seguridad de información de todos los procesos a cargo bajo la supervisión y acompañamiento del proceso de Continuidad de Negocio y Seguridad de la Información y del personal especialista.

Jefaturas:

• Velar por el cumplimiento de esta Política en las áreas de su competencia.

• Identificar acciones de mejora de seguridad de la información concretas en su área.

• Realizar la gestión de riesgos de seguridad de información en su proceso a cargo.

• Identificar de acuerdo con la clasificación de la información la cual deberá ser catalogada como pública, confidencial y privada.

• Identificar y designar los roles asociados a la seguridad de la información de su área.

• Reportar oportunamente, a través de los canales establecidos de la Empresa, los riesgos, eventos o sospechas de vulnerabilidades o amenazas de seguridad de la información.

Área de Comunicación:

• Brindar el soporte necesario para las campañas de divulgación de la presente política.

• Fungir como el canal oficial de comunicación de RACSA para la gestión de incidentes de seguridad de información o comunicaciones relacionadas a seguridad de la información.

Funcionarios de RACSA:

• Acatar en todos sus extremos la presente Política de Seguridad de la Información.

Departamento de Gestión Estratégica y Desempeño Empresarial:

• Realizar la inclusión, modificación, control de cambios y aprobaciones que se le realice a la política.

• Velar para que la presente política se ajuste al formato y estructura propia de las guías, de acuerdo con la Guía para la Estructura y Contenido de los Documentos aprobada.

• Custodiar la última versión oficial aprobada del documento, una vez publicada en el Diario Oficial La Gaceta se debe incluir en el sitio web oficial Intranet Empresarial.

8. Documentos de referencia.

• ISO 27001 Sistema de Gestión de Seguridad de la Información.

• COBIT DS5 Garantizar la Seguridad de los Sistemas.

• COBIT DS12 Administrar el Ambiente Físico.

• COBIT DS13 Administración de las Operaciones.

• COBIT PO9 Evaluar y Administrar los Riesgos de TI.

• GG-LN-001 Lineamiento de Uso de Recursos Informáticos de RACSA.

9. Contenido.

Artículo 1°—La Gerencia General reconoce la información como un activo vital y estratégico para la Empresa, por lo tanto, se compromete a establecer las acciones que conlleven a la Gestión de la Seguridad de la Información con el fin salvaguardar la confidencialidad, integridad y disponibilidad de la información, mediante estrategias orientadas a la continuidad del negocio, la administración de riesgos informáticos y de información y la consolidación de una cultura de seguridad.